2023网络安全深度洞察及2024年趋势研判

2023网络安全深度洞察及2024年趋势研判 DEEPINSIGHTINTONETWORKSECURITYIN2023ANDTRENDANALYSISIN2024 引言 2023年，生成式人工智能和各种大模型迅速应用在网络攻击与对抗中，带来了新型攻防场景和安全威胁。漏洞利用链组合攻击实现攻击效果加成，在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞，对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出现，个人信息泄露成为了关注的焦点；同时，境外网络攻击势力不断刺探，APT攻击技术不断更新。 2023年网络安全呈现出哪些演变趋势？本报告将重点围绕安全漏洞、恶意软件、数据安全和APT 攻击四个领域展开观察，并对2024年网络安全需重点关注的方向进行深入思考。 摘要 0day漏洞利用平均发现天数逐年缩短 01 漏洞利用链组合攻击在APT攻击中广泛流行 02 2023年国内外活跃恶意软件组织有较大差异 03 勒索团伙采取多种新型方式提高赎金缴纳率 04 银狐远控木马在国内横行肆虐，Qakbot僵尸网络影响遍布全球 05 人工智能技术安全风险成为全球关注热点 06 数据泄露已成为影响数据安全的主要事件 07 海莲花、蔓灵花、摩柯草为代表的东南亚和南亚地区APT组织对我国表现出高度活跃的攻击态势 08 BYOVD攻击技术得到快速普及、使用门槛降低 09 供应链攻击成为APT组织获取初始权限的流行方式 10 录 目 引言摘要 一、安全漏洞态势01 安全漏洞治理情况01 国外安全漏洞治理动向01 我国安全漏洞治理动向02 安全漏洞总体情况03 漏洞公开披露情况03 漏洞利用情况05 0day漏洞利用发现情况07 关键被利用0day漏洞盘点08 关键漏洞分析09 Windows09 WebLogic13 Chrome17 F5BIG-IP19 安全漏洞态势小结21 二、恶意软件态势22 恶意软件治理情况22 国外恶意软件治理动向22 国内恶意软件治理动向23 恶意软件攻击总体情况24 恶意软件攻击情况24 恶意软件类型分布25 恶意软件攻击行业分布25 恶意软件攻击地区分布26 恶意软件活跃组织27 恶意软件活跃组织分析28 勒索软件活跃团伙28 远控木马活跃组织32 僵尸网络活跃团伙35 挖矿病毒活跃团伙37 恶意软件典型攻击事件40 某国有银行美国子公司遭Lockbit3.0勒索软件攻击40 国内某综合安防管理平台勒索事件40 银狐集合体大肆对国内开展恶意网络攻击41 恶意软件态势小结42 三、数据安全态势43 数据安全治理情况43 国外数据安全治理动向43 我国数据安全治理动向44 数据泄露总体情况46 重要数据泄露事件情况46 非法交易情报中数据泄露情况48 勒索团伙数据泄露情况50 我国重点数据泄露事件分析52 接口滥用导致政务敏感数据泄露事件52 多个黑客论坛泄露我国数据合集事件53 某高校因3万余条师生个人信息数据泄露被罚款80万元54 重点数据泄露事件分析小结54 数据安全态势小结55 录 目 四、APT攻击态势56 APT攻击活动态势56 APT组织攻击总体态势56 南亚活跃APT组织态势57 东亚活跃APT组织态势60 东南亚活跃APT组织态势62 东欧活跃APT组织态势63 APT攻击流行技术趋势65 软件供应链攻击获取APT攻击初始权限65 开源组件二次开发以降低APT攻击成本66 BYOVD滥用过时驱动以对抗杀软66 网络钓鱼战术升级加大迷惑性67 典型APT攻击事件68 某高校高新行业实验室被高精准社工鱼叉攻击68 蔓灵花利用开源远控组件攻击某政府机关单位68 UNC4736组织利用双重供应链攻击3CX公司69 美国情报机构针对iOS设备的移动端APT活动69 蔓灵花组织利用国产办公软件WPS开展钓鱼攻击70 APT攻击态势小结70 五、2024年重点关注趋势71 六、参考链接73 附录APT组织攻击动态报告信息76 安全漏洞态势 安全漏洞治理情况 国外安全漏洞治理动向 当今世界正处于百年未有之大变局，网络空间日益成为全球治理的重要领域，深刻影响着各国政治、经济和社会等各个方面。安全漏洞是网络空间系统建设中不可避免的问题，也是全球网络安全事件的主要原因。从重要系统中的“零日漏洞”到网络上的历史漏洞，都是数字化发展中的薄弱环节。一旦被恶意主体利用攻击，就会对信息系统安全造成损害，进而对国家、社会和公众造成重大损失。 纵观国际，美国在漏洞治理领域具有先发优势。经过多年发展，已建立了完善的漏洞治理体系。其中，美国国土安全部 （DHS）及其下属的网络安全和基础设施安全局（CISA）在漏洞的发现、收集、验证、评估、修复、披露和跟踪等方面发挥了关键的统筹协调作用。因此，以CISA为例研究美国漏洞治理体系的历史沿革、主要内容和实施效果，对于加强我国漏洞治理政策具有一定的借鉴意义。 （一）美国通过制定政策提升漏洞共享能力，强化国家级网络安全综合治理能力。 观察美国网络安全战略，“协调”和“共享”一直是其网络安全战略的主旋律，2021年5月拜登政府签署《改善国家网络安全的行政命令》，明确提出消除政府和私营部门之间威胁信息共享的障碍。CISA将统筹漏洞治理作为重要任务，通过协同漏洞披露（CVD）、漏洞披露策略（VDP）、相关约束性操作指令（BOD）等措施加强了联邦政府和私营部门的协调和合作，实现了对关键基础设施漏洞威胁的及时发现和消控，加强了漏洞管控统筹协调，提升了漏洞资源共享共治水平，强化了美国国家级网络安全漏洞综合治理能力。 （二）CISA新战略计划降低关键信息基础设施风险，增强国家级威胁防御能力。 2022年9月，CISA发布“2023-2025年战略计划”，本计划是CISA自2018年成立以来第一个全面的战略计划。计划指出国家努力的重点是确定哪些系统和资产对国家真正至关重要，发现关键信息基础设施的脆弱性，并采取行动管理来降低其风险。计划的首要目标就是建立国家级防御网络攻击并从中恢复的能力，CISA作为美国的网络防御机构，将与全球建立全面战略伙伴关系，共建国家级威胁防御能力。 （三）CISA颁布指令加强漏洞修复，降低被利用风险。 2021年11月，CISA颁布《约束性操作指令(BOD)22-01，降低已知利用漏洞的重大风险》，要求所有联邦民事行政部门(FCEB)机构都必须在规定的时间内修复已知被利用漏洞（KEV）目录中的漏洞。CISA强烈建议所有利益相关者将已知被利用漏洞（KEV）目录的漏洞纳入其漏洞管理计划的一部分，通过优先修复目录中列出的漏洞来增强其安全性和恢复能力。 我国安全漏洞治理动向 （一）我国漏洞政策出台旨在维护国家网络安全和保障网络产品稳定运行。 根据《网络安全法》关于漏洞管理有关要求，工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》，主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。 （二）我国持续推进《网络产品安全漏洞管理规定》落实工作，从政策宣贯、机制完善、平台建设多方面抓好落实。 一是加强了政策宣贯，做好对相关企业机构的政策咨询和工作指导，引导漏洞收集平台依法依规开展漏洞收集和发布。 二是完善了相关工作机制，建立健全漏洞评估、发布、通报等重要环节的工作机制，明确了漏洞收集平台备案方式和报送内容。 三是加强了工业和信息化部网络安全威胁和漏洞信息共享平台建设，做好与其他漏洞平台、漏洞库的信息共享，提升平台技术支撑能力。 （三）我国安全建设持续加码，相关政策法规的出台推动了国产漏洞管理工作制度化、规范化、法治化。 随着我国国产升级持续加码，安全问题也随之全方位凸显。我国相继出台《网络安全法》、《网络产品安全漏洞管理规定》等法律法规，以及正在编写的相关国产升级漏洞国家标准，持续推动国产升级漏洞管理工作的制度化、规范化、法治化，进一步提高相关主体漏洞的管理水平，为国家的数字化建设筑牢安全基底。 安全漏洞总体情况 漏洞公开披露情况 近十年漏洞收录情况 漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势。截止2023年11月30日，国家信息安全漏洞库（CNNVD）共收 录2023年漏洞信息25748条，近10年漏洞收录情况如图1-1所示，可以看出，漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势，超危漏洞占比峰值为2022年（占比16.7%），按照历年收录漏洞数量及超危漏洞占比趋势推测，预计明年漏洞收录数量和超危漏洞占比将进一步增长。 30000 25000 20000 15000 10000 5000 0 CNNVD近十年漏洞收录情况 18.0% 16.0% 14.0% 12.0% 10.0% 8.0% 6.0% 4.0% 2.0% 20年14 20年15 7735 9.1% 20年1620年1720年1820年1920年2020年21 20年22 0.0% 超危占比8.6% 总数 8220 20年23 12.5%15.2%14.3%14.3%13.8%13.1%16.7%15.4% 图1-1CNNVD近十年漏洞收录情况 8622 14671163071783319048208272492125748 漏洞影响对象情况 根据国家信息安全漏洞共享平台（CNVD）统计数据显示，截至2023年11月30日，近5年来漏洞影响对象占比情况如图1-2所示。Web应用漏洞占比逐年上升，而应用程序漏洞占比逐年下降。网络设备漏洞占比呈小幅上升趋势，操作系统漏洞占比呈小幅下降趋势。 Web应用漏洞主要是由于缺乏安全意识、不当的输入验证、不正确的访问控制、不安全的编码等因素产生。随着互联网的飞速发展和Web应用程序的广泛使用，Web应用漏洞占比逐年上升。 应用程序漏洞主要是由于应用程序结构复杂、新技术不断涌现以及编码问题等因素产生。近年来，互联网的快速发展和Web应用程序的广泛应用，导致应用程序漏洞占比逐年下降。 CNVD近5年漏洞影响对象类型占比情况 60.0% 50.0% 40.0% 30.0% 20.0% 10.0% 0.0% 2019年 2020年 2021年 操作系统 智能设备 应用程序 Web应用 安全产品 数据库 2022年2023年 网络设备 图1-2CNVD近5年漏洞影响对象类型占比情况 漏洞引发威胁情况 根据国家信息安全漏洞共享平台（CNVD）统计数据显示，2023年1月至11月，网络攻击主要趋向于破坏性攻击。其中，由漏洞引发的最主要威胁是未授权信息泄露，可能导致个人隐私被侵犯、财务损失、商业信誉受损甚至法律诉讼。未授权信息泄露也为黑客攻击提供了前置条件，泄露的敏感信息如秘钥、token等可被恶意攻击者利用，访问受保护的资源或执行未经授权的操作。 其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行其他恶意活动。 黑客攻击手段通常可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击旨在扰乱系统运行，而破坏性攻击则以入侵系统、盗取机密信息、破坏数据为目的。我国网络攻击以破坏性攻击为主，可能导致系统崩溃、数据丢失、服务中断等严重后果，对受害者造成极大损失。 拒绝服务11.0% 未授权信息修改6.8% 2023年漏洞引发威胁情况 其他0.3%未知0.1% 管理员访问权限获取27.3% 普通用户访问权限获取0.1% 未授权信息泄露54.4% 图1-32023年漏洞引发威胁情况 未授权信息泄露 管理员访问权限获取拒绝服务 未授权信息修改其他 普通用户访问权限获取未知 28 43 55 0 2 7 80 81