2022年度网络空间测绘报告

绿网盟络科空技间2测02绘2年年报度 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 关于中国电信研究院 中国电信股份有限公司研究院秉承中国电信企业发展引擎、技术灯塔、决策智库的定位，肩负通信行业前瞻技术与决策研究、通信产业技术开发、创新基础设施研发的使命，研发创新涵盖5G/6G及未来通信、云网融合、光通信、网信安全、低碳节能、AI大数据、工业物联网等多个领域，是中国通信行业研发国家队。 中国电信研究院安全技术研发部作为一支研究型安全开发运营团队，依托中国电信云网和数据资源禀赋，进行安全核心能力的关键技术研究、云网安全运营系统等产品的自主研发，以及现网安全运营支撑。通过强化安全运营统一管理，持续提升云网事件处置、联防联动等安全运营能力，确保云网业务安全高效高质运行。 关于天翼安全科技有限公司 天翼安全科技有限公司（简称“电信安全公司”）是中国电信集约开展网络安全业务的科技型、平台型专业公司，以研发运营一体化方式，整合全集团云网、安全、数据等优势资源和能力，进行统一运营，为内外部客户提供云网安全、数据安全、信息安全等各类安全产品和服务。公司始终坚持以“传承红色基因，守护安全中国”为使命，致力于成为数字经济时代最可靠的网络安全运营商！ 电信安全公司“广目”（互联网资产暴露面排查及风险监测服务）产品，从资产维度出发，结合运营商独特的网络资源优势，为用户提供了资产探测、风险监测、风险通告等功能。实现网络资产的可知、可控，为实现安全风险管理提供基础数据。广目实现IP、URL、端口、公众号、小程序、APP、网盘、源代码等维度的互联网资产暴露面排查及风险监测，产品已广泛应用于金融、医疗、政府、公安等行业。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 CONTENTS 执行摘要001 12022年重大网络空间安全事件回顾003 1.1网络安全事件趋势分析004 1.2某头部软件厂商遭受勒索攻击007 1.3某券商OA系统遭攻击企业移动办公受影响008 1.4MicrosoftExchange被暴露存在0day漏洞009 1.5行业巨头PLC工控平台被曝有高危漏洞011 1.6恶意黑客利用物联网设备成功入侵电网012 1.7DrayTekVigor路由器被曝有RCE漏洞012 1.8超过900个俄工控系统遭匿名者组织攻击013 1.9九成俄互联网暴露数据库遭入侵攻击015 1.10某省健康码遭到境外组织网络攻击016 1.11黑产团队利用远控软件RCE漏洞发起攻击017 1.12数百个Elasticsearch数据库遭到勒索攻击018 1.13思科修复高危身份验证绕过漏洞019 1.14小结019 2网络空间暴露资产分析020 2.1工控资产021 2.2物联网资产024 2.3安全设备028 2.4重要服务：Web、数据库、邮件服务031 2.5黑客控守资源033 2.6私搭网络挖矿资源035 3俄乌网络战测绘专题分析038 3.1安全事件测绘分析039 3.2网络资产测绘分析041 3.3域名证书测绘分析048 3.4俄乌冲突爆发阶段的网络监控056 3.5俄乌冲突全周期存活资产情况058 3.6俄乌双方资产遭受的攻击060 3.7俄乌冲突给中国的启示073 3.8小结078 4远程办公关联资产测绘专题分析079 4.1远程办公关联资产暴露情况080 4.2远程办公资产风险分析084 4.3小结090 5数据安全测绘专题分析091 5.1数据资产暴露情况分析093 5.2数据资产风险分析096 5.3小结105 6总结与展望106 参考文献109 观点1 004 “中国制造2025”等国家战略的推出，以及信息化新兴技术与制造业的加速融合， 工控资产是黑客关注的重要攻击资源。随着德国“工业4.0”、美国“再工业化”、 工控领域中“软硬件更新换代”、“安全设计缺乏”、“系统建设周期长”等问题加 剧了工控系统的安全隐患和潜在风险。总之，工控安全面临着严峻的挑战。 观点2 004 在内的多个重要设施发起攻击。 2022年，黑客将物联网僵尸网络资产作为攻击的重要资源，对国内包括“健康码” 观点3 021 领工业越发达的省份工控资产暴露数量越多的趋势已在改变，现今工业互联网发展 产业结构更加高端，在“高精尖”产业领域优势明显，具备数字化、智能化转型的基础， 先的省份会暴露更多的工控资产。我国工业互联网发展蹄疾步稳，北京、上海因其 工业互联网发展领先于其他省份。工业互联网的发展引入5G、物联网、云计算等新 技术，有些是业务需要与互联网连接，有些则是意外连接互联网，两者都导致更多的 工控资产暴露在网络空间中。 机随着《数据安全法》正式实施，数据安全已成为每个人关注的热点话题。随着手 的不断上升，网络附加存储（NAS）市场份额迅速增长，大量NAS暴露在网络空间 、电脑、平板等设备使用频率的增多，以及国内COVID-19对远程协同工作需求 中。NAS对个人以及企业的价值越来越高，这让攻击者更加感兴趣，攻击者可利用 可能会成每个家庭及企业必需品，成为攻击者重点关注的目标。 NAS计算资源进行挖矿，或盗取数据进行倒卖，甚至加密数据勒索赎金。未来NAS 观点4 024 观点5041 从俄乌的网络资产测绘的测绘数据不难看出，网络资产数量越多的地区，越有可能成为军事进攻主要目标，物联网和工控资产往往是网络战争切入点，是攻击者青睐的对象。 观点6056 在俄乌冲突中，俄罗斯网空力量与传统的军事、政治和外交紧密配合，这表明网络空间战争已经成为现代军事战争的延申，我国亟需建设与大国地位相匹配的网络空间力量。 观点7060 随着冲突升级和乌克兰颓势，俄乌双方的局部对抗，已经演变成俄罗斯与整个西方在网络空间的对抗博弈，我国应该面向未来军事需求提前做好冲锋准备。结合本次攻击事件教训，我国应该对互联网暴露的工控资产进行提前梳理和处理，提前消除遭受网络攻击的隐患。乌克兰网络和防护措施相对落后，敌对势力会发起DDoS攻击，导致国家关键设施无法正常提供服务，造成了国际局势较大的混乱和恐慌，在本次冲突中遭受了较多攻击。我国应该制定针对DDoS的事前预防、事中响应、事后恢复的措施。 络信息化战场是俄乌战争中非常重要的一个环节，对于我国来说，我们应当提高网 往往容易被人忽略，但该类代码仓库又常常存在着重要机构的源代码信息，因此我们 安全意识，加强我国网络安全建设。由于种种原因，自建托管代码仓库的安全防护 应当定期排查、及时处理相关风险。 观点8073 观点9 040 用于参与攻击的事件较多，安全风险持续增加，安全治理值得关注。 办公应用和远程协助工具、物联网设备等资产，在远程办公期间遭受攻击或被利 观点10 084 DDoS攻击，导致大量民众需要访问的服务面临风险。 物联网、DDoS反弹服务等资产组合，可能被黑客用于对重要设施发起严重的 观点11 085 事件，给企业和组织造成更严重的损失。 办公应用的0day漏洞被用以发动供应链勒索攻击，造成大规模勒索等恶性安全 观点12 088 投放恶意软件，最终导致服务器沦陷并变成矿机。 互联网暴露了大量存在安全漏洞的远程协助资产，这些漏洞极易被黑客团队利用， 观点13 092 库资产安全风险严峻，互联网上大量私自搭建的源代码平台存在严重的数据泄露风险， 旧伤未愈又添新伤。传统数据库资产暴露情况不容乐观，新兴技术下的新型数据 数据安全治理工作任重道远。 观点14096 与2021年相比，2022年占比最高的数据资产类型是数据库资产。其中，数据库资产类型占比达98.55%，其余为代码仓库资产。 观点15096 传统数据库资产暴露情况不容乐观，仍然有大量过时、脆弱的数据库暴露在互联网上。 观点16099 新兴技术和热点安全领域下的数据库安全将成为未来关注的焦点。 观点17103 源代码泄露往往会引起数据供应链安全问题的发生，大量源代码中隐藏着数据库凭证等重要信息，这些数据的丢失将导致严重的数据泄露事件发生。 观察1 028 多的是VPN、WAF和防火墙；从暴露设备的生产厂商来源看，除大量开源OpenVPN 2022年国内暴露的安全设备数量共计2,126,383。从设备类型来看，暴露数量较 外，来自国内与国外的厂商占比基本持平；从地理分布来看，主要集中在北上广、浙江、 以及数据中心占比较高，分别达到33.44%、22.99%以及19.80%。 香港特别行政区和台湾等经济发达省份；从IP出口类型来看，家庭带宽、企业专线 观察2 031 Web服务、数据库服务和邮件服务应用最为广泛，全国范围内应用这三类服务 94.56%，应用数量TOP3的省份为香港特别行政区、北京和台湾省。 较多的省份是香港特别行政区、北京和台湾省。其中，Web服务应用最多，占比为 观察3 033 京、广州暴露数量位列前三，国内多家知名云厂商分布量远超传统运营商，国内云厂 2022年国内暴露的CobaltStrike（下文简称CS）服务有1884个，其中上海、北 商资产占比达到80%以上。 观察4 035 云端的隐蔽矿池，与监管展开持久战，打一枪换一个地方增加阻断难度，需要在防护 省份暴露矿池服务数量相比往年大大降低。云端的矿池服务占比达到90%以上，依附 2022年国内暴露的矿池服务有5769个，随着国家大力治理矿池服务，可以看出 端加强对恶意矿池资产的识别情报能力。 爆发冲突，俄乌双方都遭受到了网络攻击。俄罗斯对乌克兰展开军事行动，俄方网络力量在第一时间配合了俄军在现实战场中的行动。在谈判阶段，俄罗斯在网空力量比较克制，并且表现出谈判的诚意。 观察6058 俄乌冲突期间，乌克兰和俄罗斯双方的存活资产数量均上下浮动，当双方的冲突加剧时，存活的资产数量明显减小。俄乌双方的资产存活数量明显与俄乌冲突的局势相关。当局势紧张时，资产数量明显减少，这有可能是遭受到了攻击使得资产受到损失；也有可能是为了避免遭受损失，俄乌双方选择主动关闭了相关资产。 观察7060 俄罗斯有1047个IP/域名遭受有组织的DDoS攻击，最长的持续7天1时28分 14秒，遭受了巨大损失。 观察8035 高达900个俄工控系统遭知名黑客组织“匿名者”的攻击，更多支持倾向的黑客组织也开始加入到俄乌双方的网络攻击活动中。 观察9069 的银行）等重要部门陷入瘫痪。 乌克兰遭受了有组织的DDoS攻击，致使政府网站以及Privatbank（乌克兰最大 观察10 073 境外亲乌黑客对我国部分大学、研究机构的自建托管代码仓库展开了入侵，其删除了 俄乌信息化战争影响到了我国相关机构的网络安全。我们发现在俄乌战争期间， 相关大学、研究机构仓库中的源代码，而且还新建了新的仓库，并将新仓库的“名称” 和“描述信息”改为了侮辱性语句。 观察11 075 这些暴露的资产将会成为敌对势力或组织重点攻击的对象，使得国家遭受重大损失。 从俄罗斯网络资产暴露教训来看，资产暴露都是经济或工业发达的地区。战争时期， 观察12 080 远程办公期间，办公应用、远程协助工具等被广泛应用，总资产数量已超过1863 排名靠前。 万个，对比去年增长约2.32倍。从地理分布来看，台