安全事件背後,三分之一與安全管理疏忽或員工安全意識薄弱有關

綠盟科技發表於2020-03-12

綠盟科技應急響應團隊深入整理與分析了2019年處理的安全事件,並綜合國內外重要安全事件,編制《綠盟科技2019安全事件響應觀察報告》,希望從安全事件的角度分析2019年的安全現狀,與安全行業從業者交流發展趨勢,共同探討網路安全建設的發展方向。


No.1

國家級安全演練效果明顯,2019下半年安全事件數量同比2018年下降39%

安全演練不僅能增強演練組織單位、參與單位和人員等對應急流程的熟悉程度,提高應急處置能力;還能檢查各個單位對突發事件所需應急隊伍、物資、裝備、技術等方面的準備情況,發現應急預案中存在的問題。這也是對日常安全運維工作中的安全保障成果的一種檢驗,為後續單位、企業安全建設提供新的思路與方向。


No.2

關鍵基礎設施成為網路安全的核心戰場

2019年安全事件當中,金融、運營商、政府、能源、教育、衛生、交通行業佔安全事件總體的82.3%,上述的行業涉及的重要資訊設施、資訊系統,重要網際網路應用系統均與國家關鍵基礎設施息息相關。

關鍵基礎設施關係著國計民生,是經濟社會執行的神經中樞,是網路安全的重中之重。隨著經濟社會對網路的依賴程度不斷加深,關鍵資訊基礎設施安全防護更加緊迫。網路空間軍事化,網路武器平民化,網路攻擊常態化日趨明顯,關鍵資訊基礎設施已成為網路攻擊的主要目標。


No.3

以獲取經濟利益為攻擊意圖的安全事件達到了77%

2019處理的安全事件中,絕大多數攻擊者具有較為明確的目的,以獲取經濟利益為攻擊意圖的安全事件達到了77%,其中包含了勒索詐騙、虛擬挖礦、黑產活動以及為後續黑產做鋪墊的後門許可權維持等攻擊行為。對於大部分攻擊者而言,發起攻擊的主要原因是為獲取暴利,實現自身最大利益。

在經濟利益的驅動下,攻擊者將不斷更新攻擊手段,完善黑色產業鏈;這也使得使網路攻擊更加難以防範,為網路安全從業者帶來新的挑戰。


No.4

勒索軟體即服務發展迅猛,黑產從業者無需惡意軟體開發的專業知識就可以發起攻擊

勒索軟體即服務(RaaS)是指由開發者編寫惡意軟體後,提供給代理分發者,擴散感染再抽成的盈利模式。這種模式讓黑產從業者不需要惡意軟體開發的專業知識就可以發起勒索活動,他們可以透過RaaS輕鬆獲取勒索軟體,只需進行一些配置並將惡意軟體分發給受害者即可。低門檻高收益的盈利模式推動黑色產業鏈日趨成熟,層出不窮的勒索軟體,頻繁更新更是堪比商業軟體。並伴隨低風險,高收益的特性,讓不少駭客們躍躍欲試。勒索軟體即服務發展迅猛。


No.5

黑鏈暗鏈事件呈爆發式增長,據不完全檢測統計發現,國內有近6萬站點已被植入暗鏈/黑鏈

黑鏈暗鏈自始至終都是黑灰產業中重要的組成部分,多年以來,長盛不衰。最近幾年,得利於網際網路的高速發展、網民數量增加刺激傳統線上黑產爆發增長、以及與互聯相關新型經濟的湧現(直播、付費內容等),以賭博、色情、違法業務等為核心內容的黑灰產業得到了極大的發展,也使得掛黑鏈暗鏈的需求猛增,在我們日常應急事件處置中,遇到的與黑鏈暗鏈的事件數量也大幅增加、逐年上升。


No.6

惡意程式隱藏技術在革新發展,“無檔案落地”方案逐漸成為趨勢

從2019年應急事件來看,惡意程式隱藏技術在革新發展,並且多采用指令碼檔案方式,雖然“永恆之藍”仍為主要入侵方式,但“無檔案落地”方案逐漸成為趨勢。


No.7

入侵事件平均潛伏時間高達359天

對2019年入侵事件的統計發現,從事件可回溯的首次入侵時間到事件被使用者報告或被告知的時間,入侵事件平均潛伏時間高達359天,由此可見已發現處理安全事件只是眾多安全事件的冰山一角。在事件應急過程中甚至會發現2012年潛伏的後門。

安全防護總是落後一步,所以我們需要做到防患於未然。制訂詳盡的應急計劃,透過定期舉行安全演練可以發現系統的薄弱之處,找出潛在的隱患並及時修復。在日常的運維工作中,關注漏洞預警,及時給系統安裝補丁。透過部署防火牆裝置及時阻斷外部威脅。


No.8

1/3的安全事件與企業存在的安全管理疏忽或員工安全意識薄弱有關

安全需要人、技術、管理的全方位保障,然而人與管理由於其複雜性,常常成為入侵突破口。在2019年處理的安全事件中,弱口令事件佔比22%,釣魚郵件相關事件佔比7%,配置不當事件佔比3%,與人和管理相關的事件合計佔總數的1/3,安全管理薄弱、員工安全意識不足的問題最易遭到攻擊者的利用。

當前大多企業或多或少都存在安全管理疏忽或員工安全意識薄弱的問題。當攻擊者無法透過傳統技術手段對企業資產進行攻擊時,人和管理上的漏洞往往更容易成為攻擊者的突破口。

相關文章