2017年網(wǎng)絡(luò)安全應(yīng)急響應(yīng)分析報(bào)告

201808132017360199起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件49.6%。2017360安服團(tuán)隊(duì)參與處置的所有政府機(jī)構(gòu)和企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，由行業(yè)單位自己發(fā)現(xiàn)的安全攻擊事件占88%，而另有12%的安全攻擊事件政府機(jī)構(gòu)和安全事件的影響范圍主要集中在外部網(wǎng)站和內(nèi)部網(wǎng)站（42%（39%（9%（3%29.1%，破壞性攻18%16%。 第一 前 第二 一、月度報(bào)告趨勢(shì)分 二、行業(yè)報(bào)告排名分 三、攻擊事件發(fā)現(xiàn)分 四、影響范圍分布分 五、攻擊意圖分布分 六、攻擊現(xiàn)象統(tǒng)計(jì)分 七、事件類(lèi)型分布分 第三 一、網(wǎng)站安 （一）網(wǎng)頁(yè)被篡 （二）非法子頁(yè) （三）DDoS攻 （四）CC攻 （五）網(wǎng)站流量異 二、終端安 （一）運(yùn)行異 （二）勒索病 （三）DDoS攻 三、服務(wù)器安 （一）運(yùn)行異 （二）木馬病 （三）勒索病 （四）DDoS攻 四、郵箱安 （一）郵箱異 （二）郵箱DDoS攻 附錄360安服團(tuán) 第一 前199重要。360構(gòu)建了全流程的應(yīng)急響應(yīng)服務(wù)體系，為政府機(jī)構(gòu)、大中型企業(yè)提供高效、實(shí)時(shí)、第二 2017360199起全國(guó)范圍內(nèi)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件，第2017年全年處置的所有應(yīng)急響應(yīng)事件從不同維度進(jìn)一、2017360199起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件，月度報(bào)告趨處置的安全應(yīng)急請(qǐng)求較少，年底相對(duì)較多，310月份整體上處置的安全應(yīng)急請(qǐng)求趨二、2017年全年應(yīng)急響應(yīng)事件行業(yè)分類(lèi)分析，匯總出行業(yè)應(yīng)急處置數(shù)量排名，如下融機(jī)構(gòu)。而交通運(yùn)輸、教育培訓(xùn)、能源、IT信息技術(shù)、媒體所產(chǎn)生的應(yīng)急響應(yīng)事件也占到33%。其次為交通運(yùn)輸、教育培訓(xùn)、能源、IT信息技術(shù)和媒體，從中竊取數(shù)據(jù)、敲詐勒索。上述三、2017年全年應(yīng)急響應(yīng)事件攻擊發(fā)現(xiàn)類(lèi)型分析，匯總出攻擊事件發(fā)現(xiàn)情況，如下88%12%的安全攻擊事件政府機(jī)構(gòu)和企業(yè)雖然政府機(jī)構(gòu)和企業(yè)自行發(fā)現(xiàn)的安全攻擊事件占到了88%，但并不代表其具備了潛在威脅的發(fā)現(xiàn)能力。實(shí)際上，僅有占安全攻擊事件總量39%的事件是政府機(jī)構(gòu)和企業(yè)通過(guò)內(nèi)部安全運(yùn)營(yíng)巡檢的方式自主查出的，而其余49%的安全攻擊事件能夠被發(fā)現(xiàn)，則完全是因四、2017年全年應(yīng)急響應(yīng)事件處置報(bào)告分析，匯總出安全事件的影響范圍分布即失（42%（39%（9%（3%五、2017年全年應(yīng)急響應(yīng)事件處置報(bào)告分析，匯總出攻擊者攻擊政府機(jī)構(gòu)、大中型APT攻擊和出于政治原因攻擊意圖的存在，說(shuō)明具有組織性、針對(duì)性的攻擊團(tuán)隊(duì)對(duì)政重點(diǎn)領(lǐng)域的數(shù)據(jù)。雖然APT攻擊和出于政治原因的攻擊數(shù)量相對(duì)較少，但其危害性較重，六、CPU18%，攻擊者通過(guò)利用服務(wù)器漏洞、配置不當(dāng)、弱口令、Web漏洞等系統(tǒng)安全缺陷，對(duì)系統(tǒng)實(shí)施破壞性攻擊；聲譽(yù)影響占比16%，主要體現(xiàn)在對(duì)政府機(jī)構(gòu)、大中型企業(yè)門(mén)戶網(wǎng)站進(jìn)行的網(wǎng)頁(yè)篡改、黑詞暗鏈、不可用占比10%，主要表現(xiàn)為攻擊者通過(guò)對(duì)系統(tǒng)的攻擊，直接造成業(yè)務(wù)系統(tǒng)宕機(jī)。同時(shí)，七、常/異常外聯(lián)、PC病毒告警等方面。其中，服務(wù)器病毒告警是攻擊者利用病毒感染對(duì)服務(wù)器進(jìn)行的攻擊，占28%，成為攻擊者主要的攻擊手段；網(wǎng)頁(yè)被篡改是攻擊者對(duì)互聯(lián)網(wǎng)門(mén)戶網(wǎng)站進(jìn)行的常見(jiàn)攻擊，占12%，造成服務(wù)器、系統(tǒng)運(yùn)行異常或異常外聯(lián)，降低生產(chǎn)效率；PC病毒告警是攻擊者利用病毒感8%，是對(duì)攻擊終端的主要手段。除此之外，還有流量監(jiān)測(cè)異常、被通報(bào)安全事件、網(wǎng)站無(wú)法訪問(wèn)/訪問(wèn)遲緩、webshell第三 一、（一）（二）（三）DDoS攻擊方法：黑客利用多類(lèi)型DDoS技術(shù)對(duì)網(wǎng)站進(jìn)行分布式抗拒絕服務(wù)攻擊。（四）CC攻擊方法SQL注入攻擊行為、發(fā)起頻繁惡意（五）攻擊方法webshell等木馬后門(mén)，控制網(wǎng)站；某些攻擊者甚至?xí)跃W(wǎng)站為跳（六）擊者的跳板，或者是對(duì)其他網(wǎng)站發(fā)動(dòng)DDoS攻擊的攻擊源。攻擊方法DDoSIPTomcat、IIS等中間件已有漏洞、網(wǎng)站各類(lèi)應(yīng)用上傳漏洞、webshell上傳至門(mén)戶web服務(wù)器，webshell對(duì)服務(wù)器進(jìn)行惡意操作；DDoS攻擊技術(shù)（SYNFlood、ACKFlood、UDPFlood、ICMPFlood等DDoS攻擊；SQL注入攻擊、頻繁惡意請(qǐng)求攻擊等攻擊方式進(jìn)行攻第一、針對(duì)網(wǎng)站，建立完善的監(jiān)測(cè)預(yù)警機(jī)制，及時(shí)發(fā)現(xiàn)攻擊行為，啟動(dòng)應(yīng)急預(yù)案并ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各網(wǎng)絡(luò)第三、配置并開(kāi)啟網(wǎng)站應(yīng)用日志，對(duì)應(yīng)用日志進(jìn)行定期異地歸檔、備份，避免在攻第四、加強(qiáng)入侵防御能力，建議在網(wǎng)站服務(wù)器上安裝相應(yīng)的防病毒軟件或部署防病第五、定期開(kāi)展對(duì)網(wǎng)站系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評(píng)估、滲透測(cè)試以及代碼審第六、建議部署全流量監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時(shí)可進(jìn)一步加強(qiáng)追蹤第七、加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安二、（一）DDoS攻擊。（二）（三）DDoS攻擊方法DLL模塊以及異常啟動(dòng)項(xiàng)第一、通過(guò)弱口令爆破、軟件和系統(tǒng)漏洞、社會(huì)人工學(xué)以及其他等攻擊手段，使內(nèi)網(wǎng)IP直接定位機(jī)器位置；三、（一）DDoS攻擊。（二）（三）（四）DDoS主要危害CPU以及帶寬等，導(dǎo)致服務(wù)器上的業(yè)DDoS木馬，以此發(fā)起DDoS攻擊。器感染各類(lèi)木馬（如挖礦木馬、DDoS木馬等webshell后門(mén)、惡意木馬