2019年4月16日�,由國家互聯(lián)網應急中心(CNCERT)主辦的《2018年我國互聯(lián)網網絡安全態(tài)勢綜述》發(fā)布會在京舉行�。來自中央網信辦����、工業(yè)和信息化部�、公安部等政府部門�、重要信息系統(tǒng)單位、電信運營企業(yè)����、域名注冊管理和服務機構�、互聯(lián)網和安全企業(yè)等80多家單位的專家和代表出席會議。
會議上�,CNCERT發(fā)布了2018年態(tài)勢綜述報告,并對該報告進行了詳細闡述���。報告堅持立足于CNCERT自有監(jiān)測數據與工作實踐��,結合2018年典型網絡安全事件�����、網絡安全新趨勢及日常網絡安全事件應急處置實踐成果編撰而成���,為我國黨政機關��、行業(yè)企業(yè)及社會公眾提供了有力參考�。報告從網絡安全法律法規(guī)���、網絡安全威脅治理�、勒索軟件威脅�����、APT攻擊���、云平臺安全����、拒絕服務攻擊����、工業(yè)控制系統(tǒng)安全�、惡意移動應用和數據安全等共九個方面對2018年我國互聯(lián)網網絡安全狀況進行了總結���。報告還對網絡安全趨勢進行了四點預測�����,認為2019年帶有特殊目的和針對性更強的網絡攻擊��、國家關鍵信息基礎設施安全�����、個人信息與數據安全、5G與IPv6等新技術安全值得關注��。
2018年我國互聯(lián)網網絡安全態(tài)勢綜述
當前�,網絡安全威脅日益突出�����,網絡安全風險不斷向政治、經濟、文化���、社會�����、生態(tài)����、國防等領域傳導滲透�����,各國加強網絡安全監(jiān)管�,持續(xù)出臺網絡安全政策法規(guī)。2018年��,在中央網絡安全和信息化委員會(原“中央網絡安全和信息化領導小組”)的統(tǒng)一領導下,我國進一步加強網絡安全和信息化管理工作��,各行業(yè)主管部門協(xié)同推進網絡安全治理��。國家互聯(lián)網應急中心(以下簡稱“CNCERT”)持續(xù)加強我國互聯(lián)網網絡安全監(jiān)測�,開展我國互聯(lián)網宏觀網絡安全態(tài)勢評估,網絡安全事件監(jiān)測����、協(xié)調處置和預警通報工作,取得了顯著成效��。CNCERT依托我國宏觀安全監(jiān)測數據�,結合網絡安全威脅治理實踐成果,在本報告中重點對2018年我國互聯(lián)網網絡安全狀況進行了分析和總結����,并對2019年的網絡安全趨勢進行預測。
一��、2018年我國互聯(lián)網網絡安全狀況
2018年�,我國進一步健全網絡安全法律體系,完善網絡安全管理體制機制�����,持續(xù)加強公共互聯(lián)網網絡安全監(jiān)測和治理�����,構建互聯(lián)網發(fā)展安全基礎�,構筑網民安全上網環(huán)境,特別是在黨政機關和重要行業(yè)方面��,網絡安全應急響應能力不斷提升�,惡意程序感染、網頁篡改��、網站后門等傳統(tǒng)的安全問題得到有效控制���。全年未發(fā)生大規(guī)模病毒爆發(fā)����、大規(guī)模網絡癱瘓的重大事件����,但關鍵信息基礎設施�����、云平臺等面臨的安全風險仍較為突出,APT攻擊���、數據泄露���、分布式拒絕服務攻擊(以下簡稱“DDoS攻擊”)等問題也較為嚴重。
(一)我國網絡安全法律法規(guī)政策保障體系逐步健全
自我國《網絡安全法》于2017年6月1日正式實施以來����,我國網絡安全相關法律法規(guī)及配套制度逐步健全,逐漸形成綜合法律�、監(jiān)管規(guī)定、行業(yè)與技術標準的綜合化��、規(guī)范化體系�����,我國網絡安全工作法律保障體系不斷完善����,網絡安全執(zhí)法力度持續(xù)加強。2018年,全國人大常委會發(fā)布《十三屆全國人大常委會立法規(guī)劃》�����,包含個人信息保護����、數據安全���、密碼等方面���。黨中央、國務院各部門相繼發(fā)力�����,網絡安全方面法規(guī)��、規(guī)章��、司法解釋等陸續(xù)發(fā)布或實施�����。《網絡安全等級保護條例》已向社會公開征求意見���,《公安機關互聯(lián)網安全監(jiān)督檢查規(guī)定》�����、《關于加強跨境金融網絡與信息服務管理的通知》�����、《區(qū)塊鏈信息服務管理規(guī)定》����、《關于加強政府網站域名管理的通知》等加強網絡安全執(zhí)法或強化相關領域網絡安全的文件發(fā)布����。
(二)我國互聯(lián)網網絡安全威脅治理取得新成效
我國互聯(lián)網網絡安全環(huán)境經過多年的持續(xù)治理效果顯著,網絡安全環(huán)境得到明顯改善��。特別是黨中央加強了對網絡安全和信息化工作的統(tǒng)一領導���,黨政機關和重要行業(yè)加強網絡安全防護措施��,針對黨政機關和重要行業(yè)的木馬僵尸惡意程序����、網站安全、安全漏洞等傳統(tǒng)網絡安全事件大幅減少����。2018年,CNCERT協(xié)調處置網絡安全事件約10.6萬起�,其中網頁仿冒事件最多��,其次是安全漏洞���、惡意程序��、網頁篡改�����、網站后門�����、DDoS攻擊等事件����。CNCERT持續(xù)組織開展計算機惡意程序常態(tài)化打擊工作,2018年成功關閉772個控制規(guī)模較大的僵尸網絡����,成功切斷了黑客對境內約390萬臺感染主機的控制。據抽樣監(jiān)測���,在政府網站安全方面���,遭植入后門的我國政府網站數量平均減少了46.5%,遭篡改網站數量平均減少了16.4%���,顯示我國政府網站的安全情況有所好轉����。在主管部門指導下�����,CNCERT聯(lián)合基礎電信企業(yè)��、云服務商等持續(xù)開展DDoS攻擊資源專項治理工作���,從源頭上遏制了DDoS攻擊行為���,有效降低了來自我國境內的攻擊流量����。據CNCERT抽樣監(jiān)測��,2018年境內發(fā)起DDoS攻擊的活躍控制端數量同比下降46%�、被控端數量同比下降37%;境內反射服務器��、跨域偽造流量來源路由器��、本地偽造流量來源路由器等可利用的攻擊資源消亡速度加快��、新增率降低�����。根據外部報告�����,我國境內僵尸網絡控制端數量在全球的排名從前三名降至第十名�����,DDoS活躍反射源下降了60%���。
(三)勒索軟件對重要行業(yè)關鍵信息基礎設施威脅加劇
2018年勒索軟件攻擊事件頻發(fā)�����,變種數量不斷攀升��,給個人用戶和企業(yè)用戶帶來嚴重損失���。2018年,CNCERT捕獲勒索軟件近14萬個���,全年總體呈現(xiàn)增長趨勢���,特別在下半年,伴隨“勒索軟件即服務”產業(yè)的興起�����,活躍勒索軟件數量呈現(xiàn)快速增長勢頭�,且更新頻率和威脅廣度都大幅度增加,例如勒索軟件GandCrab全年出現(xiàn)了約19個版本�����,一直快速更新迭代。勒索軟件傳播手段多樣�,利用影響范圍廣的漏洞進行快速傳播是當前主要方式之一,例如勒索軟件Lucky通過綜合利用弱口令漏洞�����、Window \r\nSMB漏洞�����、Apache Struts \r\n2漏洞����、JBoss漏洞���、Weblogic漏洞等進行快速攻擊傳播�����。2018年�,重要行業(yè)關鍵信息基礎設施逐漸成為勒索軟件的重點攻擊目標�����,其中,政府�����、醫(yī)療���、教育��、研究機構�����、制造業(yè)等是受到勒索軟件攻擊較嚴重行業(yè)����。例如GlobeImposter�、GandCrab等勒索軟件變種攻擊了我國多家醫(yī)療機構,導致醫(yī)院信息系統(tǒng)運行受到嚴重影響�。
(四)越來越多的APT攻擊行為被披露
2018年,全球專業(yè)網絡安全機構發(fā)布了各類高級威脅研究報告478份,同比增長了約3.6倍�����,其中我國12個研究機構發(fā)布報告80份,這些報告涉及已被確認的APT攻擊組織包括APT28�����、Lazarus、Group \r\n123����、海蓮花、MuddyWater等53個�����,攻擊目標主要分布在中東��、亞太�、美洲和歐洲地區(qū)�����,總體呈現(xiàn)出地緣政治緊密相關的特性,受攻擊的領域主要包括軍隊國防��、政府��、金融�、外交和能源等。值得注意的是�,醫(yī)療、傳媒�、電信等國家服務性行業(yè)領域也正面臨越來越多的APT攻擊風險。APT攻擊組織采用的攻擊手法主要以魚叉郵件攻擊�、水坑攻擊、網絡流量劫持或中間人攻擊等�,其頻繁利用公開或開源的攻擊框架和工具,并綜合利用多種技術以實現(xiàn)攻擊,或規(guī)避與歷史攻擊手法的重合��。
(五)云平臺成為發(fā)生網絡攻擊的重災區(qū)
根據CNCERT監(jiān)測數據,雖然國內主流云平臺使用的IP地址數量僅占我國境內全部IP地址數量的7.7%�,但云平臺已成為發(fā)生網絡攻擊的重災區(qū)�����,在各類型網絡安全事件數量中,云平臺上的DDoS攻擊次數����、被植入后門的網站數量、被篡改網站數量均占比超過50%�����。同時���,國內主流云平臺上承載的惡意程序種類數量占境內互聯(lián)網上承載的惡意程序種類數量的53.7%�,木馬和僵尸網絡惡意程序控制端IP地址數量占境內全部惡意程序控制端IP地址數量的59%�,表明攻擊者經常利用云平臺來發(fā)起網絡攻擊���。分析原因,云平臺成為網絡攻擊的重要目標是因為大量系統(tǒng)部署到云上�,涉及國計民生、企業(yè)運營的數據和用戶個人信息�,成為攻擊者攫取經濟利益的目標。從云平臺上發(fā)出的攻擊增多是因為云服務使用存在便捷性�、可靠性、低成本����、高帶寬和高性能等特性,且云網絡流量的復雜性有利于攻擊者隱藏真實身份����,攻擊者更多的利用云平臺設備作為跳板機或控制端發(fā)起網絡攻擊。此外�����,云平臺用戶對其部署在云平臺上系統(tǒng)的網絡安全防護重視不足��,導致其系統(tǒng)可能面臨更大的網絡安全風險�。因此,云服務商和云用戶都應加大對網絡安全的重視和投入���,分工協(xié)作提升網絡安全防范能力���。云服務商應提供基礎性的網絡安全防護措施并保障云平臺安全運行,全面提高云平臺的安全性和可控性���。云用戶對部署在云平臺上的系統(tǒng)承擔主體責任�����,需全面落實系統(tǒng)的網絡安全防護要求�。
(六)拒絕服務攻擊頻次下降但峰值流量持續(xù)攀升
DDoS攻擊是難以防范的網絡攻擊手段之一�,攻擊手段和強度不斷更新,并逐步形成了“DDoS即服務”的互聯(lián)網黑色產業(yè)服務��,普遍用于行業(yè)惡意競爭���、敲詐勒索等網絡犯罪�����。得益于我國網絡空間環(huán)境治理取得的有效成果����,經過對DDoS攻擊資源的專項治理,我國境內拒絕服務攻擊頻次總體呈現(xiàn)下降趨勢��。根據第三方分析報告����,2018年我國境內全年DDoS攻擊次數同比下降超過20%,特別是反射攻擊較去年減少了80%���。CNCERT抽樣監(jiān)測發(fā)現(xiàn)�����,2018年我國境內峰值流量超過Tbps級的DDoS攻擊次數較往年增加較多�,達68起�����。其中����,2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達1.27Tbps。
(七)針對工業(yè)控制系統(tǒng)的定向性攻擊趨勢明顯
2018年�����,針對特定工業(yè)系統(tǒng)的攻擊越來越多,并多與傳統(tǒng)攻擊手段結合�,針對國家工業(yè)控制系統(tǒng)的攻擊日益呈現(xiàn)出定向性特點。惡意軟件Trisis利用施耐德Triconex安全儀表控制系統(tǒng)零日漏洞���,攻擊了中東某石油天然氣工廠����,致其工廠停運����。分析發(fā)現(xiàn)�����,Trisis完整的文件庫通過五種不同的編程語言構建��,因其定向性的特點�����,僅能在其攻擊的同款工業(yè)設備上測試才能完全了解該惡意軟件���。2018年中期�����,惡意軟件GreyEnergy被捕獲�����,主要針對運行數據采集與監(jiān)視控制系統(tǒng)(SCADA)軟件和服務器的工業(yè)控制系統(tǒng)工作站���,具有模塊化架構���,功能可進一步擴展,可進行后門訪問�、竊取文件、抓取屏幕截圖�����、記錄敲擊鍵和竊取憑據等操作�����。2018年�����,CNCERT抽樣監(jiān)測發(fā)現(xiàn),我國境內聯(lián)網工業(yè)設備�����、系統(tǒng)��、平臺等遭受惡意嗅探����、網絡攻擊的次數顯著提高,雖未發(fā)生重大安全事件����,但需提高警惕��,引起重視�。
(八)虛假和仿冒移動應用增多且成為網絡詐騙新渠道
近年來,隨著互聯(lián)網與經濟����、生活的深度捆綁交織,通過互聯(lián)網對網民實施遠程非接觸式詐騙手段不斷翻新���,先后出現(xiàn)了“網絡投資”�����、“網絡交友”���、“網購返利”等新型網絡詐騙手段�。隨著我國移動互聯(lián)網技術的快速發(fā)展和應用普及����,2018年通過移動應用實施網絡詐騙的事件尤為突出,如大量虛假的“貸款APP”并無真實貸款業(yè)務��,僅用于詐騙分子騙取用戶的隱私信息和錢財���。CNCERT抽樣監(jiān)測發(fā)現(xiàn)��,在此類虛假的“貸款APP”上提交姓名���、身份證照片、個人資產證明�、銀行賬戶、地址等個人隱私信息的用戶超過150萬人�,大量受害用戶向詐騙分子支付了上萬元的所謂“擔保費”、“手續(xù)費”費用,經濟利益受到實質損害�。此外,CNCERT還發(fā)現(xiàn)�����,具有與正版軟件相似圖標或名字的仿冒APP數量呈上升趨勢�����。2018年���,CNCERT通過自主監(jiān)測和投訴舉報方式共捕獲新增金融行業(yè)移動互聯(lián)網仿冒APP樣本838個��,同比增長了近3.5倍�����,達近年新高。這些仿冒APP通常采用“蹭熱度”的方式來傳播和誘惑用戶下載并安裝��,可能會造成用戶通訊錄和短信內容等個人隱私信息泄露�,或在未經用戶允許的情況下私自下載惡意軟件,造成惡意扣費等危害�。
(九)數據安全問題引起前所未有的關注
2018年3月,F(xiàn)acebook公司被爆出大規(guī)模數據泄露,且這些泄露的數據被惡意利用��,引起國內外普遍關注�����。2018年����,我國也發(fā)生了包括十幾億條快遞公司的用戶信息、2.4億條某連鎖酒店入住信息�、900萬條某網站用戶數據信息、某求職網站用戶個人求職簡歷等數據泄露事件���,這些泄露數據包含了大量的個人隱私信息��,如姓名�����、地址�����、銀行卡號�、身份證號、聯(lián)系電話�����、家庭成員等��,給我國網民人身安全����、財產安全帶來了安全隱患。2018年5月25日�����,歐盟頒布執(zhí)行史上最嚴的個人數據保護條例《通用數據保護條例》(GDPR)����,掀起了國內外的廣泛討論,該法案重點保護的是自然人的“個人數據”��,例如姓名�、地址����、電子郵件地址�����、電話號碼�����、生日����、銀行賬戶����、汽車牌照、IP地址以及cookies等��。根據定義�����,該法案監(jiān)管收集個人數據的行為����,包括所有形式的網絡追蹤。GDPR實施三天后�����,F(xiàn)acebook和谷歌等美國企業(yè)成為GDPR法案下第一批被告,這不僅給業(yè)界敲響了警鐘�����,也督促更多企業(yè)投入精力保護數據安全尤其是個人隱私數據安全��。
二�、2019年網絡安全趨勢預測
結合2018年我國網絡安全狀況,以及5G�����、IPv6�、區(qū)塊鏈等新技術的發(fā)展和應用,CNCERT預測2019年網絡安全趨勢主要如下:
(一)有特殊目的針對性更強的網絡攻擊越來越多
目前����,網絡攻擊者發(fā)起網絡攻擊的針對性越來越強,有特殊目的的攻擊行動頻發(fā)���。近年來��,有攻擊團伙長期以我國政府部門�、事業(yè)單位�、科研院所的網站為主要目標實施網頁篡改,境外攻擊團伙持續(xù)對我政府部門網站實施DDoS攻擊�。網絡安全事件與社會活動緊密結合趨勢明顯,網絡攻擊事件高發(fā)����。
(二)國家關鍵信息基礎設施保護受到普遍關注
作為事關國家安全、社會穩(wěn)定和經濟發(fā)展的戰(zhàn)略資源�,國家關鍵信息基礎設施保護的工作尤為重要。當前����,應用廣泛的基礎軟硬件安全漏洞不斷被披露、具有特殊目的的黑客組織不斷對我國關鍵信息基礎設施實施網絡攻擊��,我國關鍵信息基礎設施面臨的安全風險不斷加大�。2018年,APT攻擊活動持續(xù)活躍�,我國多個重要行業(yè)遭受攻擊。隨著關鍵信息基礎設施承載的信息價值越來越大����,針對國家關鍵信息基礎設施的網絡攻擊將會愈演愈烈。
(三)個人信息和重要數據泄露危害更加嚴重
2018年Facebook信息泄露事件讓我們重新審視個人信息和重要數據的泄露可能引發(fā)的危害�����,信息泄露不僅侵犯網民個人利益,甚至可能對國家政治安全造成影響����。2018年我國境內發(fā)生了多起個人信息和重要數據泄露事件,犯罪分子利用大數據等技術手段���,整合獲得的各類數據�,可形成對用戶的多維度精準畫像�����,所產生的危害將更為嚴重�����。
(四)5G�����、IPv6等新技術廣泛應用帶來的安全問題值得關注
目前�,我國5G、IPv6規(guī)模部署和試用工作逐步推進,關于5G��、IPv6自身的安全問題以及衍生的安全問題值得關注�。5G技術的應用代表著增強的移動寬帶、海量的機器通信以及超高可靠低時延的通信�����,與IPv6技術應用共同發(fā)展�����,將真正實現(xiàn)讓萬物互聯(lián)��,互聯(lián)網上承載的信息將更為豐富����,物聯(lián)網將大規(guī)模發(fā)展�。但重要數據泄露、物聯(lián)網設備安全問題目前尚未得到有效解決�����,物聯(lián)網設備被大規(guī)模利用發(fā)起網絡攻擊的問題也將更加突出�����。同時,區(qū)塊鏈技術也受到國內外廣泛關注并快速應用�,從數字貨幣到智能合約,并逐步向文化娛樂����、社會管理、物聯(lián)網等多個領域延伸���。隨著區(qū)塊鏈應用的范圍和深度逐漸擴大�����,數字貨幣被盜�、智能合約�����、錢包和挖礦軟件漏洞等安全問題將會更加凸顯�����。
你可能感興趣:
CNCERT互聯(lián)網安全威脅報告第95期
第43次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》
