报告概述
绿盟科技应急响应团队对 2019 年处理的安全事件进行深入整理与分析,并综合国内外
重要安全事 件,编制《 绿盟科技 2019 安全事件响应观察报告》,希望从安全事件的角度分析 2019 年的安全现状, 与安全行业从业者交流发展趋势,共同探讨网络安全建设的发展方向。2019 年,绿盟科技应急响应团队共处理应急事件 351 起,同比去年增长 4%,发生安全事件
数量排 名前三的区域分别是:北京 80 起, 广东 59 起,上海 31 起。高
图 1.1 2019 年安全事件地区分布图
从行业上看,事件主要分布在金融,运营商
,企业和政府行业,与去年相比金融行业事件数量有所 下降,而运营商行业安全事件数量则明显增加。金融 运营商 企业 政府 能源 教育 卫生 烟草 交通 互联网 其他
2018行业分布 2019行业分布
图 1.2 2019 年安全事件行业分布图
报告认为,经济利益仍然是黑客们投身黑产的主要驱动力,黑链利益链产业化套路升级,黑客们的 技术不断新,勒索、挖矿依然是安全事件的重头戏;安全意识不足(如:弱口令)是安全建设的薄弱 环节,也是黑客入侵主要的突破口;漏洞依旧是安全行业最关注的热门话题。
而安全演练,常态化威胁情报的分析,安全运维中的运维监控、漏洞修复都是防御日益严峻的安全 形势的有效手段。
适用性 此报告适用于政府、运营商、金融、企业等行业客户。 局限性 此报告基于绿盟科技应急响应服务数据,具有一定局限性。
2019 年安全事件整体趋势与 2018 年相比变化较大。从月度事件数量分布来看,2018 年呈现平缓 增长趋势;2019 年上半年整体安全事件增长迅速,并在 6月达到全年峰值,占全年安全事件总量 16.8%(是 月平均安全事件的 2 倍);下半年整体呈下降趋势,与 2018 年同期环比下降 39%。
1 2 3 4 5 6 7 8 9 10 11 12 2017 2018 2019 2天移动平均(2018) 2天移动平均(2019)
图 2.1 近三年安全事件趋势图
从安全事件类型分析,2019 年利用系统漏洞进行攻击和传播的事件如暗链、挖矿、入侵、蠕虫和 勒索主要集中在上半年发生,同样在 6 月达到峰值后迅速下降,到 12 月才稍有回升,而其他类型安全 事件则没有显现出这种规律。
1 2 3 4 5 6 7 8 9 10 11 12 漏洞利用相关事件 其他事件
2天移动平均(漏洞利用相关事件) 2天移动平均(其他事件)
图 2.2 2019 安全事件月度趋势
从安全事件发生原因进一步分析,多数安全事件是由于用户安全意识不足用户或系统漏洞未及 时修复引发。2019 年上半年因为安全意识造成的事件在全年占比 19.09%,利用系统漏洞的事件占 17.09%,而下半年安全意识造成的事件占比下降到 13.68%,利用系统漏洞的事件也下降到 8.26%。
其他
综合利用 安全意识
漏洞利用
8.26% 下半年
上半年 漏洞利用 下半年
安全意识 17.09%
13.68% 上半年
其他 综合利用 4.56% 23.36%
图 2.3 2019 安全事件风险原因分布
通过上述分析发现 2019 下半年的安全事件和往年相比有较大不同,6 月之后安全意识和漏洞利用 相关的事件有明显的下降趋势。结合今年 6 月举办的国家级安全演练的范围和影响面,我们认为:下半 年安全事件数量下降的原因与 2019 举行的国家级安全演练密不可分,可以说 6 月的安全演练起到了安 全漏洞大扫除的作用。安全演练前,各单位对自身资产进行全面资产梳理和脆弱性排查,如下线弃用系 统、扫描隐藏后门、关闭高危端口、及时修复漏洞等,同时注重培养和提升员工安全技能,降低因安全 意识而导致的风险。安全演练期间,进一步加强资产防护与漏洞修复,进一步将安全漏洞一网打尽,这 也成为 2019 年下半年安全事件数量大幅下降的“催化剂”。
国家级安全演练,就是要模拟黑客真实的网络攻击场景,考察政府机构、能源、通信、金融等关键 信息基础设施单位遭受网络攻击的情况下的应急保障及协调能力。
安全演练不仅能增强演练组织单位、参与单位和人员等对应急流程的熟悉程度,提高应急处置能力; 还能检查各个单位对突发事件所需应急队伍、物资、装备、技术等方面的准备情况,发现应急预案中存 在的问题。这也是对日常安全运维工作中的安全保障成果的一种检验,为后续单位、企业安全建设提供 新的思路与方向。
2019 年安全事件当中,金融、运营商、政府、能源、教育、卫生、交通行业占安全事件总体的 82.3%,上述行业涉及的重要信息设施、信息系统,重要互联网应用系统均与国家关键基础设施息息相关。 国家关键信息基础设施是指关系国家安全、国家公共利益的信息设施,包括但不限于提供公共通信、广 播电传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社 会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。一旦数据泄露、遭到破 坏或者丧失功能可能严重危害国家安全、国计民生。
3% 30% 金融 卫生)3% 运营商 交通
4% 政府 企业 能源 互联网
教育 烟草
图 2.4 2019 年安全事件行业类型分布图
2019 年政府行业发生的安全事件占事件总数的 14%,在各行业中排在第三位。发生的安全事件类 型 Top3 为入侵事件(25%)、虚拟挖矿(21%)、勒索软件(20%)。
25% 入侵事件 流量异常 6%
虚拟挖矿 告警排查 6% 勒索软件 业务安全 蠕虫病毒 拒绝服务
10% 黑链暗链 网络劫持
21% 主机异常
图 2.5 2019 年政府发生安全事件类型统计
对近三年安全事件进行观察发现,运营商行业安全事件数量呈上升趋势,且在今年尤为明显。环比 去年增长了 90.6%。运营商行业发生的安全事件主要为虚拟挖矿、入侵事件、勒索软件、蠕虫病毒和业 务安全等,涉及类型广泛。
运营商行业安全事件近三年变化
图 2.6 运营商行业安全事件近三年变化
27% 虚拟挖矿 网络钓鱼 5%
入侵事件 拒绝服务 9% 勒索软件 告警排查 蠕虫病毒 网络劫持
业务安全 黑链暗链
12% 流量异常
图 2.7 2019 年运营商行业事件类型分布图
金融行业因为业务复杂、涉及资产价值较高等原因,向来是黑客攻击的重点。近三年金融行业事件 占比均为第一,17 年占比 23.4%、18 年占比 40%、19 年占比 30%。2019 年金融行业事件中,银行类 占比最多,为 28%。
12% 银行 互金 基金保险
证券 交易所 13% 期货
图 2.8 2019 年金融行业事件细分
能源行业信息系统的安全、稳定运行关乎国计民生。近年来,在享受互联网业务信息化管理带来便 利的同时,面临的网络安全风险也与日俱增。 在 2019 年处理的能源行业安全事件中,电力(包括核电) 占比 63%,石油、燃气各占比 16%。
电力 燃气石油 16% 供热
图 2.9 2019 年能源行业事件细分
关键基础设施关系着国计民生,是经济社会运行的神经中枢,是网络安全建设的重中之重。随着经 济社会对网络的依赖程度不断加深,关键信息基础设施安全防护更加紧迫。网络空间军事化,网络武器 平民化,网络攻击常态化日趋明显,关键信息基础设施已成为网络攻击的主要目标。