95015网络安全应急响应分析报告(2022)
AI智能总结
主要观点 政府部门、事业单位、制造业是2022年网络安全应急响应事件最为高发的行业。特别是制造业,全年向95015服务平台报案求助多达121起,首次超越医疗卫生行业跻身报案数量前三甲。这也意味着网络安全问题对工业生产的影响正在与日俱增,因网络安全事件而停工停产的风险正在日益加剧。 严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力,是当前国内绝大多数政企机构的通病。一方面,弱口令、永恒之蓝等基础漏洞仍然普遍存在,高危端口大量暴露;另一方面,仅有15.4%的政企机构能够通过安全巡检提前发现问题,避免损失,而绝大多数政企机构只能在重大损失发生之后,或被第三方机构通报后才能发现安全问题。 安全意识问题已经成为制约政企机构安全生产的根本性问题:由内部人员违规操作触发的应急响应事件约占2022年95015服务平台接报事件总量的四分之一;近四成的应急事件与弱口令有关;员工被黑客钓鱼、私自下载带毒软件、滥用U盘导致系统瘫痪、乱开端口感染勒索病毒等由安全意识不足引发的应急事件层出不穷。 摘要 2022年,95015服务平台共接到全国政企机构网络安全应急事件报告1106起。奇安信安服团队累计投入工时8997.5小时处置相关事件,折合1124.7人天,处置一起应急事件平均用时8.1小时。 从行业分布来看,2022年,95015服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为199起;其次是事业单位138起;制造业排第三,为121起。此外,医疗、金融、交通运输等行业也是网络安全应急响应事件高发行业。 44.8%的政企机构,是在被攻击者勒索之后,拨打的95015;34.9%的政企机构,是在系统已经出现了非常明显的入侵迹象后进行的报案求助。而真正能够通过安全运营巡检,提前发现问题的仅占比15.4%、 从网络安全事件的影响范围来看,64.0%的事件主要影响业务专网,而主要影响办公网的事件占比为36.0%。而从受影响的设备数量来看,失陷服务器为14280台,失陷办公终端为5412台。业务专网、服务器是网络攻击者攻击的主要目标。 从网络安全事件造成的损失来看,造成生产效率低下的事件499起,占比为45.1%;造成数据丢失的事件269起,占比24.3%;造成数据泄漏的事件99起,占比9.0%;此外,造成声誉影响的事件71起,造成数据被篡改的事件59起。 内部人员为了方便工作等原因进行违规操作,进而触发应急响应的网络安全事件多达276起。这一数量甚至超过了以敲诈勒索(273起)、黑产活动(261起)和窃取重要数据(257起)等为目的的外部网络攻击事件的数量。 以恶意程序为主要手段的网络攻击最为常见,占比为38.5%,其次是漏洞利用,占比为33.7%;钓鱼邮件排第三,占比为6.9%。网页篡改、网络监听攻击、拒绝服务攻击等也比较常见。还有约15.6%的安全事件,并非网络攻击事件。 应急事件分析显示,勒索病毒、挖矿木马、蠕虫病毒是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的28.0%、20.9%和6.8%。此外,网站木马、DDoS木马、APT专用木马、永恒之蓝下载器等也都是经常出现的恶意程序类型。 在应急响应事件处置的勒索软件中,排名第一的是Phobos,全年触发大中型政企机构网络安全应急响应事件46次;其次是Makop勒索软件16次,Buran勒索软件10次。这些流行的勒索病毒,十分值得警惕。 弱口令是攻击者在2022年利用最多的网络安全漏洞,相关应急事件多达417起,占比37.7%。其次是永恒之蓝漏洞,相关利用事件为292起,占比26.4%。 关键词:95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用 目录 第一章网络安全应急响应形势综述1 第二章应急响应事件受害者分析2 一、行业分布2 二、事件发现2 三、影响范围3 四、事件损失4 第三章应急响应事件攻击者分析5 一、攻击意图5 二、攻击手段5 三、恶意程序6 四、漏洞利用7 第四章应急响应典型案例分析9 一、多个安全漏洞致某交通企业服务器外发恶意邮件9 二、下载问题软件致某互联网企业近百台设备被勒索10 三、假冒HR微信投毒致某科研机构多台服务器失陷11 四、员工乱插U盘致某政府单位感染僵尸网络病毒12 五、开放虚拟化桌面服务器端口致多台服务器被勒索14 六、黑客利用漏洞经上级单位专线渗透至某事业单位15 七、开发框架版本低致某服务业企业官网网页被篡改16 八、任意文件上传漏洞加一码全通致重要数据被窃取17 附录195015网络安全服务热线20 附录2奇安信集团安服团队21 附录3网络安全应急响应图书推荐22 附录495015网络安全应急响应知识宣传周24 第一章网络安全应急响应形势综述 2022年1月20日,全国首个网络安全行业服务短号95015正式开通,成为北京 2022年冬奥会和冬残奥会网络安全保障工作的重要支撑平台,同时也是全国各地重大网络安全事件应急响应的绿色通道。北京冬奥会结束后,95015将永久服役,持续为全国各地政企机构提供7×24小时网络安全应急响应服务。 2022年1~12月,95015服务平台共接到全国范围内网络安全应急响应事件报告1106起,奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。 综合统计数据显示,在全年1106起网络安全应急响应事件的处置中,奇安信安服 团队累计投入工时为8997.5小时,折合1124.7人天,处置一起应急事件平均用时8.1小时。其中,7~8月,因全国多地举行网络安全实战攻防演习活动,应急响应处理量大幅增加;12月,因全国疫情高峰期,应急响应处理量略有减少。 第二章应急响应事件受害者分析 本章将从网络安全应急响应事件受害者的视角出发,从行业分布、事件发现方式、影响范围、以及攻击行为造成的影响等几个方面,对95015服务平台全年接报的1106起网络安全应急响应事件展开分析。 一、行业分布 从行业分布来看,2022年,95015服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为199起,占比18.0%;其次是事业单位,为138起,占比12.5%;制造业排第三,为121起,占比10.9%。这也是制造业首次在应急响应事件报告数量的行业排名中位列三甲,值得全行业高度警惕。此外,医疗、金融、交通运输等行业也是网络安全应急响应事件高发行业。 下图给出了不同行业网络安全应急响应事件报案数量的TOP10排行。 二、事件发现 从安全事件的发现方式来看,44.8%的政企机构,是在被攻击者勒索之后,拨打的95015网络安全服务热线;34.9%的政企机构,是在系统已经出现了非常明显的入侵迹象后进行的报案求助。这二者之和为79.7%。 也就是说,几近八成的大中型政企机构是在系统已经遭到了巨大损失,甚至是不可逆的破坏后,才向专业机构进行求助。而真正能够通过安全运营巡检,在损失发生之前及时发现问题并呼救,避免损失发生的政企机构,占比就仅为15.4%、 此外,还有约4.9%的政企机构是在得到了主管单位、监管机构及第三方平台的通报 后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营,也严重缺乏必要的威胁情报能力支撑,致使自己的主管单位或监管机构总是先于自己,发现自身的安全问题或被攻击的现象。其中,某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹,随时都有可能爆发。 三、影响范围 网络安全事件往往会对IT及业务系统产生重大的影响。在2022年95015服务平台接报处置的网络安全应急响应事件中,64.0%的事件主要影响的是业务专网,而主要影响办公网的事件占比为36.0%。从受网络安全事件影响的设备数量来看,失陷服务器为14280台,失陷办公终端为5412台。 2022年大中型政企机构遭受网络攻击事件的影响范围如下图所示。 在本报告中,办公网是指企业员工使用的台式机、笔记本电脑、打印机等设备组成基本办公网络,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。 从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器是网络攻击者攻击的主要目标。 大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。 四、事件损失 网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示,在95015服务平台全年接报的1106起报案中,有499起事件,造成了相关机构的生产效率低下,占比为45.1%,是排名第一的损失类型;其次是造成数据丢失的事件有269起,占比24.3%,排名第二;造成数据泄漏的事件99起,占比9.0%,排名第三;此外,造成政企机构声誉影响的事件71起,造成数据被篡改的事件59起,造 成其他损失的事件109起。 特别说明,在上述统计中,同一事件只计算一次,我们只统计每起事件造成的最主要的损失类型。 造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器CPU占用率过高,造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。 造成数据丢失的原因是多方面的,其中,因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。 第三章应急响应事件攻击者分析 本章将从网络安全应急响应事件攻击者的视角出发,从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面,对95015服务平台全年接报的1106起网络安全应急响应事件展开分析。 一、攻击意图 攻击者是出于何种目的发起的网络攻击呢?应急人员在对网络安全事件进行溯源分析过程中发现,2022年,内部人员为了方便工作等原因进行违规操作,进而导致系统出现故障或被入侵,触发应急响应的网络安全事件多达276起。这一数量甚至超过了以敲诈勒索(273起)、黑产活动(261起)和窃取重要数据(257起)等为目的的外部网络攻击事件的数量,成为“网络攻击者”的“首要意图”。这种情况在以往是极其罕见。 在这里,敲诈勒索,主要是指攻击者利用勒索软件攻击政企机构的终端和服务器,进而实施勒索。此类攻击几乎全部是由境外攻击者发起,打击难度极大。 黑产活动以境内团伙为主,主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。 以窃取重要数据为目的的攻击,一般分为两种:一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,如个人信息、账号密码等;另一种则是商业间谍活动或APT活动。从实际情况来看,第一种情况更为普遍,第二种情况偶尔会发生。 二、攻击手段 不同的安全事件,攻击者所使用的攻击手段也有所不同。对2022年全年的网络安 全应急响应事件分析发现,以恶意程序为主要手段的网络攻击最为常见,占比为38.5%,其次是漏洞利用,占比为33.7%;钓鱼邮件排第三,占比为6.9%。此外,网页篡改、网络监听攻击、拒绝服务攻击、Web应用CC攻击等也比较常见。还有约15.6%的安全事件,最终被判定为非攻击事件。也就是说,由于企业内部违规操作,意外事件等原因,即便没有导致系统被入侵,但也同样触发了网络安全应急响应的事件也不在少数,值得警惕。 三、恶意程序 应急事件分析显示:勒索病毒、挖矿木马、蠕虫病毒是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的28.0%、20.9%和6.8%。此外,网站木马、DDoS木马、APT专用木马、永恒之蓝下载器等也都是经常出现的恶意程序类型。还有23.6%恶意程序攻击事件与比较常见的,针对普通网民的互联网流行木马有关。 表1给出了2022年95015服务平台接报的网络安全应急响应事件中,出现频率最高的勒索软件排行榜TOP10。可以看到,排名第一的是Phobos勒索软件,全年触发大中型政企机构网
