2020年注定是難忘的一年，COVID-19的大流行幾乎影響到人類生活的每個(gè)方面。同樣，在網(wǎng)絡(luò)領(lǐng)域也產(chǎn)生了重大影響，疫情改變了企業(yè)和組織的運(yùn)作方式，使它們面臨一系列新的風(fēng)險(xiǎn)和惡意攻擊，同樣也對網(wǎng)絡(luò)犯罪的行為產(chǎn)生影響。

　　深信服千里目安全實(shí)驗(yàn)室從惡意軟件、網(wǎng)站安全、漏洞、數(shù)據(jù)泄露、APT攻擊等方面分析整體網(wǎng)絡(luò)安全態(tài)勢情況，發(fā)布《2020年網(wǎng)絡(luò)安全態(tài)勢洞察報(bào)告》(以下簡稱報(bào)告)。本文摘取自報(bào)告關(guān)鍵內(nèi)容，為您直觀呈現(xiàn)2020年網(wǎng)絡(luò)安全態(tài)勢，與您共同關(guān)注2021年網(wǎng)絡(luò)安全新趨勢!

　　惡意軟件態(tài)勢

　　2020上半年由于受新冠疫情的影響惡意軟件攔截量較少，2020年下半年惡意軟件攔截量比上半年增長超過30%，逐漸恢復(fù)到2019年水平。其中，加密挖礦仍是網(wǎng)絡(luò)犯罪分子主要研究的惡意活動(dòng)之一，在惡意軟件中占比30.64%。其次是傳播性較強(qiáng)的木馬遠(yuǎn)控和蠕蟲病毒，分別占比26.98%和16.76%。

　　其中，勒索軟件攻擊方面，2020年加密貨幣暴漲，勒索軟件同樣加速演變進(jìn)化。2020年下半年勒索軟件展開瘋狂攻勢，安全事件數(shù)量在9月達(dá)到峰值，攻擊規(guī)模、贖金要求都屢創(chuàng)新高，數(shù)據(jù)泄露結(jié)合加密勒索的勒索方式使得受害者繳納贖金的概率大大增加。勒索軟件犯罪團(tuán)伙逐漸專注大型機(jī)構(gòu)，進(jìn)行精確的攻擊行動(dòng)，持續(xù)潛伏、制造嚴(yán)重破壞，索要大額贖金。

　　在挖礦軟件攻擊方面，相較2019年挖礦軟件的攻擊繼續(xù)持續(xù)放緩，但隨著虛擬貨幣的持續(xù)上漲，2020下半年挖礦軟件活動(dòng)攔截增長超過20%，并總共檢測到超過50個(gè)傳播采礦木馬的主要網(wǎng)絡(luò)犯罪集團(tuán)。其中，NDay漏洞利用攻擊、暴力破解仍然是常用攻擊方式，無文件攻擊也仍然受到挖礦團(tuán)伙的青睞。

　　為防止惡意軟件對企業(yè)的造成損害，建議企業(yè)用戶做好以下的防護(hù)措施：在網(wǎng)絡(luò)層面，進(jìn)行多層防護(hù)措施，在惡意軟件傳播到系統(tǒng)造成真正損害之前將其阻止。在系統(tǒng)層面，用戶可假設(shè)惡意軟件已經(jīng)滲透到企業(yè)系統(tǒng)的某一層級，然后相應(yīng)地采取有效措施予以限制其可能帶來的進(jìn)階影響并加快安全響應(yīng)速度。

　　漏洞安全態(tài)勢

　　2020年CNVD共收錄漏洞信息19964條，同比增長24%，接近2011年的3倍，漏洞披露數(shù)量持續(xù)創(chuàng)新高，中高危漏洞信息占比超九成，漏洞形勢依然嚴(yán)峻。此外，2020 年移動(dòng)端、物聯(lián)網(wǎng)設(shè)備等多平臺爆出越來越多 0day 漏洞，Excel4.0 宏等的使用增加了攻擊者的入侵效率和靈活性。為了能夠及時(shí)處置并閉環(huán)漏洞問題，建議企業(yè)單位的安全補(bǔ)救措施在基于暴露面、可利用性和其他因素進(jìn)行考慮，以保持能及時(shí)補(bǔ)救關(guān)鍵風(fēng)險(xiǎn)。

　　網(wǎng)站安全態(tài)勢

　　互聯(lián)網(wǎng)帶來便利的同時(shí)，安全問題也伴隨而來。研究顯示，自2003年以來，Web應(yīng)用程序已成為最受歡迎的被利用目標(biāo)之一。當(dāng)前網(wǎng)站安全形勢仍較為嚴(yán)峻，不容樂觀，建議相關(guān)單位部門及時(shí)做好重要網(wǎng)站的應(yīng)急處置工作，積極應(yīng)對各種網(wǎng)站攻擊。

　　網(wǎng)站漏洞方面，2020年網(wǎng)站漏洞檢測數(shù)量整體呈現(xiàn)增長趨勢，其中6月網(wǎng)站漏洞檢測數(shù)量達(dá)到全年檢測數(shù)量峰值，中高危漏洞檢測數(shù)量占據(jù)半壁江山，平穩(wěn)中上漲，需要重點(diǎn)關(guān)注。從網(wǎng)站的漏洞類型來看，CSRF跨站請求偽造所占比例最高，為29%。其次是信息泄露和配置不當(dāng)，分別占比24%和17%。

　　網(wǎng)站篡改方面，深信服云眼系統(tǒng)2020年累計(jì)授權(quán)監(jiān)測網(wǎng)站178828個(gè)，其中監(jiān)測到被篡改站點(diǎn)41546個(gè)，占總站點(diǎn)數(shù)量23%，超過1/5。網(wǎng)站被篡改數(shù)量在平穩(wěn)中持續(xù)增長，被篡改網(wǎng)站類型中，網(wǎng)絡(luò)色情占比最高為43%，其次是網(wǎng)絡(luò)博彩為41%。

　　數(shù)據(jù)泄露態(tài)勢

　　2020年，全球數(shù)據(jù)泄露事件頻發(fā)，企業(yè)單位面臨的數(shù)據(jù)泄露問題依然嚴(yán)峻。遠(yuǎn)程工作的常態(tài)下會(huì)增加數(shù)據(jù)泄露的成本和事件響應(yīng)時(shí)間，而勒索病毒的“竊密”勒索策略變化則促進(jìn)了數(shù)據(jù)泄露事件的發(fā)生，受害者不支付贖金，攻擊者就會(huì)公開或出售這些被盜數(shù)據(jù)。

　　深信服安全人員從近期捕獲到暗網(wǎng)情報(bào)近10萬條中分析到，數(shù)據(jù)交易類情報(bào)占比56.55%。從行業(yè)上看，金融行業(yè)、教育行業(yè)的泄露事件占比高達(dá)53%，是黑產(chǎn)團(tuán)伙重點(diǎn)關(guān)注的對象。

　　其中教育行業(yè)在數(shù)據(jù)資產(chǎn)泄露的事件排第二。教育行業(yè)信息系統(tǒng)具有 一定的特征:一是使用人員多，全國范圍內(nèi)教育機(jī)構(gòu)、教師、學(xué)生均 數(shù)量龐大;二是信息系統(tǒng)多，教育行業(yè)的網(wǎng)站、系統(tǒng)數(shù)量同樣巨大; 三是數(shù)據(jù)多，這三大特征，使得網(wǎng)絡(luò)安全監(jiān)管防護(hù)難度較大。

　　根據(jù)深信服安全數(shù)據(jù) 顯示，2020 年針對教育行業(yè)的攻擊持續(xù)保持在較高水平，并在 10 月 達(dá)到峰值 1.5 億次。整體上，攻擊數(shù)呈上升趨勢，年攻擊總數(shù)達(dá)到了 13.4 億次。

　　此外，當(dāng)前行業(yè)內(nèi)普遍缺乏對代碼安全的管控意識和制度流程，員工有意或無意地將敏感代碼托管到開源的代碼共享平臺，可能造成代碼泄露及代碼泄露引發(fā)的一系列安全隱患。數(shù)字觀星發(fā)布的《數(shù)字資產(chǎn)暴露面風(fēng)險(xiǎn)報(bào)告》顯示，系統(tǒng)源碼和技術(shù)方案占據(jù)中國企業(yè)外部數(shù)據(jù)泄露類型的61%;泄露系統(tǒng)源碼中含有密碼密鑰風(fēng)險(xiǎn)最高。

　　為防范各類書籍泄露事件發(fā)生，深信服安全專家建議企業(yè)采取深度防御安全策略，包括：

　　(1)特權(quán)訪問管理，用于監(jiān)視和控制系統(tǒng)帳戶的訪問。

　　(2)多重驗(yàn)證加強(qiáng)身份管理、防止身份假冒，降低登陸設(shè)備賬號丟失和弱密碼等相關(guān)風(fēng)險(xiǎn)。

　　(3)注重端點(diǎn)威脅檢測和響應(yīng)，自動(dòng)識別和減少可能導(dǎo)致數(shù)據(jù)泄露的惡意軟件、網(wǎng)絡(luò)釣魚、勒索軟件和其他惡意活動(dòng)的工具。

　　(4)最小權(quán)限管理將訪問權(quán)限與角色緊密結(jié)合在一起，以確保僅提供工作所需的訪問權(quán)限。

　　高級持續(xù)性威脅態(tài)勢

　　亞洲地區(qū)是APT攻擊(高級持續(xù)性威脅攻擊)在2020年最活躍的地區(qū)，另外中東與東歐也相對頻繁。此外，在疫情背景下，圍繞病毒及其影響的這種不確定性和恐懼為威脅行為者利用局勢提供了絕佳機(jī)會(huì)，多個(gè)APT組織利用冠狀病毒主題的釣魚郵件作為感染媒介，在受害機(jī)器上獲得立足點(diǎn)。

　　從整體活動(dòng)分析，APT攻擊未來可能呈現(xiàn)以下趨勢：

　　(1)地緣政治攻擊

　　從整體活動(dòng)分析，局勢敏感以及動(dòng)蕩的地區(qū)相關(guān)的APT攻擊活動(dòng)會(huì)更加頻繁，未來地緣政治仍然是APT威脅組織的重要目標(biāo)。

　　(2)漏洞開發(fā)與0day網(wǎng)絡(luò)軍火商興起

　　漏洞是APT武器庫中不可缺失的資產(chǎn)之一，頂級APT組織會(huì)繼續(xù)挖掘漏洞與開發(fā)相關(guān)利用工具;而不具有漏洞挖掘的組織可以通過0day網(wǎng)絡(luò)軍火商購買相關(guān)的漏洞利用工具。

　　(3)利用入口設(shè)備與管理軟件

　　2020年國內(nèi)外已經(jīng)出現(xiàn)了多起VPN漏洞攻擊事件、網(wǎng)絡(luò)邊界設(shè)備漏洞攻擊事件。未來，APT組織更多聚焦在這類設(shè)備與軟件，深入分析該類設(shè)備以及軟件，挖掘其中的安全漏洞，實(shí)現(xiàn)以點(diǎn)擊面的攻擊效果，甚至達(dá)到供應(yīng)鏈攻擊的效果。

　　(4)多平臺攻擊一體化

　　除了傳統(tǒng)的Windows、Linux以及MAC OS系統(tǒng)平臺，越來越多的APT組織已經(jīng)在移動(dòng)端進(jìn)行監(jiān)控布局與攻擊，多平臺一體化逐漸成為未來趨勢之一，例如Lazarus組織的三平臺一體化攻擊框架MATA。

　　2021年網(wǎng)絡(luò)安全趨勢展望

　　1. 人工智能賦能安全的同時(shí)，也給網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)

　　在網(wǎng)絡(luò)技術(shù)方面，基于機(jī)器學(xué)習(xí)的僵尸網(wǎng)絡(luò)攻擊變得越來越復(fù)雜和準(zhǔn)確，網(wǎng)絡(luò)防御者需要以更具創(chuàng)新性的解決方案做出應(yīng)對。在應(yīng)用方面，利用人工智能可以生成和偽造具有欺騙性的信息。例如通過人工智能假裝用戶，并模仿人類的行為進(jìn)行相應(yīng)的網(wǎng)絡(luò)操作，而這些行為很難通過傳統(tǒng)方法和真實(shí)的用戶行為加以區(qū)分。另外，在對抗性環(huán)境中，人工智能系統(tǒng)本身也可能受到攻擊或欺騙，從而導(dǎo)致錯(cuò)誤的分類或預(yù)測結(jié)果。

　　2.隨著5G使用率的提高，更多設(shè)備變得依賴于5G提供的連接性，攻擊者將更有動(dòng)力尋找其中可以利用的漏洞

　　與前幾代移動(dòng)通信系統(tǒng)相比，5G依靠大規(guī)模天線和超密集組網(wǎng)等顯著提升了移動(dòng)接入技術(shù)，帶動(dòng)核心網(wǎng)技術(shù)的換代，但5G的網(wǎng)絡(luò)切片技術(shù)使得網(wǎng)絡(luò)邊界逐漸模糊，其延伸業(yè)務(wù)擴(kuò)大了網(wǎng)絡(luò)安全的攻擊面。在促進(jìn)網(wǎng)絡(luò)發(fā)展的同時(shí)，5G技術(shù)必然會(huì)成為不法分子攻擊的重點(diǎn)目標(biāo)，攻擊者也將更有動(dòng)力尋找可以利用的漏洞。如果發(fā)生惡意的網(wǎng)絡(luò)攻擊，或許在毫秒間就可以瞬間癱瘓掉整片的網(wǎng)絡(luò)通信系統(tǒng)，進(jìn)而癱瘓所有與網(wǎng)絡(luò)相關(guān)的基礎(chǔ)設(shè)施。

　　3. IT基礎(chǔ)架構(gòu)進(jìn)一步向云轉(zhuǎn)型，云原生安全需求明顯提升，安全即服務(wù)(SECaaS)長周期成為國內(nèi)發(fā)展的目標(biāo)，技術(shù)變革將產(chǎn)生天然的規(guī)模效應(yīng)

　　憑借敏捷部署、彈性擴(kuò)展、易于維護(hù)等優(yōu)勢，SECaaS在國外已成主流。當(dāng)前國內(nèi)SECaaS逐漸出現(xiàn)產(chǎn)品雛形，雖然國內(nèi)外在IT架構(gòu)標(biāo)準(zhǔn)化程度、云化進(jìn)度、公有云廠商對于生態(tài)理解等方面存在差異，但數(shù)字化轉(zhuǎn)型背景下企業(yè)上云需求旺盛，云安全面臨相似的發(fā)展趨勢，SECaaS未來將長期成為國內(nèi)發(fā)展目標(biāo)。

　　4.基于現(xiàn)代身份管理技術(shù)進(jìn)行構(gòu)建的零信任安全架構(gòu)正在快速發(fā)展，并逐漸落地于企業(yè)信息化安全建設(shè)中

　　傳統(tǒng)基于邊界的安全防護(hù)邏輯逐步失效，內(nèi)外部威脅愈演愈烈，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)和解決方案難以適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，基于現(xiàn)代身份管理技術(shù)進(jìn)行構(gòu)建的零信任安全架構(gòu)應(yīng)運(yùn)而生。零信任安全架構(gòu)基于“以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估、動(dòng)態(tài)訪問控制”四大關(guān)鍵能力，可以打破傳統(tǒng)物理安全的困境，建立新型安全防御體系。

　　未來幾年零信任將會(huì)快速發(fā)展并落地到企業(yè)安全建設(shè)中去。不管是企業(yè)內(nèi)部威脅，還是新的遠(yuǎn)程業(yè)務(wù)訪問安全需求，零信任都可以有效地幫助解決相關(guān)安全問題。

　　5.人們生活和辦公越來越遠(yuǎn)程化、數(shù)字化并且更加互聯(lián)，其中物聯(lián)網(wǎng)設(shè)備數(shù)量激增，同時(shí)遭受攻擊的風(fēng)險(xiǎn)也在迅速增加

　　據(jù)市場調(diào)研機(jī)構(gòu)MarketsandMarkets發(fā)布的“物聯(lián)網(wǎng)安全市場”預(yù)測數(shù)據(jù)，2021年將有350億智能設(shè)備在線，到 2025年，這一數(shù)字將增加到 750億。但物聯(lián)網(wǎng)設(shè)備仍然缺乏諸如加密之類的基本保護(hù)處理能力，設(shè)備一旦被攻陷，可用于各種惡意應(yīng)用，包括DDoS攻擊、加密挖掘、監(jiān)視、網(wǎng)絡(luò)側(cè)鏈攻擊和個(gè)人信息盜竊等。

　　另外，物聯(lián)網(wǎng)漏洞從出現(xiàn)PoC到被攻擊者實(shí)際利用的時(shí)間間隔進(jìn)一步縮短，同時(shí)設(shè)備漏洞容易引發(fā)大規(guī)模影響。2020年重大的IoT設(shè)備漏洞披露，包括6月的Ripple20和12月的Amnesia-33，影響了數(shù)百萬IoT設(shè)備。

　　6. 標(biāo)準(zhǔn)化XDR解決方案能有效提升安全團(tuán)隊(duì)的效率和生產(chǎn)力

　　Gartner當(dāng)前給XDR的定義是：XDR是一種基于SaaS的，綁定到特定供應(yīng)商的安全威脅檢測和事件響應(yīng)工具，可以將(該供應(yīng)商的)多個(gè)安全產(chǎn)品原生地集成到一個(gè)統(tǒng)一的安全運(yùn)行系統(tǒng)中，以統(tǒng)一所有授權(quán)的安全組件。

　　XDR通過集中、規(guī)范化和關(guān)聯(lián)來自多個(gè)來源的安全數(shù)據(jù)來幫助安全團(tuán)隊(duì)解決安全問題，XDR提供了更完整的可見性。XDR在提供EDR的所有功能的基礎(chǔ)上，還為企業(yè)提供了將其端點(diǎn)數(shù)據(jù)與其他安全產(chǎn)品數(shù)據(jù)關(guān)聯(lián)的機(jī)會(huì)。XDR通過分析來自多個(gè)來源的數(shù)據(jù)以驗(yàn)證警報(bào)，從而減少誤報(bào)和整體警報(bào)量。

　　除了警報(bào)關(guān)聯(lián)性和更高的準(zhǔn)確性外，XDR解決方案還提高了安全團(tuán)隊(duì)的生產(chǎn)力，實(shí)現(xiàn)了更快、更自動(dòng)化的事件響應(yīng)功能。許多安全工作流程在以往手動(dòng)進(jìn)行時(shí)，耗時(shí)且容易出錯(cuò)，這些任務(wù)可以在XDR中有效解決，包括關(guān)聯(lián)自動(dòng)化和威脅情報(bào)收集等，這也是安全編排、自動(dòng)化與響應(yīng)(SOAR)解決方案的核心功能。

　　關(guān)于報(bào)告更多詳細(xì)內(nèi)容，點(diǎn)擊：https://page.sangfor.com/LP=1757 下載完整報(bào)告