网宿科技：中国互联网安全报告（2021年上半年）（24页）.pdf

《网宿科技：中国互联网安全报告（2021年上半年）（24页）.pdf》由会员分享，可在线阅读，更多相关《网宿科技：中国互联网安全报告（2021年上半年）（24页）.pdf（24页珍藏版）》请在三个皮匠报告上搜索。

1、分析网宿主机探针采集到的公网开放端口情况，发现与2020年同期相比，2021上半年公网开放端口数量大规模下降。其中管理类端口(如22端口、3389端口)、数据库端口(如3306端口、5432端口)、测试类端口(如8000端口、8099端口)降幅达到约90%，正式业务类端口(如80端口、443端口)降幅也超过了50%。公网开放端口数量下降主要源于规律性的网络攻防演练，有效提升了网宿安全平台客户管理端口的规范度，改变了过去业务部门未严格按照安全规范使用端口，导致管理端口、临时的测试端口经常被作为黑客入侵的入口点的情况，大大缩减攻击面。针对高危漏洞的入侵依然是以应用、组件漏洞为主，尤其是与Web应用

2、相关的通用组件漏洞。应用组件漏洞比操作系统漏洞具备更容易获得的执行环境，比业务漏洞具有更强的通用性。通常黑产团队会选择用户数量较多、漏洞利用条件简单且稳定的漏洞来开发自动化工具，以较低的成本实现“肉鸡”控制、自动化挖矿等牟利行为。另外，从漏洞分布来看，开源组件更受安全研究人员青睐，由于更容易获取源码与分析环境，从数量上看开源软件暴露出来的漏洞往往比商业软件更多。但这并不代表商业软件比开源软件更安全，相反，开源软件由于漏洞发现得更快，有利于企业及时修复漏洞，而商业软件则存在更多的潜在漏洞未被发掘。从网宿主机探针识别到的异常进程数据可看出，主机上出现的异常进程大量使用了规避检测的技术，以干扰安全软件检测及人工入侵分析。规避检测的手段中，使用最多的是隐藏进程，网宿主机探针在超过50%的入侵事件中均检测到了此技术。隐藏进程可使恶意进程在进程列表中不显示。检出率排行第二的伪造进程名，也是攻击者规避入侵检测、排查的常用方式，通过将显示出的进程名伪造成系统常用进程名或内核进程名，以达到混淆的目的。链接库感染与异常启动方式则是使用合法的进程去加载恶意代码，以绕过杀毒软件的检测。