绿盟 2021安全事件响应观察报告

2021 安全事件响应观察报告 b u R al nu An sO bs erva tions 2021 ep ort on Cybersecurity Inci den tO ns atio erv bs n rt o po e lR h t i g 202 1A nn ua c . 5 m o n tio rva Cybe rsecurity Incident Obse 2021 安全事件响应观察报告关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 b u c . 5 h t i g 版权声明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。 2 m o CONTENTS 01 网络安全形势分析 001 02 网络攻击行业特征明显 2.1 关键信息基础设施是网络攻击重要目标 2.2 金融行业事件连续 4 年占比第一 2.3 勒索挖矿持续威胁运营商行业 2.4 政府客户需防范网站入侵和网页篡改威胁 03 c . 5 b u “实战化”是攻防大势所趋 h t i g 3.1 实战化攻防演练对抗卓有成效 3.2 利益驱使下企业数据泄露风险大幅增加 3.3 钓鱼仍然是主流的渗透手段 3.4 勒索威胁升级 3.5 在挖矿木马攻击中“突围” 04 新兴技术带来新的安全挑战 4.1 云相关安全事件逐年增长 4.2 日益严峻的供应链安全形式 4.3 人脸识别绕过带来金融风险 4.4 车联网安全和其中的数据安全风险 005 006 m o 006 008 009 010 011 014 019 024 031 034 035 039 042 044 05 安全漏洞变化趋势 046 5.1 安全漏洞趋势分析 047 5.2 重要安全漏洞盘点 052 5.3 法律法规落地规范漏洞管理 055 06 安全事件专题 057 6.1 钓鱼邮件专题 058 6.2 黑链案例专题 061 6.3 挖矿事件案例 6.4 REvil 勒索案例 6.5 仿冒网站诈骗事件 07 安全建议 067 071 b u h t i g 附录一 GBT20986-2007 信息安全事件分类分级指南 c . 5 063 附录二绿盟科技事件分类方法 076 079 080 m o 01 b u c . 5 h t 网络安全形势分析 i g m o 2021 安全事件响应观察报告【报告概述】绿盟科技 2021 年新增应急响应事件 438 起，总数比去年增加了 20 %。第一季度安全事件数量趋于正常水平；4 月份比 3 月份的事件数量增加了 286%；5 月份开始，事件数量恢复到正常水平，整体呈现平缓趋势。 2021 年网络空间安全形势复杂多变，大规模、针对性的网络攻击行为持续增长，关键信息基础设施仍为重灾区，数据泄露事件、产业供应链攻击事件频发。从攻击者的角度分析，网络攻击的“实战化趋势”更加突出，在利益的驱动下，数据窃取、勒索、挖矿等黑产活动持续肆虐，钓鱼攻击成为网络入侵的利器。大数据、物联网、人工智能、移动支付等新兴技术助力数字化业务转型升级的同时，也暴露出全新的安全风险。 c . 5 m o b u h t i g 图 1.1　近三年事件发生趋势绿盟科技在《GBT20986-2007 信息安全事件分类分级指南》的指导下，制定了信息安全事件分类方法。对处理的安全事件进行国标分类和详细分类统计。事件分布如下图： 002 网络安全形势分析图 1.2　国标事件类型分布 c . 5 m o 本年度事件按照细分子类型排序，TOP5 为钓鱼攻击事件、后门事件、勒索软件、虚拟挖矿和木马程序。 b u h t i g 图 1.3　事件类型分布图 003 2021 安全事件响应观察报告绿盟科技 IRT 团队 2021 年处理的应急响应事件遍布全国，覆盖了全国 32 个省级行政区。其中发生在北京、广东、上海的事件最多。 c . 5 m o b u h t i g 【适用性】图 1.4　事件发生地区分布图此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。【局限性】此报告基于绿盟科技应急响应服务数据，具有一定局限性。【特别声明】本次报告中涉及的所有数据，均来源于绿盟科技的自有产品和合作伙伴的产品，所有数据在进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息，也均不会出现在报告中。 004 02 b u c . 5 m o h t 网络攻击行业特征明显 i g 2021 安全事件响应观察报告 2.1　关键信息基础设施是网络攻击重要目标根据 2021 年的安全事件记录，关键基础设施涉及的行业仍是网络攻击的重要目标，相关安全事件占比为 74%。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等国家发展及民生相联系的关键信息基础设施相关行业，仍然持续、广泛的受到黑客攻击。关键信息基础设施承载或支撑着重要行业和领域的关键业务，并成为各行各业运行体系所依赖的关键节点，是网络安全的重中之重。任何形式的攻击行为都是对维护国家网络安全、网络空间主权、保障社会平稳有序发展、维护人民公共利益的损害。 c . 5 m o b u h t i g 图 2.1　关键基础设施行业事件分布图 2.2　金融行业事件连续 4 年占比第一金融行业作为现代经济的核心领域，推动着我国实体经济的发展，信息化发展程度比较高。但由于金融行业自身体系庞大、业务类型繁杂，交易量大且并发性高，自身复杂度高，容易存在系统、流程上的安全纰漏，这给了以经济利益为目的的黑客可乘之机，金融行业也成为安全事件高发区域。2021 年绿盟科技共处理 108 件金融行业事件，占比为 25%，较过去三年的数据 2018（40%）、2019（30%）、2020（35%）有了显著的下降，但是仍然在全行业事件占比第一。 006 网络攻击行业特征明显 c . 5 图 2.2　金融行业事件四年占比 m o 在金融行业事件中，银行子行业的安全事件占比最高，达到 44%。其次是监管与行业机构、 b u 证券、基金、保险等。 h t i g 图 2.3　金融安全事件子行业分布金融行业在攻防演练产生的应急事件较多，相关事件占比 30%。行业真实攻击的事件共 73 起，占行业事件的 70%。真实事件中钓鱼攻击、蠕虫病毒和后门事件占比最高。钓鱼事件中多为仿冒金融机构网站、APP 对机构用户展开精准钓鱼和电信诈骗。 007 2021 安全事件响应观察报告 c . 5 图 2.4　金融行业事件类型分布（除攻防演练） 2.3　勒索挖矿持续威胁运营商行业 m o b u 运营商支撑着基础电信网络、重要互联网基础设施等电信行业网络设施，本身既是关键信息基础设施，同时又为其他行业的关键信息基础设施提供网络通信和信息服务。一旦遭到 h t i g 网络攻击和破坏，将会带来严重的影响。 2021 年运营商安全事件统计中，攻防演练事件占比 56%。其中钓鱼攻击是主要入侵手段，事件占比 62%。其次是后门事件、木马程序和漏洞攻击。图 2.5　运营商行业事件类型分布（攻防演练）行业真实攻击的事件占行业事件的 44%。真实事件中勒索软件、虚拟挖矿、后门事件占比最高。 008 网络攻击行业特征明显图 2.6　运营商行业事件类型分布（除攻防演练） c . 5 2.4　政府客户需防范网站入侵和网页篡改威胁 m o 政务系统的信息化令海量的业务数据、公民数据甚至大量政府部门非公开信息 , 以及核心 b u 涉密内容在政府信息系统和网络之间传输、在服务器与终端存储。因此，政府机构的网络对于世界范围内的情报部门和网络中恶意行动者有很强的吸引力。 h t i g 在 2021 年绿盟科技处理的政府行业安全事件中，以虚拟挖矿（21%）、后门事件（19%）、网页篡改（9%）、勒索软件（9%）四类安全事件占比最多。相较往年增加了新的攻击手段，如针对性攻击、漏洞攻击等。图 2.7　政府发生安全事件类型统计图 009 03 b u c . 5 m o h t “实战化”是攻防大势所趋 i g “实战化”是攻防大势所趋 3.1　实战化攻防演练对抗卓有成效随着网络攻击愈发猖獗，近四年来应急事件数量保持持续增长。随着全场景、实战化、对抗化的攻防演练的举办从低频到常态的转变的持续进行，攻防演练事件应急总数占全年应急总数的比重逐年连续上升。实战化攻防演练将一些潜藏的安全风险提前暴露出来并得到及时处置。 c . 5 m o b u 图 3.1　攻防演练事件与全年应急事件占比趋势 h t i g 3.1.1　0day 漏洞利用在攻防中持续增加从攻击类型的角度来看，由于各行业人员安全意识的提升以及攻防演练规模的不断扩大，在攻防演练中的应急响应中体现出基础漏洞和已公开漏洞的利用数量有所下降， 0day、1day 漏洞的利用则不断提升，漏洞利用门槛与攻击成本不断升高，同时对网络安全行业人员整体素质也有了更高的要求，也进一步提高了应急响应的取证分析难度。图 3.2　2021 年捕获到的在野 0Day 漏洞利用 011 2021 安全事件响应观察报告 3.1.2　参演单位木马潜伏时间远低于其他企业从应对攻击的角度来看，参与过攻防演练的相关企业在对抗中，其外部资产收敛、漏洞修补效率、人员安全意识，应急处置效率等方面要明显强于未参加过攻防演练的企业。以木马潜伏时间为例，在攻防演练进行时，平