近日,绿盟科技应急响应团队通过对2020年处理的安全事件进行深入整理与分析,并综合国内外重要安全事件,编制《2020年度安全事件响应观察报告》,希望从安全事件的角度分析2020年的安全现状,与安全行业从业者共同探讨网络安全建设的发展方向。
观点1:新冠疫情下,医疗行业成为攻击重点
通过对疫情期间网络威胁行为的跟踪与分析,我们发现黑客已将新型冠状病毒肺炎疫情信息融入到互联网黑产攻击链和产业链当中,借此对疫情信息关注者发起攻击,医疗行业成为攻击重点。
受新型冠状病毒肺炎疫情的影响,在家远程办公模式成为众多企业的选择,这也导致攻击者将目标聚焦远程办公软件。
观点2:网络安全事件对抗性加强
2020年,通过一系列攻防演练活动,让许多企业、单位具备了从攻击者视角重新审视自身网络安全防御体系的机会。
回顾历年来的攻防演练,其体现的攻防对抗性逐渐加强,攻防演练不再是单纯的漏洞利用,随着时间发展,攻击队自动化工具、自研工具逐渐普及并且专业化,0day漏洞、APT级别的社会工程学也更多的被使用,链式打击源源不断。
观点3:关键信息基础设施依然是黑客热衷的攻击对象
在2020年所记录的安全事件当中,交通、卫生、教育、能源、运营商、金融这些涉及国家重要信息系统与民生的设施依然是黑客热衷的攻击对象,攻击所占比例高达80%。上述行业关系到政治、经济、科研文化等众多领域,对国家的重要性不言而喻,任何一个系统一旦发生数据泄露或者功能破坏等事件,对国家安全、国计民生都会产生十分重大的影响。
观点4:邮件成为网络钓鱼攻击的主要传播方式
在钓鱼攻击中,利用邮件附件钓鱼投放木马的方式最为常见,占全部钓鱼事件的75%。除传统的邮件钓鱼之外,一些新的攻击方式也渐渐出现。例如,攻击队员伪装成面试者,利用通讯软件向HR发送伪装成简历的病毒程序,实现钓鱼与社工相结合。面对这类新奇的攻击方式,经验不足的员工往往会“缴械投降”,因此,企业内部人员的安全意识也面临着新的考验。
观点5:针对性勒索事件比例上升,数据窃取与泄露事件
勒索攻击团体为了追求更大的利益,有针对性的定向勒索攻击事件占总勒索事件的比例持续上升。2020年度勒索软件团体一个较大的变化是数据窃取与泄露事件的增加,即勒索软件运营商与攻击者不仅限于对受害者数据进行加密,还会窃取受害者数据,并威胁如果不支付赎金就将数据外泄。
观点6:挖矿病毒再次活跃
2020年上半年,受比特币、以太币等数字货币行情影响,挖矿病毒再度活跃。挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,甚至影响服务器上的其他应用正常运行。
一方面,攻击者延续以往思路,利用弱口令攻击目标并种植挖矿病毒;另一方面也“老树开新花”,以自动化+人工的方式进行漏洞利用和内网渗透。在攻击目标选择上,部分攻击者瞄准了算力较强的大数据平台、云平台进行针对性攻击。
观点7:数据安全形势日益严峻,信息篡改类攻击仍在增加
近年来,信息泄露与破坏事件频发,数据安全形势日益严峻。部分传统IT厂商不重视数据基础设置安全配置,用户数据访问控制配置不够完善,数据的安全得不到有效保障。一些新兴的互联网企业,在短时间内用户数据量爆炸式增长,数据安全建设跟不上业务膨胀的速度,导致用户数据泄露的情况时有发生。
观点8:安全事件平均响应时间为116天
在国家和社会对网络空间安全愈加重视的前提下,网络安全常态化防御的理念深入人心,企业和个人在网络安全保障方面的投入都不断增加,这直接提升了安全事件的发现能力。
2020年安全事件平均响应时间为116天,相较2019年缩短了2/3。其中,66.76%的安全事件是通过日常运维、渗透演练和员工上报发现的。