2020年度安全事件響應觀察報告｜挖礦病毒再次活躍，雲端計算/大資料平臺成“香餑餑”

近日，綠盟科技應急響應團隊透過對2020年處理的安全事件進行深入整理與分析，並綜合國內外重要安全事件，編制《2020年度安全事件響應觀察報告》，希望從安全事件的角度分析2020年的安全現狀，與安全行業從業者共同探討網路安全建設的發展方向。

觀點1：新冠疫情下，醫療行業成為攻擊重點

透過對疫情期間網路威脅行為的跟蹤與分析，我們發現駭客已將新型冠狀病毒肺炎疫情資訊融入到網際網路黑產攻擊鏈和產業鏈當中，藉此對疫情資訊關注者發起攻擊，醫療行業成為攻擊重點。受新型冠狀病毒肺炎疫情的影響，在家遠端辦公模式成為眾多企業的選擇，這也導致攻擊者將目標聚焦遠端辦公軟體。

觀點2：網路安全事件對抗性加強

2020年，透過一系列攻防演練活動，讓許多企業、單位具備了從攻擊者視角重新審視自身網路安全防禦體系的機會。

回顧歷年來的攻防演練，其體現的攻防對抗性逐漸加強，攻防演練不再是單純的漏洞利用，隨著時間發展，攻擊隊自動化工具、自研工具逐漸普及並且專業化，0day漏洞、APT級別的社會工程學也更多的被使用，鏈式打擊源源不斷。

觀點3：關鍵資訊基礎設施依然是駭客熱衷的攻擊物件

在2020年所記錄的安全事件當中，政府、交通、衛生、教育、能源、運營商、金融這些涉及國家重要資訊系統與民生的設施依然是駭客熱衷的攻擊物件，攻擊所佔比例高達80%。上述行業關係到政治、經濟、科研文化等眾多領域，對國家的重要性不言而喻，任何一個系統一旦發生資料洩露或者功能破壞等事件，對國家安全、國計民生都會產生十分重大的影響。

觀點4：郵件成為網路釣魚攻擊的主要傳播方式

在釣魚攻擊中，利用郵件附件釣魚投放木馬的方式最為常見，佔全部釣魚事件的75%。除傳統的郵件釣魚之外，一些新的攻擊方式也漸漸出現。例如，攻擊隊員偽裝成面試者，利用通訊軟體向HR傳送偽裝成簡歷的病毒程式，實現釣魚與社工相結合。面對這類新奇的攻擊方式，經驗不足的員工往往會“繳械投降”，因此，企業內部人員的安全意識也面臨著新的考驗。

觀點5：針對性勒索事件比例上升，資料竊取與

勒索攻擊團體為了追求更大的利益，有針對性的定向勒索攻擊事件佔總勒索事件的比例持續上升。2020年度勒索軟體團體一個較大的變化是資料竊取與洩露事件的增加，即勒索軟體運營商與攻擊者不僅限於對受害者資料進行加密，還會竊取受害者資料，並威脅如果不支付贖金就將資料外洩。

觀點6：挖礦病毒再次活躍

2020年上半年，受比特幣、以太幣等數字貨幣行情影響，挖礦病毒再度活躍。挖礦程式會佔用CPU進行超頻運算，導致CPU嚴重損耗，甚至影響伺服器上的其他應用正常執行。

一方面，攻擊者延續以往思路，利用弱口令攻擊目標並種植挖礦病毒；另一方面也“老樹開新花”，以自動化+人工的方式進行漏洞利用和內網滲透。在攻擊目標選擇上，部分攻擊者瞄準了算力較強的大資料平臺、雲平臺進行針對性攻擊。

觀點7：資料安全形勢日益嚴峻，資訊篡改類攻擊仍在增加

近年來，資訊洩露與破壞事件頻發，資料安全形勢日益嚴峻。部分傳統IT廠商不重視資料基礎設定安全配置，使用者資料訪問控制配置不夠完善，資料的安全得不到有效保障。一些新興的網際網路企業，在短時間內使用者資料量爆炸式增長，資料安全建設跟不上業務膨脹的速度，導致使用者資料洩露的情況時有發生。

觀點8：安全事件平均響應時間為116天

在國家和社會對網路空間安全愈加重視的前提下，網路安全常態化防禦的理念深入人心，政府、企業和個人在網路安全保障方面的投入都不斷增加，這直接提升了安全事件的發現能力。

2020年安全事件平均響應時間為116天，相較2019年縮短了2/3。其中，66.76%的安全事件是透過日常運維、滲透演練和員工上報發現的。