4月16日,由國家網際網路應急中心(CNCERT)主辦的《2018年我國網際網路網路安全態勢綜述》發佈會在京舉行。來自中央網信辦、工業和資訊化部、公安部等政府部門、重要資訊系統單位、電信運營企業、域名註冊管理和服務機構、網際網路和安全企業等80多家單位的專家和代表出席會議。
會上,CNCERT發佈了2018年態勢綜述報告,並對該報告進行了詳細闡述。報告堅持立足於CNCERT自有監測數據與工作實踐,結合2018年典型網路安全事件、網路安全新趨勢及日常網路安全事件應急處置實踐成果編撰而成,為我國黨政機關、行業企業及社會公眾提供了有力參考。報告從網路安全法律法規、網路安全威脅治理、勒索軟體威脅、APT攻擊、雲平臺安全、拒絕服務攻擊、工業控制系統安全、惡意移動應用和數據安全等共九個方面對2018年我國網際網路網路安全狀況進行了總結。報告還對網路安全趨勢進行了四點預測,認為2019年帶有特殊目的和針對性更強的網路攻擊、國家關鍵資訊基礎設施安全、個人資訊與數據安全、5G與IPv6等新技術安全值得關注。
2018年我國網際網路網路安全態勢綜述
當前,網路安全威脅日益突出,網路安全風險不斷向政治、經濟、文化、社會、生態、國防等領域傳導滲透,各國加強網路安全監管,持續出臺網路安全政策法規。2018年,在中央網路安全和資訊化委員會(原“中央網路安全和資訊化領導小組”)的統一領導下,我國進一步加強網路安全和資訊化管理工作,各行業主管部門協同推進網路安全治理。國家網際網路應急中心(以下簡稱“CNCERT”)持續加強我國網際網路網路安全監測,開展我國網際網路宏觀網路安全態勢評估,網路安全事件監測、協調處置和預警通報工作,取得了顯著成效。CNCERT依託我國宏觀安全監測數據,結合網路安全威脅治理實踐成果,在本報告中重點對2018年我國網際網路網路安全狀況進行了分析和總結,並對2019年的網路安全趨勢進行預測。
一、2018年我國網際網路網路安全狀況
2018年,我國進一步健全網路安全法律體系,完善網路安全管理體制機制,持續加強公共網際網路網路安全監測和治理,構建網際網路發展安全基礎,構築網民安全上網環境,特別是在黨政機關和重要行業方面,網路安全應急響應能力不斷提升,惡意程式感染、網頁篡改、網站後門等傳統的安全問題得到有效控制。全年未發生大規模病毒爆發、大規模網路癱瘓的重大事件,但關鍵資訊基礎設施、雲平臺等面臨的安全風險仍較為突出,APT攻擊、數據洩露、分佈式拒絕服務攻擊(以下簡稱“DDoS攻擊”)等問題也較為嚴重。
(一)我國網路安全法律法規政策保障體系逐步健全
自我國《網路安全法》于2017年6月1日正式實施以來,我國網路安全相關法律法規及配套制度逐步健全,逐漸形成綜合法律、監管規定、行業與技術標準的綜合化、規範化體系,我國網路安全工作法律保障體系不斷完善,網路安全執法力度持續加強。2018年,全國人大常委會發佈《十三屆全國人大常委會立法規劃》,包含個人資訊保護、數據安全、密碼等方面。黨中央、國務院各部門相繼發力,網路安全方面法規、規章、司法解釋等陸續發佈或實施。《網路安全等級保護條例》已向社會公開徵求意見,《公安機關網際網路安全監督檢查規定》、《關於加強跨境金融網路與資訊服務管理的通知》、《區塊鏈資訊服務管理規定》、《關於加強政府網站域名管理的通知》等加強網路安全執法或強化相關領域網路安全的文件發佈。
(二)我國網際網路網路安全威脅治理取得新成效
我國網際網路網路安全環境經過多年的持續治理效果顯著,網路安全環境得到明顯改善。特別是黨中央加強了對網路安全和資訊化工作的統一領導,黨政機關和重要行業加強網路安全防護措施,針對黨政機關和重要行業的木馬僵屍惡意程式、網站安全、安全漏洞等傳統網路安全事件大幅減少。2018年,CNCERT協調處置網路安全事件約10.6萬起,其中網頁倣冒事件最多,其次是安全漏洞、惡意程式、網頁篡改、網站後門、DDoS攻擊等事件。CNCERT持續組織開展電腦惡意程式常態化打擊工作,2018年成功關閉772個控制規模較大的僵屍網路,成功切斷了駭客對境內約390萬台感染主機的控制。據抽樣監測,在政府網站安全方面,遭植入後門的我國政府網站數量平均減少了46.5%,遭篡改網站數量平均減少了16.4%,顯示我國政府網站的安全情況有所好轉。在主管部門指導下,CNCERT聯合基礎電信企業、雲服務商等持續開展DDoS攻擊資源專項治理工作,從源頭上遏制了DDoS攻擊行為,有效降低了來自我國境內的攻擊流量。據CNCERT抽樣監測,2018年境內發起DDoS攻擊的活躍控制端數量同比下降46%、被控端數量同比下降37%;境內反射伺服器、跨域偽造流量來源路由器、本地偽造流量來源路由器等可利用的攻擊資源消亡速度加快、新增率降低。根據外部報告,我國境內僵屍網路控制端數量在全球的排名從前三名降至第十名,DDoS活躍反射源下降了60%。
(三)勒索軟體對重要行業關鍵資訊基礎設施威脅加劇
2018年勒索軟體攻擊事件頻發,變種數量不斷攀升,給個人用戶和企業用戶帶來嚴重損失。2018年,CNCERT捕獲勒索軟體近14萬個,全年總體呈現增長趨勢,特別在下半年,伴隨“勒索軟體即服務”産業的興起,活躍勒索軟體數量呈現快速增長勢頭,且更新頻率和威脅廣度都大幅度增加,例如勒索軟體GandCrab全年出現了約19個版本,一直快速更新迭代。勒索軟體傳播手段多樣,利用影響範圍廣的漏洞進行快速傳播是當前主要方式之一,例如勒索軟體Lucky通過綜合利用弱密碼漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等進行快速攻擊傳播。2018年,重要行業關鍵資訊基礎設施逐漸成為勒索軟體的重點攻擊目標,其中,政府、醫療、教育、研究機構、製造業等是受到勒索軟體攻擊較嚴重行業。例如GlobeImposter、GandCrab等勒索軟體變種攻擊了我國多家醫療機構,導致醫院資訊系統運作受到嚴重影響。
(四)越來越多的APT攻擊行為被披露
2018年,全球專業網路安全機構發佈了各類高級威脅研究報告478份,同比增長了約3.6倍,其中我國12個研究機構發佈報告80份,這些報告涉及已被確認的APT攻擊組織包括APT28、Lazarus、Group 123、海蓮花、MuddyWater等53個,攻擊目標主要分佈在中東、亞太、美洲和歐洲地區,總體呈現出地緣政治緊密相關的特性,受攻擊的領域主要包括軍隊國防、政府、金融、外交和能源等。值得注意的是,醫療、傳媒、電信等國家服務性行業領域也正面臨越來越多的APT攻擊風險。APT攻擊組織採用的攻擊手法主要以魚叉郵件攻擊、水坑攻擊、網路流量劫持或中間人攻擊等,其頻繁利用公開或開源的攻擊框架和工具,並綜合利用多種技術以實現攻擊,或規避與歷史攻擊手法的重合。
(五)雲平臺成為發生網路攻擊的重災區
根據CNCERT監測數據,雖然國內主流雲平臺使用的IP地址數量僅佔我國境內全部IP地址數量的7.7%,但雲平臺已成為發生網路攻擊的重災區,在各類型網路安全事件數量中,雲平臺上的DDoS攻擊次數、被植入後門的網站數量、被篡改網站數量均佔比超過50%。同時,國內主流雲平臺上承載的惡意程式種類數量佔境內網際網路上承載的惡意程式種類數量的53.7%,木馬和僵屍網路惡意程式控制端IP地址數量佔境內全部惡意程式控制端IP地址數量的59%,表明攻擊者經常利用雲平臺來發起網路攻擊。分析原因,雲平臺成為網路攻擊的重要目標是因為大量系統部署到雲上,涉及國計民生、企業運營的數據和用戶個人資訊,成為攻擊者攫取經濟利益的目標。從雲平臺上發出的攻擊增多是因為雲服務使用存在便捷性、可靠性、低成本、高頻寬和高性能等特性,且雲網路流量的複雜性有利於攻擊者隱藏真實身份,攻擊者更多的利用雲平臺設備作為跳板機或控制端發起網路攻擊。此外,雲平臺用戶對其部署在雲平臺上系統的網路安全防護重視不足,導致其系統可能面臨更大的網路安全風險。因此,雲服務商和雲用戶都應加大對網路安全的重視和投入,分工協作提升網路安全防範能力。雲服務商應提供基礎性的網路安全防護措施並保障雲平臺安全運作,全面提高雲平臺的安全性和可控性。雲用戶對部署在雲平臺上的系統承擔主體責任,需全面落實系統的網路安全防護要求。
(六)拒絕服務攻擊頻次下降但峰值流量持續攀升
DDoS攻擊是難以防範的網路攻擊手段之一,攻擊手段和強度不斷更新,並逐步形成了“DDoS即服務”的網際網路黑色産業服務,普遍用於行業惡意競爭、敲詐勒索等網路犯罪。得益於我國網路空間環境治理取得的有效成果,經過對DDoS攻擊資源的專項治理,我國境內拒絕服務攻擊頻次總體呈現下降趨勢。根據第三方分析報告,2018年我國境內全年DDoS攻擊次數同比下降超過20%,特別是反射攻擊較去年減少了80%。CNCERT抽樣監測發現,2018年我國境內峰值流量超過Tbps級的DDoS攻擊次數較往年增加較多,達68起。其中,2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達1.27Tbps。
(七)針對工業控制系統的定向性攻擊趨勢明顯
2018年,針對特定工業系統的攻擊越來越多,並多與傳統攻擊手段結合,針對國家工業控制系統的攻擊日益呈現出定向性特點。惡意軟體Trisis利用施耐德Triconex安全儀錶控制系統零日漏洞,攻擊了中東某石油天然氣工廠,致其工廠停運。分析發現,Trisis完整的文件庫通過五種不同的編程語言構建,因其定向性的特點,僅能在其攻擊的同款工業設備上測試才能完全了解該惡意軟體。2018年中期,惡意軟體GreyEnergy被捕獲,主要針對運作數據採集與監視控制系統(SCADA)軟體和伺服器的工業控制系統工作站,具有模組化架構,功能可進一步擴展,可進行後門訪問、竊取文件、抓取螢幕截圖、記錄敲擊鍵和竊取憑據等操作。2018年,CNCERT抽樣監測發現,我國境內聯網工業設備、系統、平臺等遭受惡意嗅探、網路攻擊的次數顯著提高,雖未發生重大安全事件,但需提高警惕,引起重視。
(八)虛假和倣冒移動應用增多且成為網路詐騙新渠道
近年來,隨著網際網路與經濟、生活的深度捆綁交織,通過網際網路對網民實施遠端非接觸式詐騙手段不斷翻新,先後出現了“網路投資”、“網路交友”、“網購返利”等新型網路詐騙手段。隨著我國移動網際網路技術的快速發展和應用普及,2018年通過移動應用實施網路詐騙的事件尤為突出,如大量虛假的“貸款APP”並無真實貸款業務,僅用於詐騙分子騙取用戶的隱私資訊和錢財。CNCERT抽樣監測發現,在此類虛假的“貸款APP”上提交姓名、身份證照片、個人資産證明、銀行賬戶、地址等個人隱私資訊的用戶超過150萬人,大量受害用戶向詐騙分子支付了上萬元的所謂“擔保費”、“手續費”費用,經濟利益受到實質損害。此外,CNCERT還發現,具有與正版軟體相似圖標或名字的倣冒APP數量呈上升趨勢。2018年,CNCERT通過自主監測和投訴舉報方式共捕獲新增金融行業移動網際網路倣冒APP樣本838個,同比增長了近3.5倍,達近年新高。這些倣冒APP通常採用“蹭熱度”的方式來傳播和誘惑用戶下載並安裝,可能會造成用戶通訊錄和短信內容等個人隱私資訊洩露,或在未經用戶允許的情況下私自下載惡意軟體,造成惡意扣費等危害。
(九)數據安全問題引起前所未有的關注
2018年3月,Facebook公司被爆出大規模數據洩露,且這些洩露的數據被惡意利用,引起國內外普遍關注。2018年,我國也發生了包括十幾億條快遞公司的用戶資訊、2.4億條某連鎖酒店入住資訊、900萬條某網站用戶數據資訊、某求職網站用戶個人求職簡歷等數據洩露事件,這些洩露數據包含了大量的個人隱私資訊,如姓名、地址、銀行卡號、身份證號、聯繫電話、家庭成員等,給我國網民人身安全、財産安全帶來了安全隱患。2018年5月25日,歐盟頒布執行史上最嚴的個人數據保護條例《通用數據保護條例》(GDPR),掀起了國內外的廣泛討論,該法案重點保護的是自然人的“個人數據”,例如姓名、地址、電子郵件地址、電話號碼、生日、銀行賬戶、汽車牌照、IP地址以及cookies等。根據定義,該法案監管收集個人數據的行為,包括所有形式的網路追蹤。GDPR實施三天后,Facebook和谷歌等美國企業成為GDPR法案下第一批被告,這不僅給業界敲響了警鐘,也督促更多企業投入精力保護數據安全尤其是個人隱私數據安全。
二、2019年網路安全趨勢預測
結合2018年我國網路安全狀況,以及5G、IPv6、區塊鏈等新技術的發展和應用,CNCERT預測2019年網路安全趨勢主要如下:
(一)有特殊目的針對性更強的網路攻擊越來越多
目前,網路攻擊者發起網路攻擊的針對性越來越強,有特殊目的的攻擊行動頻發。近年來,有攻擊團夥長期以我國政府部門、事業單位、科研院所的網站為主要目標實施網頁篡改,境外攻擊團夥持續對我政府部門網站實施DDoS攻擊。網路安全事件與社會活動緊密結合趨勢明顯,網路攻擊事件高發。
(二)國家關鍵資訊基礎設施保護受到普遍關注
作為事關國家安全、社會穩定和經濟發展的戰略資源,國家關鍵資訊基礎設施保護的工作尤為重要。當前,應用廣泛的基礎軟硬體安全漏洞不斷被披露、具有特殊目的的駭客組織不斷對我國關鍵資訊基礎設施實施網路攻擊,我國關鍵資訊基礎設施面臨的安全風險不斷加大。2018年,APT攻擊活動持續活躍,我國多個重要行業遭受攻擊。隨著關鍵資訊基礎設施承載的資訊價值越來越大,針對國家關鍵資訊基礎設施的網路攻擊將會愈演愈烈。
(三)個人資訊和重要數據洩露危害更加嚴重
2018年Facebook資訊洩露事件讓我們重新審視個人資訊和重要數據的洩露可能引發的危害,資訊洩露不僅侵犯網民個人利益,甚至可能對國家政治安全造成影響。2018年我國境內發生了多起個人資訊和重要數據洩露事件,犯罪分子利用大數據等技術手段,整合獲得的各類數據,可形成對用戶的多維度精準畫像,所産生的危害將更為嚴重。
(四)5G、IPv6等新技術廣泛應用帶來的安全問題值得關注
目前,我國5G、IPv6規模部署和試用工作逐步推進,關於5G、IPv6自身的安全問題以及衍生的安全問題值得關注。5G技術的應用代表著增強的移動寬頻、海量的機器通信以及超高可靠低時延的通信,與IPv6技術應用共同發展,將真正實現讓萬物互聯,網際網路上承載的資訊將更為豐富,物聯網將大規模發展。但重要數據洩露、物聯網設備安全問題目前尚未得到有效解決,物聯網設備被大規模利用發起網路攻擊的問題也將更加突出。同時,區塊鏈技術也受到國內外廣泛關注並快速應用,從數字貨幣到智慧合約,並逐步向文化娛樂、社會管理、物聯網等多個領域延伸。隨著區塊鏈應用的範圍和深度逐漸擴大,數字貨幣被盜、智慧合約、錢包和挖礦軟體漏洞等安全問題將會更加凸顯。
未經允許不得轉載:網信浙江 » 《2018年我國網際網路網路安全態勢綜述》報告發佈
