2023年網(wǎng)絡(luò)安全

態(tài)勢回顧與安全威脅分析

2023年，我們見證了全球網(wǎng)絡(luò)安全態(tài)勢的嚴(yán)峻與復(fù)雜，網(wǎng)絡(luò)攻擊者利用AI等新技術(shù)升級武器，技術(shù)手段日新月異、專業(yè)化程度越來越高，攻擊的頻率和力度持續(xù)攀升。在這一年，全球范圍內(nèi)發(fā)生的勒索攻擊、數(shù)據(jù)泄露、零日漏洞及供應(yīng)鏈攻擊事件層出不窮，關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻。

01 “零日漏洞+供應(yīng)鏈攻擊+勒索”，組合式勒索攻擊創(chuàng)歷史新高

據(jù)國際網(wǎng)絡(luò)安全公司Rapid統(tǒng)計，2023年勒索軟件攻擊創(chuàng)下歷史新高，共計43個勒索組織制造5200起攻擊事件，其中41%的受害者選擇支付贖金。部分組織還使用“零日漏洞+供應(yīng)鏈”的組合式攻擊展現(xiàn)出強(qiáng)大的破壞力，例如：勒索軟件組織Colp利用MOVEit和GoAnyWhere兩個MTF零日漏洞與勒索病毒組合，引發(fā)多起重大數(shù)據(jù)泄露及勒索事件；朝鮮黑客組織Lazarus利用VoIP IPBX公司的3CX電話系統(tǒng)零日漏洞展開廣泛的供應(yīng)鏈攻擊。

勒索攻擊不僅會導(dǎo)致經(jīng)濟(jì)損失，更嚴(yán)重的是對國家基礎(chǔ)設(shè)施和通信網(wǎng)絡(luò)的正常運(yùn)行產(chǎn)生嚴(yán)重影響。例如：2023年2月，全球范圍內(nèi)數(shù)千臺VMware ESXi服務(wù)器被黑客利用并部署勒索軟件；2023年2月，知名美國衛(wèi)星電視公司因勒索攻擊導(dǎo)致服務(wù)中斷超過一周；2023年5月，ABB遭受Black Basta勒索軟件攻擊導(dǎo)致部分?jǐn)?shù)據(jù)泄露；2023年10月，思科IOS漏洞使得近42000臺思科設(shè)備受到影響；2023年11月，德國西部遭受大規(guī)模勒索軟件攻擊，導(dǎo)致多個城市和地區(qū)的地方政府服務(wù)癱瘓等事件。

【零日漏洞的發(fā)掘與利用，對攻擊者的技術(shù)素養(yǎng)和財力資源具有較高要求。然而，“零日漏洞、供應(yīng)鏈攻擊、勒索”相結(jié)合所產(chǎn)生的協(xié)同效應(yīng)，大幅提升了勒索組織的攻擊成功率，給全球眾多政府組織及高科技企業(yè)帶來了嚴(yán)峻的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)?！?/span>

02 間諜軟件呈現(xiàn)復(fù)雜化演變趨勢

間諜軟件具有極高的隱蔽性，可以在不被察覺的情況下，收集用戶信息如身份、位置、網(wǎng)絡(luò)活動等，會對用戶的隱私和系統(tǒng)安全造成嚴(yán)重威脅。開發(fā)和利用間諜軟件實施攻擊的人員，通常具有深厚的技術(shù)功底，且大多對目標(biāo)實施長期潛伏和監(jiān)測，以實施更為深入和持久的數(shù)據(jù)竊取。

據(jù)網(wǎng)絡(luò)信息顯示，2023年7月，國內(nèi)某高校遭受網(wǎng)絡(luò)攻擊事件中，上千臺遍布各國的網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)了隱蔽運(yùn)行“二次約會”間諜軟件及其衍生版本；2023年12月，iPhone歷史上最具復(fù)雜的間諜軟件攻擊“三角測量行動”（Operation Triangulation）被曝光，網(wǎng)絡(luò)信息顯示，該間諜軟件利用蘋果芯片中未記錄的特性繞過基于硬件的安全保護(hù)措施，自2019年以來便開始持續(xù)對iPhone設(shè)備進(jìn)行攻擊，攻擊者借助三角測量攻擊，成功感染了俄羅斯外交使團(tuán)及數(shù)千名使館工作人員的iPhone及卡巴斯基公司及多名員工，造成的后果不可估量。

【間諜軟件具有極高的隱蔽性和復(fù)雜性，但造成的后果往往又極為嚴(yán)重，建議企業(yè)建立產(chǎn)品服務(wù)供應(yīng)商準(zhǔn)入及定期評估管理機(jī)制，同時利用技術(shù)手段，加強(qiáng)對核心業(yè)務(wù)的網(wǎng)絡(luò)流量監(jiān)測和分析，通過管理和技術(shù)手段相結(jié)合的方式，應(yīng)對日益猖獗的間諜軟件威脅?！?/span>

03 云基礎(chǔ)設(shè)施安全引發(fā)的數(shù)據(jù)泄露呈上升趨勢，加強(qiáng)人員安全意識是核心

云計算是企業(yè)改進(jìn)IT技術(shù)和基礎(chǔ)設(shè)施，持續(xù)加速企業(yè)數(shù)字化轉(zhuǎn)型的新方式，應(yīng)用和數(shù)據(jù)已經(jīng)逐步從原有傳統(tǒng)的IT環(huán)境延伸到云上（公有云、行業(yè)云、邊緣云、私有云）。諸多研究成果表明，人員自身安全意識已成為企業(yè)敏感數(shù)據(jù)泄露的主要根源。

2023年全球范圍內(nèi)發(fā)生了多起與云基礎(chǔ)設(shè)施相關(guān)的數(shù)據(jù)泄露事件，根據(jù) Radware 的多云報告，69%的組織報告稱因多云安全配置而遭遇過數(shù)據(jù)泄露。例如，2023年2月，美國國防部在Azure微軟云上的服務(wù)器錯誤配置導(dǎo)致軍事郵件數(shù)據(jù)泄露，其中大量內(nèi)容涉及美國特種作戰(zhàn)司令部；2023年9月，微軟因共享訪問簽名（SAS）令牌配置失誤，致使38TB內(nèi)部數(shù)據(jù)泄露；2023年5月，日本豐田公司云配置失誤導(dǎo)致26萬車主數(shù)據(jù)泄露，涉及車載設(shè)備ID、地圖數(shù)據(jù)更新以及日本車主的更新數(shù)據(jù)創(chuàng)建日期等信息；2023年10月，豐田公司還發(fā)現(xiàn)由于數(shù)據(jù)庫配置錯誤，導(dǎo)致超過200萬用戶信息泄露長達(dá)10年，泄露數(shù)據(jù)包括車輛識別號、底盤號和車輛位置信息等。

【對云基礎(chǔ)設(shè)施安全的擔(dān)憂，正成為企業(yè)應(yīng)用云技術(shù)的“攔路虎”。云安全應(yīng)用防護(hù)體系建設(shè)，需要企業(yè)、云服務(wù)商和安全廠商三方通力協(xié)作，在數(shù)字化時代做到統(tǒng)籌發(fā)展與安全，實現(xiàn)安全與新技術(shù)應(yīng)用同步規(guī)劃、同步建設(shè)、同步使用的安全保障目標(biāo)。】

04 網(wǎng)絡(luò)戰(zhàn)依然持續(xù)，大規(guī)模DDoS攻擊對關(guān)鍵信息基礎(chǔ)設(shè)施構(gòu)成嚴(yán)重威脅

網(wǎng)絡(luò)戰(zhàn)已成為現(xiàn)代戰(zhàn)爭的重要組成部分，地緣政治緊張局勢的升級越來越多地映射到網(wǎng)絡(luò)空間，利用大規(guī)模篡改、數(shù)據(jù)泄露、憑證泄露以及分布式拒絕服務(wù)（DDoS）攻擊等方式，對全球關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)定性造成破壞。相較傳統(tǒng)網(wǎng)絡(luò)攻擊，此類攻擊更加針對能源、交通、金融等關(guān)鍵信息基礎(chǔ)設(shè)施。

Anonymous Sudan（匿名蘇丹）是2023年網(wǎng)絡(luò)戰(zhàn)中較為突出的黑客組織，因使用大規(guī)模 DDoS 攻擊而聞名，幾乎每周都會發(fā)起攻擊，目標(biāo)是航空公司、政府、銀行、大型企業(yè)、機(jī)場和電信公司。2023年，包括星鏈、微軟（Outlook、OneDrive以及Azure服務(wù)）、OpenAI、Cloudflare、Facebook在內(nèi)的多家全球科技巨頭以及美國政府服務(wù)的網(wǎng)站均遭受到該組織攻擊。2023年10月，該組織還對以色列的工業(yè)控制系統(tǒng)（ICS）發(fā)動了多次攻擊，破壞了多個關(guān)鍵信息基礎(chǔ)設(shè)施。

【關(guān)鍵信息基礎(chǔ)設(shè)施安全防御是一個持續(xù)不斷的過程，其建設(shè)應(yīng)從分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置六個方面展開，整體上采用動態(tài)風(fēng)控理念，強(qiáng)化安全管理職責(zé)，強(qiáng)調(diào)數(shù)據(jù)安全和供應(yīng)鏈安全，落實閉環(huán)安全防護(hù)體系?！?/span>

05 網(wǎng)絡(luò)安全政策法規(guī)持續(xù)推進(jìn)，隱私保護(hù)成為關(guān)注重點

網(wǎng)絡(luò)安全政策的出臺對于維護(hù)國家安全與社會穩(wěn)定、保護(hù)公民權(quán)益、促進(jìn)經(jīng)濟(jì)發(fā)展具有重要意義和積極作用，同時也為構(gòu)建安全、穩(wěn)定、可信的網(wǎng)絡(luò)環(huán)境提供了有力保障。

2023年，全球各國政府圍繞網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等持續(xù)出臺相關(guān)法律法規(guī)、政策。鑒于數(shù)據(jù)泄露和隱私濫用事件層出不窮，隱私保護(hù)也成為2023年全球關(guān)注的焦點。2023年3月，美國《國家網(wǎng)絡(luò)安全戰(zhàn)略》出臺，旨在確保數(shù)字生態(tài)系統(tǒng)的安全保障，并強(qiáng)化對于關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)商的安全要求；2023年10月，英國《在線安全法案》正式出臺，在保護(hù)兒童免受網(wǎng)絡(luò)傷害方面給出明確規(guī)定。2023年11月，歐盟更新了最新的《通用數(shù)據(jù)保護(hù)條例》（GDPR）及美國加州在2023年修訂的《加州消費(fèi)者隱私法案》（CCPA）等法規(guī)，在維護(hù)用戶隱私權(quán)益方面發(fā)揮了顯著作用。政府、企業(yè)和個人紛紛努力探索加強(qiáng)數(shù)據(jù)保護(hù)、打擊隱私泄露以及規(guī)范不合理使用個人信息的途徑。

【網(wǎng)絡(luò)安全面臨的風(fēng)險和挑戰(zhàn)在不斷增加，網(wǎng)絡(luò)安全政策法規(guī)的制定和實施需要不斷更新和完善，才能適應(yīng)新的發(fā)展需求。完善和強(qiáng)化網(wǎng)絡(luò)安全法律法治體系，加強(qiáng)網(wǎng)絡(luò)安全法治體系現(xiàn)代化建設(shè)，是確保網(wǎng)絡(luò)空間安全、有序和繁榮的必要手段?！?/span>

2023天融信

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)年度總結(jié)

全球化時代，網(wǎng)絡(luò)攻擊已不再局限于某個特定國家或地區(qū)，網(wǎng)絡(luò)安全已成為全球共同關(guān)注的重要議題。無論是追求經(jīng)濟(jì)利益的勒索組織，還是近年來高發(fā)的數(shù)據(jù)泄露事件，都在時刻提醒著企業(yè)、組織、個人需要加強(qiáng)安全防御措施，提升安全防護(hù)意識。作為國家網(wǎng)絡(luò)空間安全建設(shè)的中堅力量，2023年天融信共為各行業(yè)客戶提供了近千次線上線下相結(jié)合的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，全力協(xié)助客戶挽救損失并快速恢復(fù)業(yè)務(wù)。根據(jù)總結(jié)報告顯示，攻擊事件主要集中在2-9月，華中、華南為主要目標(biāo)地區(qū)，累計占比超過50%。

1、“政府部門、公共服務(wù)及金融行業(yè)”成為網(wǎng)絡(luò)安全事件高發(fā)的三大領(lǐng)域

從2023年天融信網(wǎng)絡(luò)安全應(yīng)急服務(wù)的數(shù)據(jù)統(tǒng)計來看，政府部門、公共服務(wù)和金融行業(yè)由于其信息系統(tǒng)的重要性、數(shù)據(jù)敏感性以及對社會的影響力，成為網(wǎng)絡(luò)安全事件高發(fā)的領(lǐng)域。

2、超過80%的組織無法及時、有效地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為

根據(jù)收集的案例和數(shù)據(jù)顯示，能夠通過定期安全檢查及時發(fā)現(xiàn)并解決潛在問題的機(jī)構(gòu)僅占14.3%，超過80%的政企組織往往在遭受勒索或系統(tǒng)呈現(xiàn)顯著入侵跡象后才覺察到攻擊事件。

深入剖析顯示，約有4.5%的政企組織在接收到上級主管單位、監(jiān)管機(jī)構(gòu)或第三方平臺的預(yù)警通報后，方才啟動應(yīng)急響應(yīng)。這些組織不僅在網(wǎng)絡(luò)安全運(yùn)營體系方面顯得乏力，且缺乏必要的威脅情報支持，威脅發(fā)現(xiàn)能力存在明顯不足，其中部分還因此受到了法律和行政處罰。

3、利用已知漏洞及惡意程序?qū)嵤┕舫蔀橹饕夹g(shù)手段

在天融信應(yīng)急服務(wù)處置的網(wǎng)絡(luò)安全事件中，漏洞攻擊和木馬病毒占據(jù)較大比例，合計超過40%。攻擊者以利用已知漏洞及惡意程序?qū)嵤┕魹橹饕夹g(shù)手段，對大中型政企機(jī)構(gòu)的重要服務(wù)器及數(shù)據(jù)庫實施攻擊，從而導(dǎo)致數(shù)據(jù)損毀或丟失等嚴(yán)重后果。此外，也凸顯出企業(yè)在已知漏洞排查與修復(fù)方面存在短板，亟待持續(xù)優(yōu)化和完善相關(guān)流程、技術(shù)。

4、WEB資產(chǎn)成為主要攻擊目標(biāo)向量

在攻擊目標(biāo)方面，WEB資產(chǎn)仍為黑客攻擊的主要目標(biāo)所在。據(jù)數(shù)據(jù)統(tǒng)計，2023年天融信應(yīng)急服務(wù)處置的網(wǎng)絡(luò)安全事件中，針對WEB的攻擊事件所占比例高達(dá)64%。由于WEB資產(chǎn)在互聯(lián)網(wǎng)上具有較高的可見性和易接觸性，所以成為攻擊者的首選目標(biāo)。攻擊者通過漏洞利用等攻擊技術(shù)獲取WEB資產(chǎn)權(quán)限后，可進(jìn)入企業(yè)內(nèi)網(wǎng)并進(jìn)一步進(jìn)行橫向滲透，尋找內(nèi)網(wǎng)中更有價值的資產(chǎn)或數(shù)據(jù)。

5、網(wǎng)絡(luò)木馬及后門程序是實現(xiàn)遠(yuǎn)程控制的關(guān)鍵工具

在2023年的應(yīng)急事件中，一般木馬占比70%、勒索病毒占比12%、挖礦木馬占比18%。在一般木馬中，Windows可執(zhí)行文件、Linux可執(zhí)行文件和PowerShell后門這三種類型占據(jù)了總量的90%以上。各組織和企業(yè)需加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全建設(shè)，針對多變種勒索病毒、挖礦木馬以及隨時可能出現(xiàn)的新型病毒制定完善的應(yīng)急方案和安全防護(hù)措施，實現(xiàn)應(yīng)急常態(tài)化管理。

6、勒索攻擊主流病毒家族

在2023年全年的勒索病毒事件中，TellYouThePass、Phobos、LockBit3.0、MKP四個勒索病毒家族需要特別關(guān)注，及時打補(bǔ)丁、更新安全軟件、定期備份重要數(shù)據(jù)、使用強(qiáng)密碼仍是勒索病毒防御的主要手段。

· TellYouThePass通常會要求受害者交出密碼才能解鎖被加密的數(shù)據(jù)。由于其高隱蔽性和針對性，用戶多在不知不覺中成為受害者。

· Phobos傾向于攻擊大型企業(yè)或組織，通常利用漏洞入侵受害者的系統(tǒng)，然后加密其文件。

· LockBit3.0以高級的加密算法和強(qiáng)大的攻擊能力而著稱，常通過釣魚郵件或其他惡意軟件傳播，一旦感染便會加密所有文件。

· MKP具有較強(qiáng)的自適應(yīng)性，能夠針對不同的操作系統(tǒng)和應(yīng)用程序進(jìn)行定制化的攻擊。傳播途徑多樣，包括惡意廣告、假冒的軟件更新以及暗網(wǎng)上出售的Exploit Kits等。

隨著信息技術(shù)的發(fā)展，安全威脅不但數(shù)量、形式種類越來越多，而且其破壞性也越來越大。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)是網(wǎng)絡(luò)安全保護(hù)的重要措施之一，也是保護(hù)網(wǎng)絡(luò)安全的最后一道防線?！吨腥A人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中，也明確提及要加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力建設(shè)，鼓勵或規(guī)定部門和單位采購網(wǎng)絡(luò)安全應(yīng)急服務(wù)。通過健全防御措施，建立及時有效的應(yīng)急處置，能最大限度減少損失，更好地保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全。