一、入侵事件平均潛伏時間高達359天

近期，綠盟科技釋出《綠盟科技2019安全事件響應觀察報告》，對2019年入侵事件進行統計發現：從事件可回溯的首次入侵時間到事件被使用者報告或被告知的時間，入侵事件平均潛伏時間高達359天，由此可見已發現處理安全事件只是眾多安全事件的冰山一角。在事件應急過程中甚至會發現2012年潛伏的後門。

圖 1.1  事件潛伏週期分佈

攻擊者利用了許多高超的技術來隱藏自身的惡意行為，越來越多的黑客元件偏向於使用系統自帶的應用程式和執行環境來偽裝自身和對抗反病毒軟體。

圖 1.2  某遠控軟體自帶反病毒檢測功能

同時，利用各種不同的混淆和加密技術加密木馬樣本和通訊流量，加大了安全人員的分析難度，熱衷於通過反向後門的方式繞過內部防火牆。並且在成功獲取進入內部的許可權以後，利用各種持久化技術，長久駐紮在目標的內部網路。然而對於內部的運維人員而言，運維人員的應急響應能力偏弱，並不能馬上通過攻擊者留下的蛛絲馬跡找到攻擊來源，阻斷後續的攻擊。而由於運維人員的安全意識薄弱，給了攻擊者在內部網路中快速橫向移動的機會。攻擊者便會在內部網路中持續監控和潛伏，竊取敏感檔案和口令資訊。

圖 1.3  利用WMI持久化

隨著各個機構和國家對網路安全的重視，越來越多的類似攻擊事件被上級部門舉行的安全演練暴露了出來。有的機構甚至直到接到上級部門的通報以前都並不知曉自身已經被入侵。溯源的時候才發現已經被入侵了很長時間。

圖 1.4  入侵事件發現原因分佈

儘管已經有非常多的入侵事件被披露，但是依舊還有很多未被發現的攻擊行為，大多數攻擊行為可以明顯的看出是為了金錢利益，還有的攻擊事件帶著明顯的政治色彩。並且往往防守都是滯後於攻擊，防守的難度遠遠大於攻擊。現有的安全解決方案沒有一勞永逸的做法。

二、  人和管理成為主要入侵突破口

安全需要人、技術、管理的全方位保障，然而人與管理由於其複雜性，常常成為入侵突破口。在2019年處理的安全事件中，弱口令事件佔比22%，釣魚郵件相關事件佔比7%，配置不當事件佔比3%，與人和管理相關的事件合計佔總數的1/3，安全管理薄弱、員工安全意識不足的問題最易遭到攻擊者的利用。

圖 1.5  入侵方式分佈圖

除了應急事件外，在眾多企業進行的攻防演練中，也不乏攻擊方通過弱口令或釣魚郵件開啟缺口的例子。大部分企業在公網上由於網路資產數量龐大，部分運維人員為了便於記憶和管理，採用了大量弱口令或系統預設密碼作為管理員口令，最終導致網站應用許可權的丟失，甚至伺服器許可權的淪陷。例如部分企業為了方便員工使用，會將辦公協同系統（OA）放置在公網上，攻擊者常常利用人名作為使用者名稱字典，弱口令（111111、123456等）作為密碼字典進行爆破，一旦攻擊者成功猜測出某員工賬號，企業的敏感資訊將可能被攻擊者掌握利用。

圖 1.6  暴力破解截圖

上圖為一次應急響應排查中對某單位OA系統弱口令探測掃描的結果,根據結果可以看出，該系統中大量使用者使用了預設口令或者是弱口令，攻擊者進行簡單的探測猜解，即可成功獲取到內部員工賬號口令，通過該系統可獲取單位大量敏感資訊。

在大量案例中我們發現，大部分企業內網環境中存在弱口令的情況更為普遍。由於企業內網環境無法從公網輕易訪問，運維人員在部署某些服務和應用時，習慣採用簡單密碼或者預設口令作為管理員密碼，一旦攻擊者突破外網邊界進入企業內網後，將會有大量弱口令應用及系統遭受攻擊威脅。此外，由於時間原因和管理疏忽，部分老舊系統停止使用後未能及時下線，其中可能存在的安全漏洞易被攻擊者利用後導致主機許可權丟失。

圖 1.7  某主機使用者配置

上圖為內網中某系統管理平臺，該系統存在預設管理員賬戶root，且預設密碼也為root，如果管理員不修改預設口令，極易被攻擊者猜解利用。

除了弱口令以外，近兩年通過釣魚郵件對企業員工進行攻擊的案例也屢見不鮮。攻擊者通過偽造企業內部郵件，誘使收件人開啟附件中的Office文件或者可執行程式，當員工下載並開啟文件後，便會執行其中的惡意程式碼，並從遠端下載新的惡意程式碼至本地運執行，部分惡意程式還會在內網中通過自動化掃描其他存在漏洞或者弱口令的主機進行橫向感染。

 

圖 1.8  某釣魚郵件截圖

上圖為攻擊者對企業內部員工群發的一次釣魚郵件攻擊。附件中包含攻擊者精心構造的惡意程式，並以“年中考核獎勵“為標題吸引員工眼球。如果收件人安全意識薄弱，盲目點選附件檔案，則極可能被攻擊者利用控制。

綜上問題可以看出，當前大多企業或多或少都存在安全管理疏忽或員工安全意識薄弱的問題。當攻擊者無法通過傳統技術手段對企業資產進行攻擊時，人和管理上的漏洞往往更容易成為攻擊者的突破口。

三、  安全建議

綠盟科技通過對大量安全事件源頭進行分析，發現絕大多數的事件均與企業的網路安全基礎防護與管理制度有關，由此我們整理了以下安全防護建議，可供參考：

1)     人員安全意識培養

據研究報告顯示，網路攻擊源頭有六成左右是來自企業內部，而絕大部分內部攻擊則是由於員工被外部攻擊者利用、控制導致。在資訊科技高度發達的今天，攻擊者可攻擊的途徑包括：釣魚郵件、水坑網站、手機簡訊、社交軟體、公共Wi-Fi等，企業可通過定期的安全意識培訓、應急演練，對全員的安全防範意識水平進行檢驗。

2)     加強口令複雜度管理

有史以來，弱口令一直是一個老生常談的問題，是最容易被企業忽視，同時也是最受攻擊者青睞的漏洞。對於企業所有IT資產均需要制定並執行統一的口令複雜度配置標準，避免出現弱口令、通用口令或規律口令，企業可通過制定相關安全規範、業務上線流程、基線配置核查等多種手段進行規避。

3)     定期做好重要資料備份

近年來，勒索軟體作為一種直接利益驅使的攻擊手段，由於其具有攻擊效果顯著、攻擊成本低、交易匿名性等特點，使它備受攻擊者青睞。同時由於其傳播渠道眾多，企業或個人在做好基礎安全防護的同時，資料備份則是最行之有效的對抗方案，企業可通過私有云、儲存裝置、網路同步等方式，定期對重要業務資料進行備份並妥善保管。

4)     加強漏洞生命週期管理

網路攻擊手段和安全漏洞公佈可以用日新月異來形容，這也是網路安全區別於一些傳統行業的顯著特徵。企業應將漏洞管理作為一項持續化、日常化的工作，並制定詳細流程，包括：開發規範、漏洞獲取、漏洞排查、漏洞修復、漏洞驗證等，同時還應定期通過灰盒安全測試，主動發現系統、應用及網路中存在的安全漏洞隱患。

5)     加強網路邊界資產管理

我們在多個典型安全事件案例中發現，攻擊者通過攻擊網路邊界資產，並以此為跳板對內部網路進行了橫向擴充套件攻擊，最終造成了重大影響。企業網路邊界資產由於部分業務暴露在網際網路，往往會被攻擊者作為突破企業安全防護的首要目標。企業可通過安全域劃分、防火牆ACL細化、應用漏洞防護等手段加強網路邊界管理。

6)     網際網路敏感資訊洩露排查

資訊收集作為黑盒測試流程中的重要一環，對安全測試的最終結果起著至關重要的作用。攻擊者除了會利用搜尋引擎、大資料收集目標企業網際網路暴露資產外，還會通過網盤、文庫、GitHub等渠道收集洩露的敏感資訊，如：郵箱口令、資料庫配置、應用系統原始碼等。企業應建立起長效機制，在通過管理制度約束員工行為的同時，還需要通過技術手段，監測網際網路敏感資訊的暴露。

7)     關注供應鏈攻擊安全風險

供應鏈攻擊作為一種高度隱蔽的攻擊方式，最終可能影響數十萬甚至上億的目標使用者。企業面對的供應鏈風險主要存在於裝置採購、軟體開發、產品交付、系統運維等多個階段，IT供應鏈安全是一套涉及面廣且複雜的體系，在任何一個階段出現問題勢必都會影響供應鏈上下游安全，企業應通過建立產品採購及供應鏈廠商管理制度、建立健全應用開發生命週期安全管理制度、建立上下游安全威脅通報機制等多種手段，及時掌握應用及產品安全風險，提升溝通協調及應急處置效率。

8)     部署威脅溯源審計平臺

單點部署的安全裝置，由於無法做到統一管理分析，往往無法及時發現有效的攻擊事件，同時在事後由於缺失日誌、樣本等關鍵資料，無法做進一步溯源分析。對於安全防護要求較高的業務系統，可通過部署態勢感知平臺，結合威脅情報資料，及時發現惡意網路攻擊，此外全流量儲存分析平臺，可為企業提供未知攻擊捕獲及安全事件攻擊溯源能力。