2018年网络安全观察报告
2019-04-25
报告执行摘要
从1987年9月14日,中国向世界发出第一封电子邮件到如今,中国的互联网发展已过去整整31个年头。从消费互联、产业互联到万物互联,互联网正在加速改变我们的交流方式和交易方式,一次次重塑了国家的经济形态和延展了人民的生活边界。与此同时,截止到2018年6月,中国网民规模达到8.02亿人,互联网普及率为57.7%[1]。互联网已事实上成为国家经济和人民生活中的必需品,网络安全的重要性也就更为凸显。
随着网络安全的重要性凸显,互联网安全事件受到的关注度也在逐步增加,其中漏洞类、恶意软件类、DDoS、信息泄露以及物联网是最受关注的五类安全事件。从我们的观测数据可以看出,上半年的高峰出现在3月份,该月安全事件的主角是DDoS,重点事件是GitHub遭受了峰值1.35 Tbps的流量冲击,以及五天之后,在针对美国的一家服务提供商的DDoS攻击中,峰值再次刷新纪录,达到 1.7 Tbps。在2018年下半年,各类安全事件呈上升趋势,主角则换成了信息泄露和恶意软件。Facebook和AcFun等网站的用户数据外泄,新勒索软件样本发现,已知勒索软件解密工具公布以及样本中出新算法等等,均与老百姓的生活息息相关。网络的互通互联,让更多的人能够切身感受到网络安全的重要性。
安全厂商的脚步也在加快。2018年RSA的口号是”Now Matters”,到2019年的”Better”, 联动防御和破除孤岛已成业界共识,厚积薄发,化被动为主动,关注落地实效和响应时效的提升。“知己知彼,百战不殆”,2019年RSA的创新沙盒冠军Axonius正是因为提供了更为有效和细致的“知己”能力而拔得头筹,提升给定范围内的资产可见性,持续地评估、消除资产的脆弱性。而“知彼”能力中最重要的威胁情报,已逐渐成为安全厂商的核心后台能力,通过嵌入各个安全产品和运营体系,来完成数据能力和防护能力的交付。
2018年,在我们监测到的所有恶意IP中,有15%的恶意IP使用了多种攻击方法,且随着时间迁移,攻击源会随着攻击链的深入或趋利目标改变攻击类型,例如发起Web攻击的攻击源,有50%的可能性在之后尝试进行更复杂的漏洞利用操作;参与DDoS攻击的受控源IP,有相当一部分产生过挖矿行为。
攻击源和攻击目标主要集中在中、美两国。从国内来看,主要集中在江苏、浙江、北京、广东等省份,可以看出,攻击源和攻击目标的分布和所在地的经济发展与计算机行业发展正相关。此外,我们继续针对历史上被监测到多次恶意行为的攻击源进行分析,即所谓“惯犯”。在《2018上半年网络安全观察》报告中我们指出,攻击源中25%的“惯犯”承担了40%的攻击事件[2]。2018年全年所监控到的攻击源已由上半年的2700万增加至4300万左右,“惯犯”占比为17%,“惯犯”告警数量占比为35%,整体告警占比与上半年相比均有所降低,但“惯犯”的活跃程度在增加,一定程度的说明了攻击资源的重复利用。同时,39%的“惯犯”都曾被僵尸网络所控制,也暴露了这部分公共网络资源安全状况长期得不到改善的严峻性。
在漏洞公布及漏洞利用方面,NVD官网发布的2018年CVE漏洞数目为1.58万 ,其中高危漏洞4096个。其中设备类漏洞明显增加,针对设备漏洞的攻击也在逐年增加。“永恒之蓝”漏洞被众多恶意软件使用,逐渐成为被利用率最高的漏洞之一
在Web攻击方面,在针对Web服务器的攻击中,85%以上的攻击仍然是一些常规的攻击手段,但对Web服务软件的漏洞利用逐年增长。在Web 漏洞中,反序列化漏洞由于其简单,可远程利用的特点格外受到黑客的青睐。漏洞从披露到出现有效攻击的时间间隔已经缩短到小时级别,给传统的防护和升级策略提出了更高的挑战。
DDoS攻击规模持续普遍增大,DDoS即服务增长迅速。DDoS反射型攻击放缓,综合多种攻击手段值的关注。挖矿病毒方兴未艾,虽因加密货币价格缩水而略受影响,但整体活跃度在恶意软件排名中仅次于后门程序。蠕虫种类繁多,部分病毒已活跃多年。大部分蠕虫病毒最早发现时间距今都有5年以上,2018年全年监测到的最为活跃的蠕虫病毒种类共计39个,其中从发现至今超过5年的病毒占比60%以上。木马活跃度略有下降,暗云系列仍层出不穷。2015年至今,暗云木马已感染数以百万的计算机,并经过了几次的更新迭代,各变种层出不穷,查而未绝。从蜜罐捕获和僵尸网络跟踪的角度看,Mirai 和Gafgyt 两大家族的物联网恶意样本数量最多。异常物联网设备主要被利用进行DDoS攻击。Coinhive在2018年10月控制的物联网设备仍有2.6万台,绝大部分仍是MikroTik的路由器,巴西为重灾区,物联网设备难升级修复是物联网安全的巨大挑战。
[1] http://www.cac.gov.cn/2018-08/20/c_1123296882.htm
[2] http://blog.nsfocus.net/network-security-observation-report-2018/
2018年网络安全观察报告下载