倒打一耙?报告显示 2019 年境外攻击半数来自美国,这 225 页报告告诉你美国究竟做了什么
近日,国家互联网应急中心(CNCERT)发布了《 2019 年中国互联网网络安全报告》(以下简称《报告》)。
《报告》显示 2019 年我国共捕获计算机恶意程序样本数量超过 6200 万个,日均传播次数达 824 万余次,涉及计算机恶意程序家族 66 万余个。
按照传播来源统计,位于境外的主要来自美国、俄罗斯和加拿大等国家和地区。其中,美国占 53.5%,位于总量的半数以上。俄罗斯和加拿大分别为 2.9% 和 2.6%。
按照目标 IP 地址统计,我国境内受计算机恶意程序攻击的 IP 地址约 6762 万个,约占我国 IP 地址总数的 18.3%,主要集中在山东省、江苏省、浙江省等地区,分别占 8.8%、8.4%、8.1%。
值得注意的是,2019 年,我国境内感染计算机恶意程序的主机数量为 581.88 万台,同比下降 11.3%。位于境外的约 5.6 万个计算机恶意程序控制服务器控制了我国境内约 552 万台主机,就控制服务器所属国家和地区来看,位于美国、日本和中国香港地区的控制服务器数量分列前 3 位。
如果您想获得本报告的全文 pdf,请在雷锋网微信公众号回复关键词“ 818 报告”提取。
文档来源:国家互联网安全中心
一、2019 年网络安全状况综述
2019 年,在我国相关部门持续开展的网络安全威胁治理下, 分布式拒绝服务攻击(以下简称 DDoS 攻击)、高级持续性威胁攻击(以下简称 APT 攻击)、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰色产业链(以下简称黑灰产)、工业控制系统安全威胁总体下降,但呈现出许多新的特点,带来新的风险与挑战。
(一)党政机关、关键信息基础设施等重要单位防护能力显著增强,但 DDoS 攻击呈现高发频发态势,攻击组织性和目的性更加凸显
1、可被利用实施 DDoS 攻击的我国境内攻击资源稳定性持续降低,数量逐年递减,攻击资源迁往境外,处置难度提高
与 2018 年相比, 我国境内控制端、反射服务器等资源按月变化速度加快、消亡率明显上升、新增率降低、可被利用的资源活跃时间和数量明显减少——每月可被利用的我国境内活跃控制端 IP 地址数量同比减少 15.0%、活跃反射服务器同比减少 34.0%。在治理行动的持续高压下,DDoS 攻击资源大量向境外迁移,DDoS 攻击的控制端数量和来自境外的反射攻击流量的占比均超过 90.0%。攻击我国目标的大规模 DDoS 攻击事件中,来自境外的流量占比超过 50.0%。
2、针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显,同时重要单位的防护能力也显著加强
2019 年,我国党政机关、关键信息基础设施运营单位的信息系统频繁遭受 DDoS 攻击,大部分单位通过部署防护设备或购买云防护服务等措施加强自身防护能力。CNCERT/CC 跟踪发现的某黑客组织 2019 年对我国 300 余个政府网站发起了 1000 余次 DDoS 攻击,在初期其攻击可导致 80.0% 以上的攻击目标网站正常服务受到不同程度影响,但后期其攻击已无法对攻击目标网站带来实质伤害,说明被攻击单位的防护能力已得到大幅提升。
3、DDoS 攻击依然呈现高发频发态势,仍有大量物联网设备被入侵控制后用于发动 DDoS 攻击
我国发生攻击流量峰值超过 10Gbit/s 的大流量攻击事件日均约 220 起,同比增加 40.0% 。由于我国加大对 Mirai、Gafgyt 等物联网僵尸网络控制端的治理力度,2019 年物联网僵尸网络控制端消亡速度加快、活跃时间普遍较短,难以形成较大的控制规模,Mirai、Gafgyt 等恶意程序控制端 IP 地址日均活跃数量呈现下降态势, 单个 IP 地址活跃时间在 3 天以下的占比超过 60.0%,因此,物联网设备参与 DDoS 攻击活跃度在 2019 年后期也呈下降走势。尽管如此,在监测发现的僵尸网络控制端中,物联网僵尸网络控制端数量占比仍超过 54.0%,其参与发起的 DDoS 攻击的次数占比也超过 50.0%。未来将有更多的物联网设备接入网络,如果其安全性不能提高,必然会给网络安全的防御和治理带来更多困难。
(二)APT 攻击监测与应急处置力度加大,钓鱼邮件防范意识继续提升,但 APT 攻击逐步向各重要行业领域渗透,在重大活动和敏感时期更加猖獗
1、投递高诱惑性钓鱼邮件是大部分 APT 组织常用技术手段,我国重要行业部门对钓鱼邮件防范意识不断提高
2019 年,CNCERT/CC 监测到重要党政机关部门遭受钓鱼邮件攻击数量达 56 万多次,月均 4.6 万余次,其中携带漏洞利用恶意代码的 Office 文档成为主要载荷,主要利用的漏洞包括 CVE-2017-8570 和 CVE-2017-11882 等。
2、攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透
2019 年,我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等 30 余个 APT 组织的网络窃密攻击,国家网络空间安全受到严重威胁。境外 APT 组织不仅攻击我国党政机关、国防军工和科研院所,还进一步向军民融合、“一带一路”、基础行业、物联网和供应链等领域扩展延伸,电信、 外交、能源、商务、金融、军工、海洋等领域成为境外 APT 组织重点攻击对象。
3、APT 攻击在我国重大活动和敏感时期更为猖獗频繁
境外 APT 组织习惯使用当下热点时事或与攻击目标工作相关的内容作为邮件主题,特别是瞄准我国重要攻击目标,持续反复进行渗透和横向扩展攻击,并在我国重大活动和敏感时期异常活跃。
(三)重大安全漏洞应对能力不断强化,但事件型漏洞和高危零日漏洞数量上升,信息系统面临的漏洞威胁形势更加严峻
1、我国漏洞信息共享与通报处置工作持续加强
2019 年,国家信息安全漏洞共享平台(CNVD)联合国内产品厂商、网络安全企业、科研机构、个人白帽子等相关力量,共同完成对约 3.2 万起漏洞事件的验证、通报和处置工作,同比上涨 56.0%。
2、漏洞数量和影响范围仍然大幅增加
一是披露的通用软硬件漏洞数量持续增长,且影响面大、范围广 。2019 年, CNVD 新收录通用软硬件漏洞数量创下历史新高,达 16,193 个,同比增长 14.0%。
位于我国境内的 RDP(IP地址)规模就高达 193.0 万余个,其中大约有 34.9 万个受此漏洞影响。此外,移动互联网行业安全漏洞数量持续增长,2019 年,CNVD 共收录移动互联网行业漏洞 1,324 个,较 2018 年同期 1,165 个增加了 13.6%,智能终端蓝牙通信协议、智能终端操作系统、App 客户端应用程序、物联 网设备等均被曝光存在安全漏洞。
二是2019年我国事件型漏洞数量大幅上升。 CNVD 接收的事件型漏洞数量约 14.1 万条,首次突破 10 万条,较 2018 年同比大幅增长 227%。
三是高危零日漏洞占比增大。 近 5 年来,零日漏洞(指 CNVD 收录该漏洞时还未公布补丁)收录数量持续走高,年均增长率达 47.5%。2019 年收录的零日漏洞数量继续增长,占总收录漏洞数量的 35.2%,同比增长 6.0%。
(四)数据风险监测与预警防护能力提升,但数据安全防护意识依然薄弱,大规模数据泄露事件频发
1、数据安全保护力度继续加强
2019 年,CNCERT/CC 加强监测发现、协调处置,全年累计发现我国重要数据泄露风险与事件 3,000 余起,支撑中央网 信办重点对其中 400 余起存储有重要数据或大量公民个人信息数据的事件进行了应急处置。MongoDB、ElasticSearch、SQL Server、MySQL、Redis 等主流数据库的 弱口令漏洞、未授权访问漏洞导致数据泄露,成为2019年数据泄露风险与事件的突出特点。
2、App 违法违规收集使用个人信息治理持续推进
截至 2019 年 12 月底,共受理网民有效举报信息 1.2 万余条,核验问题 App 2,300 余款;组织四部门推荐的 14 家专家技术评估机构对 1,000 余款常用重点 App 进行了深度评估,发现大量强制授权、过度索权、超范围收集个人信息问题,对于问题严重且不及时整改的依法予以公开曝光或下架处理。
3、涉及公民个人信息的数据库数据安全事件频发
2019 年针对数据库的密码暴力破解攻击次数日均超过百亿次,数据泄露、非法售卖等事件层出不穷,数据安全与个人隐私面临严重挑战。科技公司、电商平台等信息技术服务行业,银行、保险等金融行业以及医疗卫生、交通运输、教育求职等重要行业涉及公民个人信息的数据库数据安全事件频发。
此外,部分不法分子已将数据非法交易转移至暗网,暗网已成为数据非法交易的重要渠道,涉及银行、证券、网贷等金融行业数据非法售卖事件最多占比达 34.3%,党政机关、教育、各主流电商平台等行业数据被非法售卖的事件也时有发生。
(五)恶意程序增量首次下降,但“灰色”应用程序大量出现,针对重要行业安全威胁更加明显
1、移动互联网恶意程序增量首次出现下降,高危恶意程序的生存空间正在压缩, 下架恶意程序数量连续 6 年下降
2019 年,新增移动互联网恶意程序 279 万余个,同比减少1.4%。根据 14 年来的监测统计,移动互联网恶意程序新增数量在经历快速增长期、爆发式增长期后, 现已进入缓速增长期,并在 2019 年新增数量首次出现下降趋势。
2019 年出现的移动互联网恶意程序主要集中在 Android 平台,根据《移动互联网恶意程序描述格式》(YD/T 2439-2012)行业标准对恶意程序的行为属性进行统计,具有流氓行为类、资费消耗类等低危恶意行为的 App 数量占 69.3%,具有远程控制类、恶意扣费类等高危恶意行为的 App 数量占10.6%。
2019 年共处理协调 152 个应用商店、86 个广告平台、63 个个人网 站、19 个云平台共 320 个传播渠道,下架 App 总计 3,057 个,相较 2014 年到 2018 年期间下架数量 3.9 万余个、1.7 万余个、0.9 万余个、0.8 万余个、3,578 个,连续 6 年呈逐年下降趋势。
2、以移动互联网仿冒 App 为代表的“灰色”应用程序大量出现,主要针对金融、 交通、等重要行业的用户
(六)黑产资源得到有效清理,但恶意注册、网络赌博、勒索病毒、挖矿病毒等依然活跃,高强度技术对抗更加激烈
1、网络黑产打击取得阶段性成果
每月活跃“黑卡”总数从约 500 万个逐步下降到约 200 万 个,降幅超过 60.0%。2019 年年底,用于浏览器主页劫持的恶意程序月新增数量由 65 款降至 16 款,降幅超过 75%;被植入赌博暗链的网站数量从1 万余个大幅下降到不超过 1,000 个。公安机关在“净网 2019”行动中,关掉各类黑产公司 210 余家,捣毁、关停买卖手机短信验证码或帮助网络账号恶意注册的网络接码平台 40 余个,抓获犯罪嫌疑人 1.4万余名。
2、网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈
2019 年监测到各类网络黑产攻击日均 70 万余次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象,攻防博弈持续演进。
3、勒索病毒、挖矿木马在黑产刺激下持续活跃
2019 年,CNCERT/CC 捕获勒索病毒 73.1 万余个,较 2018 年增长超过 4 倍,勒索病毒活跃程度持续居高不下。分析发现, 勒索病毒攻击活动越发具有目标性,且以文件服务器、数据库等存有重要数据的服 务器为首要目标,通常利用弱口令、高危漏洞、钓鱼邮件等作为攻击入侵的主要途径或方式。
(七)工业控制系统网络安全在国家层面顶层设计进一步完善 , 但工业控 制系统产品安全问题依然突出,新技术应用带来新安全隐患更加严峻
1、国家层面工业控制系统网络安全顶层设计不断完善 , 国家级工业控制系统网络 安全监测和态势感知能力不断提升。
2、工业控制系统产品漏洞数量居高不下。
3、互联网侧暴露面持续扩大,新技术的应用给工业控制系统带来了新的安全隐患。
二、网络安全监测数据分析
(一)恶意程序
1、计算机恶意程序捕获情况
2019 年,全年捕获计算机恶意程序样本数量超过 6,200 万个,日均传播次数达 824 万余次,涉及计算机恶意程序家族 66 万余个。按照传播来源统计,位于境外的主要来自美国、俄罗斯和加拿大等国家和地区。
按照目标 IP 地址统计,我国境内受计算机恶意程序攻击的 IP 地址约 6,762 万个,约占我国 IP 地址总数的 18.3%,主要集中在山东省、江苏省、浙江省、广东省等地区。
2、计算机恶意程序用户感染情况
2019 年,我国境内感染计算机恶意程序的主机数量为 581.88 万台,同比下降 11.3%。
位于境外的约 5.6 万个计算机恶意程序控制服务器控制了我国境内约 552 万台主机,就控制服务器所属国家和地区来看,位于美国、日本和 中国香港地区的控制服务器数量分列前 3 位 。
就所控制我国境内主机数量来看,位于美国、荷兰和法国的控制服务器控制规模分列前 3 位。
此外,根据 CNCERT/CC 抽样监测数据,针对 IPv6 网络的攻击情 况也开始出现,2019 年境外约 3,000个 IPv6 地址的计算机恶意程序控制服务器控制了我国境内约 4.0 万台 IPv6 地址主机。
2019 年我国境内木马或僵尸程序受控主机 IP 地址数量占比按地域统计,占比排名前 3 位的为广东省、江苏省和浙江省。
在感染计算机恶意程序而形成的 僵尸网络中,规模在 100 台主机以上的僵尸网络数量达 5,612个,规模在 10 万台主机以上 的僵尸网络数量达 39 个。
3、移动互联网恶意程序捕获情况
2019 年,CNCERT/CC 通过自主捕获和厂商交换新增获得移动互联网恶意程序样本 279 万余个,同比减少 1.4%,近 5 年来增速持续保持放缓,并首次出现增量下降。
通过对移动互联网恶意程序的恶意行为属性统计发现, 排名前 3 位的仍然是流氓行为类、资费消耗类和信息窃取类,占比分别为 36.1%、 33.2% 和 11.6%。
4、联网智能设备恶意程序捕获情况
2019 年,CNCERT/CC 捕获联网智能设备恶意程序样本约 324.1 万个,其中大部分属于 Mirai 家族和 Gafgyt 家族(占比 86.1%)。服务端传播源 IP 地址约2.78 万个,其中绝大部分传播源 IP 地址位于境外(占比 79.9%),我国境内疑似受感染智能设备 IP 地址数量约 203.8 万个(同比上升31.8%),主要位于浙江省、江苏省、山东省、 辽宁省、河南省等地,被控联网智能设备日均向 1,528 个目标发起 DDoS攻击。
(二)安全漏洞
2019 年,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量创下历史新高,收录安全漏洞数量同比增长了 14.0%,共计 16,193 个,2013 年以来每年平均增长率为 12.7%。其中,高危漏洞收录数量为4,877个(占30.1%),同比减少 0.4%,但零日漏洞收录数量持续走高,2019 年收录的安全漏洞中,零日漏洞收录数量占比 35.2%,达 5,706 个,同比增长 6.0% 。
按影响对象类型分类统计,占比前 3 位的为应用程序漏洞(56.2 %)、Web 应用漏洞(23.3%) 和操作系统漏洞(10.3%)。
2019 年,CNVD 继续推进移动互联网、电信行业、工业控制系统和电子政务 4 类子漏洞库的建设工作,分别新增收录安全漏洞数量 1,214 个(占全年收录数量的 7.5%)、638 个(占 3.9%)、443 个(占2.7%)和131个(占0.8%),其中移动互联网子漏洞库收录数量较 2018 年增长了 4.2%。CNVD 全年通报涉及政府机构、重要信息系统等关键信息基础设施安全漏洞事件约 2.9 万起,同比大幅增长 42.1%。
(三)DDOS 攻击
1、来自境外的 DDos 攻击情况
2019 年,CNCERT/CC 持续监测分析来自境外的 DDoS 攻击流量发现,境外 DDoS 攻击流量超过 10Gbit/s 的大流量攻击事件日均 120 余起。境外 DDoS 攻击的主要攻击方式是 UDP Flood、TCP SYN Flood、Memcached Amplification、 NTP Amplification和DNS Amplification,这 5 种 DDoS 攻击占比达到 89%。98% 的境外 DDoS 攻击 的攻击时长小于 30 分钟,攻击目标主要位于浙江省、广东省、江苏省、山 东省、北京市等经济较为发达的地区。
(四)网站安全
1、网页仿冒
2019 年,监测发现约 8.5 万个针对我国境内网站的仿冒页面,页面数量较 2018 年增长了 59.7%。从承载仿冒页面的 IP 地址归属情况来看,绝大多数位于境外,主要分布在中国香港地区和美国。
2、网站后门
2019 年,CNCERT/CC 监测到我国境内外约 4.5 万个 IP 地址对我国境内约 8.5 万个网站植入后门,我国境内被植入后门的网站数量较 2018 年增长超过 2.59 倍。其中, 约有 4 万个境外 IP 地址(占全部 IP 地址总数的 90.9%)对我国境内约 8 万个网站植入后门,位于美国的 IP 地址最多,占境外 IP 地址总数的 33.5%,其次是位于英国和中国香港地区的 IP 地址。
3、网页篡改
2019 年,我国境内遭篡改的网站有约 18.6 万个,其中被篡改的政府网站有 515 个。从网页遭篡改的方式来看,被植入暗链的网站占全部被篡改网站的比例大幅下降,占比较小;从域名类型来看,2019 年我国境内被篡改的网站中,代表商业机构的网站(.com)最多,占 75.2%,其次是网络组织类(.net)网站、非营利组织类 (.org)网站,分别占 4.7% 和 1.2%。
(五)云平台安全
云平台作为控制端发起 DDoS 攻击的次数占我国境内控制端发起 DDoS 攻击次数的 86.0%,作为木马和僵尸网络恶意程序控制的被控端 IP 地址数量占我国境内全部被控端 IP 地址数量的 89.3%, 承载的恶意程序种类数量占我国境内互联网上承载的恶意程序种类数量的 81.0%。
(六)工业控制系统安全
1、工业控制系统互联网侧暴露情况
2019 年,暴露在互联网上的工业设备 7,325 台,相比 2018 年增加 21.7%。
涉及 39 家国内外知名厂商的可编程逻辑控制器、智能楼宇类设备、 数据采集监控服务器等 50 种设备类型,且存在高危漏洞隐患的设备占比约 35%。 医疗健康、电力、石油天然气、煤炭、城市轨道交通等重点行业暴露的联网监控管 理系统 2,249 套,相比 2018 年增加了 21.9%,其中医疗健康行业 709 套、电力 653 套、石油天然气 584 套、煤炭 203 套、城市轨道交通 100 套,涉及的类型包括企业 生产管理、企业经营管理、行业云平台、政府监督等。
2、工业控制系统互联网侧威胁监测情况
2019 年,我国大型工业互联网云平台持续遭受来自境外的网络攻击,平均攻击次数达 90 次/日,较 2018 年提升了 43%。涉及 Web 应用 攻击、命令注入攻击、漏洞利用攻击等,工业云平台承载着大量接入设备、业务系统,以及企业、个人信息和重要数据,使其成为网络攻击的重点目标。
2019 年 CNCERT/CC 通过互联网监测和定位发现,关键信息基础设施行业有 1,773 台打印机连接在互联网上,其中工业领 域相关的打印机有 78 台,涉及石油、电力、煤炭、制造等行业。
三、2020 网络安全关注方向预测及政策建议
(一)方向预测
预计 2020 年,我国更多网络安全政策法规与治理措施将陆续出台实施,网络安全治理力度将进一步加大,但网络空间也将面临一些新问题与新挑战。2020 年值得关注的网络安全方向如下:
1、规模性、破坏性急剧上升成为有组织网络攻击新特点;
2、体系化协同防护将成关键信息基础设施网络安全保障新趋势;
3、政策法规与执法监管多管齐下为数据安全和个人信息保护提供新指引;
4、精准网络勒索集中转向中小型企事业单位成为网络黑产新动向;
5、远程协同热度突增引发新兴业态网络安全风险新思考;
6、5G 等新技术新应用大量涌现或面临网络安全新挑战。
(二)对策建议
1、强化关键信息基础设施保护;
2、提升数据安全管理和个人信息保护力度;
3、加快网络安全核心技术创新突破;
4、壮大网络安全技术产业规模和网络安全人才队伍;
5、扩大国内外网络安全合作。
综上,网络安全监察虽稍有成效,但任重道远。
雷锋网雷锋网雷锋网 (公众号:雷锋网)
。