2020 互联网安全事件 观察报告 m o c . 5 绿盟科技威胁响应中心 h t i g b u 前提概要 ◼ 年度各类事件数量统计总览 1 ◼ 年度重大安全事件 Top 20 2 ◼ 年度安全事件观察结果 3 ◼ 漏洞 c . 5 4 漏洞观察 漏洞处置三部曲 ◼ 勒索软件 勒索事件观察 h t i g 勒索事件处置观察 b u 5 6 7 ◼ 信息泄露 信息泄露事件观察 m o 8 ◼ 工控行业安全事件 工控安全事件观察 10 工控威胁现状观察 11 年度各类事件数量统计总览 以下数据为全年监测到的各类安全事件资讯逐月数量统计 10000 所有 类别 2019年 6874 7094 6622 6424 6732 2 3 4 5 6 588 701 7433 7588 7462 7 8 901 945 2020年 6846 7248 6643 9 10 11 12 876 891 4782 5000 0 1 2000 勒索 软件 1000 432 498 187 c . 5 0 500 信息 泄露 235 267 0 m o 720 327 304 h t i g 209 b u 382 328 198 387 688 366 298 220 244 400 工控 事件 234 200 160 80 100 97 155 203 114 211 182 119 97 0 8w+ 全年监测收集到的各类安全事件共计 81748,信息来源于各类漏洞库、 国内外安全资讯网站、社交媒体等。 109 今年共发布安全通告109 篇,防护方案 11 篇。 分类 经观察全年安全事件主要有如下几类:漏洞类、勒索软件、信息泄露、 工控、攻击事件及恶意软件。 年度重大安全事件 Top20 1月 2020 开年大洞,微软 Windows CryptoAPI 验证绕过漏洞 CVE2020-0601 美天然气管道运营商遭勒索软件 攻击 米高梅旗下酒店1070万住宿客 户信息遭黑客散布 Weblogic 多个远程代码执行漏 洞 SMBGhost,微软SMBv3远程 代码执行漏洞 Wi-Fi 漏洞 Kr00k 影响超十亿台 设备 m o 特斯拉、波音等公司的零件制造 商拒付赎金后,被窃机密遭泄露 打着新冠疫情名义的钓鱼攻击、 恶意软件传播、诈骗活动频发 c . 5 视频会议软件 Zoom 重大漏洞导 致数万私人视频被公开围观 委内瑞拉国家电网干线遭受攻击, 造成全国大面积停电 6月 h t i g Ripple20,Treck TCP/IP堆栈多 个安全漏洞 SigRed ,Windows DNS服务 器远程执行代码漏洞 Netlogon 超危提权漏洞(CVE2020-1472) b u F5 BIG-IP TMUI 远程代码执行漏洞 (CVE-2020-5902) Bad Neighbor , Windows TCP/IP 远程代码执行漏洞 工业物联网芯片制造商Advantech 证实遭受勒索软件攻击,公司文件 被窃。 超1600万巴西 COVID-19 患者 个人和健康详细信息在网上暴露 FireEye 遭网络攻击,红队工具被 窃。 网络钓鱼活动目标锁定疫苗研发 公司、新冠疫苗冷链组织 网络管理软件供应商 SolarWinds 遭供应链攻击,部分版本的 Orion Platform 更新文件中被植入后门 12.30 个人及企业对于高危漏洞的关注程度逐年增高,这些漏洞所能造成的直接影响已经较早 些年大大降低。不过即便修复了漏洞也不能高枕无忧,有几类攻击也已活跃多年,他们产 生的影响能渗透进生产生活的各个方面。 这些暗中操作,影响持久的攻击事件就是勒索软件攻击和信息泄露。 年度安全事件观察结果 “暗黑三兄弟”臭味相投、互相“扶持” 各类攻击手法之间或多或少存在一种默契,相互“扶持”来使各自的攻击效果最大化。漏洞、 信息泄露、勒索软件就颇有“臭味相投”的意思。 单独的一个高危漏洞已足以引起各路安全专家的注意,不过这才仅是个开始,一些漏洞被攻 击者武器化后,通过掌握的泄露信息精准投放,入侵目标系统实施勒索,勒索时窃取到的信息又 作为筹码被拿到黑市上交易,由此从中持续获利。观察近些年的网络攻击事件,发现这种模式已 经被攻击者广泛利用。 漏洞 - 被泄露的信息,被攻击 者用来锁定目标系统, 并尝试漏洞利用 - 利用漏洞攻入组织内 部后又会窃取信息 m o - 集成了武器化漏洞的勒 索软件杀伤力巨大 信息 泄露 h t i g c . 5 b u 勒索 软件 - 泄露的信息,有助于发起针对性社 工或钓鱼攻击,并借此传播勒索软件 - 勒索成功后,再次窃取目标信息 肆虐虚拟网络空间的“暗黑三兄弟”在工控领域中也“大施拳脚” 工控系统是水利、电力、石油化工、制造、航空航天等诸多国家命脉行业的基础设施,因此 在利益、政治等因素驱动下的攻击者也是对其虎视眈眈。工控系统软硬件更新更换困难的现状使 得不少漏洞隐藏其中而得不到修复;勒索软件使工业生产停滞的代价更是迫使许多企业不得不满 足攻击者的要求。 疫情大环境下的网络安全 今年由于疫情原因,有不少攻击者利用民众对于疫情的关注来进行攻击,加剧了信息泄露的 风险和恶意软件的传播。 类似疫情这种大规模公共安全事件的发生也会影响到网络空间,不论是恶意APP还是不实谣 言等都给管理网络空间安全带来了极大的挑战,网络安全不能完全脱离物理安全来考虑,应全 方位的进行综合性评估,才能避免大规模的恶意攻击蔓延。 漏洞观察 近五年 CVE 数量统计 14646 CVE 总量连续四年创新高 16511 17306 18354 2018 2019 2020 6447 2016 2017 低危 中危 高危 自2017年CVE数量飙升超过1.4万,此后 每年发布的CVE个数都再创新高。要论今年 增长的原因,疫情影响应该算得上一个。 疫情时期,组织在快速将应用推向市场和 维护代码安全性之间恐怕更倾向于前者。而 且今年各国各地远程办公人数迅速增加,个 人终端设备接入了公司网络,远程协作办公 软件如视频会议、文档协作、虚拟专用网等 自然也成为白帽黑客和攻击者的又一大目标。 数据来源: https://nvd.nist.gov/general/visualizations/vulnerabilityvisualizations/cvss-severity-distribution-over-time#CVSSSeverityOverTime m o 老洞经久不衰,新洞层出不穷 据统计,漏洞具有平均七年的生命周期,2020 年遭频繁利用的漏洞几乎可以肯定将在2021年 继续遭利用。能被反复利用的漏洞基本上已被武器化,或至少拥有公开/半公开可利用程序,且其 目标多是广泛使用的操作系统、个人/企业常用软件、组件等。FireEye 被窃的红队工具包所涉及的 漏洞能从侧面验证这一观点。 以下列举部分今年被广泛关注的常用软件漏洞: Windows Bad Neighbor SigRed SMBGhost Exchange Oracle h t i g c . 5 b u Windows TCP/IP远程代码执行漏洞 CVE-2020-16898 Windows DNS 服务器中具有蠕虫特性漏洞CVE-2020-1350 SMBv3 中具有蠕虫特性的 RCE 漏洞CVE-2020-0796 Exchange 远程代码执行漏洞CVE-2020-0688遭多个APT组 织利用 Weblogic 漏洞高产产品CVE-2020-2551/14882/14883 Apache Tomcat Apache Tomcat 文件包含漏洞CVE-2020-1938 浏览器 IE 0day 同 Firefox 0day(CVE-2019-17026)一起被 APT组织 Darkhotel 利用 Chrome 0day CVE-2020-15999 结合社工利用,野外发现攻击行为 Firefox 0day CVE-2020-6819/6820 Mozilla 提示发现了针对性的在野利 用攻击 IE 0day CVE-2020-1380 在 Operation PowerFall 攻击活动中被发现 Zoom 攻击者通过Zoom聊天功能进行远程代码执行,从而获得特权 控制用户主机 远程办公 在应对全年以万计数的漏洞时,应首先及时修复那些已被或易被武器化的漏洞,通过合理定级 做取舍! 漏洞处置三部曲 一、事先预防 资产梳理 系统、软件、组件 梳理 跟踪关注更新 自主挖掘安全隐患 梳理各类业务常用的系统、组 件等。密切关注官方及第三方安全 通告,确保在第一时间了解新漏洞 情况。 同时自行挖掘某些关键组件的 安全隐患,早发现早解决。 二、漏洞评估定级 攻击向量 访问权限 用户交互 额外配置 0day PoC 公开 Exp 公开 核心组件 通用组件 冷门组件 在线暴露量 官方补丁 官方缓解措施 常规防护措施 漏洞 基本面 可利用 程度 h t i g 影响 范围 补丁 情况 三、应急处置 技术分析 影响统计 检测防护产品 整体方案 并非每个漏洞都很“急” 漏洞大体可以从 4 个方面综合评估: 1,漏洞基本面 是否可以远程触发、是否需要特定 权限、是否需要用户交互、是否需 要额外配置 m o c . 5 b u 2、可利用程度 是否是 0day 漏洞、是否已有公开 的 PoC 、是否已有公开的 Exp 3、影响范围 是否核心组件受影响、是否通用组 件受影响、受影响组件在线暴露量 是否较多 4、补丁情况 官方是否已提供补丁、官方是否给 出缓解措施、如果没有官方补丁和 缓解措施,是否有常规防护措施 确认漏洞的威胁等级后,进行 相应的应急处置。 通过分析漏洞的成因和攻击链, 准备检测和防护措施。统计具体的 影响面,形成完整的防护方案。 勒索事件观察 攻击事件爆炸增加 勒索手法频出花样 索要赎金节节攀升 不幸中招伤财伤人 殃及行业 Top 5 市政及公共部门 制造业 学术教育 医疗卫生 工控 活跃勒索软件 Top 10 Sodinokibi/REvil Maze SNAKE/EKANS Ryuk Nemty 针对国家 Top 5 Nephilim NetWalker Doppe
绿盟 2020互联网安全事件观察报告
文档预览
中文文档
14 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共14页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-17 01:18:17上传分享