2019年網(wǎng)絡安全報告

2019年網(wǎng)絡安全報告

最近，國家互聯(lián)網(wǎng)應急中心發(fā)布了2019年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告（以下簡稱報告）。其中，2019年全年捕獲計算機惡意程序樣本數(shù)量超過6200萬個，日均傳播次數(shù)達824萬余次，涉及計算機惡意程序家族66萬余個。據(jù)悉，按照傳播來源統(tǒng)計，位于境外的主要來自美國、俄羅斯和加拿大等國家和地區(qū)。其中，美國占53.5%。而按照目標IP地址統(tǒng)計，我國境內受計算機惡意程序攻擊的IP地址約6762萬個，占我國IP地址總數(shù)的18.3%，主要集中在山東省、江蘇省和浙江省等，分別占8.8%、8.4%和8.1%。在木馬和僵尸程序方面，我國境內木馬或僵尸程序受控主機IP地址數(shù)量占比按地域統(tǒng)計，占比排名前3位的為廣東省、江蘇省和浙江省。在感染計算機惡意程序而形成的僵尸網(wǎng)絡中，規(guī)模在100臺主機以上的僵尸網(wǎng)絡數(shù)量達5612個，規(guī)模在10萬臺主機以上的僵尸網(wǎng)絡數(shù)量達39個。201ddos攻擊帶來的風險與挑戰(zhàn)2019年，在我國相關部門持續(xù)開展的網(wǎng)絡安全威脅治理下，分布式拒絕服務攻擊（以下簡稱DDoS攻擊）、高級持續(xù)性威脅攻擊（APT攻擊）、漏洞威脅、數(shù)據(jù)安全隱患、移動互聯(lián)網(wǎng)惡意程序、網(wǎng)絡黑灰色產業(yè)鏈（以下簡稱黑灰產）和工業(yè)控制系統(tǒng)安全威脅總體下降，但呈現(xiàn)出許多新的特點，帶來新的風險與挑戰(zhàn)。一、ddos攻擊1.可被利用實施DDoS攻擊的我國境內攻擊資源穩(wěn)定性持續(xù)降低，數(shù)量逐年遞減，但攻擊資源遷往境外，處置難度提高與2018年相比，我國境內控制端、反射服務器等資源按月變化速度加快、消亡率明顯上升、新增率降低、可被利用的資源活躍時間和數(shù)量明顯減少———每月可被利用的我國境內活躍控制端IP地址數(shù)量同比減少15.0%、活躍反射服務器同比減少34.0%。在治理行動的持續(xù)高壓下，DDoS攻擊資源大量向境外遷移，DDoS攻擊的控制端數(shù)量和來自境外的反射攻擊流量的占比均超過90.0%。攻擊我國目標的大規(guī)模DDoS攻擊事件中，來自境外的流量占比超過50.0%。2.針對黨政機關、關鍵信息基礎設施等重要單位發(fā)動攻擊的組織性、目的性更加明顯，同時重要單位的防護能力也顯著加強2019年，我國黨政機關、關鍵信息基礎設施運營單位的信息系統(tǒng)頻繁遭受DDoS攻擊，大部分單位通過部署防護設備或購買云防護服務等措施加強自身防護能力。CNCERT/CC跟蹤發(fā)現(xiàn)的某黑客組織2019年對我國300余個政府網(wǎng)站發(fā)起了1000余次DDoS攻擊，在初期其攻擊可導致80.0%以上的攻擊目標網(wǎng)站正常服務受到不同程度影響，但后期其攻擊已無法對攻擊目標網(wǎng)站帶來實質傷害，說明被攻擊單位的防護能力已得到大幅提升。3.DDoS攻擊依然呈現(xiàn)高發(fā)頻發(fā)態(tài)勢，仍有大量物聯(lián)網(wǎng)設備被入侵控制后用于發(fā)動DDoS攻擊我國發(fā)生攻擊流量峰值超過10Gbit/s的大流量攻擊事件日均約220起，同比增加40.0%。由于我國加大對Mirai、Gafgyt等物聯(lián)網(wǎng)僵尸網(wǎng)絡控制端的治理力度，2019年物聯(lián)網(wǎng)僵尸網(wǎng)絡控制端消亡速度加快、活躍時間普遍較短，難以形成較大的控制規(guī)模，Mirai、Gafgyt等惡意程序控制端IP地址日均活躍數(shù)量呈現(xiàn)下降態(tài)勢，單個IP地址活躍時間在3天以下的占比超過60.0%，因此，物聯(lián)網(wǎng)設備參與DDoS攻擊活躍度在2019年后期也呈下降走勢。盡管如此，在監(jiān)測發(fā)現(xiàn)的僵尸網(wǎng)絡控制端中，物聯(lián)網(wǎng)僵尸網(wǎng)絡控制端數(shù)量占比仍超過54.0%，其參與發(fā)起的DDoS攻擊的次數(shù)占比也超過50.0%。未來將有更多的物聯(lián)網(wǎng)設備接入網(wǎng)絡，如果其安全性不能提高，必然會給網(wǎng)絡安全的防御和治理帶來更多困難。二、加強了對ap攻擊的監(jiān)測和急救，提高了對釣魚電子郵件的預防意識。然而，攻擊逐漸進入多個重要行業(yè)，并在重要活動和敏感時期更為猖獗1.魚電話攻擊的特征2019年，CNCERT/CC監(jiān)測到重要黨政機關部門遭受釣魚郵件攻擊數(shù)量達56萬多次，月均4.6萬余次，其中攜帶漏洞利用惡意代碼的Office文檔成為主要載荷，主要利用的漏洞包括CVE-2017-8570和CVE-2017-11882等。2.apt網(wǎng)絡竊密攻擊2019年，我國持續(xù)遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30余個APT組織的網(wǎng)絡竊密攻擊，國家網(wǎng)絡空間安全受到嚴重威脅。境外APT組織不僅攻擊我國黨政機關、國防軍工和科研院所，還進一步向“一帶一路”、基礎行業(yè)、物聯(lián)網(wǎng)以及供應鏈等領域擴展延伸，電信、外交、能源、商務、金融、軍工和海洋等領域成為境外APT組織重點攻擊對象。3.目標攻擊目標境外APT組織習慣使用當下熱點時事或與攻擊目標工作相關的內容作為郵件主題，特別是瞄準我國重要攻擊目標，持續(xù)反復進行滲透和橫向擴展攻擊，并在我國重大活動和敏感時期異?；钴S。三、雖然很大的漏洞處理能力已經(jīng)增強，但事件級漏洞和零日風險漏洞的數(shù)量正在增加，信息系統(tǒng)面臨的漏洞威脅更加嚴重1.實驗結果：網(wǎng)絡安全企業(yè)聯(lián)動2019年，國家信息安全漏洞共享平臺（CNVD）聯(lián)合國內產品廠商、網(wǎng)絡安全企業(yè)、科研機構和個人白帽子等相關力量，共同完成對約3.2萬起漏洞事件的驗證、通報和處置工作，同比上漲56.0%。2.受此漏洞影響的個一是披露的通用軟硬件漏洞數(shù)量持續(xù)增長，且影響面大、范圍廣。2019年，CNVD新收錄通用軟硬件漏洞數(shù)量創(chuàng)下歷史新高，達16193個，同比增長14.0%。位于我國境內的RDP(IP地址）規(guī)模就高達193.0萬余個，其中大約有34.9萬個受此漏洞影響。此外，移動互聯(lián)網(wǎng)行業(yè)安全漏洞數(shù)量持續(xù)增長，2019年，CNVD共收錄移動互聯(lián)網(wǎng)行業(yè)漏洞1324個，較2018年同期1165個增加了13.6%，智能終端藍牙通信協(xié)議、智能終端操作系統(tǒng)、App客戶端應用程序和物聯(lián)網(wǎng)設備等均被曝光存在安全漏洞。二是2019年我國事件型漏洞數(shù)量大幅上升。CNVD接收的事件型漏洞數(shù)量約14.1萬條，首次突破10萬條，較2018年同比大幅增長227%。三是高危零日漏洞占比增大。近5年來，零日漏洞（指CNVD收錄該漏洞時還未公布補?。┦珍洈?shù)量持續(xù)走高，年均增長率達47.5%。2019年收錄的零日漏洞數(shù)量繼續(xù)增長，占總收錄漏洞數(shù)量的35.2%，同比增長6.0%。四、雖然數(shù)據(jù)風險的監(jiān)測和報警能力得到了提高，但數(shù)據(jù)安全性仍然薄弱，經(jīng)常發(fā)生大數(shù)據(jù)泄漏1.公民個人信息數(shù)據(jù)的應急處置2019年，CNCERT/CC加強監(jiān)測發(fā)現(xiàn)、協(xié)調處置，全年累計發(fā)現(xiàn)我國重要數(shù)據(jù)泄露風險與事件3000余起，支撐中央網(wǎng)信辦重點對其中400余起存儲有重要數(shù)據(jù)或大量公民個人信息數(shù)據(jù)的事件進行了應急處置。MongoDB,ElasticSearch,SQLServer,MySQL,Redis等主流數(shù)據(jù)庫的弱口令漏洞、未授權訪問漏洞導致數(shù)據(jù)泄露，成為2019年數(shù)據(jù)泄露風險與事件的突出特點。2.pp22添加量截至2019年12月底，共受理網(wǎng)民有效舉報信息1.2萬余條，核驗問題App2300余款；組織四部門推薦的14家專家技術評估機構對1000余款常用重點App進行了深度評估，發(fā)現(xiàn)大量強制授權、過度索權和超范圍收集個人信息問題，對于問題嚴重且不及時整改的依法予以公開曝光或下架處理。3.涉及公民個人信息的數(shù)據(jù)庫數(shù)據(jù)安全事件頻發(fā)2019年針對數(shù)據(jù)庫的密碼暴力破解攻擊次數(shù)日均超過百億次，數(shù)據(jù)泄露、非法售賣等事件層出不窮，數(shù)據(jù)安全與個人隱私面臨嚴重挑戰(zhàn)。科技公司、電商平臺等信息技術服務行業(yè)，銀行、保險等金融行業(yè)以及醫(yī)療衛(wèi)生、交通運輸和教育求職等重要行業(yè)涉及公民個人信息的數(shù)據(jù)庫數(shù)據(jù)安全事件頻發(fā)。此外，部分不法分子已將數(shù)據(jù)非法交易轉移至暗網(wǎng)，暗網(wǎng)已成為數(shù)據(jù)非法交易的重要渠道，涉及銀行、證券和網(wǎng)貸等金融行業(yè)數(shù)據(jù)非法售賣事件最多占比達34.3%，黨政機關、教育、各主流電商平臺等行業(yè)數(shù)據(jù)被非法售賣的事件也時有發(fā)生。五、惡意程序監(jiān)測數(shù)據(jù)分析1.移動互聯(lián)網(wǎng)惡意程序增量首次出現(xiàn)下降，高危惡意程序的生存空間正在壓縮，下架惡意程序數(shù)量連續(xù)6年下降2019年，新增移動互聯(lián)網(wǎng)惡意程序279萬余個，同比減少1.4%。根據(jù)14年來的監(jiān)測統(tǒng)計，移動互聯(lián)網(wǎng)惡意程序新增數(shù)量在經(jīng)歷快速增長期、爆發(fā)式增長期后，現(xiàn)已進入緩速增長期，并在2019年新增數(shù)量首次出現(xiàn)下降趨勢。2019年出現(xiàn)的移動互聯(lián)網(wǎng)惡意程序主要集中在Android平臺，根據(jù)《移動互聯(lián)網(wǎng)惡意程序描述格式》（YD/T2439-2012）行業(yè)標準對惡意程序的行為屬性進行統(tǒng)計，具有流氓行為類、資費消耗類等低危惡意行為的App數(shù)量占69.3%，具有遠程控制類、惡意扣費類等高危惡意行為的App數(shù)量占10.6%。2019年共處理協(xié)調152個應用商店、86個廣告平臺、63個個人網(wǎng)站以及19個云平臺共320個傳播渠道，下架App總計3057個，相較2014-2018年期間下架數(shù)量分別為3.9萬余個、1.7萬余個、0.9萬余個、0.8萬余個、3578個，連續(xù)6年呈逐年下降趨勢。2.以移動互聯(lián)網(wǎng)仿冒App為代表的“灰色”應用程序大量出現(xiàn)，主要針對金融、交通等重要行業(yè)的用戶六、雖然黑色生產資源得到了有效分類，但惡意注冊、網(wǎng)絡賭博、威脅病毒、挖掘病毒等病毒依然活躍，高強度技術的對抗比較復雜1.網(wǎng)站數(shù)量大幅下降每月活躍“黑卡”總數(shù)從約500萬個逐步下降到約200萬個，降幅超過60.0%。2019年年底，用于瀏覽器主頁劫持的惡意程序月新增數(shù)量由65款降至16款，降幅超過75%；被植入賭博暗鏈的網(wǎng)站數(shù)量從1萬余個大幅下降到不超過1000個。公安機關在“凈網(wǎng)2019”行動中，關掉各類黑產公司210余家，搗毀、關停買賣手機短信驗證碼或幫助網(wǎng)絡賬號惡意注冊的網(wǎng)絡接碼平臺40余個，抓獲犯罪嫌疑人1.4萬余名。2.網(wǎng)絡黑客活動的專業(yè)化程度和自動化程度正在不斷提高，技術的對抗變得越來越激烈2019年監(jiān)測到各類網(wǎng)絡黑產攻擊日均70萬余次，電商網(wǎng)站、視頻直播和棋牌游戲等行業(yè)成為網(wǎng)絡黑產的主要攻擊對象，攻防博弈持續(xù)演進。3.勒索病毒活躍程度2019年，CNCERT/CC捕獲勒索病毒73.1萬余個，較2018年增長超過4倍，勒索病毒活躍程度持續(xù)居高不下。分析發(fā)現(xiàn)，勒索病毒攻擊活動越發(fā)具有目標性，且以文件服務器、數(shù)據(jù)庫等存有重要數(shù)據(jù)的服務器為首要目標，通常利用弱口令、高危漏洞和釣魚郵件等作為攻擊入侵的主要途徑或方式。七、網(wǎng)絡安全監(jiān)測和態(tài)勢感知能力加強控制方案n1.國家層面工業(yè)控制系統(tǒng)網(wǎng)絡安全頂層設計不斷完善，國家級工業(yè)控制系統(tǒng)網(wǎng)絡安全監(jiān)測和態(tài)勢感知能力不斷提升。2.工業(yè)控制系統(tǒng)產品漏洞數(shù)量居高不下。3.互聯(lián)網(wǎng)側暴露面持續(xù)擴大，新技術的應用給工業(yè)控制系統(tǒng)帶來了新的安全隱患。網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析一、惡意軟件1.控制服務器地址分布2019年，我國境內感染計算機惡意程序的主機數(shù)量為581.88萬臺，同比下降11.3%。位于境外的約5.6萬個計算機惡意程序控制服務器控制了我國境內約552萬臺主機，就控制服務器所屬國家和地區(qū)來看，位于美國、日本和中國香港地區(qū)的控制服務器數(shù)量分列前3位。就所控制我國境內主機數(shù)量來看，位于美國、荷蘭和法國的控制服務器控制規(guī)模分列前3位。此外，根據(jù)CNCERT/CC抽樣監(jiān)測數(shù)據(jù)，針對IPv6網(wǎng)絡的攻擊情況也開始出現(xiàn)，2019年境外約3000個IPv6地址的計算機惡意程序控制服務器控制了我國境內約4.0萬臺IPv6地址主機。2019年我國境內木馬或僵尸程序受控主機IP地址數(shù)量占比按地域統(tǒng)計，占比排名前3位的為廣東省、江蘇省和浙江省。在感染計算機惡意程序而形成的僵尸網(wǎng)絡中，規(guī)模在100臺主機以上的僵尸網(wǎng)絡數(shù)量達5612個，規(guī)模在10萬臺主機以上的僵尸網(wǎng)絡數(shù)量達39個。2.近5年來重變量2019年，CNCERT/CC通過自主捕獲和廠商交換新增獲得移動互聯(lián)網(wǎng)惡意程序樣本279萬余個，同比減少1.4%，近5年來增速持續(xù)保持放緩，并首次出現(xiàn)增量下降。通過對移動互聯(lián)網(wǎng)惡意程序的惡意行為屬性統(tǒng)計發(fā)現(xiàn)，排名前3位的仍然是流氓行為類、資費消耗類和信息竊取類，占比分別為36.1%,33.2%,11.6%。3.gafcyt家族2019年，CNCERT/CC捕獲聯(lián)網(wǎng)智能設備惡意程序樣本約324.1萬個，其中大部分屬于Mirai家族和Gafgyt家族（占比86.1%）。服務端傳播源IP地址約2.78萬個，其中絕大部分傳播源IP地址位于境外（占比79.9%），我國境內疑似受感染智能設備IP地址數(shù)量約203.8萬個（同比上升31.8%），主要位于浙江省、江蘇省、山東省、遼寧省和河南省等，被控聯(lián)網(wǎng)智能設備日均向1528個目標發(fā)起DDoS攻擊。二、漏洞接收情況2019年，國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數(shù)量創(chuàng)下歷史新高，收錄安全漏洞數(shù)量同比增長了14.0%，共計16193個，2013年以來每年平均增長率為12.7%。其中，高危漏洞收錄數(shù)量為4877個（占30.1%），同比減少0.4%，但零日漏洞收錄數(shù)量持續(xù)走高，2019年收錄的安全漏洞中，零日漏洞收錄數(shù)量占比35.2%，達5706個，同比增長6.0%。按影響對象類型分類統(tǒng)計，占比前3位的為應用程序漏洞（56.2%）、Web應用漏洞（23.3%）和操作系統(tǒng)漏洞（10.3%）。2019年，CNVD繼續(xù)推進移動互聯(lián)網(wǎng)、電信行業(yè)、工業(yè)控制系統(tǒng)和電子政務4類子漏洞庫的建設工作，分別新增收錄安全漏洞數(shù)量1214個（占全年收錄數(shù)量的7.5%）、638個（占3.9%）、443個（占2.7%）和131個（占0.8%），其中移動互聯(lián)網(wǎng)子漏洞庫收錄數(shù)量較2018年增長了4.2%。CNVD全年通報涉及政府機構、重要信息系統(tǒng)等關鍵信息基礎設施安全漏洞事件約2.9萬起，同比大幅增長42.1%。三、ddos攻擊1.來自境外的DDos攻擊情況2019年，CNCERT/CC持續(xù)監(jiān)測分析來自境外的DDoS攻擊流量發(fā)現(xiàn)，境外DDoS攻擊流量超過10Gbit/s的大流量攻擊事件日均120余起。境外DDoS攻擊的主要攻擊方式是UDPFlood,TCPSYNFlood,MemcachedAmplification,NTPAmplification,DNSAmplification，這5種DDoS攻擊占比達到89%。98%的境外DDoS攻擊的攻擊時長小于30min，攻擊目標主要位于浙江省、廣東省、江蘇省、山東省和北京市等經(jīng)濟較為發(fā)達的地區(qū)。四、網(wǎng)站安全1.仿冒頁面添加量2019年，監(jiān)測發(fā)現(xiàn)約8.5萬個針對我國境內網(wǎng)站的仿冒頁面，頁面數(shù)量較2018年增長了59.7%。從承載仿冒頁面的IP地址歸屬情況來看，絕大多數(shù)位于境外，主要分布在中國香港地區(qū)和美國。2.網(wǎng)站植入時代分析2019年，CNCERT/CC監(jiān)測到我國境內外約4.5萬個IP地址對我國境內約8.5萬個網(wǎng)站植入后門，我國境內被植入后門的網(wǎng)站數(shù)量較2018年增長超過2.59倍。其中，約有4萬個境外IP地址（占全部IP地址總數(shù)的90.9%）對我國境內約8萬個網(wǎng)站植入后門，位于美國的IP地址最多，占境外IP地址總數(shù)的33.5%，其次是位于英國和中國香港地區(qū)的IP地址。3.)被植入暗鏈的網(wǎng)站比例大幅下降2019年，我國境內遭篡改的網(wǎng)站約有18.6萬個，其中被篡改的政府網(wǎng)站有515個。從網(wǎng)頁遭篡改的方式來看，被植入暗鏈的網(wǎng)站占全部被篡改網(wǎng)站的比例大幅下降，占比較小；從域名類型來看，2019年我國境內被篡改的網(wǎng)站中，代表商業(yè)機構的網(wǎng)站（.com）最多，占75.2%，其次是網(wǎng)絡組織類（.net）網(wǎng)站、非營利組織類（.org）網(wǎng)站，分別占4.7%和1.2%。五、提出攻擊次數(shù)a云平臺作為控制端發(fā)起DDoS攻擊的次數(shù)占我國境內控制端發(fā)起DDoS攻擊次數(shù)的86.0%，作為木馬和僵尸網(wǎng)絡惡意程序控制的被控端IP地址數(shù)量占我國境內全部被控端IP地址數(shù)量的89.3%，承載的惡意程序種類數(shù)量占我國境內互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的81.0%。六、工業(yè)控制系統(tǒng)的安全1.主要設備類型2019年，暴露在互聯(lián)網(wǎng)上的工業(yè)設備7325臺，比2018年增加21.7%。涉及39家國內外知名廠商的可編程邏輯控制器、智能樓宇類設備和數(shù)據(jù)采集監(jiān)控服務器等50種設備類型，且存在高危漏洞隱患的設備占比約35%。醫(yī)療健康、電力、石油天然氣、煤炭和城市軌道交通等重點行業(yè)暴露的聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)224