【導(dǎo)讀】過去一年多，各種 APT 攻擊事件、勒索挖礦事件，數(shù)據(jù)泄露事件，漏洞攻擊事件仍然不絕于耳。從 ATT&CK 模型框架的興起到實戰(zhàn)化攻防環(huán)境的建立，從反序列化漏洞的攻防博弈到 VPN 漏洞的異軍突起，從不斷“APT”化發(fā)展的勒索攻擊到廣撒網(wǎng)的挖礦活動，從不斷受地緣政治影響的APT攻擊到新冠疫情引發(fā)的花式攻擊，從 MaaS 模式的逐漸成熟到惡意軟件家族間“合作”案例的逐漸增多……層出不窮的網(wǎng)絡(luò)安全事件時刻提醒著我們越來越嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，同時引發(fā)網(wǎng)絡(luò)安全從業(yè)者的一次次思考。

過去十年來，攻擊者的技戰(zhàn)術(shù)思路以及網(wǎng)絡(luò)安全攻防體系也在發(fā)生著深刻的變化。網(wǎng)絡(luò)攻擊正變得更加隱蔽，有針對性、有組織性和逐利性，網(wǎng)絡(luò)安全產(chǎn)品使用者更加關(guān)注產(chǎn)品和服務(wù)的有效性，網(wǎng)絡(luò)安全廠商面臨的問題更加具有挑戰(zhàn)性。

對此，啟明星辰集團發(fā)布《2019~2020網(wǎng)絡(luò)安全態(tài)勢觀察報告》，以觀察者的視角嘗試剖析2019年全年至2020年上半年網(wǎng)絡(luò)安全形勢及其變化，希望以此為各行業(yè)以及相關(guān)企事業(yè)單位提供網(wǎng)絡(luò)安全戰(zhàn)略和決策的參考。

?

安全態(tài)勢報告主要提出以下觀點

1、網(wǎng)絡(luò)攻防框架“ATT&CK”不斷升溫，“實戰(zhàn)化攻防”持續(xù)影響網(wǎng)絡(luò)安全行業(yè)。

過去一年多，網(wǎng)絡(luò)攻防框架 ATT&CK 在網(wǎng)絡(luò)安全行業(yè)廣受歡迎。越來越多的網(wǎng)絡(luò)安全企業(yè)開始從不同維度引入 ATT&CK 框架。無論是安全研究還是產(chǎn)品結(jié)合方面都找到了一些結(jié)合點，但在產(chǎn)品落地方面，ATT&CK 還有一段路要走。一方面是由于 ATT&CK 在落地產(chǎn)品層面上還存在一些成熟度的問題。另一方面，ATT&CK 是完全基于攻擊者視角而設(shè)計的，有些技術(shù)更多的是描述攻擊過程中的一種技術(shù)或思路，在產(chǎn)品中可能很難抽絲剝繭看到其本質(zhì)。但我們堅信，在未來檢測技術(shù)不斷提升的大背景下，ATT&CK 一定能成為安全產(chǎn)品實現(xiàn)攻擊鏈還原的利器。

基于對過去一年多各類攻擊事件的匯總，我們總結(jié)出2019年~2020年上半年 ATT&CK 常用攻擊技術(shù)，如下表：?

2、反序列化漏洞成 Web 攻擊首要威脅，VPN 等網(wǎng)關(guān)型漏洞成新攻擊入口。

2019 年全年，啟明星辰收錄的安全漏洞總數(shù)共計 15046 個，其中超危漏洞和高危漏洞分別同比增長 67% 和 49%。雖然 2019 年新增漏洞數(shù)目較之前有進一步上漲，但實際在野利用漏洞中的一半以上仍然是 2018 年以及之前的老漏洞。

有兩個特點特別值得留意：一是反序列化漏洞逐漸成為 Web 漏洞的主要威脅。過去一年多，反序列化漏洞造成的危害非常之大且范圍很廣，主要影響集中在 Weblogic、Websphere 中間件及 Fastjson、Apache Shiro、Apache Dubbo 等第三方應(yīng)用中，而漏洞的修復(fù)方式多數(shù)為利用類的黑名單修補，可以預(yù)見未來各個應(yīng)用反序列化漏洞的黑名單依舊會被反復(fù)繞過且成為攻擊者實戰(zhàn)中的利器。二是 VPN 等網(wǎng)關(guān)類漏洞的異軍突起。2019 年到 2020 年上半年是VPN 漏洞曝光最多的時期，Pulse Secure、Palo Alto Networks、Fortinet、Cisco 和 Citrix 以及國內(nèi)某知名品牌 VPN 產(chǎn)品都被曝出嚴(yán)重漏洞。加之新冠疫情在 2020 年上半年的蔓延，遠程辦公需求迅速增加，各種 VPN 使用量增加了三成左右，這都使得 VPN 漏洞得以快速被黑客關(guān)注并在實戰(zhàn)中應(yīng)用。

3、地下黑色產(chǎn)業(yè)鏈愈發(fā)成熟，惡意軟件家族體系化“協(xié)同作戰(zhàn)”。

惡意軟件即服務(wù)（MaaS）模式下的地下黑色產(chǎn)業(yè)鏈愈發(fā)成熟，已經(jīng)形成了從惡意代碼編寫、惡意代碼免殺、惡意代碼托管到惡意軟件分發(fā)的完整體系。

在 MaaS 模式下，我們觀察到不同黑產(chǎn)團伙利用相同的惡意軟件進行了“各具特色”的攻擊，同一款惡意軟件在不同的攻擊活動中也發(fā)揮了不同功能。

4、近年來罕有 Office 高危漏洞出現(xiàn) ，冷門而有效的攻擊方式更受關(guān)注。

自 2017 年大量 Office 0day 漏洞爆發(fā)以來，近兩年沒有出現(xiàn)新的如同公式編輯器漏洞一樣使用簡單且功能強大的攻擊方式，惡意樣本使用的攻擊技術(shù)沒有發(fā)生顯著的變化。在攻防對抗的過程中，攻擊者逐漸開始嘗試使用不常見文件類型以及 Office 中一些被遺忘的冷門特性（如 Excel 4.0宏）作為攻擊載體，以更低的成本復(fù)用原有的攻擊代碼來繞過檢測。

5、地緣政治因素導(dǎo)致 APT 攻擊愈演愈烈，APT 攻擊武器泄露導(dǎo)致網(wǎng)絡(luò)軍火民用化。

在處理不可調(diào)和的地緣政治矛盾時，APT 攻擊是當(dāng)前除了軍事打擊之外最為隱蔽和有效的攻擊方式。越來越多的政府開始組建國家級APT攻擊組織，只要存在政治目的和經(jīng)濟利益，APT 攻擊就不會停止。過去一年多，南美地區(qū)，中東地區(qū)，東北亞地區(qū)等均發(fā)生了不少與地緣政治沖突相關(guān)的 APT 攻擊。以下是 2019 年“地緣政治”因素引發(fā)的 APT 攻擊事件匯總：

此外，APT 攻擊武器使用的泛化趨勢明顯。過去一年多，發(fā)生了多起中東地區(qū) APT 組織工具和代碼泄露事件，這也進一步催生了 APT 攻擊武器的使用泛化、網(wǎng)絡(luò)軍火的民用化。

6、勒索攻擊越來越趨于“APT”化，逐漸瞄準(zhǔn)大型且有實力的價值型目標(biāo)。

過去一年多，勒索攻擊已由 2014 年開始的廣泛無目的的傳播階段以及 2017 年 WannaCry 開啟的大規(guī)模自動化傳播階段逐步進化到以人為核心的“APT化”攻擊階段。

勒索攻擊瞄準(zhǔn)的目標(biāo)也不再限于中小企業(yè)，而是更有實力支付贖金的大型企業(yè)目標(biāo)。甚至即使未得到贖金，攻擊者也會嘗試通過泄露受害者的機密文件進行二次敲詐。

同時，RaaS 模式下的勒索軟件也開始廣泛和僵尸網(wǎng)絡(luò)以及 APT 攻擊結(jié)合。Emotet、TrickBot、Dridex 紛紛成為勒索軟件的傳播前站，TA505、FIN6 等組織利用勒索軟件攻擊了多個重要目標(biāo)。

我們預(yù)計，未來勒索攻擊會進一步往“專，精”方向發(fā)展?！皩！笔侵复笠?guī)模勒索攻擊可能很難再現(xiàn)或是曇花一現(xiàn)，攻擊者會更多從攻擊成本和回報率的角度考慮攻擊目標(biāo)的選擇；“精”是指攻擊者在選中攻擊目標(biāo)后可能會定制特種勒索軟件來提高攻擊成功率。

7、網(wǎng)絡(luò)攻防安全演習(xí)和靶場建設(shè)如火如荼，人才培養(yǎng)和攻防環(huán)境建設(shè)備受重視。

網(wǎng)絡(luò)空間安全的本質(zhì)是對抗。隨著網(wǎng)絡(luò)攻擊者的技術(shù)實力不斷提高，網(wǎng)絡(luò)攻擊面不斷擴大，爆發(fā)出來的攻擊事件也在不斷增加，用戶不斷涌現(xiàn)出對網(wǎng)絡(luò)攻防對抗的建設(shè)需求。常見解決方案是加強人才培養(yǎng)力度，完善攻防支撐基礎(chǔ)條件建設(shè)，舉辦紅藍雙方攻防安全演習(xí)和建設(shè)具備行業(yè)特色的網(wǎng)絡(luò)安全靶場。

過去一年多，政企客戶更加注重網(wǎng)絡(luò)攻防靶場建設(shè)，借此提升從業(yè)人員的網(wǎng)絡(luò)安全知識和技術(shù)能力，實現(xiàn)網(wǎng)絡(luò)空間對抗能力的躍升。

8、IoT 僵尸網(wǎng)絡(luò)持續(xù)泛濫，我國是 IoT 僵尸網(wǎng)絡(luò)最大受害國。

2019 年是物聯(lián)網(wǎng)概念提出的第二十個年頭，物聯(lián)網(wǎng)已深入影響到農(nóng)業(yè)，醫(yī)療行業(yè)，工業(yè)等各行各業(yè)。而伴隨著物聯(lián)網(wǎng)的迅猛發(fā)展，其安全問題也日益受到關(guān)注。大量暴露在互聯(lián)網(wǎng)上的攝像頭，路由器設(shè)備成為黑客垂涎的養(yǎng)馬場。

據(jù) VenusEye 威脅情報中心數(shù)據(jù)，過去一年多，在各類受僵尸網(wǎng)絡(luò)控制的 IoT 設(shè)備中，我國仍然數(shù)量最多，并且較第二名拉開了顯著差距。

我國境內(nèi) IoT 僵尸主機分布最多的五個地區(qū)分別為河南、山東，遼寧，江蘇和浙江。

9、“新冠病毒疫情”成最熱門話題，黑客發(fā)動全方位攻擊。

2020 年年初爆發(fā)的“新冠病毒疫情”已經(jīng)蔓延到全世界幾乎每一個角落，嚴(yán)重影響全球經(jīng)濟社會發(fā)展。一些黑客趁此機會利用熱點信息發(fā)起攻擊，疫情的不確定性和人們的恐懼性心理給攻擊者創(chuàng)造了千載難逢的好機會。

過去幾個月，我們觀察到多種利用新冠疫情開展的網(wǎng)絡(luò)攻擊活動。白象、海蓮花、蔓靈花、TA505、Lazarus 等活躍的 APT 組織以“冠狀病毒預(yù)防”、“疫情情況上報”等為誘餌發(fā)起釣魚攻擊。

各種網(wǎng)絡(luò)黑產(chǎn)團伙也蠢蠢欲動，通過“改造”已有木馬進行攻擊活動。

10、攻防本質(zhì)是人與人之間的對抗，網(wǎng)絡(luò)安全逐漸回歸以人為中心的本源。

2020年 RSA 會議的主題是“Human Element”。、網(wǎng)絡(luò)安全的核心回歸到以人為中心的本源，而不再是片面強調(diào)“新奇酷炫”的技術(shù)或產(chǎn)品?？梢詮囊韵氯齻€角度理解這個問題：

（1）攻防本質(zhì)是人與人之間的對抗。

從攻的角度看，越來越多的攻擊都加入了“人”這個關(guān)鍵因素。如今越來越多的攻擊向著“APT”化發(fā)展，攻擊者利用社會工程學(xué)手段提前對攻擊目標(biāo)進行“踩點”，繼而有針對性地制定攻擊策略，按照目標(biāo)特點制作并投遞攻擊載荷，攻擊過程中根據(jù)目標(biāo)環(huán)境一步一步進行橫向移動，最終到達核心主機資產(chǎn)并達成目標(biāo)?！耙匀藶楹诵摹钡墓袈窂酵^其他攻擊周期更長，短則幾天，多則幾個月甚至幾年。

從防的角度看，人始終是網(wǎng)絡(luò)安全防護體系中的薄弱點。以魚叉式網(wǎng)絡(luò)攻擊為例，雖然這種攻擊方式很古老且屢見不鮮，但卻能一再取得較好的攻擊效果，這都是由于人在其中起到的作用導(dǎo)致，攻擊者正是利用了人性的特點才能屢屢得手。

（2）人是網(wǎng)絡(luò)安全產(chǎn)品的使用者，人機結(jié)合是當(dāng)前解決產(chǎn)品有效性問題的關(guān)鍵。

與一般的互聯(lián)網(wǎng)應(yīng)用服務(wù)相比，網(wǎng)絡(luò)安全產(chǎn)品的專業(yè)性更強。要想真正使用好網(wǎng)絡(luò)安全產(chǎn)品絕不是一紙說明書就能搞定的，一個攻擊報警代表什么含義，是真實失陷還是虛晃一槍抑或是攻擊前奏，都需要經(jīng)驗豐富的人員使用不同的安全產(chǎn)品相互印證，同時結(jié)合溯源取證技術(shù)綜合判斷才能得出答案。

（3）在網(wǎng)絡(luò)安全實踐中，人的知識與經(jīng)驗非常寶貴。

網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗，是人與人之間的智力對抗。在實踐中所積累總結(jié)的知識與經(jīng)驗是非常寶貴的，不是某個網(wǎng)絡(luò)安全防護產(chǎn)品或技術(shù)所能取代的。人工智能技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品的結(jié)合雖然在提高自動化程度、提升檢測能力等方面展現(xiàn)出一定的優(yōu)勢。但是在安全事件分析的全面性與深度上仍然有很大不足，主要作為安全分析人員的輔助，提供一些分析的切入點與線索。

?

?報告最后提到

2010 年的“震網(wǎng)”攻擊事件為我們揭開了 APT 攻擊的面紗；2013 年的“棱鏡門”事件讓我們看到了龐大黑客團體背后的國家級力量；2014 年數(shù)字貨幣的快速興起和勒索攻擊的泛濫給黑客斂財提供了新的匿名方式；2015 年發(fā)生的供應(yīng)鏈攻擊事件讓我們看到了身邊防不勝防的危險；2016 年 Mirai 源代碼的公布開啟了 IoT 設(shè)備的噩夢；2017 年的“永恒之藍”事件讓我們深刻領(lǐng)悟到了網(wǎng)絡(luò)核武器的威力，隨后 WannaCry、NotPetya 勒索軟件與網(wǎng)絡(luò)武器的結(jié)合再一次重現(xiàn)了類似十多年前沖擊波、震蕩波、熊貓燒香的網(wǎng)絡(luò)暴力，幾乎同年開始興起的挖礦攻擊成為繼勒索之后黑客又一“悶聲發(fā)大財”的渠道；2018 年件件觸目驚心的數(shù)據(jù)泄露事件為數(shù)據(jù)安全敲響了警鐘，同年曝光的 Spectre 和 Meltdown CPU 芯片漏洞直接動搖了互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的根基；2019 年實戰(zhàn)化攻防時代開始，地下黑色產(chǎn)業(yè)鏈愈加成熟，勒索攻擊進入“APT”時代，IoT 僵尸網(wǎng)絡(luò)泛濫……

在前所未有的挑戰(zhàn)和機遇面前，啟明星辰愿與業(yè)界同仁共同努力，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展，加強網(wǎng)絡(luò)安全自主核心技術(shù)能力建設(shè)，為提升我國網(wǎng)絡(luò)安全保障能力不斷貢獻力量，為網(wǎng)絡(luò)安全的下一個黃金十年繼續(xù)奮斗。

上一個十年，地下黑色產(chǎn)業(yè)鏈逐步形成，網(wǎng)絡(luò)軍火擴散，高級持續(xù)性攻擊泛濫，攻擊者的技戰(zhàn)術(shù)體系正在發(fā)生明顯的變化。同時我們也看到，網(wǎng)絡(luò)安全在這十年間上升到了前所未有的戰(zhàn)略高度。

當(dāng)前，我們正面臨著來自網(wǎng)絡(luò)空間各種前所未有的挑戰(zhàn)，我國是遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一，我們和先進發(fā)達國家的網(wǎng)絡(luò)安全技術(shù)水平差距仍然較大，大量的核心技術(shù)仍然受制于人，網(wǎng)絡(luò)安全相關(guān)法律的落地和執(zhí)行還需要進一步強化……

雖是挑戰(zhàn)但同時也是機遇，網(wǎng)絡(luò)安全如今已上升為國家戰(zhàn)略，網(wǎng)絡(luò)安全產(chǎn)業(yè)已成為網(wǎng)絡(luò)強國安全領(lǐng)域建設(shè)的重要基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》的實施將進一步推動我國網(wǎng)絡(luò)安全政企市場容量和規(guī)模的進一步擴大。新冠疫情危機催生出的數(shù)字經(jīng)濟、“新基建”會給網(wǎng)絡(luò)安全帶來不小的發(fā)展機遇……

在前所未有的挑戰(zhàn)和機遇面前，啟明星辰愿與業(yè)界同仁共同努力，推動網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展，加強網(wǎng)絡(luò)安全自主核心技術(shù)能力建設(shè)，為提升我國網(wǎng)絡(luò)安全保障能力不斷貢獻力量，為網(wǎng)絡(luò)安全的下一個黃金十年繼續(xù)奮斗。

戳鏈或【點擊閱讀原文】查看完整報告：

https://www.venustech.com.cn/uploads/2020/08/170947121504.pdf

推薦閱讀

• 什么？一個核同時執(zhí)行兩個線程？
  

• 征戰(zhàn)云時代，為什么安全是關(guān)鍵命題？
  

• 25 張圖讀懂「文件系統(tǒng)」
  

• 數(shù)據(jù)平臺、大數(shù)據(jù)平臺、數(shù)據(jù)中臺……傻傻分不清？這次終于有人講明白了！
  

• Java 二十五載，正在 Kotlin 化！
  

• 維度爆炸？Python實現(xiàn)數(shù)據(jù)壓縮如此簡單

總結(jié)

以上是生活随笔為你收集整理的《2019~2020网络安全态势观察报告》重磅发布！的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。