近日,奇安信集团发布了《2020年网络安全应急响应分析报告》。报告显示,2020年奇安信安服团队共接到应急服务需求660起,其中行业TOP3分别为:政府部门行业(146起)、医疗卫生行业(90起)以及事业单位(61起),事件处置数分别占应急处置所有行业的22.1%、13.6%、9.2%。
由此可见,政府部门、医疗卫生行业和事业单位的业务专网是2020年攻击者攻击的主要目标。
入侵发现能力大幅提升,安全运营水平仍有待提高
在奇安信所有参与处置的网络安全应急响应事件中,由行业单位自行发现的安全攻击事件占94.7%,其中被攻击者勒索后发现的攻击占37.3%,另有5.3%的安全攻击事件政府机构和企业是在得到了监管机构及第三方平台的通报后,才得知自己已被攻击。
但值得关注的是,仍有77.6%的企业是在已经发生重大安全事故后才寻求应急响应的。能够通过自主巡检在重大事件发生之前及时组织的机构占比仅为17.1%。这说明,国内政企机构的日常安全运营建设水平仍有待大幅提高。特别地,有37.3%的机构是在被勒索后才寻求应急响应,但此时补救往往为时已晚。
业务专网成主要受害目标,严重损害机构正常业务开展
2020年应急响应事件的影响范围主要集中在业务专网,占比71.4%;其次为办公终端,占比28.6%。根据受影响区域分布对受影响设备数量进行了统计,全年失陷的设备中,9588台服务器受到影响,7643台办公终端被攻陷。
从大中型政企机构遭受攻击产生的影响显示,攻击者对系统的攻击所产生的影响主要表现为数据丢失、生产效率降低、系统/网络不可用等。
在上述数据中,有164起应急响应事件导致数据丢失,占比24.8%,攻击者通过对大中型政企机构重要服务器及数据库进行攻击,导致数据被破坏或丢失。
有142起应急响应事件导致生产效率低下,占比21.5%,攻击者主要通过挖矿、蠕虫、木马等攻击手段使服务器CPU占用率异常高,造成生产效率降低。
还有141起应急响应事件导致系统/网络不可用占比21.4%,主要表现为攻击者通过对系统持续性攻击,直接造成业务系统宕机,网络不可用。
弱口令依然是政企机构被入侵的最主要原因
从攻击事件来看,2020年全年大中型政企机构安全事件攻击类型,排名前三的类型分别是:恶意程序,占比54.5%;漏洞利用,占比27.7%;钓鱼邮件,占比4.8%。
针对漏洞利用事件分析发现,弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因;其次,服务器配置不当、Web漏洞也经常作为攻击者日常利用的攻击手段(其中,在单起网络安全事件中,存在多个弱点的情况)。
弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞以及Web漏洞外,服务器漏洞也是攻击者最常利用的漏洞,攻击者通过利用某一漏洞入侵系统,传播病毒,获取重要数据以达到敲诈勒索、牟取暴利等意图。
奇安信安服团队认为,员工安全意识培养迫在眉睫。公网泄露敏感信息、高危端口外连、弱口令等由于安全意识淡薄而引发的内网服务器受感染导致勒索病毒蔓延、数据泄露甚至是服务器失陷事件比比皆是。
近四成机构不幸遭遇攻击者“敲诈勒索”
针对攻击者攻击意图分析发现,攻击者攻击意图主要为敲诈勒索、黑产活动、窃取重要数据和内部违规操作。
在2020年应急响应事件中,244起事件的攻击原因为敲诈勒索,占比37.0%,攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,实现自身最大利益。
152起事件的攻击原因为黑产活动,占比23.0%,攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利;另外还有112起应急响应事件会导致重要数据被窃取,占全年应急响应事件的17.0%。
在58起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。政企机构在完善整体安全防护体系建设时,应将内部员工网络安全意识作为重要模块进行培训,可以通过网络安全培训、定期举办攻防演习、应急演练等方式加强内部人员的网络安全意识。
值得关注的是,鉴于2020年全年未发现大面积攻击事件,每月应急次数趋于平稳,说明行业专用网络或特殊网络的安全建设有明显进步。持续进行的实战攻防演习活动也是提升整个行业网络安全水平的重要原因。
事实上,在过去几年间,每年都会发生数起甚至数十起大规模的网络安全事件引发的应急响应。受同一攻击者或同一病毒攻击的机构少则数家,多则数十家。这往往是由于相关企业通过某些专用或特殊网络相连,但对专网或特殊网络防护不足而引发的。
关注同花顺财经(ths518),获取更多机会
