2019年上半年我国互联网网络安全态势

作者:深信服科技股份有限公司广州办事处 | 国内 2019/06/28 14:28:21 556
安全态势

(一)我国网络安全法律法规政策保障体系进一步完善

等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代。对于保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家网络空间安全具有重要的意义。
随着网络安全等级保护进入2.0时代,等级保护对象范围在传统系统的基础上扩大到了云计算、移动互联、物联网、工业控制系统、大数据等,对等级保护制度也提出了新的要求。

1. 实施网络安全等级保护制度的目标和要求:

第一,要落实“分等级保护、突出重点、积极防御、综合防护”的总体要求。
第二,建立“打防管控”一体化的网络安全综合防御体系,提升国家网络安全整体防御能力。
第三,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,这是理念的变化。重要的理论,重要的理念,重要的思路,指导今后若干年在建设网络安全的时候,按照这几个关键词去落实管理措施和技术措施。
第四,重点保护关键信息基础设施、重要信息系统和大数据,保护其安全。
第五,全力推动网络安全产业、企业快速健康发展,打造世界一流的企业群。
第六,最主要的原则,一定要坚决落实三同步。以后再进行网络系统建设,不能先建设后保护,要坚决落实“同步规划、同步建设、同步运行”网络安全保护措施“三同步”要求。这在网络安全等级保护制度当中进一步明确。

2. 网络安全等级保护标准体系的特点如下:

(1)对象范围扩大
从定级开始将新技术、新应用所涉及的云计算、移动互联、物联网、工控系统等都纳入了标准范畴,构成了一个安全通用要求+新型应用安全拓展要求的标准内容。

(2)分类结构统一
新标准基本要求、安全设计要求和测评要求,分类结构统一,形成安全通信网络、安全区域边界、安全计算环境、安全管理中心,一个中心、三重防护技术架构。

(3)强化可信计算
把可信验证列入各个级别,并逐级提出了各个环节的主要可信验证要求。

3. 网络安全等级保护2.0标准的变化

(1)名称的变化
由《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》,与《网络安全法》保持一致。

(2)对象的变化
由信息系统改为等级保护对象。将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。

(3)安全要求的变化
由安全要求改为安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。

(4)章节结构的变化
以三级安全要求为例,三级要求下有安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。 不同的三级定级对象,使用的要求根据定级对象采用的技术不同而应用不同的扩展要求。

(5)分类结构的变化
技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

(6)增加新的扩展要求
新增的扩展要求包括“云计算安全”、“移动互联安全”、“物联网安全”、“工业控制系统安全”等方面。

(7)增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景。
(二)网络攻击数量持续上升
1. 利用漏洞的攻击情况

深信服全网安全态势感知平台监测到2019年上半年所受网络攻击总量超11亿次。攻击以系统漏洞利用、Web扫描和WebServer漏洞利用等类型为主。

上半年利用漏洞的攻击趋势如下:

88b2434a496fce3b860696bbae98a387.png
主要攻击类型统计分布:
5a4716b28c728e2b3480df047c283e78.png

2. 恶意程序攻击情况

2019上半年全国境内,深信服安全云脑检测到的活跃恶意程序样本有80681个,其中木马远控病毒31780个,占比39.39%,蠕虫病毒20461个,占比25.36%,感染型病毒19210个,占比23.81%,勒索病毒1678个,占比2.08%,挖矿病毒927个,占比1.15%。
aea696298b52d8d92e62755b9f568a97.png
上半年总计拦截恶意程序100.07亿次,其中挖矿病毒的拦截量占比58.87%,其次是木马远控病毒(13.45%)、感染型病毒(12.03%)、蠕虫病毒(9.48%)、后门软件(4.97%)、勒索病毒(1.08%)。
772144a6b6700d1b57e62683be1cf88c.png

(三)漏洞数量有所减少,但高危0day漏洞仍需重点关注
据CNVD官网公布数据进行统计,2019年上半年CNVD收录漏洞5152条(统计截止6月12日),与2017年上半年(7142条)相比漏洞数量减少了27.86%,但常见厂商都没有缺席(如微软和Adobe等)。
同时多个高危远程代码执行漏洞需引起关注,例如:

1. Microsoft远程桌面服务存在远程代码执行漏洞(CVE-2019-0708)
CVE-2019-0708,属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。
恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件, 利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机。

2. Intel Processor MDS系列漏洞
2019年5月14日,Intel官方披露了一系列推测性执行侧信道漏洞,统称为“Microarchitectural Data Sampling”(MDS)。该系列漏洞影响了一大批Intel处理器,漏洞允许攻击者直接窃取CPU缓冲区中的用户级和系统级秘密信息,包括用户秘钥、密码和磁盘加密秘钥等重要信息。

3. WebLogic wls-async 反序列化远程命令执行漏洞
CNVD-C-2019-48814漏洞主要是利用了WebLogic中的wls9-async组件,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而获得整台服务器的权限。

4. WebLogic任意文件上传漏洞(CVE-2019-2618)
CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口,该接口支持向服务器上传任意文件。攻击者突破了OAM(Oracle Access Management)认证,设置wl_request_type参数为app_upload,构造文件上传格式的POST请求包,上传jsp木马文件,进而可以获得整个服务器的权限。

5. Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)
Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192),漏洞官方定级为 High,属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置Solr的JMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触发Solr端上的远程代码执行。

6. WinRAR目录穿越/远程代码执行漏洞
2019年2月20日,Check Point公布了之前向WinRAR报告的几个安全漏洞,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。使用该漏洞将恶意文件释放到启动文件夹中能使系统在启动时执行恶意程序。

7. runc容器逃逸漏洞 (CVE-2019-5736)
2019年2月11日,研究人员通过oss-security邮件列表披露了runc容器逃逸漏洞的详情,2019年2月18日漏洞公开,CVE编号CVE-2019-5736。该漏洞允许恶意容器(用户最少的交互方式)覆盖主机runc二进制文件。
国外一家面向隐私的电子邮件提供商,由于此漏洞被黑客利用遭遇了一次破坏,导致整个基础架构从互联网上消失。
(四)勒索病毒活跃度依旧居高不下
各类软/硬件所暴露出来的高危漏洞,已然成为了攻击者们植入恶意插件的乐园,植入恶意挖矿插件和勒索软件的成本越来越低。
截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的“蠕虫式”爆发,勒索病毒如今的攻击活动越发具有目标性、隐蔽性,攻击者通常会破坏入侵过程留下的证据,使得溯源排查难以进行;勒索变种也趋于“无特征化”,如使用随机后缀、勒索信息文件无明显特征等,难以分辨其家族。

1. 高发勒索家族
从勒索病毒家族来看,国内高发的勒索病毒家族主要有GlobeImposter、WannaCryptor、WannaCry、GandCrab、CrySiS等:
7af3a77dd11a794b1e8ca8c3e13b4ccd.png

2. 受害行业分布
从勒索病毒攻击目标来看,企业、科研教育成为勒索病毒的主要目标行业,总占比达到52%;在企业受害用户中,文件服务器、财务服务器等存储重要数据文件的服务器通常是攻击者的首要目标:
08cfd0f0cc2d1ffcb46d60874b66323a.png

3. 攻击方式占比
从勒索病毒攻击方式来看,RDP暴力破解仍然是使用最为广泛的攻击方式,因此,将服务器3389端口映射到公网并使用简单密码,是非常容易受到勒索病毒入侵的,并且内网如果使用了相同的弱密码,可能导致多台终端遭到入侵;其次,社会工程也成为攻击者获取密码的一种方式,使用公司邮箱注册挖矿账号、注册不良网站账号等行为可能会带来密码泄露的风险:
d58c198bca683e2b213995bfea1b7a22.png



推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室