网络安全应急响应分析报告(2023).pdf
《网络安全应急响应分析报告(2023).pdf》由会员分享,可在线阅读,更多相关《网络安全应急响应分析报告(2023).pdf(26页珍藏版)》请在咨信网上搜索。
1、 主要观点 2023 年,奇安信集团安服团队共接到应急服务需求 853 起。政府部门、制造业和金融机构的业务专网是 2023 年攻击者攻击的主要目标。严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力,是当前国内绝大多数政企机构的通病。一方面,弱口令、永恒之蓝等基础漏洞仍然普遍存在,高危端口大量暴露;另一方面,仅有 13.6%的政企机构能够通过安全巡检提前发现问题,避免损失,而绝大多数政企机构只能在重大损失发生之后,或被第三方机构通报后才能发现安全问题。2023 年,攻击者攻击目标仍以业务专网为主,然而办公终端问题也不容小觑。与去年相比,服务器受感染台数较去年减少 2535 台
2、,办公终端受感染台数较去年增加12375 台。受影响终端数量的明显增加,预示着不仅是服务器安全问题,日益凸显的终端安全问题也需要引起我们的关注。安全意识问题已经成为制约政企机构安全生产的根本性问题:由内部人员违规操作触发的应急响应事件约占 2023 年 95015 服务平台接报事件总量的五分之一;近三成的应急事件与弱口令有关;员工被黑客钓鱼、私自下载带毒软件、滥用 U 盘导致系统瘫痪、乱开端口感染勒索病毒等由安全意识不足引发的应急事件层出不穷。由此可见,大中型政企机构加大力度提升内部员工网络安全防范意识迫在眉睫。2023 年接收的安全事件中有小部分来自政企机构内部实战攻防演习活动,通过实际的攻
3、击模拟和防御演练,企业可以更好地发现和识别可能存在的安全漏洞,能够尽早发现并修复潜在的威胁,防止实际攻击的发生,减少潜在的损失。摘 要 2023 年,95015 服务平台共接到全国政企机构网络安全应急事件报告 853 起。奇安信安服团队累计投入工时 6654.0 小时处置相关事件,折合 831.8 人天,处置一起应急事件平均用时 7.8 小时。从行业分布来看,2023 年,95015 服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为 158 起;其次是制造业 107 起;金融机构排第三,为 96起。此外,医疗卫生、事业单位、IT 信息技术等行业也是网络安全应急响应事件高发行业。
4、49.0%的政企机构,是在系统已经出现了非常明显的入侵迹象后,拨打的 95015 网络安全服务热线;33.1%的政企机构,是在被攻击者勒索之后进行的报案求助。而真正能够通过安全运营巡检,提前发现问题的仅占比 13.6%。从网络安全事件的影响范围来看,68.3%的事件主要影响业务专网,而主要影响办公网的事件占比 31.7%。从受影响的设备数量来看,失陷服务器为 11745 台,失陷办公终端为 17787 台。业务专网、办公终端是网络攻击者攻击的主要目标。从网络安全事件造成的损失来看,造成生产效率低下的事件 352 起,占比 41.3%;造成数据丢失的事件 198 起,占比 23.2%;造成数据泄
5、露的事件 89 起,占比 10.4%;此外,造成声誉影响的事件 47 起,造成数据被篡改的事件 36 起。内部人员为了方便工作等原因进行违规操作,进而触发应急响应的网络安全事件多达 186 起。这一数量仅次于黑产活动(207 起)、超过了以窃取重要数据(173 起)和敲诈勒索(170 起)等为目的的外部网络攻击事件的数量。以漏洞利用为主要手段的网络攻击最为常见,占比 38.4%;其次是恶意程序,占比29.8%;钓鱼邮件排第三,占比 7.8%。网页篡改、网络监听攻击、Web 应用 CC 攻击等也比较常见。还有约 18.8%的安全事件,并非网络攻击事件。应急事件分析显示,勒索病毒、挖矿木马、网站木
6、马是攻击者使用最多的恶意程序类型,分别占到恶意程序攻击事件的 21.8%、9.7%和 6.0%。此外,蠕虫病毒、DDOS木马、永恒之蓝下载器木马、APT 专用木马等也都是经常出现的恶意程序类型。在应急响应事件处置的勒索软件中,排名第一的是Phobos 勒索软件,全年触发大中型政企机构网络安全应急响应事件 30 次;其次是 LockBit 勒索软件 15 次,Makop 勒索软件 15 次。这些流行的勒索病毒,十分值得警惕。弱口令是攻击者在 2023 年利用最多的网络安全漏洞,相关应急事件多达 231 起,占比 27.1%。其次是永恒之蓝漏洞,相关利用事件为 162 起,占比 19.0%。关键词
7、:关键词:95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用 目 录 第一章第一章 网络安全应急响应形势综述网络安全应急响应形势综述.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业分布.2 二、事件发现.2 三、影响范围.3 四、事件损失.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图.5 二、攻击手段.6 三、恶意程序.6 四、漏洞利用.7 第四章第四章 应急响应典型案例分析应急响应典型案例分析.9 一、某企业数据库遭 Mallox 病毒勒索.9 二、某单位官网存在安全漏洞被挂黑链.10 三、某地运营商用户路由
8、器被插件劫持.11 四、某企业感染 WatchDogs 挖矿病毒.12 五、某企业使用盗版激活工具感染蠕虫.13 六、某单位装驱动服务器感染 U 盘病毒.14 七、某单位财务主管遭微信钓鱼被远控.16 八、某企业域名管理权限在暗网被倒卖.17 附录附录 1 950151 95015 网络安全服务热线网络安全服务热线.19 附录附录 2 2 奇安信集团安奇安信集团安服团队服团队.20 附录附录 3 3 网络安全应急响应图书推荐网络安全应急响应图书推荐.21 奇安信集团 第 1 页,共 22 页 第一章 网络安全应急响应形势综述 2023 年 112 月,95015 服务平台共接到全国范围内网络安
9、全应急响应事件报告 853起,奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。综合统计数据显示,在全年 853 起网络安全应急响应事件的处置中,奇安信安服团队累计投入工时为 6654.0 小时,折合 831.8 人天,处置一起应急事件平均用时 7.8 小时。其中,1 月份,因春节假期期间,应急响应处理量略有减少;8 月,因全国多地举行网络安全实战攻防演习活动,应急响应处理量大幅增加。奇安信集团 第 2 页,共 22 页 第二章 应急响应事件受害者分析 本章将从网络安全应急响应事件受害者的视角出发,从行业分布、事件发现方式、影响范
10、围、以及攻击行为造成的影响等几个方面,对 95015 服务平台全年接报的 853 起网络安全应急响应事件展开分析。一、行业分布 从行业分布来看,2023 年,95015 服务平台接报的网络安全应急响应事件中,政府部门报告的事件最多,为 158 起,占比 18.5%;其次是制造业,为 107 起,占比 12.5%;金融机构排第三,为 96 起,占比 11.3%。此外,医疗卫生、事业单位、IT 信息技术等行业也是网络安全应急响应事件高发行业。下图给出了不同行业网络安全应急响应事件报案数量的 TOP10 排行。二、事件发现 从安全事件的发现方式来看,49.0%的政企机构,是在系统已经出现了非常明显的
11、入侵迹象后,拨打的 95015 网络安全服务热线;33.1%的政企机构,是在被攻击者勒索之后进行的报案求助。这二者之和为 82.1%。也就是说,超过八成的大中型政企机构是在系统已经遭到了巨大损失,甚至是不可逆的破坏后,才向专业机构进行求助。而真正能够通过安全运营巡检,在损失发生之前及时发现问题并呼救,避免损失发生的政企机构,占比就仅为 13.6%。此外,还有约 4.3%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营,也严重缺乏必要的威 奇安信集团 第 3 页,共 22 页 胁情报能力支撑,致使自己的主管单位或监管机构总是先于自己
12、,发现自身的安全问题或被攻击的现象。其中,某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹,随时都有可能爆发。三、影响范围 网络安全事件往往会对 IT 及业务系统产生重大的影响。在 2023 年 95015 服务平台接报处置的网络安全应急响应事件中,68.3%的事件主要影响的是业务专网,而主要影响办公网的事件占比 31.7%。从受网络安全事件影响的设备数量来看,失陷服务器为11745 台,失陷办公终端为 17787 台。2023 年大中型政企机构遭受网络攻击事件的影响范围如下图所示。奇安信集团 第 4 页,共 22 页 在本报告中,办公网是指企业员工使用
13、的台式机、笔记本电脑、打印机等设备组成基本办公网络,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、办公终端是网络攻击者攻击的主要目标。大中型政企机构在对业务专网进行安全防护建设的同时,还应提高内部人员安全防范意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、事件损失 网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示,在 95015 服务平台全年接报的 853 起报案中,有 352 起事件,造成了相关机构的生产效率低下,占比 41.3%,是排名第一的损失类型;其次是造
14、成数据丢失的事件有 198 起,占比 23.2%,排名第二;造成数据泄露的事件 89 起,占比 10.4%,排名第三;此外,造成政企机构声誉影响的事件 47 起,造成数据被篡改的事件 36 起,造成其他损失的事件 131 起。特别说明,在上述统计中,同一事件只计算一次,我们只统计每起事件造成的最主要的损失类型。造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器 CPU 占用率过高,造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。造成数据丢失的原因是多方面的,其中,因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。
15、奇安信集团 第 5 页,共 22 页 第三章 应急响应事件攻击者分析 本章将从网络安全应急响应事件攻击者的视角出发,从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面,对 95015 服务平台全年接报的 853 起网络安全应急响应事件展开分析。一、攻击意图 攻击者是出于何种目的发起的网络攻击呢?应急人员在对网络安全事件进行溯源分析过程中发现,2023 年,内部人员为了方便工作等原因进行违规操作,进而导致系统出现故障或被入侵,触发应急响应的网络安全事件多达 186 起。这一数量仅次于黑产活动(207 起)、超过了窃取重要数据(173 起)和敲诈勒索(170 起)等为目的的外部网络攻击事件的数量。
16、在这里,黑产活动以境内团伙为主,主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。在 186 起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。以窃取重要数据为目的的攻击,一般分为两种:一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,如个人信息、账号密码等;另一种则是商业间谍活动或APT 活动。从实际情况来看,第一种情况更为普遍,第二种情况偶尔会发生。敲诈勒索,主要是指攻击者利用勒索软件攻击政企机构的终端和服务器,进而实施勒索。此类攻击几乎全部是由境外攻击者发起,打击难度极大。奇安信集团 第 6 页,
17、共 22 页 二、攻击手段 不同的安全事件,攻击者所使用的攻击手段也有所不同。对 2023 年全年的网络安全应急响应事件分析发现,以漏洞利用为主要手段的网络攻击最为常见,占比 38.4%;其次是恶意程序,占比 29.8%;钓鱼邮件排第三,占比 7.8%。此外,网页篡改、网络监听攻击、Web 应用 CC 攻击、拒绝服务攻击等也比较常见。还有约 18.8%的安全事件,最终被判定为非攻击事件。也就是说,由于企业内部违规操作,意外事件等原因,即便没有导致系统被入侵,但也同样触发了网络安全应急响应的事件也不在少数,值得警惕。三、恶意程序 应急事件分析显示:勒索病毒、挖矿木马、网站木马是攻击者使用最多的恶
18、意程序类型,分别占到恶意程序攻击事件的 21.8%、9.7%和 6.0%。此外,蠕虫病毒、DDOS 木马、永恒之蓝下载器木马、APT 专用木马等也都是经常出现的恶意程序类型。还有 10.6%恶意程序攻击事件与比较常见的,针对普通网民的互联网流行木马有关。奇安信集团 第 7 页,共 22 页 表 1 给出了 2023 年 95015 服务平台接报的网络安全应急响应事件中,出现频率最高的勒索软件排行榜 TOP10。可以看到,排名第一的是Phobos 勒索软件,全年触发大中型政企机构网络安全应急响应事件 30 次;其次是LockBit勒索软件 15 次,Makop 勒索软件15 次。这些流行的勒索病
19、毒,十分值得警惕。表 1 遭受攻击勒索软件类型 TOP10 勒索软件名称勒索软件名称 应急次数应急次数 Phobos 勒索软件 30 LockBit 勒索软件 15 Makop 勒索软件 15 Tellyouthepass 勒索软件 14 Mallox 勒索软件 12 Wannacry 勒索软件 8 BeijingCrypt 勒索软件 6 Babuk 勒索软件 3 Devos 勒索软件 3 GLobeImposter 勒索软件 3 四、漏洞利用 应急事件分析显示:弱口令是攻击者在 2023 年最为经常利用的网络安全漏洞,相关网络安全应急响应事件多达231起,占95015平台全年应急响应事件接报
20、总数的27.1%。其次是永恒之蓝漏洞,相关利用事件为 162 起,占比 19.0%。相比之下,其他单个类型的漏洞利用占比都要小很多,排名第三的钓鱼邮件仅有 49 起,占比 5.7%。奇安信集团 第 8 页,共 22 页 弱口令的大行其道,完全是安全意识淡薄、安全管理松懈的体现。而永恒之蓝漏洞自 2017 年 WannaCry 病毒爆发后,已经成为广为人知,必须修补的安全漏洞。时至今日仍然有大量的政企机构倒在永恒之蓝的枪口之下,说明这些政企机构严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力。预计在未来相当长的时间里,弱口令和永恒之蓝漏洞仍将是国内政企机构亟待解决的、基础性的网
21、络安全问题。奇安信集团 第 9 页,共 22 页 第四章 应急响应典型案例分析 2023 年,95015 网络安全服务热线共接到全国各地网络安全应急响应求助 853 起,涉及全国 31 个省市(自治区、直辖市)、2 个特别行政区,覆盖政府部门、制造业、金融机构、医疗卫生、事业单位等 20 余个行业。本章将结合 2023 年的网络安全应急响应实践,介绍 8 起典型案例,希望能够为政企机构网络安全建设与运营提供有价值的参考。一、某企业数据库遭 Mallox 病毒勒索(一)事件概述 2023 年 1 月,奇安信安服应急响应团队接到某企业应急求助,该企业服务器被勒索,文件被加密,希望溯源入侵途径。应急
22、人员到达现场后,对受害数据库服务器(x.x.x.31)进行排查以及结合勒索信和加密后缀,确认该企业服务器感染 Mallox 勒索病毒,暂时无法解密。对受害数据库服务器(x.x.x.31)应用日志以及现场安全防护软件云端日志进行排查后发现,外网攻击者(92.63.196.x)对数据库服务器(x.x.x.31)有大量暴力破解行为,并成功入侵服务器(x.x.x.31)下载安装远程桌面工具 Anydesk,上传黑客工具 hrsword_v5.0.1.1.exe,关闭安全防护软件。应急人员对外网攻击者(92.63.196.x)进行威胁情报查询,显示该 IP 为恶意 C2 服务器,其常用手段为扫描暴破 1
23、433 端口。应急人员与该企业员工沟通了解,为方便业务运营,数据库服务器(x.x.x.31)的 1433 端口对公网开放。随后,应急人员对服务器(x.x.x.31)最近访问文件和可疑程序进行排查发现,存在大量暴破字典,以及暴力破解工具 NLBrute1.2.exe。至此,应急人员推断,由于服务器(x.x.x.31)对外开放 1433 端口,且该服务器账号存在弱口令,被攻击者利用,成功获取该服务器(x.x.x.31)权限,随后以服务器(x.x.x.31)为跳板,对内网其他主机进行暴破,成功后投放 Mallox 勒索病毒,加密主机文件。奇安信集团 第 10 页,共 22 页(二)防护建议 1)系统
24、、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2)配置必要的防火墙并开启防火墙策略,防止暴露不必要的服务为黑客提供利用条件;3)建议部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;4)有效加强访问控制 ACL 策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员 IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等管理端口。二、某
25、单位官网存在安全漏洞被挂黑链(一)事件概述 2023 年 2 月,奇安信应急团队接到某单位应急求助,该单位接到补天漏洞响应平台通报,官网被攻击者挂黑链接,希望对此事件进行分析排查并溯源入侵途径。应急人员到达现场,通过验证确认该单位官网确实存在被挂黑链的情况。随后对被挂黑链服务器(x.x.x.117)的 Web 日志进行排查发现,存在上传 Webshell 后门文件 123123123.aspx以及大量访问该后门文件的记录,通过文件查找成功在 templates 目录下定位到该文件 123123123.aspx。应急人员对上传点 https:/ 进行测试发现,该位置存在任意文件上传漏洞。查看服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 应急 响应 分析 报告 2023
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。