声明
本文是学习网络安全应急响应典型案例集(2021). 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网络安全应急响应形势综述
2021年1—6月,奇安信集团安服团队共参与和处置了全国范围内590起网络安全应急响应事件,第一时间协助政企机构处理安全事故,确保了政企机构门户网站、数据库和重要业务系统的持续安全稳定运行。
2021年上半年应急响应服务月度统计情况具体如下:
2021年上半年,奇安信安服共处置应急响应事件590起,投入工时为3964.5小时,折合495.6人天。
(2021年4月为全国实战攻防演习期间,应急数量大幅增加。)
图1-1:大中型政企机构应急响应服务走势
应急响应事件受害者分析
为进一步提高大中型政企机构对突发安全事件的认识和处置能力,增强政企机构安全防护意识,对2021年上半年处置的所有应急响应事件从被攻击角度、受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的影响几方面进行统计分析,呈现上半年政企机构内部网络安全现状。
行业现状分析
2021年上半年应急响应处置事件排名靠前的行业分别为,政府部门(140起)、医疗卫生行业(58起)以及金融行业(49起)和事业单位(49起),事件处置数分别占上半年应急处置事件的23.7%、9.8%、8.3%和8.3%。
大中型政企机构应急响应行业分布TOP10详见下图:
图1-2:大中型政企机构应急响应行业分布
从行业排名可知,2021年上半年攻击者的攻击对象主要分布于政府机构、医疗卫生行业、金融行业和事业单位。
事件发现分析
2021年上半年奇安信安服团队参与处置的所有政企机构网络安全应急响应事件中,由行业单位自行发现的攻击事件占95.2%,其中发现入侵迹象的事件占比39.6%,被攻击者勒索后发现的攻击占35.1%,安全运营巡检发现的事件占比20.5%。另有4.8%的攻击事件政企机构是在得到了监管机构及第三方平台的通报后,才得知自己已被攻击。
图1-3:大中型政企机构应急攻击事件发现分析
影响范围分析
2021年上半年应急响应事件的影响范围主要集中在业务专网,占比67.9%;其次为办公终端,占比32.1%。根据受影响区域分布对受影响设备数量进行了统计,上半年失陷的设备中,9284台服务器受到影响,2373台办公终端被攻陷,如下图所示。
本文中办公终端指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。
图1-4:大中型政企机构遭受攻击影响范围分布
从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器为攻击者攻击的主要目标。
大中型政企机构在对业务专网的安全防护建设的同时,提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。
攻击影响分析
2021年上半年,从大中型政企机构遭受攻击产生的影响来看,攻击者对系统的攻击所产生的影响主要表现为生产效率降低、数据丢失、声誉影响等。下图为大中型政企机构遭受攻击后的影响分布。
图1-5:大中型政企机构遭受攻击影响统计分析
在上述数据中,有305起应急响应事件导致生产效率低下,占比51.7%,攻击者主要通过挖矿、蠕虫、木马等攻击手段使服务器CPU占用率异常高,造成生产效率降低。
有149起应急响应事件导致数据丢失,占比25.3%,攻击者通过对大中型政企机构重要服务器及数据库进行攻击,导致数据被破坏或丢失。
还有39起应急响应事件导致声誉受到影响占比6.6%。同时,数据被篡改、数据泄露等也是政企机构被攻击后产生的结果,造成的后果也是非常严重的。
应急响应事件攻击者分析
应急响应事件攻击者分析以2021年上半年大中型政企机构所有应急数据为支撑,从攻击者角度对攻击者攻击意图、攻击类型、攻击者常用恶意程序以及常见漏洞利用方式进行分析,为各政企机构建立安全防护体系、制定应急响应处置方案提供参考依据。
攻击意图分析
在2021年上半年的应急响应事件中,攻击者攻击意图主要为敲诈勒索、黑产活动、窃取重要数据和内部违规操作。
图1-6:攻击者针对大中型政企机构的攻击意图排行
在2021年上半年应急响应事件中,174起事件的攻击原因为敲诈勒索,占比29.5%,攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,实现自身最大利益。
158起事件的攻击原因为黑产活动,占比26.8%,攻击者通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利;另外还有128起应急响应事件会导致重要数据被窃取,占上半年应急响应事件的21.7%。
在88起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。
攻击类型分析
通过对2021年上半年大中型政企机构安全事件攻击类型进行分析,排名前三的类型分别是:恶意程序占比48.8%;漏洞利用占比29.8%;网络监听攻击占比8.0%。在恶意程序中,木马攻击(非蠕虫病毒)占比53.0%,蠕虫病毒攻击占比47.0%。
图1-7:大中型政企机构遭受攻击类型统计分析
蠕虫病毒和木马,由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象。
漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web漏洞等,对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。
除此之外,网络监听攻击、网页篡改、钓鱼邮件等也是较为常见的攻击类型。因此,大中型政企机构应做好日常安全防范工作,定期巡检,及时发现威胁并有效遏制。
恶意程序分析
在2021年上半年,大中型政企机构遭受攻击恶意程序类型,占比较多的木马病毒分别为勒索病毒总占比30.4%,挖矿木马占比18.8%,以及一般木马占比17.3%。
图1-8:大中型政企机构遭受攻击(恶意程序)类型分析
2021年上半年最常见的勒索病毒是Phobos勒索病毒、Sodinokibi勒索病毒、GlobeImposter勒索病毒、WannaCry勒索病毒以及相关变种病毒。大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害,加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施,将应急响应常态化。
漏洞利用分析
在2021年上半年应急响应事件攻击类型中,对漏洞利用部分进行统计分析,发现弱口令、永恒之蓝漏洞是大中型政企机构被攻陷的重要原因;其次,服务器配置不当、服务器漏洞也经常作为攻击者日常利用的方式(其中,在单起网络安全事件中,存在多个弱点的情况)。
图1-9:大中型政企机构遭受攻击常见漏洞利用方式
弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。除弱口令、永恒之蓝漏洞、服务器配置不当以及服务器漏洞外,任意文件上传也是攻击者最常利用的漏洞,攻击者通过利用某一漏洞入侵系统,传播病毒,获取重要数据以达到敲诈勒索、牟取暴利等意图。
政企机构应加大内部巡检力度,定期对设备、终端进行漏洞扫描、修复。定期更换服务器、终端登录密码,加大密码复杂度,不给攻击者任何可乘之机。
延伸阅读
更多内容 可以点击下载 网络安全应急响应典型案例集(2021). 进一步学习