书签 分享 收藏 举报 版权申诉 / 31

类型2021网络安全应急响应分析报告.pdf

  • 上传人:max1024
  • 文档编号:100758140
  • 上传时间:2023-07-23
  • 格式:PDF
  • 页数:31
  • 大小:2.68MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    2021 网络安全 应急 响应 分析 报告
    资源描述:
    主要观点 2021 年,奇安信集团安服团队共接到应急服务需求 1097 起。政府部门、医疗卫生行业和事业单位的业务专网是 2021 年网络安全应急响应事件的高发区。2021 年,政企机构通过安全运营巡检发现攻击事件占比为 18.0%。这说明,国内仅有不到五分之一的政企机构具备在重大事件发生之前及时阻止的能力。有 37.7%的机构是在被勒索后才寻求应急响应,但此时往往已对机构造成了一定的影响和重大的损失,日常安全运营建设水平仍然需政企机构持续提高。2021 年,攻击者攻击目标仍以业务专网,服务器为主,然办公终端问题也不容小觑。与去年相比,服务器受感染台数较去年增加 20987 台,办公终端受感染台数较去年增加 8217 台。受影响服务器、终端数量的明显增加,预示着不仅是服务器安全问题,日益凸显的终端安全问题也需要引起我们的关注。2021 年应急响应安全事件中,木马病毒攻击仍然是大中型政企机构服务器、数据库失陷的重要原因,除常见的勒索病毒攻击外,下半年出现的“Magniber 勒索病毒”以及“Apache Log4j2 漏洞”也成为大中型政企机构业务中断和数据泄露的重要原因。这也就意味着,政企机构应在日常运营建设中增加对外部事件,情报的监测能力,一旦发现威胁事件,应立即进行自查修复,保障业务的正常运营,将经济损失最低化。2021 年,钓鱼邮件仍然是攻击者热衷利用手段之一,员工安全意识培养仍需政企机构关注并提升。员工为方便工作,使用高危端口外连公网、弱口令等导致勒索病毒蔓延、数据泄露甚至服务器失陷事件。可见,员工安全意识亟待提升。摘 要 2021 年全年奇安信集团安服团队共参与和处置了全国范围内 1097 起网络安全应急响应事件。2021 年全年应急响应处置事件行业 TOP3 分别为:政府部门行业(243 起)、医疗卫生行业(112 起)以及事业单位(108 起),事件处置数分别占应急处置所有行业的22.2%、10.2%、9.8%。2021 年全年奇安信安服团队参与处置的所有大中型政企机构的网络安全应急响应事件中,由行业单位自行发现的安全攻击事件占 95.3%,其中有 37.7%的政企机构是在遭受勒索攻击后才发现系统被攻击;而另有 4.7%的安全攻击事件则是由监管机构及第三方平台通报得知。2021 年全年应急响应事件的影响范围主要集中在业务专网,占比 66.7%;办公网占比 33.3%。2021 年全年应急响应事件中,攻击者对系统的攻击所产生的影响主要表现为生产效率低下、数据丢失、数据篡改。2021 年全年应急响应事件中,黑产活动、敲诈勒索仍然是攻击者攻击大中型政企机构的主要原因。2021 年全年大中型政企机构安全事件攻击类型,排名前三的类型分别是:恶意程序,占比 44.7%;漏洞利用,占比 30.6%;网络监听攻击,占比 4.4%。2021 年全年应急响应事件中,弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。该报告所有分析数据来源于奇安信安服全年的 1097 次应急响应数据整理,可能存在一定的局限性,报告结论和观点仅供用户参考。关键词:关键词:应急响应、安全服务、弱口令、敲诈、勒索病毒、漏洞利用 目 录 第一章第一章 20212021 年全年应急年全年应急.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业现状分析.2 二、事件发现分析.2 三、影响范围分析.3 四、攻击影响分析.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图分析.5 二、攻击类型分析.5 三、恶意程序分析.6 四、漏洞利用分析.7 第四章第四章 应急响应典型案例分析应急响应典型案例分析.9 一、制造业某客户遭遇恶意邮件传播应急事件处置.9 二、某政府部门编辑器漏洞致网站黑页应急事件处置.10 三、制造业某客户蔓灵花 APT 应急事件处置.11 四、交通运输行业某客户感染门罗币挖矿病毒应急事件处置.12 五、某政府部门下属单位外连国外恶意 IP 应急事件处置.13 六、互联网行业某客户感染 phobos 勒索病毒应急事件处置.15 七、交通运输业某客户感染 Magniber 勒索病毒应急响应事件.16 八、服务业某客户 100+台服务器感染挖矿病毒应急事件处置.17 九、能源行业某客户内网收到钓鱼邮件应急事件处置.19 十、某客户遭遇 Apache Log4j2 漏洞攻击应急事件处置.20 附录附录 1 1 奇安信集团安服团队奇安信集团安服团队.22 附录附录 2 2 应急响应工具箱介绍应急响应工具箱介绍.23 附录附录 3 950153 95015 冬奥网络安全应急保障服务热线冬奥网络安全应急保障服务热线.24 奇安信集团 第 1 页,共 24 页 第一章 2021 年全年应急 2021 年 1-12 月,奇安信集团安服团队共参与和处置了全国范围内 1097 起网络安全应急响应事件,第一时间协助政企机构处理安全事故,确保了政企机构门户网站、数据库和重要业务系统的持续安全稳定运行。20212021 年应急响应服务月度统计情况具体如下:年应急响应服务月度统计情况具体如下:2021 年,奇安信安服共处置应急响应事件 1097 起,投入工时为 7932.4 小时,折合991.6 人天。其中,2021 年 4 月,因全国多地举行网络安全实战攻防演习活动,应急响应处理量大幅增加。从上述数据可以看出,2021 年前三季度(除 4 月)大中型政企机构应急数量趋于平稳,第四季度应急数量基本呈逐月递增趋势。通过对大中型政企机构发生网络安全事件类型进行分析,第四季度全国范围内出现“Magniber 勒索病毒”事件和“Apache Log4j2漏洞利用”事件,导致第四季度应急需求增多。奇安信集团 第 2 页,共 24 页 第二章 应急响应事件受害者分析 为进一步提高大中型政企机构对突发安全事件的认识和处置能力,增强政企机构安全防护意识,对 2021 年处置的所有应急响应事件从被攻击角度、受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的影响几方面进行统计分析,呈现全年政企机构内部网络安全现状。一、行业现状分析 2021 年应急响应处置事件排名靠前的行业 TOP3 分别为,政府部门(243 起)、医疗卫生行业(112 起)、事业单位(108 起),事件处置数分别占 2021 年应急处置事件的22.2%、10.2%、9.8%。大中型政企机构应急响应行业分布 TOP10 详见下图:从行业排名可知,2021 年攻击者的攻击对象主要分布于政府机构、医疗卫生行业和事业单位。二、事件发现分析 2021 年奇安信安服团队参与处置的所有政企机构网络安全应急响应事件中,由行业单位自行发现的攻击事件占 95.3%,其中发现入侵迹象的事件占比 39.6%,被攻击者勒索后发现的攻击占 37.7%,安全运营巡检发现的事件占比 18.0%。另有 4.7%的攻击事件政企机构是在得到了监管机构及第三方平台的通报后,才得知自己已被攻击。奇安信集团 第 3 页,共 24 页 三、影响范围分析 2021年应急响应事件的影响范围主要集中在业务专网,占比66.7%;其次为办公网,占比33.3%。根据受影响区域分布对受影响设备数量进行了统计,2021年失陷的设备中,30575 台服务器受到影响,15860 台办公终端被攻陷。与去年相比,受影响服务器数量增加 20987 台,受影响终端数量增加 8217 台。2021 年大中型政企机构遭受攻击影响范围如下图所示。本文中办公网指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。从影响范围和受影响设备数量可以看出,大中型政企机构的业务专网、服务器为攻击者攻击的主要目标。大中型政企机构在对业务专网的安全防护建设的同时,还应提高内部人员安全防范 奇安信集团 第 4 页,共 24 页 意识,加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、攻击影响分析 2021 年,从大中型政企机构遭受攻击产生的影响来看,攻击者对系统的攻击所产生的影响主要表现为生产效率降低、数据丢失、数据篡改等。下图为大中型政企机构遭受攻击后的影响分布。在上述数据中,有 518 起应急响应事件导致生产效率低下,占比 47.2%,攻击者主要通过挖矿、蠕虫、木马等攻击手段使服务器 CPU 占用率异常高,造成生产效率降低。有 268 起应急响应事件导致数据丢失,占比 24.4%,攻击者通过对大中型政企机构重要服务器及数据库进行攻击,导致数据被破坏或丢失。有 77 起应急响应事件导致数据篡改,占比 7.0%,攻击者在非法读取数据后,对数据进行篡改,损坏数据可读性,使用户无法获得真实信息。同时,声誉影响和数据泄露等也是政企机构被攻击后产生的结果,同样会造成非常严重的后果。奇安信集团 第 5 页,共 24 页 第三章 应急响应事件攻击者分析 应急响应事件攻击者分析以 2021 年大中型政企机构所有应急数据为支撑,从攻击者角度对攻击者攻击意图、攻击类型、攻击者常用恶意程序以及常见漏洞利用方式进行分析,为各政企机构建立安全防护体系、制定应急响应处置方案提供参考依据。一、攻击意图分析 在 2021 年的应急响应事件中,攻击者攻击意图主要为黑产活动、敲诈勒索、内部违规和窃取重要数据操作。在 2021 年应急响应事件中,304 起事件的攻击原因为黑产活动,占比 27.7%,攻击者通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。304 起事件的攻击原因为敲诈勒索,占比 27.7%,攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,获取自身利益。在 223 起内部违规事件中,内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。二、攻击类型分析 通过对 2021 年大中型政企机构安全事件攻击类型进行分析,排名前三的类型分别是:恶意程序占比 44.7%;漏洞利用占比 30.6%;网络监听攻击占比 4.4%。在恶意程序中,木马攻击(非蠕虫病毒)占比 52.5%,蠕虫病毒攻击占比 47.5%。奇安信集团 第 6 页,共 24 页 蠕虫病毒和木马,由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象;利用如 11 月出现的“Magniber 勒索病毒”对服务器和系统进行攻击,导致系统不可用,从而谋取利益。漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web 漏洞等,例如 21 年 12 月发现的“Apache Log4j2 漏洞”,对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。除此之外,网络监听攻击、钓鱼邮件、网页篡改等也是较为常见的攻击类型。如 21年 12 月份发现的 emote 木马钓鱼邮件,一旦中招,对政企机构产生的影响是不小的。因此,大中型政企机构应做好员工安全意识培训工作,定期内部巡检,及时发现威胁并有效遏制。三、恶意程序分析 在 2021 年,大中型政企机构遭受攻击恶意程序类型,占比较多的木马病毒分别为勒索病毒总占比 28.8%,挖矿木马占比 18.4%,以及一般木马占比 10.8%。奇安信集团 第 7 页,共 24 页 表 1 遭受攻击勒索软件类型 TOP10 勒索软件名称勒索软件名称 应急次数应急次数 Phobos 勒索软件 62 Wannacry 勒索软件 29 LockBit 勒索软件 18 Buran 勒索软件 17 GLobeImposter 勒索软件 16 Sodinokibi 勒索软件 12 Magniber 勒索软件 10 Makop ransomware 勒索软件 5 YourData 勒索软件 5 Crysis 勒索软件 5 2021 年最常见的勒索
    展开阅读全文
    提示  文档分享网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:2021网络安全应急响应分析报告.pdf
    链接地址:https://www.wdfxw.net/doc100758140.htm
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    版权所有:www.WDFXW.net 

    鲁ICP备09066343号-25 




    收起
    展开