前言

在新基建的七大領(lǐng)域中，工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能(以及5G網(wǎng)絡(luò)的應(yīng)用)可以稱之為“數(shù)字新基建”，重點(diǎn)是通過數(shù)字技術(shù)的投入、積累與發(fā)展，激發(fā)傳統(tǒng)行業(yè)通過數(shù)字化改造升級(jí)實(shí)現(xiàn)價(jià)值的躍升。“新基建”的提出，打破了傳統(tǒng)的產(chǎn)業(yè)邊界，加速了產(chǎn)業(yè)間的融合創(chuàng)新，為眾多企業(yè)提供了數(shù)字化轉(zhuǎn)型搶先加速、彎道超車的窗口期。但是，“新基建”在助力產(chǎn)業(yè)新秩序重新建立的同時(shí)，也將面臨網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)。網(wǎng)絡(luò)安全將成為提升企業(yè)數(shù)字化轉(zhuǎn)型核心競(jìng)爭(zhēng)力的關(guān)鍵因素。為充分應(yīng)對(duì)數(shù)字化轉(zhuǎn)型過程中面臨的網(wǎng)絡(luò)安全威脅，數(shù)字化轉(zhuǎn)型企業(yè)需要從戰(zhàn)略角度切入，改變過去被動(dòng)防御的傳統(tǒng)思維，做好主動(dòng)規(guī)劃和安全管理，從“情報(bào)—攻防—管理—規(guī)劃”四個(gè)維度構(gòu)建企業(yè)安全免疫系統(tǒng)。

[[325153]]

而威脅情報(bào)作為企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要差異化因素之一，對(duì)企業(yè)優(yōu)化風(fēng)險(xiǎn)應(yīng)對(duì)策略，強(qiáng)化應(yīng)急處置能力，完善企業(yè)縱深防御體系、提升企業(yè)整體安全防御能力，助推企業(yè)數(shù)字化轉(zhuǎn)型具有重要意義。為提升數(shù)字化轉(zhuǎn)型企業(yè)的網(wǎng)絡(luò)安全意識(shí)，鼓勵(lì)企業(yè)充分利用威脅情報(bào)應(yīng)對(duì)層出不窮的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，督促數(shù)字化轉(zhuǎn)型企業(yè)履行網(wǎng)絡(luò)安全主體責(zé)任，中國信息通信研究院安全研究所產(chǎn)業(yè)互聯(lián)網(wǎng)安全實(shí)驗(yàn)室聯(lián)合騰訊安全威脅情報(bào)中心從網(wǎng)絡(luò)安全、終端安全、云安全等維度對(duì)2019年的威脅情報(bào)現(xiàn)狀進(jìn)行監(jiān)測(cè)匯總，同時(shí)對(duì)重點(diǎn)網(wǎng)絡(luò)安全威脅事件進(jìn)行復(fù)盤說明，詳細(xì)分析威脅成因并給出了針對(duì)性的對(duì)策建議，供相關(guān)機(jī)構(gòu)人員參考。

一、2019年威脅情報(bào)態(tài)勢(shì)總覽

就2019年全年網(wǎng)絡(luò)安全態(tài)勢(shì)而言，網(wǎng)絡(luò)安全事件數(shù)量仍然呈現(xiàn)上升趨勢(shì)。DDoS攻擊憑借其極低的技術(shù)門檻和成本位居網(wǎng)絡(luò)攻擊之首，大量 DDoS 黑產(chǎn)通過惡意流量擠占網(wǎng)絡(luò)帶寬，擾亂正常運(yùn)營，尤其給企業(yè)服務(wù)(如通信服務(wù)、常用軟件工具等)、游戲、電商等領(lǐng)域帶來了不小困擾。

其次，2019年度針對(duì)企業(yè)終端的攻擊依然未有放緩。一方面，攻擊者通過漏洞利用、爆破攻擊、社工釣魚等主流攻擊方式攻陷企業(yè)服務(wù)器，進(jìn)而通過內(nèi)網(wǎng)橫向滲透進(jìn)一步攻陷更多辦公機(jī)器。另一方面，企業(yè)員工的不良上網(wǎng)習(xí)慣也同樣會(huì)給企業(yè)帶來一定的威脅，包括使用盜版系統(tǒng)、破解補(bǔ)丁、游戲外掛等。值得注意的是，近年來針對(duì)Linux平臺(tái)的攻擊活動(dòng)也呈現(xiàn)逐漸上升趨勢(shì)，企業(yè)安全運(yùn)營者需引起關(guān)注。

此外，針對(duì)云平臺(tái)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的入侵、病毒等安全問題也逐漸呈常態(tài)化趨勢(shì)，針對(duì)云平臺(tái)架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新的安全問題層出不窮。而且由于云服務(wù)具有成本低、便捷性高、擴(kuò)展性好的特點(diǎn)，利用云平臺(tái)提供服務(wù)或資源去攻擊其他目標(biāo)也成為一種新的安全問題。

除了上述提到的網(wǎng)絡(luò)安全威脅，勒索病毒、挖礦木馬已成為近年主流的PC端惡意軟件，并形成了完整的產(chǎn)業(yè)鏈。通過垃圾郵件、釣魚郵件實(shí)現(xiàn)勒索病毒、挖礦木馬定向傳播，利用Office 高危漏洞構(gòu)造攻擊文件、在 Office 文檔中嵌入惡意攻擊宏代碼、結(jié)合社會(huì)工程欺騙等手法成為常用技巧。

暗流涌動(dòng)的網(wǎng)絡(luò)黑產(chǎn)、重新崛起的 DDoS 攻擊、層出不窮的各類木馬、趨于常態(tài)的病毒勒索，影響深遠(yuǎn)的數(shù)據(jù)泄露都為企業(yè)的數(shù)字化轉(zhuǎn)型帶來了巨大的挑戰(zhàn)。頻發(fā)的網(wǎng)絡(luò)安全事件，加重了企業(yè)在數(shù)字化轉(zhuǎn)型過程中關(guān)于網(wǎng)絡(luò)安全的思考。

二、企業(yè)面臨的網(wǎng)絡(luò)安全威脅現(xiàn)狀

2.1網(wǎng)絡(luò)安全威脅

根據(jù) 2019 年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，在網(wǎng)絡(luò)攻擊方面，主要的網(wǎng)絡(luò)側(cè)攻擊為 DDoS攻擊和BGP劫持。

2.1.1 DDoS攻擊

在信息技術(shù)高速革新的背景下，網(wǎng)絡(luò)空間面臨的安全威脅不斷升級(jí)，越來越多的服務(wù)器、個(gè)人電腦以及IoT設(shè)備淪為黑客的攻擊目標(biāo)。在企業(yè)面臨的網(wǎng)絡(luò)安全威脅中，DDoS攻擊憑借其技術(shù)門檻低、攻擊速度快等特點(diǎn)，成為了大量黑產(chǎn)的“核武器”，通過惡意流量擠占網(wǎng)絡(luò)資源，擾亂正常運(yùn)營，給企業(yè)發(fā)展帶來極大威脅。

DDoS攻擊的歷史由來已久，同時(shí)在云生態(tài)環(huán)境下愈演愈烈。一方面，隨著云計(jì)算和物聯(lián)網(wǎng)技術(shù)的發(fā)展，越來越多的可利用設(shè)備暴露在公共網(wǎng)絡(luò)中;另一方面，某些國外用戶甚至以個(gè)人名義申請(qǐng)成為通信服務(wù)運(yùn)營商，以此來獲取更多的帶寬資源以及自行配置路由器選項(xiàng)的權(quán)限。這都導(dǎo)致攻擊者對(duì) DDoS 資源的獲取變得更加容易。同時(shí)，隨著云服務(wù)提供商對(duì)網(wǎng)絡(luò)外部資源的使用增加，DDoS攻擊對(duì)云服務(wù)提供商網(wǎng)絡(luò)級(jí)別上的威脅也同步增強(qiáng)。

在攻擊目標(biāo)方面，根據(jù) 2019 年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，約三分之二的 DDoS 攻擊事件以云平臺(tái)上的IP作為攻擊目標(biāo)，云平臺(tái)已成為DDoS攻擊事件發(fā)生的重災(zāi)區(qū);超過四分之一的目標(biāo)IP是專門的IDC機(jī)房IP或高防機(jī)房IP，針對(duì)個(gè)人或單獨(dú)組織的相對(duì)較少。

當(dāng)前 DDoS 的攻擊趨勢(shì)整體呈現(xiàn)攻擊目標(biāo)所屬行業(yè)分布廣泛、超大流量規(guī)模性攻擊次數(shù)上升、整體攻擊次數(shù)降低、目標(biāo)攻擊越發(fā)精準(zhǔn)等趨勢(shì)。在攻擊目標(biāo)所屬行業(yè)分布方面，DDoS對(duì)包含互聯(lián)網(wǎng)、游戲、電商、金融等多個(gè)行業(yè)都造成了極大的威脅，其中遭受DDoS攻擊最多的行業(yè)分別是行業(yè)工具、游戲、電商。

從全年的攻擊流量分布情況上看，98.8%以上的攻擊流量為小于100G的流量，99.6%以上的攻擊為小于200G流量。2019年度300-400G梯度的大流量攻擊與往年相比基本持平，而大于400G的超大型流量攻擊的次數(shù)明顯超過往年。

結(jié)合數(shù)據(jù)分析發(fā)現(xiàn)，雖然基于超大流量的規(guī)模性攻擊次數(shù)有所上升，但全年對(duì)云平臺(tái)的流量攻擊總次數(shù)有所減少。目前的 DDoS 攻擊呈現(xiàn)出高度集成管理的態(tài)勢(shì)，攻擊者通過不斷優(yōu)化手段，試圖以最小的攻擊成本達(dá)到最優(yōu)的攻擊效果。從結(jié)果來看，攻擊者的嘗試也確實(shí)取得了一定效果，全年總體的攻擊次數(shù)雖有所回落，但攻擊成效大大提升。據(jù)此可推斷，隨著云平臺(tái)的廣泛使用，攻擊者對(duì)云服務(wù)平臺(tái)防御手段和防御策略的研究投入了大量的精力。為實(shí)現(xiàn)以最小攻擊成本達(dá)到最佳效果，通過對(duì) DDoS 攻擊策略實(shí)現(xiàn)個(gè)性化定制提升攻擊精準(zhǔn)化水平將是今后DDoS攻擊的一大趨勢(shì)。

2.1.2 BGP劫持

BGP 劫持即偽造網(wǎng)絡(luò)層可達(dá)性信息，云服務(wù)提供商為了實(shí)現(xiàn)快速網(wǎng)絡(luò)查找目標(biāo)，使得路由盡可能高效查找到目標(biāo) IP 并進(jìn)行通信，會(huì)使用 BGP 協(xié)議，即邊界網(wǎng)關(guān)協(xié)議。在 BGP劫持的情況下，某個(gè)獨(dú)立運(yùn)營的網(wǎng)絡(luò)或自治系統(tǒng)(AS)公告實(shí)際上不屬于其控制的自治系統(tǒng)地址空間，而此公告未被過濾，傳播到正常的 BGP 路由表中，從而引發(fā)全球性的路由查找錯(cuò)誤。這種錯(cuò)誤通常是由于配置錯(cuò)誤而發(fā)生的，但一旦發(fā)生有很大可能影響云資源的可用性。

2.2終端安全威脅

2019 年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示,2019 年針對(duì)企業(yè)網(wǎng)絡(luò)終端的攻擊依然未有放緩。企業(yè)的終端安全威脅主要來源于三方面，一是攻擊者通過漏洞利用、爆破攻擊、社工釣魚等方式攻陷企業(yè)服務(wù)器，通過內(nèi)網(wǎng)橫向滲透進(jìn)一步攻陷更多辦公機(jī)器;二是企業(yè)員工不良的上網(wǎng)習(xí)慣也給企業(yè)帶來了巨大的安全威脅，比如使用盜版系統(tǒng)、破解補(bǔ)丁、游戲外掛等;三是針對(duì)Linux平臺(tái)的攻擊活動(dòng)逐漸增加。

2.2.1終端安全性

根據(jù)2019年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，在平均每周都攔截到病毒木馬的終端中，約12%的機(jī)器為企業(yè)終端。全年內(nèi)攔截過病毒木馬攻擊的企業(yè)終端中，40%的機(jī)器平均每周攔截至少一次病毒木馬攻擊。在企業(yè)終端染毒類型分布方面，占比前兩位的分別是風(fēng)險(xiǎn)類軟件和后門遠(yuǎn)控類木馬，占比分別為44%和21%。

從各行業(yè)的感染病毒類型分布情況來看，風(fēng)險(xiǎn)木馬類軟件在各行業(yè)的染毒事件中占比最高，均在 40%以上。風(fēng)險(xiǎn)木馬軟件感染主要是由不良的上網(wǎng)習(xí)慣及缺乏安全意識(shí)引起，如使用盜版軟件或外掛工具等。因此，相較于政府、金融、醫(yī)療和教育行業(yè)，科技行業(yè)感染風(fēng)險(xiǎn)木馬軟件的比例更小。后門遠(yuǎn)控類木馬是除了風(fēng)險(xiǎn)軟件之外感染量最大的染毒類型，占比在 20%左右。后門遠(yuǎn)控類木馬有著極高的隱蔽性，可接受遠(yuǎn)程指令執(zhí)行信息竊取、截屏、文件上傳等操作，造成信息泄露等嚴(yán)重后果。

2.2.2終端脆弱性

當(dāng)前，數(shù)量龐大且安全性薄弱的智能終端設(shè)備已然成為攻擊者的新目標(biāo)。漏洞利用及端口爆破是攻陷終端設(shè)備的重要手段，攻擊者通過漏洞利用或爆破攻擊公網(wǎng)環(huán)境下的服務(wù)器，隨后進(jìn)行內(nèi)網(wǎng)橫向滲透。

從企業(yè)終端漏洞修復(fù)角度來看，根據(jù)2019年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，截至2019年12月底，有 79%的企業(yè)終端上至少存在一個(gè)未修復(fù)的高危漏洞。在主要的高危漏洞中，LNK漏洞(CVE-2017-8464)補(bǔ)丁安裝比例最高，RTF漏洞(CVE-2017-0199)補(bǔ)丁安裝比例最低，仍有74%的機(jī)器未安裝該補(bǔ)丁。而RTF漏洞文檔常被攻擊者通過郵件釣魚的方式利用，進(jìn)而發(fā)起APT攻擊，一旦機(jī)器失陷將會(huì)給企業(yè)造成極大的損失。

從常見服務(wù)器漏洞攻擊類型來看，如果企業(yè)、政府開放的服務(wù)器存在高危漏洞，可能導(dǎo)致災(zāi)難性的后果，其實(shí)許多黑客攻擊和惡意軟件入侵是可以預(yù)防的。通過對(duì)暴露在公網(wǎng)的服務(wù)器做抽樣分析發(fā)現(xiàn)，常見的攻擊類型中，遠(yuǎn)程代碼執(zhí)行(RCE)、SQL 注入、XSS 攻擊類型比例較高，探測(cè)性掃描(Probe Scan)發(fā)生的頻率也較高。

從高危端口開放情況來看，我們將黑客攻擊頻次較高且較為常見的端口(如21、22、53 等端口)定義為高危端口，并對(duì) Web 服務(wù)器等互聯(lián)網(wǎng)空間資產(chǎn)做抽樣空間測(cè)繪，發(fā)現(xiàn)有大量網(wǎng)絡(luò)資產(chǎn)開放了高危端口，存在較高的安全隱患。除了22、1900等端口之外，還有較大比例的郵件服務(wù)、數(shù)據(jù)庫服務(wù)等端口暴露在公共互聯(lián)網(wǎng)上。

2.2.3終端失陷后的橫向擴(kuò)散

迄今為止，絕大多數(shù)企業(yè)都還是通過部署防火墻進(jìn)行內(nèi)外網(wǎng)隔離構(gòu)建安全體系。企業(yè)內(nèi)網(wǎng)被認(rèn)為是可信區(qū)間，為了便于日常工作的開展，通常不會(huì)嚴(yán)格限制員工對(duì)內(nèi)網(wǎng)資源的訪問。因此，當(dāng)病毒突破外圍防火墻進(jìn)入內(nèi)網(wǎng)環(huán)境之后，將會(huì)在內(nèi)網(wǎng)肆意擴(kuò)散。病毒為了讓其自身惡意行為實(shí)現(xiàn)效益最大化，首先會(huì)通過開機(jī)啟動(dòng)實(shí)現(xiàn)用戶系統(tǒng)常駐，進(jìn)而嘗試內(nèi)網(wǎng)橫向傳播。常見的攻擊形式主要包括漏洞利用傳播、弱口令爆破以及文件共享傳播等。

➢ 常見攻擊形式

(1) 漏洞利用傳播

從針對(duì)系統(tǒng)組件的漏洞攻擊情況來看，2019年發(fā)生頻率最高的內(nèi)網(wǎng)病毒傳播事件仍然是利用內(nèi)網(wǎng)SMB共享服務(wù)漏洞進(jìn)行傳播的“永恒之藍(lán)”木馬下載器，該木馬通過多種方式在企業(yè)內(nèi)網(wǎng)攻擊傳播，以組建僵尸網(wǎng)絡(luò)挖礦為主要目的。有多個(gè)企業(yè)因未及時(shí)修補(bǔ)“永恒之藍(lán)漏洞”而被反復(fù)攻陷。

(2) 弱口令爆破攻擊

弱密碼爆破攻擊在入侵內(nèi)網(wǎng)以及作為橫向擴(kuò)散的手段上效果顯著。對(duì)部分已檢測(cè)的服務(wù)器做抽樣分析發(fā)現(xiàn)，弱密碼爆破攻擊集中發(fā)生在凌晨12點(diǎn)到6點(diǎn)之間的非工作時(shí)段。實(shí)際上，黑客成功入侵局域網(wǎng)之后對(duì)內(nèi)網(wǎng)的爆破攻擊，使用的協(xié)議與外網(wǎng)有較大不同，SMB 攻擊最為常見，其次是遠(yuǎn)程桌面連接爆破和SSH爆破。

(3) 文件共享傳播

根據(jù)企業(yè)的應(yīng)急處置經(jīng)驗(yàn)發(fā)現(xiàn)，文件共享目錄、可移動(dòng)介質(zhì)是蠕蟲病毒、感染型病毒、Office文檔病毒在內(nèi)網(wǎng)的感染重災(zāi)區(qū)。這三類病毒一般都以竊取敏感信息為主要目的。

➢ 企業(yè)終端失陷的后果

(1) 敲詐勒索

勒索病毒通過恐嚇、綁架用戶文件或破壞用戶計(jì)算機(jī)等方式，向用戶勒索數(shù)字貨幣。通過加密用戶系統(tǒng)內(nèi)的重要資料文檔，再結(jié)合虛擬貨幣交易實(shí)施犯罪依然為當(dāng)前勒索病毒使用的最主要勒索形式。

(2) 挖礦木馬

根據(jù)監(jiān)測(cè)數(shù)據(jù)發(fā)現(xiàn)，2019年3月份挖礦木馬感染處于峰值，隨后逐步下降，感染量基本穩(wěn)定持平。感染了挖礦木馬的機(jī)器會(huì)被消耗掉大量的系統(tǒng)資源，造成系統(tǒng)卡慢，此外還存在信息竊取、植入后門等潛在風(fēng)險(xiǎn)。

(3) 信息竊密

信息竊密類木馬其主要目的是獲取機(jī)器上的機(jī)密敏感信息，科研機(jī)構(gòu)、高校、高科技企業(yè)及政府機(jī)關(guān)等最易受到這類木馬攻擊，竊取的信息包括失陷機(jī)器相關(guān)信息(MAC 及 IP地址、操作系統(tǒng)版本等)，個(gè)人或企業(yè)信息(如企業(yè)員工聯(lián)系方式，企業(yè)郵箱等)，重要機(jī)密文件等。

(4) 肉雞后門

攻擊者攻陷一臺(tái)主機(jī)獲得其控制權(quán)后，往往會(huì)在主機(jī)上植入后門，安裝木馬程序，以便下一次入侵時(shí)使用。后門木馬會(huì)長(zhǎng)期駐留在受害機(jī)器上，接受遠(yuǎn)控指令執(zhí)行定期更新、遠(yuǎn)程下載執(zhí)行、鍵盤監(jiān)控、文件竊取上傳等功能。此外，隨著IoT物聯(lián)網(wǎng)設(shè)備的增加，針對(duì)IoT設(shè)備的攻擊也越來越頻繁，攻擊成功后通過植入后門、組建僵尸網(wǎng)絡(luò)、開展挖礦、DDoS攻擊等進(jìn)行獲利。

(5) 刷量推廣

刷量推廣類病毒木馬主要是通過下載器、盜版 ghost 系統(tǒng)、流氓軟件推裝、游戲外掛等傳播，還會(huì)通過搜索引擎競(jìng)價(jià)排名推廣以獲得更大的受眾面。為了誘導(dǎo)用戶下載，此類病毒木馬往往會(huì)偽裝成知名的第三方軟件，如flashplayer、photoshop等。其獲利渠道主要是主頁鎖定、軟件推裝、暗刷流量、廣告彈窗等。

2.3云安全威脅

隨著云計(jì)算解決方案優(yōu)勢(shì)逐漸顯現(xiàn)，越來越多的企業(yè)機(jī)構(gòu)選擇將其業(yè)務(wù)上云，為云計(jì)算服務(wù)提供商提供了更為廣闊的市場(chǎng)。但與此同時(shí)，由于云技術(shù)本身共享的特性，內(nèi)部各層次有相互關(guān)聯(lián)，暴露在公共互聯(lián)網(wǎng)的資產(chǎn)、服務(wù)、接口更多，影響的用戶也更多，“云”的安全問題被提升到至關(guān)重要的位置。

2.3.1云安全威脅全景

在云平臺(tái)上，除了DDoS、入侵、病毒等傳統(tǒng)安全問題，針對(duì)云平臺(tái)架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新安全問題也層出不窮。此外，由于云服務(wù)具有成本低、便捷性高、擴(kuò)展性好的特點(diǎn)，利用云提供的服務(wù)或資源去攻擊其他目標(biāo)的也成為一種新的安全問題。

根據(jù)2019年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，云資源作為攻擊源的比例在所有國內(nèi)攻擊源中已接近一半。在云計(jì)算生態(tài)環(huán)境下，暴露給攻擊者的信息表面看與傳統(tǒng)架構(gòu)中基本一致，但是由于云生態(tài)環(huán)境下虛擬化技術(shù)、共享資源、復(fù)雜的架構(gòu)以及邏輯層次的增加，導(dǎo)致可利用的攻擊面增加，攻擊者可使用的攻擊路徑和復(fù)雜度也大大增加。

惡意攻擊者從互聯(lián)網(wǎng)環(huán)境下攻擊云租戶和平臺(tái)(包括云平臺(tái)的底層資源、管理軟件、管理界面、服務(wù)器集群等)的攻擊路徑包括如下幾類：

⚫ 裸金屬服務(wù)器管理接口：潛在攻擊者利用裸金屬服務(wù)開放的IPMI等管理接口存在的漏洞和缺陷，控制服務(wù)器底層硬件，并進(jìn)一步利用帶外管理網(wǎng)絡(luò)橫向擴(kuò)展，作為跳板訪問云管理和控制平臺(tái)的內(nèi)部接口，嘗試對(duì)平臺(tái)和其他租戶發(fā)起攻擊;

⚫ 租戶虛擬機(jī)逃逸：潛在攻擊者通過租戶應(yīng)用的數(shù)據(jù)庫、Web 等應(yīng)用程序漏洞，進(jìn)入云服務(wù)使用者(IaaS 平臺(tái)的租戶所擁有的虛擬機(jī)實(shí)例)的操作系統(tǒng)，并進(jìn)一步通過潛在的虛擬化逃逸漏洞進(jìn)入云資源底層的 Hypervisor，進(jìn)而控制云平臺(tái)底層資源并進(jìn)行橫向擴(kuò)展;

⚫ 獨(dú)立租戶 VPC 實(shí)例模式的容器和微服務(wù)網(wǎng)絡(luò)攻擊：潛在攻擊者通過微服務(wù)管理系統(tǒng)的脆弱性或容器安全漏洞，進(jìn)入云服務(wù)提供商所使用的虛擬機(jī)實(shí)例操作系統(tǒng)，隨后進(jìn)一步通過潛在的虛擬化逃逸漏洞進(jìn)入云資源底層的 Hypervisor，進(jìn)而控制云平臺(tái)底層資源并進(jìn)行橫向擴(kuò)展;

⚫ 共享集群模式容器和微服務(wù)網(wǎng)絡(luò)攻擊：潛在攻擊者通過容器逃逸或微服務(wù)組件漏洞，直接控制物理服務(wù)器執(zhí)行惡意操作或進(jìn)行橫向擴(kuò)展;

⚫ SaaS 服務(wù)共享集群模式攻擊：潛在攻擊者通過云服務(wù)提供商所提供的 SaaS 類服務(wù)能夠使用的API、中間件、數(shù)據(jù)庫等漏洞，直接逃逸或越權(quán)訪問進(jìn)入提供服務(wù)的底層服務(wù)器集群，執(zhí)行惡意操作，竊取數(shù)據(jù)或進(jìn)行橫向擴(kuò)展;

⚫ 惡意攻擊者針對(duì)云服務(wù)平臺(tái)業(yè)務(wù)互聯(lián)網(wǎng)絡(luò)的旁路攻擊：惡意攻擊者通過對(duì)于云平臺(tái)業(yè)務(wù)連接的相關(guān)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行APT攻擊，并進(jìn)一步迂回橫向擴(kuò)展返回攻擊云平臺(tái)業(yè)務(wù)、運(yùn)維或管理網(wǎng)絡(luò);

⚫ 惡意攻擊者針對(duì)云服務(wù)平臺(tái)開發(fā)/運(yùn)營網(wǎng)絡(luò)的旁路攻擊：惡意攻擊者通過對(duì)于云平臺(tái)連接的運(yùn)維或管理內(nèi)部網(wǎng)絡(luò)進(jìn)行 APT 攻擊，并進(jìn)一步迂回橫向擴(kuò)展返回攻擊云平臺(tái)業(yè)務(wù)、運(yùn)維或管理網(wǎng)絡(luò);

⚫ 針對(duì)云用戶控制臺(tái)界面或開放式 API 的攻擊：潛在攻擊者通過云服務(wù)提供商提供的控制臺(tái)或開放式API，利用控制臺(tái)應(yīng)用漏洞或API漏洞訪問，對(duì)租戶資源或平臺(tái)進(jìn)行攻擊。

此外，在攻擊路徑圖中還存在一系列橫向擴(kuò)展路徑。橫向擴(kuò)展指當(dāng)攻擊者成功獲取到租戶或平臺(tái)系統(tǒng)的一定權(quán)限后，利用網(wǎng)絡(luò)或共享資源進(jìn)行橫向遷移，進(jìn)一步擴(kuò)大攻擊范圍，獲取其他租戶和系統(tǒng)的資源、數(shù)據(jù)或訪問權(quán)限的情況，具體路徑包括：

⚫ 利用租戶資源和訪問權(quán)限，在 VPC 內(nèi)進(jìn)行橫向遷移攻擊，或作為跳板攻擊其他用戶;

⚫ 利用微服務(wù)不同功能組件間共享資源或權(quán)限的橫向遷移;

⚫ 利用共享數(shù)據(jù)庫集群間的資源或數(shù)據(jù)進(jìn)行橫向遷移;

⚫ 當(dāng)成功實(shí)現(xiàn)虛擬機(jī)逃逸后，利用Hypervisor和硬件層面的控制面網(wǎng)絡(luò)和接口進(jìn)行橫向遷移;

⚫ 利用網(wǎng)絡(luò)虛擬化的共享資源、威脅接觸面和控制面網(wǎng)絡(luò)進(jìn)行橫向遷移;

⚫ 利用存儲(chǔ)虛擬化的共享資源、威脅接觸面和控制面網(wǎng)絡(luò)進(jìn)行橫向遷移;

⚫ 利用云平臺(tái)管理面/控制面和業(yè)務(wù)面間的接口進(jìn)行橫向遷移;

⚫ BMC 等固件破壞后獲取進(jìn)行物理機(jī)層面的潛伏，或利用底層硬件權(quán)限反向獲取Hypervisor OS或租戶虛擬機(jī)OS的數(shù)據(jù)和系統(tǒng)訪問權(quán)限。

2.3.2基礎(chǔ)攻擊面

➢ 云主機(jī)安全

云主機(jī)是云服務(wù)提供商為客戶提供的海量虛擬化服務(wù)器，企業(yè)可根據(jù)實(shí)際業(yè)務(wù)需求在云主機(jī)實(shí)現(xiàn)資源的靈活配置。企業(yè)租用的云主機(jī)與企業(yè)自有終端在管理維護(hù)上具有一定的相似性，因此云主機(jī)同樣會(huì)面臨傳統(tǒng)終端可能遭遇的威脅。

為了在黑客入侵前發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)點(diǎn)，安全管理人員通常通過專業(yè)的風(fēng)險(xiǎn)評(píng)估工具，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行檢測(cè)、移除和控制，以此來減小攻擊面。

(1) 風(fēng)險(xiǎn)來源

常見的云主機(jī)安全風(fēng)險(xiǎn)主要源自安全補(bǔ)丁、漏洞、弱密碼、應(yīng)用風(fēng)險(xiǎn)、賬號(hào)風(fēng)險(xiǎn)等。

⚫ 云主機(jī)高危端口開放

在對(duì)Web服務(wù)器等互聯(lián)網(wǎng)空間資產(chǎn)做空間測(cè)繪后發(fā)現(xiàn)，有大量的資產(chǎn)開放了高危端口，存在較高的安全隱患。除了22、1900等端口之外，還有較大比重的郵件服務(wù)、數(shù)據(jù)庫服務(wù)等端口暴露在公網(wǎng)上。

⚫ 云主機(jī)軟件弱密碼

不同服務(wù)都具有各自服務(wù)特色的弱口令，比如MySQL數(shù)據(jù)庫的默認(rèn)密碼為空。通過分析發(fā)現(xiàn)，主機(jī)軟件弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應(yīng)用上，其中MySQL和SSH超過云主機(jī)弱密碼風(fēng)險(xiǎn)總數(shù)的30%。

⚫ 高風(fēng)險(xiǎn)主機(jī)賬號(hào)普遍存在

主機(jī)系統(tǒng)賬號(hào)普遍存在各類風(fēng)險(xiǎn)，尤其是那些擁有Root權(quán)限的高風(fēng)險(xiǎn)賬號(hào)，更需要實(shí)時(shí)進(jìn)行監(jiān)控。根據(jù)風(fēng)險(xiǎn)賬號(hào)檢測(cè)結(jié)果，刪除主機(jī)中無用的賬號(hào)，按照權(quán)限最小化原則限制主機(jī)中可疑賬號(hào)的權(quán)限。通過對(duì)主機(jī)賬號(hào)分析發(fā)現(xiàn)，超過 95%的賬號(hào)都屬于高危賬號(hào)，這些高危賬號(hào)通常都存在不合規(guī)的配置問題。

⚫ 中高危漏洞修復(fù)不及時(shí)

各種軟件的漏洞修復(fù)不及時(shí)已經(jīng)成為大規(guī)模網(wǎng)絡(luò)與信息安全事件、重大信息泄露事件發(fā)生的主要原因之一。從漏洞等級(jí)上來說，漏洞可分為高危、中危、低危三大類。根據(jù)樣本數(shù)據(jù)分析發(fā)現(xiàn)，未修復(fù)的漏洞大部分是高?；蛘咧形５?，其中未修復(fù)的高危漏洞比例更是高達(dá)45.77%。在 2019年基于漏洞所影響的主機(jī)數(shù)量排名TOP10漏洞數(shù)據(jù)中，這些漏洞均已在2016年至2018年爆出，漏洞的不及時(shí)修復(fù)為企業(yè)帶來了嚴(yán)重的安全威脅。

(2) 入侵分析

通過對(duì)暴露在公網(wǎng)的服務(wù)器做抽樣分析發(fā)現(xiàn)，在常見的攻擊類型中，遠(yuǎn)程代碼執(zhí)行(RCE)、SQL 注入、XSS 攻擊類型比例較高，同時(shí)黑客為了獲取服務(wù)器、網(wǎng)站的基本信息，常見的探測(cè)性掃描(Probe Scan)量同樣非常高。

⚫ 全國主機(jī)感染病毒木馬的情況

2019 年，全國企業(yè)用戶服務(wù)器病毒木馬感染事件超百萬起。其中，Webshell 惡意程序感染事件近80萬起，占73.27%;Windows惡意程序感染事件占18.05%;Linux惡意程序感染事件占8.68?？梢奧ebshell是攻擊者針對(duì)服務(wù)器攻擊的重要手段。

從感染主機(jī)中共發(fā)現(xiàn)超1萬種木馬病毒，其中Webshel木馬病毒l約占27%，Windows木馬病毒約占61%，Linux木馬病毒約占12%。Webshell是一類專門針對(duì)服務(wù)器攻擊的惡意程序，隨著云服務(wù)器的大量增長(zhǎng)，Webshell的種類也在快速增加。值得注意的是，Linux平臺(tái)的木馬病毒也隨著云時(shí)代的到來而快速增長(zhǎng)。

單從感染 Webshell 的服務(wù)器操作系統(tǒng)看，約 44%的 Windows 服務(wù)器曾經(jīng)感染過Webshell，而 Linux服務(wù)器感染過Webshell的僅0.2%。從感染的Webshell語言類型來看，PHP類型的Webshell最多，其次是ASP語言。

⚫ 暴力破解目標(biāo)

攻擊者利用軟件對(duì)那些暴露在公網(wǎng)上的RDP、SSH、Telnet、FTP等服務(wù)進(jìn)行掃描，然后進(jìn)行暴力破解，進(jìn)而以存在弱口令的主機(jī)為基本立足點(diǎn)，借此攻陷整個(gè)系統(tǒng)?；ヂ?lián)網(wǎng)中存在大量的掃描系統(tǒng)會(huì)對(duì)云主機(jī)是否存在弱密碼進(jìn)行掃描。據(jù)有關(guān)報(bào)告顯示，端口暴露的單個(gè)Linux 系統(tǒng)，平均遭受超過 40000 次/天的網(wǎng)絡(luò)攻擊，攻擊頻率約 5 次/秒。存在弱口令的Linux系統(tǒng)，每月約有17000次被入侵成功。

⚫ 云上挖礦

根據(jù)不同操作系統(tǒng)樣本數(shù)據(jù)進(jìn)行分析，總共發(fā)現(xiàn)超過3000臺(tái)Windows服務(wù)器感染了挖礦木馬，超2000臺(tái)Linux服務(wù)器感染了挖礦木馬。通過對(duì)被感染的主機(jī)進(jìn)行分析，發(fā)現(xiàn)挖礦木馬主要挖比特幣與門羅幣。Windows 平臺(tái)挖礦事件主要發(fā)生在夜晚23 點(diǎn)以及3 點(diǎn)到8點(diǎn)之間，Linux平臺(tái)挖礦事件主要發(fā)生在凌晨2點(diǎn)到6點(diǎn)之間。

(3) 合規(guī)分析

所有企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)都需要滿足國家或監(jiān)管單位的安全標(biāo)準(zhǔn)，如等保2.0、CIS安全標(biāo)準(zhǔn)等，網(wǎng)絡(luò)安全管理的合規(guī)化建設(shè)是企事業(yè)單位需首要履行的義務(wù)。

⚫ 主機(jī)賬號(hào)的合規(guī)分析

在樣本分析過程中，我們發(fā)現(xiàn)很多賬號(hào)存在不合規(guī)情況，例如未設(shè)置密碼嘗試次數(shù)鎖定、未設(shè)置密碼復(fù)雜度限制等，這不符合國家等級(jí)保護(hù)相關(guān)要求。

⚫ 主機(jī)系統(tǒng)配置合規(guī)分析

缺乏對(duì)主機(jī)底層的操作系統(tǒng)的適當(dāng)配置，可能引發(fā)許多安全問題。通過研究分析樣本數(shù)據(jù)，發(fā)現(xiàn)GRUB密碼設(shè)置、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機(jī)系統(tǒng)風(fēng)險(xiǎn)中所占比例最多的三類。

⚫ 主機(jī)應(yīng)用合規(guī)分析

主機(jī)服務(wù)器承載了非常多的應(yīng)用，如果應(yīng)用中存在不合規(guī)的情況，例如配置錯(cuò)誤、安全漏洞未及時(shí)修復(fù)等。黑客就可能通過主機(jī)中的非合規(guī)應(yīng)用進(jìn)入主機(jī)系統(tǒng)內(nèi)部，進(jìn)而產(chǎn)生安全風(fēng)險(xiǎn)。

➢ 云上數(shù)據(jù)安全

對(duì)于任何企業(yè)而言，數(shù)據(jù)都是最寶貴的資產(chǎn)，尤其是業(yè)務(wù)數(shù)據(jù)和用戶數(shù)據(jù)，更是關(guān)乎其企業(yè)存亡的關(guān)鍵信息，企業(yè)上云后的數(shù)據(jù)安全一直是在云存儲(chǔ)數(shù)據(jù)的主要問題之一。隨著越來越多的企業(yè)將業(yè)務(wù)遷移到云上，部分敏感數(shù)據(jù)也將存儲(chǔ)在云上，數(shù)據(jù)安全已經(jīng)成為所有企業(yè)在產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代必須直面的挑戰(zhàn)。

(1) 數(shù)據(jù)泄露

云服務(wù)使用方可以在數(shù)據(jù)庫使用之初進(jìn)行完善的配置和良好的身份驗(yàn)證訪問和管理機(jī)制，使用云服務(wù)提供商提供的多重身份認(rèn)證以及密鑰管理服務(wù)進(jìn)行數(shù)據(jù)庫訪問的相關(guān)操作，對(duì)流程中的數(shù)據(jù)使用加密傳輸和加密存儲(chǔ);同時(shí)加強(qiáng)內(nèi)部員工的安全意識(shí)培訓(xùn)，防止在內(nèi)部出現(xiàn)數(shù)據(jù)泄露。

(2) 數(shù)據(jù)丟失

數(shù)據(jù)丟失的可能原因包括：文件意外刪除、惡意軟件(勒索軟件)、硬盤故障、電源故障、賬號(hào)劫持/入侵等情況。

三、重點(diǎn)網(wǎng)絡(luò)安全威脅說明

根據(jù) 2019 年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，2019 年勒索病毒主要呈現(xiàn)出傳統(tǒng)勒索家族轉(zhuǎn)向精準(zhǔn)化、勒索病毒定制個(gè)性化、勒索病毒與僵尸網(wǎng)絡(luò)融合化、中文定制化等趨勢(shì)。

3.1 勒索病毒攻擊情況

從2019年的勒索病毒攻擊事件來看，勒索病毒的主要攻擊方式是通過加密用戶系統(tǒng)內(nèi)的重要資料文檔、數(shù)據(jù)，來進(jìn)行虛擬貨幣勒索。當(dāng)加密數(shù)據(jù)勒索不成功時(shí)，再以泄露數(shù)據(jù)脅迫企業(yè)進(jìn)行盈利(Maze 和 Sodinokibi 已使用)。此外，使用群發(fā)勒索恐嚇郵件，命中收件人隱私信息后，再利用收件人的恐慌心理，實(shí)施欺詐勒索的方式也較為流行。

2019年國內(nèi)遭受勒索病毒攻擊最為嚴(yán)重的省市分別為廣東、北京、江蘇、上海、河北、山東，其它省份也遭受到不同程度攻擊。從勒索病毒入侵行業(yè)方面看，傳統(tǒng)企業(yè)、教育、政府機(jī)構(gòu)遭受攻擊最為嚴(yán)重，互聯(lián)網(wǎng)、醫(yī)療、金融、能源緊隨其后。而在勒索病毒攻擊方式方面，以弱口令爆破為主，其次為通過海量的垃圾郵件傳播以及借助僵尸網(wǎng)絡(luò)傳播。

3.2 挖礦木馬活動(dòng)情況

黑客入侵控制大量計(jì)算機(jī)并植入礦機(jī)程序后，利用計(jì)算機(jī)的 CPU 或 GPU 資源完成大量運(yùn)算，從而獲得數(shù)字加密貨幣。同時(shí)，黑產(chǎn)在暗網(wǎng)進(jìn)行非法數(shù)據(jù)或數(shù)字武器售賣時(shí)大部分采用比特幣作為交易貨幣，數(shù)字加密貨幣成為黑灰產(chǎn)業(yè)的流通媒介，進(jìn)而推動(dòng)了挖礦產(chǎn)業(yè)的持續(xù)繁榮。從2017年爆發(fā)之后，挖礦木馬逐漸成為網(wǎng)絡(luò)世界主要的威脅之一。

2019 年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，2019 年挖礦木馬攻擊呈“上升—下降—保持平穩(wěn)”的趨勢(shì)。2019年上半年挖礦木馬非?；钴S，高峰時(shí)檢出攻擊樣本超過10萬個(gè)/日;5月之后攻擊趨勢(shì)有所減緩，下降到了 6 萬個(gè)/日。從地區(qū)分布情況上來看，2019 年挖礦木馬在全國各地均有分布，其中感染最嚴(yán)重的省市分別為廣東、浙江、北京以及江蘇。受到挖礦木馬影響最為嚴(yán)重的行業(yè)分別為互聯(lián)網(wǎng)、制造業(yè)、科研和技術(shù)服務(wù)以及房地產(chǎn)業(yè)。

3.2.1 挖礦木馬活躍家族

根據(jù) 2019 年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)顯示，2019 年挖礦木馬最活躍的三個(gè)家族分別為WannaMiner、MyKings、DTLMiner(永恒之藍(lán)下載器木馬)。其中 MyKings 是老牌的僵尸網(wǎng)絡(luò)家族，而WannaMiner 和DTLMiner 分別在 2018 年初和年底出現(xiàn)。在 2019年這幾個(gè)家族都有超過 2 萬用戶的感染量，他們的共同特點(diǎn)為利用“永恒之藍(lán)”漏洞進(jìn)行蠕蟲式傳播，使用多種類的持久化攻擊技術(shù)，難以被徹底清除。

3.2.2主要入侵方式

2019年排名前三的挖礦木馬入侵方式分別是漏洞攻擊、弱口令爆破和借助僵尸網(wǎng)絡(luò)。由于挖礦木馬需要獲取更多的計(jì)算資源，所以利用普遍存在的漏洞和弱口令，或者是控制大量機(jī)器的僵尸網(wǎng)絡(luò)進(jìn)行大規(guī)模傳播成為挖礦木馬的主要手段。

3.2.3挖礦木馬技術(shù)特點(diǎn)

(1) 供應(yīng)鏈感染

2018年底出現(xiàn)的DTLMiner是利用現(xiàn)有軟件的升級(jí)功能進(jìn)行木馬分發(fā)，屬于供應(yīng)鏈感染的典型案例。黑客在后臺(tái)配置文件中插入木馬下載鏈接，導(dǎo)致軟件在升級(jí)時(shí)下載木馬文件。由于軟件本身擁有巨大的用戶量，導(dǎo)致木馬在短時(shí)間內(nèi)感染了大量的機(jī)器。

(2) 跨平臺(tái)攻擊和多種手段混合攻擊

挖礦木馬經(jīng)歷了從以控制普通電腦為主到以控制企業(yè)主機(jī)為主，從只控制 Windows挖礦到混合感染多個(gè)平臺(tái)的變化。我們監(jiān)測(cè)發(fā)現(xiàn)了“Agwl”、“蘿莉幫”、WannaMine、Satan等多個(gè)針對(duì)linux的挖礦木馬。黑產(chǎn)為了實(shí)現(xiàn)的利益最大化，還會(huì)將挖礦木馬與勒索軟件、遠(yuǎn)控后門、剪貼板大盜、DDoS等木馬打包進(jìn)行混合攻擊。

(3) 社交網(wǎng)絡(luò)

根據(jù)監(jiān)測(cè)，研究團(tuán)隊(duì)在2019年12月發(fā)現(xiàn)了通過社會(huì)工程騙術(shù)傳播的“老虎”挖礦木馬(LaofuMiner)。攻擊者將遠(yuǎn)控木馬程序偽裝成“火爆新聞”、“色情內(nèi)容”、“隱私

資料”、“詐騙技巧”等文件名，通過社交網(wǎng)絡(luò)發(fā)送到目標(biāo)電腦，當(dāng)受害者雙擊查看文件，會(huì)立刻被安裝“大灰狼”遠(yuǎn)控木馬。然后，攻擊者通過遠(yuǎn)控木馬控制中毒電腦下載挖礦木馬，中毒電腦隨即淪為礦工。

(4) VNC爆破

2019 年 3 月，Phorpiex 僵尸網(wǎng)絡(luò)針對(duì)被廣泛使用的遠(yuǎn)程管理工具“VNC”默認(rèn)端口5900進(jìn)行爆破攻擊，在高價(jià)值服務(wù)器上下載運(yùn)行GandCrab 5.2勒索病毒，加密重要系統(tǒng)資料實(shí)施敲詐勒索;若攻破有數(shù)字貨幣交易的電腦，則運(yùn)行數(shù)字貨幣錢包劫持木馬搶錢;若被攻擊的只是普通電腦，則植入門羅幣挖礦木馬，將之變成Phorpiex控制的礦工電腦。

(5) 惡意代碼檢測(cè)難度提升

⚫ “無文件”攻擊

2019年4月3日，DTLMiner在Powershell中反射加載PE映像，達(dá)到“無文件”形式執(zhí)行挖礦程序。這種方法直接在 Powershell.exe 進(jìn)程中運(yùn)行惡意代碼，注入“白進(jìn)程”執(zhí)行的方式可能造成難以檢測(cè)和清除挖礦代碼的后果。這也是被首次發(fā)現(xiàn)的大規(guī)模利用“無文件”形式執(zhí)行的挖礦木馬。

⚫ DLL側(cè)加載

為逃避殺軟檢測(cè)，KingMiner啟動(dòng)挖礦木馬時(shí)采用DLL側(cè)加載(DLL Side-Loading)技術(shù)，也就是“白+黑”技術(shù)，利用正常的有數(shù)字簽名的白文件來調(diào)用惡意DLL。其使用到的有微軟系統(tǒng)文件“Credential Backup and Restore Wizard(憑據(jù)備份和還原向?qū)?”和多個(gè)知名公司的數(shù)字簽名的文件。

(6) 阻斷其他木馬入侵，獨(dú)占挖礦資源

挖礦木馬會(huì)修改設(shè)置禁止其他機(jī)器通過遠(yuǎn)程桌面服務(wù)訪問本機(jī)，以此來阻止其他木馬進(jìn)入系統(tǒng)，從而達(dá)到獨(dú)占挖礦資源的目的。

3.3郵件安全威脅

本節(jié)我們將通過監(jiān)測(cè)到的實(shí)際案例總結(jié)2019年惡意郵件的影響情況。

3.3.1垃圾郵件

根據(jù)2019年威脅情報(bào)監(jiān)測(cè)數(shù)據(jù)，每天有大量垃圾郵件通過摻雜成語釋義、敏感詞混淆等手段與各類郵箱反過濾機(jī)制的對(duì)抗。

3.3.2惡意郵件

從惡意行為的角度來看，惡意郵件可以分為如下幾種：誘導(dǎo)回復(fù)敏感信息、誘導(dǎo)打開釣魚頁面鏈接、誘導(dǎo)打開帶毒附件。企業(yè)用戶日常容易遇到后兩種案例，典型代表如帶惡意附件的魚叉郵件。魚叉郵件是一種針對(duì)特定人員或特定公司的員工進(jìn)行定向傳播攻擊的惡意郵件。網(wǎng)絡(luò)犯罪分子首先會(huì)精心收集目標(biāo)對(duì)象的信息，使“誘餌”更具誘惑力。然后結(jié)合目標(biāo)對(duì)象信息，制作相應(yīng)主題的郵件和內(nèi)容，騙取目標(biāo)運(yùn)行惡意附件。

如下圖與“訂單”相關(guān)的郵件，通過將帶有精心構(gòu)造的“CVE-2017-8570”漏洞利用代碼的word文檔偽裝為附件“訂單列表”，誘使用戶打開文檔以觸發(fā)漏洞代碼邏輯，最終實(shí)現(xiàn)投放“NetWiredRC”遠(yuǎn)控木馬。在2017年爆發(fā)了WannaCry(永恒之藍(lán))勒索病毒后，很多變形后的勒索軟件通過空白主題的郵件進(jìn)行廣泛傳播。

3.3.3郵件安全案例

魚叉郵件主要以投遞“竊密”、“遠(yuǎn)控”、“勒索”木馬為目的。近年來，為了快速變現(xiàn)，投遞勒索病毒的趨勢(shì)日益加劇。其中，最受攻擊者青睞的是 Office 漏洞CVE-2017-11882。利用Office軟件的公式編輯器漏洞CVE-2017-11882實(shí)現(xiàn)隱秘遠(yuǎn)程下載的惡意郵件是十分常見的。由于郵件來源和內(nèi)容被高度偽裝，用戶很容易放下防備心打開文檔，進(jìn)而釋放病毒。雖然該漏洞的補(bǔ)丁早在2017年11 月已被公布以供修復(fù)，但實(shí)際上Office安全漏洞的修復(fù)率比系統(tǒng)補(bǔ)丁修復(fù)率要低得多，導(dǎo)致該漏洞被廣泛利用。

四、網(wǎng)絡(luò)安全威脅成因分析

隨著“新基建”的持續(xù)推進(jìn)，企業(yè)的數(shù)字化轉(zhuǎn)型步伐將逐步加快，未知的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)持續(xù)攀升，面臨的網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻。當(dāng)前，企業(yè)在數(shù)字化轉(zhuǎn)型過程中面臨的網(wǎng)絡(luò)安全問題主要包括安全意識(shí)淡薄、管理制度不健全、教育培訓(xùn)缺失、防護(hù)體系不完善等。加快提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平，助推企業(yè)數(shù)字化轉(zhuǎn)型迫在眉睫。

4.1安全意識(shí)淡薄，重視程度不足

當(dāng)攻擊者無法通過傳統(tǒng)技術(shù)手段對(duì)企業(yè)資產(chǎn)進(jìn)行攻擊時(shí)，由于企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)淡薄，使得人員管理上的漏洞成為攻擊者的突破口。例如源代碼不小心上傳到了開源的網(wǎng)站、應(yīng)用設(shè)置了簡(jiǎn)單的密碼口令、個(gè)人密碼企業(yè)密碼共用、隨意設(shè)置共享目錄、防毒軟件更新不及時(shí)等問題，降低了企業(yè)的網(wǎng)絡(luò)安全防護(hù)水平。企業(yè)需充分認(rèn)識(shí)到提高員工網(wǎng)絡(luò)安全意識(shí)的重要性，對(duì)內(nèi)部員工進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施，幫助企業(yè)內(nèi)部員工成為企業(yè)數(shù)據(jù)安全的優(yōu)秀屏障。

4.2管理制度不健全，責(zé)任落實(shí)不到位

健全的網(wǎng)絡(luò)安全管理制度是落實(shí)網(wǎng)絡(luò)安全主體責(zé)任的重要前提。網(wǎng)絡(luò)安全管理是一項(xiàng)系統(tǒng)化的工作，當(dāng)前大部分企業(yè)均在管理制度規(guī)范建設(shè)、安全崗位人員配備、網(wǎng)絡(luò)技術(shù)力量投入等方面做了大量基礎(chǔ)工作，但整體還存在一些不容忽視的共性問題，如管理制度不健全，缺乏配套的考核和獎(jiǎng)懲機(jī)制，網(wǎng)絡(luò)安全責(zé)任人、安全管理人員職責(zé)分工不明確，未建立企業(yè)內(nèi)部跨部門的網(wǎng)絡(luò)安全聯(lián)動(dòng)機(jī)制，未制定企業(yè)網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案等。這使得企業(yè)內(nèi)部的網(wǎng)絡(luò)安全管理工作無法做到有章可循，網(wǎng)絡(luò)安全主體責(zé)任落實(shí)不到位，企業(yè)整體網(wǎng)絡(luò)安全管理水平不高。

4.3教育培訓(xùn)缺失，實(shí)戰(zhàn)能力不足

網(wǎng)絡(luò)安全是企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的重要保障和前提，而網(wǎng)絡(luò)安全人才作為網(wǎng)絡(luò)安全的根本，是提升企業(yè)數(shù)字化轉(zhuǎn)型核心競(jìng)爭(zhēng)力的關(guān)鍵。隨著網(wǎng)絡(luò)安全人才需求迅速增長(zhǎng)，人才供應(yīng)缺口巨大是各國各行業(yè)亟待解決的重要問題。當(dāng)前企業(yè)網(wǎng)絡(luò)安全人才主要來源是高等教育院校畢業(yè)生和非科班人員轉(zhuǎn)化。高等教育院校畢業(yè)生存在著重理論、輕實(shí)踐，與企業(yè)實(shí)際需求脫節(jié)等問題，短期內(nèi)無法滿足企業(yè)實(shí)際的網(wǎng)絡(luò)安全人才需求。而職業(yè)教育培訓(xùn)周期短、針對(duì)性強(qiáng)是提升網(wǎng)絡(luò)安全從業(yè)人員專業(yè)技能的理想方式。但是目前大多企業(yè)都未對(duì)網(wǎng)絡(luò)安全從業(yè)人員和準(zhǔn)從業(yè)人員開展專業(yè)培訓(xùn)，導(dǎo)致網(wǎng)絡(luò)安全從業(yè)人員的實(shí)戰(zhàn)能力不強(qiáng)，企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力出現(xiàn)“木桶效應(yīng)”。

4.4防護(hù)體系不完善，威脅應(yīng)對(duì)不足

為充分應(yīng)對(duì)企業(yè)數(shù)字化轉(zhuǎn)型過程中層出不窮的網(wǎng)絡(luò)安全威脅，做好企業(yè)的網(wǎng)絡(luò)安全防護(hù)部署，需充分發(fā)揮先進(jìn)網(wǎng)絡(luò)安全技術(shù)優(yōu)勢(shì)，利用專業(yè)網(wǎng)絡(luò)安全解決方案，為企業(yè)的數(shù)字化轉(zhuǎn)型保駕護(hù)航。但是，通過上述的分析可見，當(dāng)前仍有部分企業(yè)的網(wǎng)絡(luò)安全防護(hù)體系并不完善，仍然存在網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)支撐不足，專業(yè)技術(shù)解決方案的缺失;安全操作配置不當(dāng);安全漏洞未及時(shí)修復(fù)等問題，無法建立從“專業(yè)設(shè)備安全配置—邊界安全防護(hù)—網(wǎng)絡(luò)安全態(tài)勢(shì)感知”的閉環(huán)管控，成為企業(yè)實(shí)現(xiàn)業(yè)務(wù)數(shù)字化、智能化升級(jí)的關(guān)鍵風(fēng)險(xiǎn)點(diǎn)。

五、建議舉措

5.1強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，筑牢網(wǎng)絡(luò)安全防線

我國相繼出臺(tái)《中華人民共和國國家安全法》《中華人民共和國反恐怖主義法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》等法律法規(guī)。隨著網(wǎng)絡(luò)安全法律的不斷完善，全面規(guī)范網(wǎng)絡(luò)空間安全管理已邁入法治化軌道。“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”維護(hù)網(wǎng)絡(luò)安全既是我們的權(quán)利也是我們的義務(wù)。構(gòu)建網(wǎng)絡(luò)安全網(wǎng)，是全社會(huì)共同的愿景，也是全社會(huì)的共同責(zé)任。相關(guān)企業(yè)從全面貫徹落實(shí)總體國家安全觀的高度，深刻把握信息化發(fā)展大勢(shì)，強(qiáng)化網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)，踐行網(wǎng)絡(luò)安全主體責(zé)任和義務(wù)，以高度的責(zé)任感和歷史使命感構(gòu)筑網(wǎng)絡(luò)安全防線，捍衛(wèi)國家網(wǎng)絡(luò)安全。

5.2健全安全管理制度，強(qiáng)化主體責(zé)任擔(dān)當(dāng)

企業(yè)應(yīng)充分認(rèn)識(shí)網(wǎng)絡(luò)安全工作的極端重要性，以國家網(wǎng)絡(luò)安全部署、行業(yè)網(wǎng)絡(luò)安全發(fā)展規(guī)劃為指導(dǎo)，結(jié)合企業(yè)實(shí)際建立和完善相應(yīng)的管理制度和工作流程，制定網(wǎng)絡(luò)安全責(zé)任制實(shí)施方案，從制度層面體現(xiàn)網(wǎng)絡(luò)安全工作人人有責(zé)、人人盡責(zé)的工作要求，認(rèn)真落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制。將網(wǎng)絡(luò)安全責(zé)任明確細(xì)化落實(shí)到具體部門、具體崗位、具體人員，不斷強(qiáng)化全體職工網(wǎng)絡(luò)安全責(zé)任意識(shí)。此外，不斷強(qiáng)化企業(yè)網(wǎng)絡(luò)安全責(zé)任監(jiān)督考核制度，完善健全考核機(jī)制，明確考核內(nèi)容、方法、程序并將考核結(jié)果作為對(duì)相關(guān)領(lǐng)導(dǎo)干部及相關(guān)共工作人員綜合考核評(píng)價(jià)的重要內(nèi)容，不斷推進(jìn)網(wǎng)絡(luò)安全責(zé)任制落實(shí)，確保國家網(wǎng)絡(luò)安全法律法規(guī)和黨中央、國務(wù)院等決策部署不打折扣地落實(shí)到位。嚴(yán)肅網(wǎng)絡(luò)安全監(jiān)督考核，強(qiáng)化制度執(zhí)行，細(xì)化考核內(nèi)容，把網(wǎng)絡(luò)安全責(zé)任考核嚴(yán)起來。

5.3加強(qiáng)人才能力建設(shè)，激發(fā)人才資源活力

網(wǎng)絡(luò)安全人才是網(wǎng)絡(luò)安全建設(shè)的核心資源，網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)情況直接影響到企業(yè)網(wǎng)絡(luò)安全保障能力的強(qiáng)弱。為提高企業(yè)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力，建設(shè)具有攻防實(shí)戰(zhàn)技能的網(wǎng)絡(luò)安全人才隊(duì)伍相關(guān)企業(yè)應(yīng)注重強(qiáng)化網(wǎng)絡(luò)安全教育培訓(xùn)工作，充分發(fā)揮網(wǎng)絡(luò)安全教育培訓(xùn)的重大作用。面向企業(yè)網(wǎng)絡(luò)安全負(fù)責(zé)人、安全管理人員及相關(guān)人員開展網(wǎng)絡(luò)安全教育培訓(xùn)，讓企業(yè)員工深入了解國家網(wǎng)絡(luò)安全面臨的嚴(yán)峻形勢(shì)，并通過剖析國內(nèi)外網(wǎng)絡(luò)安全事件，提升公司員工網(wǎng)絡(luò)安全意識(shí)，普及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)和基本技能，鞏固公司網(wǎng)絡(luò)空間安全構(gòu)筑，讓“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的思想深入人心，切實(shí)提升網(wǎng)絡(luò)安全教育培訓(xùn)質(zhì)量。在培訓(xùn)模式方面，不斷探索新思路、新方法，積極探索培訓(xùn)內(nèi)容的時(shí)效性、針對(duì)性和可操作性，補(bǔ)齊企業(yè)網(wǎng)絡(luò)安全教育培訓(xùn)短板，實(shí)現(xiàn)網(wǎng)絡(luò)安全培訓(xùn)規(guī)范化和常態(tài)化發(fā)展。此外，要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全教育培訓(xùn)管理，將企業(yè)網(wǎng)絡(luò)安全教育培訓(xùn)納入企業(yè)網(wǎng)絡(luò)安全從業(yè)人員的日?？荚u(píng)中。

5.4強(qiáng)化技術(shù)防護(hù)措施，提升安全防護(hù)能力

強(qiáng)化網(wǎng)絡(luò)安全技術(shù)防護(hù)是提升企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要途徑。相關(guān)企業(yè)應(yīng)不斷貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等相關(guān)制度，定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作，通過引進(jìn)先進(jìn)產(chǎn)品及技術(shù)對(duì)網(wǎng)絡(luò)安全防護(hù)體系不斷修正，打造涵蓋威脅情報(bào)、態(tài)勢(shì)感知、動(dòng)態(tài)防御、體系聯(lián)動(dòng)、安全閉環(huán)等能力在內(nèi)的多層次立體防御體系。此外，需不斷建立健全常態(tài)化的網(wǎng)絡(luò)安全事件應(yīng)急演練工作機(jī)制，積極探索企業(yè)內(nèi)部跨部門上下貫通、左右協(xié)同的網(wǎng)絡(luò)安全應(yīng)急指揮調(diào)度和多方協(xié)同配合機(jī)制。不斷強(qiáng)化網(wǎng)絡(luò)安全事件應(yīng)急演練，通過開展跨部門的網(wǎng)絡(luò)安全應(yīng)急演練模擬網(wǎng)絡(luò)安全事件應(yīng)急處置流程，不斷完善應(yīng)急響應(yīng)預(yù)案，持續(xù)優(yōu)化網(wǎng)絡(luò)安全技術(shù)防護(hù)措施，提高網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置能力。