《2019~2020网络安全态势观察报告》重磅发布!

【导读】过去一年多,各种 APT 攻击事件、勒索挖矿事件,数据泄露事件,漏洞攻击事件仍然不绝于耳。从 ATT&CK 模型框架的兴起到实战化攻防环境的建立,从反序列化漏洞的攻防博弈到 VPN 漏洞的异军突起,从不断“APT”化发展的勒索攻击到广撒网的挖矿活动,从不断受地缘政治影响的APT攻击到新冠疫情引发的花式攻击,从 MaaS 模式的逐渐成熟到恶意软件家族间“合作”案例的逐渐增多……层出不穷的网络安全事件时刻提醒着我们越来越严峻的网络安全态势,同时引发网络安全从业者的一次次思考。

过去十年来,攻击者的技战术思路以及网络安全攻防体系也在发生着深刻的变化。网络攻击正变得更加隐蔽,有针对性、有组织性和逐利性,网络安全产品使用者更加关注产品和服务的有效性,网络安全厂商面临的问题更加具有挑战性。

对此,启明星辰集团发布《2019~2020网络安全态势观察报告》,以观察者的视角尝试剖析2019年全年至2020年上半年网络安全形势及其变化,希望以此为各行业以及相关企事业单位提供网络安全战略和决策的参考。

 

安全态势报告主要提出以下观点


1、网络攻防框架“ATT&CK”不断升温,“实战化攻防”持续影响网络安全行业。

过去一年多,网络攻防框架 ATT&CK 在网络安全行业广受欢迎。越来越多的网络安全企业开始从不同维度引入 ATT&CK 框架。无论是安全研究还是产品结合方面都找到了一些结合点,但在产品落地方面,ATT&CK 还有一段路要走。一方面是由于 ATT&CK 在落地产品层面上还存在一些成熟度的问题。另一方面,ATT&CK 是完全基于攻击者视角而设计的,有些技术更多的是描述攻击过程中的一种技术或思路,在产品中可能很难抽丝剥茧看到其本质。但我们坚信,在未来检测技术不断提升的大背景下,ATT&CK 一定能成为安全产品实现攻击链还原的利器。

基于对过去一年多各类攻击事件的汇总,我们总结出2019年~2020年上半年 ATT&CK 常用攻击技术,如下表: 

2、反序列化漏洞成 Web 攻击首要威胁,VPN 等网关型漏洞成新攻击入口。

2019 年全年,启明星辰收录的安全漏洞总数共计 15046 个,其中超危漏洞和高危漏洞分别同比增长 67% 和 49%。虽然 2019 年新增漏洞数目较之前有进一步上涨,但实际在野利用漏洞中的一半以上仍然是 2018 年以及之前的老漏洞。

有两个特点特别值得留意:一是反序列化漏洞逐渐成为 Web 漏洞的主要威胁。过去一年多,反序列化漏洞造成的危害非常之大且范围很广,主要影响集中在 Weblogic、Websphere 中间件及 Fastjson、Apache Shiro、Apache Dubbo 等第三方应用中,而漏洞的修复方式多数为利用类的黑名单修补,可以预见未来各个应用反序列化漏洞的黑名单依旧会被反复绕过且成为攻击者实战中的利器。二是 VPN 等网关类漏洞的异军突起。2019 年到 2020 年上半年是VPN 漏洞曝光最多的时期,Pulse Secure、Palo Alto Networks、Fortinet、Cisco 和 Citrix 以及国内某知名品牌 VPN 产品都被曝出严重漏洞。加之新冠疫情在 2020 年上半年的蔓延,远程办公需求迅速增加,各种 VPN 使用量增加了三成左右,这都使得 VPN 漏洞得以快速被黑客关注并在实战中应用。

3、地下黑色产业链愈发成熟,恶意软件家族体系化“协同作战”。

恶意软件即服务(MaaS)模式下的地下黑色产业链愈发成熟,已经形成了从恶意代码编写、恶意代码免杀、恶意代码托管到恶意软件分发的完整体系。

在 MaaS 模式下,我们观察到不同黑产团伙利用相同的恶意软件进行了“各具特色”的攻击,同一款恶意软件在不同的攻击活动中也发挥了不同功能。

4、近年来罕有 Office 高危漏洞出现 ,冷门而有效的攻击方式更受关注。

自 2017 年大量 Office 0day 漏洞爆发以来,近两年没有出现新的如同公式编辑器漏洞一样使用简单且功能强大的攻击方式,恶意样本使用的攻击技术没有发生显著的变化。在攻防对抗的过程中,攻击者逐渐开始尝试使用不常见文件类型以及 Office 中一些被遗忘的冷门特性(如 Excel 4.0宏)作为攻击载体,以更低的成本复用原有的攻击代码来绕过检测。

5、地缘政治因素导致 APT 攻击愈演愈烈,APT 攻击武器泄露导致网络军火民用化。

在处理不可调和的地缘政治矛盾时,APT 攻击是当前除了军事打击之外最为隐蔽和有效的攻击方式。越来越多的政府开始组建国家级APT攻击组织,只要存在政治目的和经济利益,APT 攻击就不会停止。过去一年多,南美地区,中东地区,东北亚地区等均发生了不少与地缘政治冲突相关的 APT 攻击。以下是 2019 年“地缘政治”因素引发的 APT 攻击事件汇总:

此外,APT 攻击武器使用的泛化趋势明显。过去一年多,发生了多起中东地区 APT 组织工具和代码泄露事件,这也进一步催生了 APT 攻击武器的使用泛化、网络军火的民用化。

6、勒索攻击越来越趋于“APT”化,逐渐瞄准大型且有实力的价值型目标。

过去一年多,勒索攻击已由 2014 年开始的广泛无目的的传播阶段以及 2017 年 WannaCry 开启的大规模自动化传播阶段逐步进化到以人为核心的“APT化”攻击阶段。

勒索攻击瞄准的目标也不再限于中小企业,而是更有实力支付赎金的大型企业目标。甚至即使未得到赎金,攻击者也会尝试通过泄露受害者的机密文件进行二次敲诈。

同时,RaaS 模式下的勒索软件也开始广泛和僵尸网络以及 APT 攻击结合。Emotet、TrickBot、Dridex 纷纷成为勒索软件的传播前站,TA505、FIN6 等组织利用勒索软件攻击了多个重要目标。

我们预计,未来勒索攻击会进一步往“专,精”方向发展。“专”是指大规模勒索攻击可能很难再现或是昙花一现,攻击者会更多从攻击成本和回报率的角度考虑攻击目标的选择;“精”是指攻击者在选中攻击目标后可能会定制特种勒索软件来提高攻击成功率。

7、网络攻防安全演习和靶场建设如火如荼,人才培养和攻防环境建设备受重视。

网络空间安全的本质是对抗。随着网络攻击者的技术实力不断提高,网络攻击面不断扩大,爆发出来的攻击事件也在不断增加,用户不断涌现出对网络攻防对抗的建设需求。常见解决方案是加强人才培养力度,完善攻防支撑基础条件建设,举办红蓝双方攻防安全演习和建设具备行业特色的网络安全靶场。

过去一年多,政企客户更加注重网络攻防靶场建设,借此提升从业人员的网络安全知识和技术能力,实现网络空间对抗能力的跃升。

8、IoT 僵尸网络持续泛滥,我国是 IoT 僵尸网络最大受害国。

2019 年是物联网概念提出的第二十个年头,物联网已深入影响到农业,医疗行业,工业等各行各业。而伴随着物联网的迅猛发展,其安全问题也日益受到关注。大量暴露在互联网上的摄像头,路由器设备成为黑客垂涎的养马场。

据 VenusEye 威胁情报中心数据,过去一年多,在各类受僵尸网络控制的 IoT 设备中,我国仍然数量最多,并且较第二名拉开了显著差距。

我国境内 IoT 僵尸主机分布最多的五个地区分别为河南、山东,辽宁,江苏和浙江。

9、“新冠病毒疫情”成最热门话题,黑客发动全方位攻击。

2020 年年初爆发的“新冠病毒疫情”已经蔓延到全世界几乎每一个角落,严重影响全球经济社会发展。一些黑客趁此机会利用热点信息发起攻击,疫情的不确定性和人们的恐惧性心理给攻击者创造了千载难逢的好机会。

过去几个月,我们观察到多种利用新冠疫情开展的网络攻击活动。白象、海莲花、蔓灵花、TA505、Lazarus 等活跃的 APT 组织以“冠状病毒预防”、“疫情情况上报”等为诱饵发起钓鱼攻击。

各种网络黑产团伙也蠢蠢欲动,通过“改造”已有木马进行攻击活动。

10、攻防本质是人与人之间的对抗,网络安全逐渐回归以人为中心的本源

2020年 RSA 会议的主题是“Human Element”。、网络安全的核心回归到以人为中心的本源,而不再是片面强调“新奇酷炫”的技术或产品。可以从以下三个角度理解这个问题:

(1)攻防本质是人与人之间的对抗。

从攻的角度看,越来越多的攻击都加入了“人”这个关键因素。如今越来越多的攻击向着“APT”化发展,攻击者利用社会工程学手段提前对攻击目标进行“踩点”,继而有针对性地制定攻击策略,按照目标特点制作并投递攻击载荷,攻击过程中根据目标环境一步一步进行横向移动,最终到达核心主机资产并达成目标。“以人为核心”的攻击路径往往较其他攻击周期更长,短则几天,多则几个月甚至几年。

从防的角度看,人始终是网络安全防护体系中的薄弱点。以鱼叉式网络攻击为例,虽然这种攻击方式很古老且屡见不鲜,但却能一再取得较好的攻击效果,这都是由于人在其中起到的作用导致,攻击者正是利用了人性的特点才能屡屡得手。

(2)人是网络安全产品的使用者,人机结合是当前解决产品有效性问题的关键。

与一般的互联网应用服务相比,网络安全产品的专业性更强。要想真正使用好网络安全产品绝不是一纸说明书就能搞定的,一个攻击报警代表什么含义,是真实失陷还是虚晃一枪抑或是攻击前奏,都需要经验丰富的人员使用不同的安全产品相互印证,同时结合溯源取证技术综合判断才能得出答案。

(3)在网络安全实践中,人的知识与经验非常宝贵。

网络安全的本质是攻防对抗,是人与人之间的智力对抗。在实践中所积累总结的知识与经验是非常宝贵的,不是某个网络安全防护产品或技术所能取代的。人工智能技术与网络安全产品的结合虽然在提高自动化程度、提升检测能力等方面展现出一定的优势。但是在安全事件分析的全面性与深度上仍然有很大不足,主要作为安全分析人员的辅助,提供一些分析的切入点与线索。

 

 报告最后提到

2010 年的“震网”攻击事件为我们揭开了 APT 攻击的面纱;2013 年的“棱镜门”事件让我们看到了庞大黑客团体背后的国家级力量;2014 年数字货币的快速兴起和勒索攻击的泛滥给黑客敛财提供了新的匿名方式;2015 年发生的供应链攻击事件让我们看到了身边防不胜防的危险;2016 年 Mirai 源代码的公布开启了 IoT 设备的噩梦;2017 年的“永恒之蓝”事件让我们深刻领悟到了网络核武器的威力,随后 WannaCry、NotPetya 勒索软件与网络武器的结合再一次重现了类似十多年前冲击波、震荡波、熊猫烧香的网络暴力,几乎同年开始兴起的挖矿攻击成为继勒索之后黑客又一“闷声发大财”的渠道;2018 年件件触目惊心的数据泄露事件为数据安全敲响了警钟,同年曝光的 Spectre 和 Meltdown CPU 芯片漏洞直接动摇了互联网基础设施的根基;2019 年实战化攻防时代开始,地下黑色产业链愈加成熟,勒索攻击进入“APT”时代,IoT 僵尸网络泛滥……

在前所未有的挑战和机遇面前,启明星辰愿与业界同仁共同努力,推动网络安全产业发展,加强网络安全自主核心技术能力建设,为提升我国网络安全保障能力不断贡献力量,为网络安全的下一个黄金十年继续奋斗。

上一个十年,地下黑色产业链逐步形成,网络军火扩散,高级持续性攻击泛滥,攻击者的技战术体系正在发生明显的变化。同时我们也看到,网络安全在这十年间上升到了前所未有的战略高度。

当前,我们正面临着来自网络空间各种前所未有的挑战,我国是遭受网络攻击最严重的国家之一,我们和先进发达国家的网络安全技术水平差距仍然较大,大量的核心技术仍然受制于人,网络安全相关法律的落地和执行还需要进一步强化……

虽是挑战但同时也是机遇,网络安全如今已上升为国家战略,网络安全产业已成为网络强国安全领域建设的重要基础。《网络安全法》的实施将进一步推动我国网络安全政企市场容量和规模的进一步扩大。新冠疫情危机催生出的数字经济、“新基建”会给网络安全带来不小的发展机遇……

在前所未有的挑战和机遇面前,启明星辰愿与业界同仁共同努力,推动网络安全产业发展,加强网络安全自主核心技术能力建设,为提升我国网络安全保障能力不断贡献力量,为网络安全的下一个黄金十年继续奋斗。

戳链或【点击阅读原文】查看完整报告:

https://www.venustech.com.cn/uploads/2020/08/170947121504.pdf


推荐阅读

  • 什么?一个核同时执行两个线程?

  • 征战云时代,为什么安全是关键命题?

  • 25 张图读懂「文件系统」

  • 数据平台、大数据平台、数据中台……傻傻分不清?这次终于有人讲明白了!

  • Java 二十五载,正在 Kotlin 化!

  • 维度爆炸?Python实现数据压缩如此简单

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/516807.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Canal 1.1.5 启动报错:caching_sha2_password Auth failed

文章目录1. 现象2. 分析定位3. 解决方案效果图1. 现象 java.io.IOException: caching_sha2_password Auth failedat com.alibaba.otter.canal.parse.driver.mysql.MysqlConnector.negotiate(MysqlConnector.java:260) ~[canal.parse.driver-1.1.5.jar:na]at com.alibaba.otter.…

MaxCompute2.0 助力众安保险快速成长

摘要:2017云栖大会阿里云大数据计算服务(MaxCompute)专场,众安保险数据总监王超群带来MaxCompute助力众安保险方面的演讲。本文主要从MaxCompute优势开始谈起,进而谈及大数据能够为公司运营带来的好处,最后…

Elasticsearch7.15.2 mysql8.0.26 logstash-input-jdbc 数据全量索引构建

文章目录一、基础软件安装1. 安装mysql2. Elasticsearch7.15.2 安装部署3. kibana 安装部署4. logstash-input-jdbc 安装部署二、数据库准备2.1. 创建数据库2.2. 表结构初始化2.3. 数据初始化三、logstash 配置mysql3.1. 创建目录3.2. 上传mysql驱动3.3. 创建jdbc.conf3.4. 创建…

优酷背后的大数据秘密:资源弹性,可支撑EB级存储

在本文中优酷数据中台的数据技术专家门德亮分享了优酷从Hadoop迁移到阿里云MaxCompute后对业务及平台的价值。 本文内容根据演讲视频以及PPT整理而成。 大家好,我是门德亮,现在在优酷数据中台做数据相关的事情。很荣幸,我正好见证了优酷从没…

Python 本身真的有用吗?CSDN要对Python下手了!

Python 作为一种解释型技术脚本语言,越来越被认可为程序员新时代的风口语言。 无论是刚入门的程序员,还是年薪百万的 BATJ 的技术大牛都无可否认:Python的应用能力是成为一名码农大神的必要项。 而作为Python初学者来讲,最大的问题…

揭秘高德地图如何利用MaxCompute管理海量数据

摘要:随着自媒体的发展,传统媒体面临着巨大的压力和挑战,新华智云运用大数据和人工智能技术,致力于为媒体行业赋能。通过媒体大数据开放平台,将媒体行业全网数据汇总起来,借助平台数据处理能力和算法能力&a…

Elasticsearch7.15.2 mysql8.0.26 logstash-input-jdbc 数据增量索引构建

文章目录一、基础软件安装1. 安装mysql2. Elasticsearch7.15.2 安装部署3. kibana 安装部署4. logstash-input-jdbc 安装部署二、数据库准备2.1. 创建数据库2.2. 表结构初始化2.3. 数据初始化三、logstash 配置mysql3.1. 创建目录3.2. 上传mysql驱动3.3. 创建jdbc.conf3.4. 创建…

为什么说下一个十年的主战场在Serverless?

作者 | 不瞋,阿里云 Serverless 负责人"唯有超越,才能让我们走下去。"这是不瞋在阿里的第十年。从2010 年加入阿里云,不瞋参与了阿里云飞天分布式系统的研发,历任批量计算的架构师、表格存储(NoSQL&#xff…

解密淘宝推荐实战,打造 “比你还懂你” 的个性化APP

如今,推荐系统已经成为各大电商平台的重要流量入口,谁才能够做到比用户更懂用户,谁占据了新零售时代的主动权。手机淘宝的推荐更是淘宝最大的流量入口和最大的成交渠道之一,其背后是最为复杂的业务形态和最复杂的场景技术&#xf…

Elasticsearch7.15.2 基础概念和基础语法

文章目录一、基础概念1. ES是什么?2. 名词定义3. 对应关系4. 索引5. 分词二、基础概念2.1. 索引创建2.2. 索引/文档删除2.3. 索引修改三、ES 查询3.1. 简单查询3.2. 分页查询3.3. 复杂查询四、利用analyze api搜索4.1. 索引创建4.2. 索引查询4.3. 分词结果4.4. 索引…

技术重塑未来工作方式

作者: Nutanix亚太及日本地区高级副总裁兼销售负责人 Matt Young 新冠肺炎被宣布为“大流行病”之后,几乎在一夜之间,业务连续性的概念发生了根本性变化。在此之前,业务连续性通常指的是企业在某一办公地点遭遇像洪灾等恶劣天气或…

Elasticsearch7.15.2 ik中文分词器 定制化分词器之扩展词库(本地)

背景: IK分词提供的两个分词器,并不支持一些新的词汇,有时候也不能满足实际业务需要,这时候,我们可以定义自定义词库来完成目标。 目标: 定制化中文分词器,使得我们的中文分词器支持扩展的词汇 …

多点在线构建Noxmobi全球化精准营销系统

摘要:大数据计算服务(MaxCompute,原名ODPS)是一种快速、完全托管的TB/PB级数据仓库解决方案。MaxCompute向用户提供了完善的数据导入方案以及多种经典的分布式计算模型,能够更快速的解决用户海量数据计算问题,有效降低企业成本&am…

Elasticsearch7.15.2 ik中文分词器 定制化分词器之扩展词库(远程)

IK分词提供的两个分词器,并不支持一些新的词汇,有时候也不能满足实际业务需要,这时候,我们可以定义自定义词库来完成目标。 文章目录一、静态web搭建1. 安装nginx2. 创建es目录3. 创建分词文件4. 存放静态5. 验证二、配置远程分词…

万博智云上云 单机软件升级多并发SaaS平台

云栖号案例库:【点击查看更多上云案例】 不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 业务痛点 自2016年开发迁移工具主要面向私有云环境,但是随着公有云用户越来…

学会这10大高性能开发技术,轻松躲过裁员名单!

来源 | 编程技术宇宙责编 | Carol封图 | CSDN 下载自视觉中国程序员经常要面临的一个问题就是:如何提高程序性能?这篇文章,我们循序渐进,从内存、磁盘I/O、网络I/O、CPU、缓存、架构、算法等多层次递进,串联起高性能开…

开放搜索助力提升趣店商城20%转化率

云栖号案例库:【点击查看更多上云案例】 不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 公司介绍 趣店集团,成立于2014年3月,是中国领先的金融科技企业&…

Elasticsearch7.15.2 修改IK分词器源码实现基于MySql8的词库热更新

文章目录一、源码分析1. 默认热更新2. 热更新分析3. 方法分析二、词库热更新2.1. 导入依赖2.2. 数据库2.3. JDBC 配置2.4. 打包配置2.5. 权限策略2.6. 修改 Dictionary2.7. 热更新类2.8. 编译打包2.9. 上传2.10. 修改记录三、服务器操作3.1. 分词插件目录3.2. 解压es3.3. 移动文…

母婴企业上云 实现线上线下互动营销、一体化管理服务

云栖号案例库:【点击查看更多上云案例】 不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 公司介绍 主要从事母婴产品的销售,拥有三家门店,未上云之前采用…

确认! Python再次夺冠,老码农:崩溃!

2020年转眼已过大半,在近一年的编程语言榜单中,Python已经走上卫冕的道路,并且与Java的差距拉得更远了一些。以往与Java常呈现你追我赶之势,而这一次则是直接相差由10%增加到15%!毋庸置疑Python的火,有目共…