2016年安全威胁分析报告
  

深信服安全产品研发 4150

{{ttag.title}}
来自:千里目安全实验室
                       

前言:
2016年,经过某公司千里目安全攻防实验室的监控与分析,发现2016年安全威胁的整体态势相比2015年更加严峻。下面主要对网站安全、网络攻击流量、恶性安全事件、恶意程序传播等方面做出分析,并从多个层面对相应威胁作出应对措施建议。

一、2016年安全威胁总体概述

1、国内网站安全情况不容乐观,75.7%的网站存在安全漏洞。政府网站有89.6%存在漏洞,在所有行业分类中漏洞比例最高;

2、XSS注入漏洞和SQL注入漏洞在所有漏洞类型中占比最高;同一地区的区县政府和中小学网站更喜欢使用相同建站框架,安全风险极高;

3、大型企业对网站安全关注度最高,平均漏洞修复时期为10天,政府方面对网站安全关注度最低,平均漏洞修复时期3个月左右,最长达1年以上;

4、 2016年发现并拦截网站攻击流量56.36亿次,其中DDoS攻击次数最多,占总攻击量的27.7%。来自广东地区的攻击流量最高,占总攻击量的23%;

5、2016年发现网站安全事件10.6万起,网站仿冒钓鱼事件最多,占总事件46%;

6、2016年共监测到恶意程序感染主机/服务器IP有156898个,其中受僵尸网络感染最多,占总感染数37.6%。

二、网站安全监测情况

1. 网站漏洞整体解读
2016年(1月1日到12月25日),千里目云检测平台对全国14个取样省份25.9万网站进行授权安全检测,其中有19.6万个网站存在安全漏洞,占总检测网站的75.7%。相比2015年全面增长45.2%。
在25.9万取样网站中,共发现50.3万个漏洞,在所有漏洞风险等级中,高危漏洞有9.2万个,占漏洞总数的15.2%,具体分布如下图:


640.jpg

在本次14省漏洞检测过程中,广东省网站共监测到漏洞有11万个,占总漏洞数22%,在全国范围内网站安全隐患最高,下面给出所有地区漏洞占比情况,如下图所示:


641.jpg

注:具体分析请阅读全文下载完整报告

三、网站攻击流量分析
1. 网站攻击整体解读
2016年(1月1日到12月25日),某公司安全防护设备共发现并拦截攻击56.36亿次,平均每天拦截攻击1544.1万次。其中8月攻击流量达到最大值,其中每天拦截攻击流量多达3966.7万次,下面给出每月网站攻击流量统计图:


2.jpg

从被攻击网站数量来看,2016年共有77.9万使用某公司防护设备的网站遭遇网络攻击,平均每月有6.4万网站受到攻击。其中11月是网络攻击最频繁的一个月,平均每天有4278个网站遭到攻击,具体统计图如下:

3.jpg

综上所述,无论是总体攻击流量,还是受攻击网站数,都在7-9月达到顶峰,然而在此期间正值我国杭州G20峰会举办时期。同样在互联网调查中发现,此期间尤其是政府网站频繁受到攻击篡改。因此网络攻击活动与国家政治动态有着直接关联性。自习近平总书记提出“没有网络安全,就没有国家安全”的口号,网络安全已经全面上升到国家安全层面。

注:具体分析请阅读全文下载完整报告

四、网站安全事件分析
1. 网站安全事件整体分析
2016年(1月1日到12月25日),千里目云检测平台检测到网站安全事件10.6万起,其中包括网站篡改事件2.5万起,敏感信息泄露事件3.2万起,网站仿冒钓鱼事件4.9万起。整体分布图如下:

4.jpg

从每月监测情况来看,11月数量最多,其次是6月和1月,下面给出每月检测出的网站事件统计图:

5.jpg

从上图可以看出,我国农历春节前期(11月到1月)是网站安全事件高发期,也是不法分子的活跃期,这与现实生活中的生存环境安全态势成正比,可以说,网络安全已深入到生活中的方方面面,网络安全也成为生命财产安全的一部分。

注:具体分析请阅读全文下载完整报告

五、恶意程序传播和活动情况
1. 恶意程序传播活动整体检测
2016年(1月1日到12月25日),千里目安全实验室共监测到受恶意程序感染主机/服务器IP地址156898个,其中感染主机/服务器数量10月达到全年最高点(30236个),每月恶意程序活动情况如下图所示:

6.jpg

受感染主机的感染类型主要有僵尸网络、网络木马、勒索软件、飞客蠕虫、Xor.DDoS病毒等,其中受僵尸网络感染的主机数量最多,共感染58962台。具体分布如下:

7.jpg

注:具体分析请阅读全文下载完整报告

六、2016年国内外安全漏洞和安全事件盘点
注:具体漏洞&事件盘点请阅读全文下载完整报告

全年重大安全漏洞总结
1、2016年4月,Struts2再次爆发高危漏洞,Struts2在金融、政府行业使用广泛,导致大量行业私密数据被窃取,另外通过千里目云检测平台检测发现Struts2暴发新的高危漏洞的同时,针对以往Struts2的高危漏洞攻击也迅速增加,攻击者针对Struts2框架,制定了完整的攻击包,因此使用Struts2的用户需要注意安全防护,定期扫描监控发现威胁,并反复监视原有漏洞,确认修复效果。

2、本年度针对Linux系统的漏洞主要以本地提权为主,但是由于利用困难大,并未造成大规模危害。但是由于Linux多是部署在服务器上,大部分是企业重要数据系统,因此使用Linux用户需时刻关注Linux安全新动态。

3、针对使用量广泛的软件,越来越成为黑客挖掘的重点,今年爆出的OpenSSL DROWN漏洞、苹果IOS漏洞、思科设备漏洞,都是使用量巨大,影响广泛,如何保护好通用基础应用的安全问题,依旧是一个需要加强的领域。

全年重大安全事件总结
1、全球重大安全事件盘点中,共有50%内容涉及公民信息泄露,可见信息泄露已成为危害全球的首要安全大事,其不谈信息泄露造成的多起诈骗致死事件,单单是每日的垃圾邮件,骚扰电话/短信,都严重影响到日常生活。因此,信息泄露已成为影响公民人身财产安全的重要杀手之一。无论是信息管理者还是个人,都应该时刻关注各种针对信息窃取的攻击行为。

2、此外,本年度爆发多起防火墙安全漏洞事件,针对安全防护设备的攻击有明显增加,安全厂商在做安全防护产品的同时也应同样注意自身产品安全建设。

3、网络安全已经开始渗入方方面面,从公民个人隐私到国家之间的对抗,每个人,每个国家都很难独善其身,我国也把网络安全提升到国家重要战略地位,相继出台了重要的政策法规,没有网络安全,就没有国家安全,未来我们需要花费更多精力时间提升公民安全意识,提升整个国家网络安全建设。

七、网络安全现状及攻击应对措施
1. 个人层面
网络调查显示,针对企业的攻击事件56%是从企业员工进行攻击,攻击方式有钓鱼邮件、社工、管理员账号窃取等方式。网站曝出漏洞后,有58%的管理员由于没有造成实际危害而无任何作为。
针对个人层面造成的网络攻击千里目安全实验室给出如下建议:
(1)在办公环境下禁止外来陌生网页访问,慎点未经确认的各类链接;
(2)使用专业的密码管理软件来存储办公环境中的各类账号和密码;
(3)时刻注意关机锁屏,尽量不用生日、身份尾号、手机号等作为开机密码;
(4)重视安全防护设备/软件的报警信息;
(5)网站管理人员应尤其注意网站漏洞通报信息,并及时验证修复。同时在日常网站运维时期,应定期做漏洞监控和扫描,及时发现网站风险。在漏洞修复后同样应该反复监视,确认修复效果。有些漏洞有可能会出现反复修复的现象,例如 2014 年 OpenSSL 心血漏洞,当时厂商提供的补丁没有对漏洞进行完全的修复,后续几个月内,业内又公开了几种新的漏洞利用方式,导致该漏洞带来新的风险。

2. 企业层面
某公司专注企业层面安全防护,在此过程中统计发现,拥有专业安全团队的单位不足15%,拥有网络安全制度及网络安全事故应急响应流程机制的单位不足20%。且大量单位使用第三方开源建站系统,然而使用第三方建站系统的单位有23%左右不能正确的管理和配置这些网站,导致网站存在大量安全隐患。统计中还发现,公司人员安全意识不足同样是导致企业网络发生安全事故的的重要因素。针对以上现状,某公司针对企业层面给出以下安全建议:
(1)邀请专业的安全专家不定期培养企业内部人员安全意识,减少因为非技术因素造成的安全损失;
(2)建立完善的网络安全制度明确安全管理人员工作职责,定期对企业资产进行梳理,排查安全隐患,做出目标、内容、考核三个执行标准;
(3)建立网络安全事故应急响应机制,从漏洞爆发、漏洞验证、漏洞修补、安全加固。漏洞预防等五个方面来执行。
(4)通过黑白名单的方式,严格规范企业员工上网行为,避免由于个人操作失误给全公司带来经济损失。
(5)预设黑名单和白名单的方式协助运维人员进行网站威胁发现,在监测的顺序上建议先采用黑名单拦截过滤检测,然后再用白名单正常访问行为进行检测。
(6)对网站安全威胁源进行封禁,虽然在攻防技术上攻击者完全可以更换攻击源来持续对目标进行攻击。但是在攻防中,有效对抗攻击行为,可以使攻击者的攻击时间成本与技术成本上升,这样部分攻击者会因为攻击阻断和封禁措施,停止攻击,转向攻击成本低的目标。
(7)对企业网络安全事件按照事前、事中、事后三维度进行管理,构建事前预警、事中防御、事后溯源的能力;

3. 法律法规
2016年11月7日,某公司常委会正式表决通过《中华人民共和国网络安全法》,该法规第二十一条:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。在此项法规中,不仅明确了网络安全负责人责任,而且对计算机病毒、网络攻击和入侵等危害网络安全行为等违法行为进行定性。
《网络安全法》在个人信息保护内容中强调“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。明确个人信息应受到保护的权利。
在互联网高速发展的现在,黑客攻击行为屡禁不止的今天,《网络安全法》展示了我国网络安全工作的基础性法律框架,不仅规范了企业行为,明确其责任,还加大网络犯罪打击力度,为保护公民和企业在互联网中安全生存提供法律依据。

八、网络安全威胁未来趋势
针对2016年网站安全情况已经网络攻击情况分析,千里目安全实验室对2017年攻击趋势做出如下几方面预测:

1、数据泄露问题还是应该是企业关注焦点,从这两年安全事件看,企业级的信息泄露事件都会造成巨大影响,智能硬件的普及,个人信息数字化,导致存有敏感信息企业防护压力越来越大,而这些地方往往也是黑客青睐的攻击对象。
2、社工工程学攻击效果会更加明显,今年勒索软件席卷全球,很多攻击都是通过恶意邮件,恶意链接,钓鱼邮件,以及诈骗、冒充身份等方式,这些攻击手段非常普遍,技术难度不高,但是效果明显,所以安全意识提升对于企业来说也安全建设的一个重大问题。
3、新技术带来的安全隐患,比如企业业务上云、物联网还有这两年流行的大数据分析、机器学习,人工智能等技术,在提升安全性的同时,也给了黑客更多可用的攻击方法,所以威胁也变的更加智能,攻击效率越来越高,防御难度也会加大。
综上,我们认为2017年,企业用户最应该关注的安全问题分别是数泄露、社工工程安全意识、攻击智能化三个领域。

九、千里目安全实验室介绍
千里目是某公司旗下第一安全实验室,主要专注于网络安全攻防技术研究,利用黑客视角解决网络安全问题,为企业安全赋能。

千里目取自王之涣《登鹳雀楼》“欲穷千里目,更上一层楼”;寓意站得高、看得远,学无止境,勇攀高峰。在网络安全攻防技术研究领域精勤钻研,不断提高专业技术造诣,抵御更多的网络安全威胁。同时千里目更希望做网络空间的一双眼睛,拥有更加敏锐长远的眼光(Further eye),深度洞察网络安全威胁,解读前沿安全技术。

千里目安全实验室核心理念:“黑视角、智安全,为企业安全赋能”,主要在以下三个方面发力:
1)安全攻防技术研究:更多从黑客攻击角度出发研究安全问题,由于我们面对的是企业用户,所以,我们更关注与企业用户安全问题,重点关注针服务器、数据中心的攻击发放和手段,另外每次新技术的发展,都会伴随追安全问题的产生,新技术只有安全了,只有清楚了攻击方法和手段,才能更好的进行下一步工作,所以我们也一直跟新技术带来的安全问题。

2)安全攻防技术做支撑,将攻击技术转化成安全产品和服务,通过云的和后台安全专家的方式,提供智能化的安全服务,结合大数据分析技术,做威胁情报和态势感知,更好地做到提前预警、及时防御和事后溯源。

3) 有了产品和服务,我们希望提升企业安全运维效率,减少安全方面的投入,把安全事情交给专业的人士去做行了,所以我们通过我们技术和平台及产品,达到快速响应,安全可视、简单运维,做到为企业安全赋能。

关注千里目安全实验微信,掌握最新的安全动态和安全技术:
千里目安全实验室.jpg

2016年安全威胁分析报告(2).pdf

3.03 MB, 下载次数: 74

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

adds 发表于 2017-1-6 11:53
  
先占沙发。
Sangfor_闪电回_朱丽 发表于 2017-1-6 14:36
  
好详细的总结,赞一个~
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
安装部署配置
功能体验
秒懂零信任
自助服务平台操作指引
GIF动图学习
2023技术争霸赛专题
通用技术
玩转零信任
技术晨报
社区帮助指南
安全攻防
每日一记
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

SANGFOR...

本周分享达人