2020年注定是难忘的一年,COVID-19的大流行几乎影响到人类生活的每个方面。同样,在网络领域也产生了重大影响,疫情改变了企业和组织的运作方式,使它们面临一系列新的风险和恶意攻击,同样也对网络犯罪的行为产生影响。
深信服千里目安全实验室从恶意软件、网站安全、漏洞、数据泄露、APT攻击等方面分析整体网络安全态势情况,发布《2020年网络安全态势洞察报告》(以下简称报告)。本文摘取自报告关键内容,为您直观呈现2020年网络安全态势,与您共同关注2021年网络安全新趋势!
恶意软件态势
2020上半年由于受新冠疫情的影响恶意软件拦截量较少,2020年下半年恶意软件拦截量比上半年增长超过30%,逐渐恢复到2019年水平。其中,加密挖矿仍是网络犯罪分子主要研究的恶意活动之一,在恶意软件中占比30.64%。其次是传播性较强的木马远控和蠕虫病毒,分别占比26.98%和16.76%。
其中,勒索软件攻击方面,2020年加密货币暴涨,勒索软件同样加速演变进化。2020年下半年勒索软件展开疯狂攻势,安全事件数量在9月达到峰值,攻击规模、赎金要求都屡创新高,数据泄露结合加密勒索的勒索方式使得受害者缴纳赎金的概率大大增加。勒索软件犯罪团伙逐渐专注大型机构,进行精确的攻击行动,持续潜伏、制造严重破坏,索要大额赎金。
在挖矿软件攻击方面,相较2019年挖矿软件的攻击继续持续放缓,但随着虚拟货币的持续上涨,2020下半年挖矿软件活动拦截增长超过20%,并总共检测到超过50个传播采矿木马的主要网络犯罪集团。其中,NDay漏洞利用攻击、暴力破解仍然是常用攻击方式,无文件攻击也仍然受到挖矿团伙的青睐。
为防止恶意软件对企业的造成损害,建议企业用户做好以下的防护措施:在网络层面,进行多层防护措施,在恶意软件传播到系统造成真正损害之前将其阻止。在系统层面,用户可假设恶意软件已经渗透到企业系统的某一层级,然后相应地采取有效措施予以限制其可能带来的进阶影响并加快安全响应速度。
漏洞安全态势
2020年CNVD共收录漏洞信息19964条,同比增长24%,接近2011年的3倍,漏洞披露数量持续创新高,中高危漏洞信息占比超九成,漏洞形势依然严峻。此外,2020 年移动端、物联网设备等多平台爆出越来越多 0day 漏洞,Excel4.0 宏等的使用增加了攻击者的入侵效率和灵活性。为了能够及时处置并闭环漏洞问题,建议企业单位的安全补救措施在基于暴露面、可利用性和其他因素进行考虑,以保持能及时补救关键风险。
网站安全态势
互联网带来便利的同时,安全问题也伴随而来。研究显示,自2003年以来,Web应用程序已成为最受欢迎的被利用目标之一。当前网站安全形势仍较为严峻,不容乐观,建议相关单位部门及时做好重要网站的应急处置工作,积极应对各种网站攻击。
网站漏洞方面,2020年网站漏洞检测数量整体呈现增长趋势,其中6月网站漏洞检测数量达到全年检测数量峰值,中高危漏洞检测数量占据半壁江山,平稳中上涨,需要重点关注。从网站的漏洞类型来看,CSRF跨站请求伪造所占比例最高,为29%。其次是信息泄露和配置不当,分别占比24%和17%。
网站篡改方面,深信服云眼系统2020年累计授权监测网站178828个,其中监测到被篡改站点41546个,占总站点数量23%,超过1/5。网站被篡改数量在平稳中持续增长,被篡改网站类型中,网络色情占比最高为43%,其次是网络博彩为41%。
数据泄露态势
2020年,全球数据泄露事件频发,企业单位面临的数据泄露问题依然严峻。远程工作的常态下会增加数据泄露的成本和事件响应时间,而勒索病毒的“窃密”勒索策略变化则促进了数据泄露事件的发生,受害者不支付赎金,攻击者就会公开或出售这些被盗数据。
深信服安全人员从近期捕获到暗网情报近10万条中分析到,数据交易类情报占比56.55%。从行业上看,金融行业、教育行业的泄露事件占比高达53%,是黑产团伙重点关注的对象。
其中教育行业在数据资产泄露的事件排第二。教育行业信息系统具有 一定的特征:一是使用人员多,全国范围内教育机构、教师、学生均 数量庞大;二是信息系统多,教育行业的网站、系统数量同样巨大; 三是数据多,这三大特征,使得网络安全监管防护难度较大。
根据深信服安全数据 显示,2020 年针对教育行业的攻击持续保持在较高水平,并在 10 月 达到峰值 1.5 亿次。整体上,攻击数呈上升趋势,年攻击总数达到了 13.4 亿次。
此外,当前行业内普遍缺乏对代码安全的管控意识和制度流程,员工有意或无意地将敏感代码托管到开源的代码共享平台,可能造成代码泄露及代码泄露引发的一系列安全隐患。数字观星发布的《数字资产暴露面风险报告》显示,系统源码和技术方案占据中国企业外部数据泄露类型的61%;泄露系统源码中含有密码密钥风险最高。
为防范各类书籍泄露事件发生,深信服安全专家建议企业采取深度防御安全策略,包括:
(1)特权访问管理,用于监视和控制系统帐户的访问。
(2)多重验证加强身份管理、防止身份假冒,降低登陆设备账号丢失和弱密码等相关风险。
(3)注重端点威胁检测和响应,自动识别和减少可能导致数据泄露的恶意软件、网络钓鱼、勒索软件和其他恶意活动的工具。
(4)最小权限管理将访问权限与角色紧密结合在一起,以确保仅提供工作所需的访问权限。
高级持续性威胁态势
亚洲地区是APT攻击(高级持续性威胁攻击)在2020年最活跃的地区,另外中东与东欧也相对频繁。此外,在疫情背景下,围绕病毒及其影响的这种不确定性和恐惧为威胁行为者利用局势提供了绝佳机会,多个APT组织利用冠状病毒主题的钓鱼邮件作为感染媒介,在受害机器上获得立足点。
从整体活动分析,APT攻击未来可能呈现以下趋势:
(1)地缘政治攻击
从整体活动分析,局势敏感以及动荡的地区相关的APT攻击活动会更加频繁,未来地缘政治仍然是APT威胁组织的重要目标。
(2)漏洞开发与0day网络军火商兴起
漏洞是APT武器库中不可缺失的资产之一,顶级APT组织会继续挖掘漏洞与开发相关利用工具;而不具有漏洞挖掘的组织可以通过0day网络军火商购买相关的漏洞利用工具。
(3)利用入口设备与管理软件
2020年国内外已经出现了多起VPN漏洞攻击事件、网络边界设备漏洞攻击事件。未来,APT组织更多聚焦在这类设备与软件,深入分析该类设备以及软件,挖掘其中的安全漏洞,实现以点击面的攻击效果,甚至达到供应链攻击的效果。
(4)多平台攻击一体化
除了传统的Windows、Linux以及MAC OS系统平台,越来越多的APT组织已经在移动端进行监控布局与攻击,多平台一体化逐渐成为未来趋势之一,例如Lazarus组织的三平台一体化攻击框架MATA。
2021年网络安全趋势展望
1. 人工智能赋能安全的同时,也给网络安全带来巨大挑战
在网络技术方面,基于机器学习的僵尸网络攻击变得越来越复杂和准确,网络防御者需要以更具创新性的解决方案做出应对。在应用方面,利用人工智能可以生成和伪造具有欺骗性的信息。例如通过人工智能假装用户,并模仿人类的行为进行相应的网络操作,而这些行为很难通过传统方法和真实的用户行为加以区分。另外,在对抗性环境中,人工智能系统本身也可能受到攻击或欺骗,从而导致错误的分类或预测结果。
2.随着5G使用率的提高,更多设备变得依赖于5G提供的连接性,攻击者将更有动力寻找其中可以利用的漏洞
与前几代移动通信系统相比,5G依靠大规模天线和超密集组网等显著提升了移动接入技术,带动核心网技术的换代,但5G的网络切片技术使得网络边界逐渐模糊,其延伸业务扩大了网络安全的攻击面。在促进网络发展的同时,5G技术必然会成为不法分子攻击的重点目标,攻击者也将更有动力寻找可以利用的漏洞。如果发生恶意的网络攻击,或许在毫秒间就可以瞬间瘫痪掉整片的网络通信系统,进而瘫痪所有与网络相关的基础设施。
3. IT基础架构进一步向云转型,云原生安全需求明显提升,安全即服务(SECaaS)长周期成为国内发展的目标,技术变革将产生天然的规模效应
凭借敏捷部署、弹性扩展、易于维护等优势,SECaaS在国外已成主流。当前国内SECaaS逐渐出现产品雏形,虽然国内外在IT架构标准化程度、云化进度、公有云厂商对于生态理解等方面存在差异,但数字化转型背景下企业上云需求旺盛,云安全面临相似的发展趋势,SECaaS未来将长期成为国内发展目标。
4.基于现代身份管理技术进行构建的零信任安全架构正在快速发展,并逐渐落地于企业信息化安全建设中
传统基于边界的安全防护逻辑逐步失效,内外部威胁愈演愈烈,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络安全基础设施,基于现代身份管理技术进行构建的零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,可以打破传统物理安全的困境,建立新型安全防御体系。
未来几年零信任将会快速发展并落地到企业安全建设中去。不管是企业内部威胁,还是新的远程业务访问安全需求,零信任都可以有效地帮助解决相关安全问题。
5.人们生活和办公越来越远程化、数字化并且更加互联,其中物联网设备数量激增,同时遭受攻击的风险也在迅速增加
据市场调研机构MarketsandMarkets发布的“物联网安全市场”预测数据,2021年将有350亿智能设备在线,到 2025年,这一数字将增加到 750亿。但物联网设备仍然缺乏诸如加密之类的基本保护处理能力,设备一旦被攻陷,可用于各种恶意应用,包括DDoS攻击、加密挖掘、监视、网络侧链攻击和个人信息盗窃等。
另外,物联网漏洞从出现PoC到被攻击者实际利用的时间间隔进一步缩短,同时设备漏洞容易引发大规模影响。2020年重大的IoT设备漏洞披露,包括6月的Ripple20和12月的Amnesia-33,影响了数百万IoT设备。
6. 标准化XDR解决方案能有效提升安全团队的效率和生产力
Gartner当前给XDR的定义是:XDR是一种基于SaaS的,绑定到特定供应商的安全威胁检测和事件响应工具,可以将(该供应商的)多个安全产品原生地集成到一个统一的安全运行系统中,以统一所有授权的安全组件。
XDR通过集中、规范化和关联来自多个来源的安全数据来帮助安全团队解决安全问题,XDR提供了更完整的可见性。XDR在提供EDR的所有功能的基础上,还为企业提供了将其端点数据与其他安全产品数据关联的机会。XDR通过分析来自多个来源的数据以验证警报,从而减少误报和整体警报量。
除了警报关联性和更高的准确性外,XDR解决方案还提高了安全团队的生产力,实现了更快、更自动化的事件响应功能。许多安全工作流程在以往手动进行时,耗时且容易出错,这些任务可以在XDR中有效解决,包括关联自动化和威胁情报收集等,这也是安全编排、自动化与响应(SOAR)解决方案的核心功能。