沒想到，歷史漏洞造成的安全事件這麼多？

防護網路安全事件是一個跟黑客賽跑的過程。

只要搶佔先機，在攻擊者利用漏洞攻擊前修復漏洞，就可以有效防止此類攻擊。而搶佔先機的前提就是關注廠商釋出的漏洞和事件預警，在第一時間做好防範工作。

一個典型利用1Day漏洞進行大規模網路攻擊的事件

2018年1月，網際網路上出現利用WebLogic-WLS元件遠端命令執行漏洞進行挖礦的事件，短時間內大量爆發。短短一月內綠盟科技應急響應團隊持續接到來自金融、衛生、教育等多個行業客戶的安全事件反饋，發現多臺不同版本WebLogic主機均被植入了相同的惡意程式，該程式會消耗大量的主機CPU資源。

這是一個典型的利用1Day漏洞進行大規模網路攻擊的事件。處於利益考慮，黑產攻擊者往往會選擇成本最低的攻擊方式， 對於已經通過各種途徑曝光的1Day漏洞，他們往往能迅速發開出各類自動化利用工具，在全網掃描搶佔肉雞資源。

“亡羊而補牢，未為遲也”--NDay漏洞的利用

在實際網路安全環境中黑客手中的“武器庫”不僅僅會有1Day漏洞，往往還整合了很多早已披露的NDay漏洞的利用手段，這些漏洞利用程式碼雖然不再像0Day時那樣可以一擊致命，卻可以在黑客攻城略地時大規模利用。《綠盟科技安全事件響應觀察報告》指出，由歷史漏洞造成的安全事件佔比高達 34%，不容忽視。

比如17年的MS17-010、S2-045至今仍在發揮著“餘熱”。

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發，影響了包括中國在內的近百個國家，國內受影響單位不乏政府、知名高校、企業，可謂是一場災難。時隔一年，WannaCry事件造成的陰影正在逐漸褪去，然而MS17-010漏洞卻並未退隱江湖。在綠盟科技2018年處理的安全事件中，就有多起與MS17-010有關，WannaMine、PowerGhost、Satan等惡意軟體均利用了MS17-010進行傳播。

NDay漏洞利用攻擊事件往往是由於使用者缺乏安全意識，沒有更新或者安裝官方的補丁，導致黑產從業者可以輕鬆地通過網上公開的漏洞利用程式碼進行攻擊，攻擊成本較低，造成危害較大。對於攻擊者而言，只要一定比例的使用者未修復漏洞，那麼這種利用漏洞進行攻擊就是有收益的。

“亡羊而補牢，未為遲也”，及時修復陳舊漏洞，可以極大的降低網路安全風險。

弱口令仍是安全事件的“高發地”

《綠盟科技安全事件響應觀察報告》指出，利用弱口令進行攻擊的安全事件佔2018年處理事件總數的33%， 是安全事件高發的重要原因之一。

針對RDP、SSH、Redis、Memcached、Tomcat等服務的攻擊型別中，弱口令尤為突出，攻擊行業覆蓋運營商、企業、政府、金融、能源等多種行業型別，攻擊型別包括蠕蟲、暴力破解、人工滲透等多種手段。在弱口令的攻擊中，RDP暴力破解成為主要的入侵手段。

安全處置建議

在安全領域，最為基礎的安全管理防護措施發揮著最為重要的作用，絕大多數的安全事件可以通過基礎的控制措施進行防護：

• 有效和更新的管理制度和流程機制
  
• 有效的網路邊界隔離與防護
  
• 定期/不定期的安全評估
  
• 嚴格的許可權賬戶管控
  
• 配置操作規範和安全審計
  
• 安全漏洞的發現與修補
  
• 桌面終端安全防護
  
• 持續的內部人員安全培訓
  
• 第三方服務及供應鏈的安全管控
  
• 安全應急預案編制與應急演練
  

幾個應急過程中常見的新發漏洞：

幾個應急過程中常見的NDay漏洞：