2020年注定是難忘的一年,COVID-19的大流行幾乎影響到人類生活的每個方面。同樣,在網絡領域也產生了重大影響,疫情改變了企業和組織的運作方式,使它們面臨一系列新的風險和惡意攻擊,同樣也對網絡犯罪的行為產生影響。
深信服千里目安全實驗室從惡意軟件、網站安全、漏洞、數據泄露、APT攻擊等方面分析整體網絡安全態勢情況,發布《2020年網絡安全態勢洞察報告》(以下簡稱報告)。本文摘取自報告關鍵內容,為您直觀呈現2020年網絡安全態勢,與您共同關注2021年網絡安全新趨勢!
惡意軟件態勢
2020上半年由于受新冠疫情的影響惡意軟件攔截量較少,2020年下半年惡意軟件攔截量比上半年增長超過30%,逐漸恢復到2019年水平。其中,加密挖礦仍是網絡犯罪分子主要研究的惡意活動之一,在惡意軟件中占比30.64%。其次是傳播性較強的木馬遠控和蠕蟲病毒,分別占比26.98%和16.76%。
其中,勒索軟件攻擊方面,2020年加密貨幣暴漲,勒索軟件同樣加速演變進化。2020年下半年勒索軟件展開瘋狂攻勢,安全事件數量在9月達到峰值,攻擊規模、贖金要求都屢創新高,數據泄露結合加密勒索的勒索方式使得受害者繳納贖金的概率大大增加。勒索軟件犯罪團伙逐漸專注大型機構,進行精確的攻擊行動,持續潛伏、制造嚴重破壞,索要大額贖金。
在挖礦軟件攻擊方面,相較2019年挖礦軟件的攻擊繼續持續放緩,但隨著虛擬貨幣的持續上漲,2020下半年挖礦軟件活動攔截增長超過20%,并總共檢測到超過50個傳播采礦木馬的主要網絡犯罪集團。其中,NDay漏洞利用攻擊、暴力破解仍然是常用攻擊方式,無文件攻擊也仍然受到挖礦團伙的青睞。
為防止惡意軟件對企業的造成損害,建議企業用戶做好以下的防護措施:在網絡層面,進行多層防護措施,在惡意軟件傳播到系統造成真正損害之前將其阻止。在系統層面,用戶可假設惡意軟件已經滲透到企業系統的某一層級,然后相應地采取有效措施予以限制其可能帶來的進階影響并加快安全響應速度。
漏洞安全態勢
2020年CNVD共收錄漏洞信息19964條,同比增長24%,接近2011年的3倍,漏洞披露數量持續創新高,中高危漏洞信息占比超九成,漏洞形勢依然嚴峻。此外,2020 年移動端、物聯網設備等多平臺爆出越來越多 0day 漏洞,Excel4.0 宏等的使用增加了攻擊者的入侵效率和靈活性。為了能夠及時處置并閉環漏洞問題,建議企業單位的安全補救措施在基于暴露面、可利用性和其他因素進行考慮,以保持能及時補救關鍵風險。
網站安全態勢
互聯網帶來便利的同時,安全問題也伴隨而來。研究顯示,自2003年以來,Web應用程序已成為最受歡迎的被利用目標之一。當前網站安全形勢仍較為嚴峻,不容樂觀,建議相關單位部門及時做好重要網站的應急處置工作,積極應對各種網站攻擊。
網站漏洞方面,2020年網站漏洞檢測數量整體呈現增長趨勢,其中6月網站漏洞檢測數量達到全年檢測數量峰值,中高危漏洞檢測數量占據半壁江山,平穩中上漲,需要重點關注。從網站的漏洞類型來看,CSRF跨站請求偽造所占比例最高,為29%。其次是信息泄露和配置不當,分別占比24%和17%。
網站篡改方面,深信服云眼系統2020年累計授權監測網站178828個,其中監測到被篡改站點41546個,占總站點數量23%,超過1/5。網站被篡改數量在平穩中持續增長,被篡改網站類型中,網絡色情占比最高為43%,其次是網絡博彩為41%。
數據泄露態勢
2020年,全球數據泄露事件頻發,企業單位面臨的數據泄露問題依然嚴峻。遠程工作的常態下會增加數據泄露的成本和事件響應時間,而勒索病毒的“竊密”勒索策略變化則促進了數據泄露事件的發生,受害者不支付贖金,攻擊者就會公開或出售這些被盜數據。
深信服安全人員從近期捕獲到暗網情報近10萬條中分析到,數據交易類情報占比56.55%。從行業上看,金融行業、教育行業的泄露事件占比高達53%,是黑產團伙重點關注的對象。
其中教育行業在數據資產泄露的事件排第二。教育行業信息系統具有 一定的特征:一是使用人員多,全國范圍內教育機構、教師、學生均 數量龐大;二是信息系統多,教育行業的網站、系統數量同樣巨大; 三是數據多,這三大特征,使得網絡安全監管防護難度較大。
根據深信服安全數據 顯示,2020 年針對教育行業的攻擊持續保持在較高水平,并在 10 月 達到峰值 1.5 億次。整體上,攻擊數呈上升趨勢,年攻擊總數達到了 13.4 億次。
此外,當前行業內普遍缺乏對代碼安全的管控意識和制度流程,員工有意或無意地將敏感代碼托管到開源的代碼共享平臺,可能造成代碼泄露及代碼泄露引發的一系列安全隱患。數字觀星發布的《數字資產暴露面風險報告》顯示,系統源碼和技術方案占據中國企業外部數據泄露類型的61%;泄露系統源碼中含有密碼密鑰風險最高。
為防范各類書籍泄露事件發生,深信服安全專家建議企業采取深度防御安全策略,包括:
(1)特權訪問管理,用于監視和控制系統帳戶的訪問。
(2)多重驗證加強身份管理、防止身份假冒,降低登陸設備賬號丟失和弱密碼等相關風險。
(3)注重端點威脅檢測和響應,自動識別和減少可能導致數據泄露的惡意軟件、網絡釣魚、勒索軟件和其他惡意活動的工具。
(4)最小權限管理將訪問權限與角色緊密結合在一起,以確保僅提供工作所需的訪問權限。
高級持續性威脅態勢
亞洲地區是APT攻擊(高級持續性威脅攻擊)在2020年最活躍的地區,另外中東與東歐也相對頻繁。此外,在疫情背景下,圍繞病毒及其影響的這種不確定性和恐懼為威脅行為者利用局勢提供了絕佳機會,多個APT組織利用冠狀病毒主題的釣魚郵件作為感染媒介,在受害機器上獲得立足點。
從整體活動分析,APT攻擊未來可能呈現以下趨勢:
(1)地緣政治攻擊
從整體活動分析,局勢敏感以及動蕩的地區相關的APT攻擊活動會更加頻繁,未來地緣政治仍然是APT威脅組織的重要目標。
(2)漏洞開發與0day網絡軍火商興起
漏洞是APT武器庫中不可缺失的資產之一,頂級APT組織會繼續挖掘漏洞與開發相關利用工具;而不具有漏洞挖掘的組織可以通過0day網絡軍火商購買相關的漏洞利用工具。
(3)利用入口設備與管理軟件
2020年國內外已經出現了多起VPN漏洞攻擊事件、網絡邊界設備漏洞攻擊事件。未來,APT組織更多聚焦在這類設備與軟件,深入分析該類設備以及軟件,挖掘其中的安全漏洞,實現以點擊面的攻擊效果,甚至達到供應鏈攻擊的效果。
(4)多平臺攻擊一體化
除了傳統的Windows、Linux以及MAC OS系統平臺,越來越多的APT組織已經在移動端進行監控布局與攻擊,多平臺一體化逐漸成為未來趨勢之一,例如Lazarus組織的三平臺一體化攻擊框架MATA。
2021年網絡安全趨勢展望
1. 人工智能賦能安全的同時,也給網絡安全帶來巨大挑戰
在網絡技術方面,基于機器學習的僵尸網絡攻擊變得越來越復雜和準確,網絡防御者需要以更具創新性的解決方案做出應對。在應用方面,利用人工智能可以生成和偽造具有欺騙性的信息。例如通過人工智能假裝用戶,并模仿人類的行為進行相應的網絡操作,而這些行為很難通過傳統方法和真實的用戶行為加以區分。另外,在對抗性環境中,人工智能系統本身也可能受到攻擊或欺騙,從而導致錯誤的分類或預測結果。
2.隨著5G使用率的提高,更多設備變得依賴于5G提供的連接性,攻擊者將更有動力尋找其中可以利用的漏洞
與前幾代移動通信系統相比,5G依靠大規模天線和超密集組網等顯著提升了移動接入技術,帶動核心網技術的換代,但5G的網絡切片技術使得網絡邊界逐漸模糊,其延伸業務擴大了網絡安全的攻擊面。在促進網絡發展的同時,5G技術必然會成為不法分子攻擊的重點目標,攻擊者也將更有動力尋找可以利用的漏洞。如果發生惡意的網絡攻擊,或許在毫秒間就可以瞬間癱瘓掉整片的網絡通信系統,進而癱瘓所有與網絡相關的基礎設施。
3. IT基礎架構進一步向云轉型,云原生安全需求明顯提升,安全即服務(SECaaS)長周期成為國內發展的目標,技術變革將產生天然的規模效應
憑借敏捷部署、彈性擴展、易于維護等優勢,SECaaS在國外已成主流。當前國內SECaaS逐漸出現產品雛形,雖然國內外在IT架構標準化程度、云化進度、公有云廠商對于生態理解等方面存在差異,但數字化轉型背景下企業上云需求旺盛,云安全面臨相似的發展趨勢,SECaaS未來將長期成為國內發展目標。
4.基于現代身份管理技術進行構建的零信任安全架構正在快速發展,并逐漸落地于企業信息化安全建設中
傳統基于邊界的安全防護邏輯逐步失效,內外部威脅愈演愈烈,傳統的基于邊界的網絡安全架構和解決方案難以適應現代企業網絡安全基礎設施,基于現代身份管理技術進行構建的零信任安全架構應運而生。零信任安全架構基于“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”四大關鍵能力,可以打破傳統物理安全的困境,建立新型安全防御體系。
未來幾年零信任將會快速發展并落地到企業安全建設中去。不管是企業內部威脅,還是新的遠程業務訪問安全需求,零信任都可以有效地幫助解決相關安全問題。
5.人們生活和辦公越來越遠程化、數字化并且更加互聯,其中物聯網設備數量激增,同時遭受攻擊的風險也在迅速增加
據市場調研機構MarketsandMarkets發布的“物聯網安全市場”預測數據,2021年將有350億智能設備在線,到 2025年,這一數字將增加到 750億。但物聯網設備仍然缺乏諸如加密之類的基本保護處理能力,設備一旦被攻陷,可用于各種惡意應用,包括DDoS攻擊、加密挖掘、監視、網絡側鏈攻擊和個人信息盜竊等。
另外,物聯網漏洞從出現PoC到被攻擊者實際利用的時間間隔進一步縮短,同時設備漏洞容易引發大規模影響。2020年重大的IoT設備漏洞披露,包括6月的Ripple20和12月的Amnesia-33,影響了數百萬IoT設備。
6. 標準化XDR解決方案能有效提升安全團隊的效率和生產力
Gartner當前給XDR的定義是:XDR是一種基于SaaS的,綁定到特定供應商的安全威脅檢測和事件響應工具,可以將(該供應商的)多個安全產品原生地集成到一個統一的安全運行系統中,以統一所有授權的安全組件。
XDR通過集中、規范化和關聯來自多個來源的安全數據來幫助安全團隊解決安全問題,XDR提供了更完整的可見性。XDR在提供EDR的所有功能的基礎上,還為企業提供了將其端點數據與其他安全產品數據關聯的機會。XDR通過分析來自多個來源的數據以驗證警報,從而減少誤報和整體警報量。
除了警報關聯性和更高的準確性外,XDR解決方案還提高了安全團隊的生產力,實現了更快、更自動化的事件響應功能。許多安全工作流程在以往手動進行時,耗時且容易出錯,這些任務可以在XDR中有效解決,包括關聯自動化和威脅情報收集等,這也是安全編排、自動化與響應(SOAR)解決方案的核心功能。
關于報告更多詳細內容,點擊:https://page.sangfor.com/LP=1757 下載完整報告
