產業網際網路時代,大資料、雲端計算、人工智慧等新技術在加速產業發展的同時,也讓企業網路安全面臨更復雜的挑戰。近日,騰訊安全釋出《2019年企業安全威脅報告》(以下簡稱《報告》),對全年企業網路安全整體態勢,病毒主要型別、病毒分佈行業、攻擊形式、傳播手段及發展趨勢進行全面剖析和研判,並有針對性地提出防禦方案。
《報告》顯示,在所有的攻擊物件中,企業終端依然是病毒感染的重災區,2019年平均每週有40%的企業遭遇了病毒攻擊,近8成企業終端還存在高危漏洞未修復。
風險木馬感染佔比高,教育行業最“受傷”
在企業終端風險中,風險木馬軟體、後門類、感染性病毒是企業面臨的三大主要威脅。其中,風險木馬軟體在病毒攻擊事件中佔比最高,這類病毒攻擊者常常通過下載器捆綁及搜尋引擎競價排名獲得優先展示來獲取大量受眾,感染量極大,佔比高達44%。後門遠控類木馬以21%的佔比緊隨其後,由於其具有極高的隱蔽性,接受遠端指令執行資訊竊取、截圖、檔案上傳等操作,對金融科技等資訊敏感行業造成極大危害。
在所有病毒型別中,挖礦木馬仍是企業伺服器被攻陷後植入的主要木馬型別,2019年,針對Linux平臺的挖礦木馬開始流行。如2019年9月,大型挖礦殭屍網路WannaMine就發起了針對Linux系統的攻擊,攻擊者利用SSH弱口令爆破成功後植入挖礦木馬,並通過SSH弱口令在內網橫向傳播。勒索病毒在病染毒事件中雖然佔比不高,但加密資料、鎖定系統、針對企業資料價值勒索更加昂貴的贖金等行為令企業損失嚴重,破壞性極大,企業仍需重點防範。
從行業來看,病毒攻擊對教育、科技、醫療、金融、政府等行業均有不同程度影響,其中,教育行業最受傷,這與教育行業存在頻繁的檔案互動傳輸不無關係。《報告》顯示,在感染病毒的終端中,教育行業染毒比例最高,其中,感染性病毒在教育行業佔比高達57.4%,遠控木馬、勒索病毒感染教育行業機器的佔比也都超過了50%。其次,政府和科技行業也成為病毒攻擊的主要物件,在勒索病毒感染中,政府機器佔到了感染物件的23%。
企業終端存高危漏洞比例近八成,惡意郵件成傳播工具
《報告》顯示,2019年漏洞利用及埠爆破仍然是攻陷終端裝置的重要手段,尤其是針對企業伺服器的攻擊,通過漏洞利用或爆破攻擊公網環境下的伺服器,隨後進行內網橫向滲透已成為最常用的手段。
企業自身防禦部署薄弱是病毒攻擊接連得手的重要原因。據騰訊安全威脅情報中心資料顯示,截至2019年12月底,仍有79%的企業終端上存在至少一個高危漏洞未修復。同時,目前仍有大量的企業資產開放了高危埠,除了22、3389等高危埠之外,還有較大比重的郵件服務、資料庫服務等埠也暴露在公網上,給網路黑產帶來可乘之機。《報告》顯示,2019年平均每週約有40%的企業發生過終端木馬感染事件。
在針對伺服器的漏洞攻擊中,遠端程式碼執行(RCE)、SQL隱碼攻擊、XSS攻擊、webshell等是最常見的攻擊型別。同時,為了讓其自身惡意行為實現效益最大化,內網傳播與持久化駐留成為網路黑產發力的方向。在內網橫向傳播中,漏洞利用、弱口令爆破攻擊、檔案共享成為主要手段。在病毒的持續化駐留上,通過加殼混淆、增肥對抗後常駐登錄檔啟動位置或啟動資料夾的方式,簡便且不易被查殺,深受黑產青睞;通過將自身寫入任務計劃實現常駐的方式則更為隱蔽和靈活,尤其是白利用遠端下載的技巧常被利用於任務計劃中。
此外,惡意郵件也成為黑產發動定向攻擊的傳播工具,如魚叉郵件會精心收集目標物件的資訊,然後結合目標物件資訊,製作相應主題的郵件和內容,騙取目標執行惡意附件。騰訊安全高階威脅檢測系統(騰訊御界)就曾捕獲多起類似案例,攻擊者通過將帶有精心構造的“CVE-2017-8570”漏洞利用程式碼的word文件偽裝為附件“訂單列表”,誘使使用者開啟文件以觸發漏洞程式碼邏輯,最終實現投放“NetWiredRC”遠控木馬。
築牢資訊保安防線,構建事前事中事後全流程防禦體系
《報告》指出,2019年勒索病毒、挖礦木馬持續傳播,高危漏洞頻繁爆出、資訊洩漏事件頻發,安全形勢依然不容輕視。隨著安全對抗不斷升級,網路攻擊將進一步加劇,尤其是隨著雲端計算的發展及5G的普及,越來越多的企業將業務轉移到雲上,攻擊面的增加將使企業面臨的環境更加複雜,安全形勢更加嚴峻。為此,騰訊安全專家提醒企業提高對網路攻擊的重視程度、發現能力和主動響應的能力,著力構建更加牢固的資訊保安防線。
自 騰訊科技