2019年网络安全威胁回顾与展望

时间 :  2020年01月08日  来源:  6163银河.net163.amCERT


1、导语


        在每年冬训营上发布年报的预发布版,征求参会专家的意见建议,是6163银河.net163.am一直以来的传统。

        在这份年报中,6163银河.net163.am总结了APT、勒索软件、数据泄露、供应链安全、威胁泛化等方向的思考与观点:

        2019年全球APT攻击活动依旧频繁,中东地区再次成为APT攻击活动的热点目标,东亚、东南亚、欧美等地区紧随其后。越来越多的攻击组织采用无实体文件的攻击手法,武器载荷方面开源或公开工具也受到攻击组织青睐。6163银河.net163.am在针对近一年APT攻击活动分析中发现,在网空攻击活动中,攻击组织的攻击目标可能并不代表其真正的攻击意图,攻击目标也许只是达到其最终攻击意图的一个中间环节,攻击组织在达成最终的攻击意图前,可能攻击渗透了多个目标。此外,今年还有大量APT分析报告侧重溯源定位,但其中多数报告带有主观倾向且证据链不严谨。随着开源威胁情报的发展,攻击组织基于威胁情报数据模仿其他组织的TTPs进行攻击活动,简单的关联分析并不能溯源到真正的幕后组织,攻击组织的溯源归因应是以分析关联为基础,结合客观、长期深度研究来开展。通过对高级网空威胁行为体的研究发现,它们有不同的目的和动机,其能力也存在明显的层级差异。网空威胁行为体能力差异在第四方情报收集的情况表现加剧,在双方共同利益的目标国家/区域、目标行业,以及武器装备、攻击手法等TTPs方面表现出重叠,这种重叠导致的结果就是针对攻击组织的溯源和归因将变得十分复杂。今年6163银河.net163.am复盘了震网事件和SWIFT服务商被入侵事件,通过两起超高能力国家/地区行为体的攻击活动的复盘分析,可以发现两起事件几乎突破了全部传统安全防护体系达成了其作业目的。面对如此能力的对手,6163银河.net163.am认为当前的网络安全防护工作需要更加积极主动的网络空间安全防御模式,应把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模式,演化为全面建设必要的网络安全防御能力并将其有机结合形成动态综合网络安全防御体系的能力导向建设模式。通过动态特性的积极防御能力,并在威胁情报能力的驱动下全面持续监控发现威胁踪迹,并针对潜伏威胁展开“猎杀”行动,从而发现并消除威胁。

        非针对性勒索软件的主要受害者特点明显,缺少防护与管理的企业网络,即无效防护的网络。通过有效的网络安全防护与管理,定期进行网络安全培训加强员工安全意识,可以有效避免勒索事件的发生。勒索行业目前已经逐渐成为了具有一定组织规模,且组内成员分工明确,从投放载体到勒索收益形成一条完整的黑色产业链。一些勒索软件组织不仅投放勒索软件、而且还夹带着窃密木马、挖矿木马,即包含勒索、窃取、挖矿等多种恶意行为。勒索软件带来的威胁是每一个企业和个人都应该重视的问题,完善网络安全防护、加强网络安全意识势在必行。

        2019年数据泄露事件数量较2018年有了一定增长,且单次数据泄露事件泄露的数据量最高达27亿条,是2018年最高纪录的2.5倍。我国在全国范围内破获多起非法收集、出售公民个人信息的案件,同时进一步完善法律体系,通过法律手段来保护公民的个人信息。

        供应链环节面临的安全威胁持续上升,基于6163银河.net163.am对供应链安全事件的持续关注,相比2018年,2019年供应链安全事件增长1.7倍。近两年,供应链上游环节安全事件呈上升趋势,下游环节安全事件呈下降趋势;以供应链为载体进行攻击活动的攻击组织越来越多,且越来越活跃;第三方供应商安全风险依然严峻,不容忽视。

        2019年工业企业信息安全事件频发,工业安全面临来自互联网的多重威胁。传统信息系统威胁已成为工业控制系统重要威胁来源之一,工业企业不仅要面对传统信息系统安全威胁,也要面对直接针对工业控制系统的安全威胁。工业企业面临的多样性威胁,需建设全面防御体系来应对。

        5G技术持续落地助力物联网驶入“快车道”,传统制造产业正在经历工业互联网加持下的智能化升级。物联网和行业紧密结合,传统企业的安全加固相对成熟,而物联网终端种类多样性和脆弱性给攻击者开辟了更多的攻击入口。



2、攻击组织暗流涌动,网络战时代已经到来


2.1 全球APT攻击活动态势

        2019年的APT攻击活动更具针对性,中东地区再次成为APT攻击活动的热点目标,东亚、东南亚、欧美等地区紧随其后。2019年具有伊朗背景的APT组织(Chafer、MuddyWater等)活动频繁,但随着组织数据泄露事件而略有减缓。东亚区域的苦酒、响尾蛇逐渐代替白象组织针对我国和巴基斯坦开始新一轮的攻击活动。以经济利益为意图的TA505、FIN7自2019年开始逐渐走出欧美,将全球金融行业作为活动目标。面对严峻的大国博弈安全形势,地缘政治和国家利益竞合仍是APT攻击的主要源动力。

图 1 全球APT攻击行动、组织归属地理位置分布图


        根据2019年国内外所披露的APT事件报道、事件分析及样本分析报告,6163银河.net163.am对其进行了采集、分析、研判,形成以下统计结果:

图 2 2019年APT攻击行动统计分析


        鱼叉式网络钓鱼邮件、水坑攻击等社工欺骗,结合宏利用、漏洞利用的诱饵文档是APT攻击行动最主要的攻击手法;无文件攻击逐渐显现,成为广泛使用且不断发展的攻击手法;而规避检测与反分析技术呈现出多样性与复杂性。这些迹象表明APT攻击行动正在将新旧技术结合使用,并向多元化和更加隐秘的作业方式发展。

        Office相关漏洞为主要的安全缺口,其中使用最广泛的是Office公式编辑器漏洞CVE-2017-11882。除了反复利用陈旧漏洞之外,2019年新曝光的WinRAR、Windows 0day等漏洞同样被积极利用。作为常见的攻击手法,APT攻击行动仍然广泛依赖漏洞利用技术,建立攻击立足点。

        作为具备高作战技术的攻击活动,APT组织主要采用自定义攻击来实现更有效以及更具针对性的攻击行动。此外,APT组织更倾向于使用开源或公开的武器装备进行初期阶段的攻击,最广泛使用的代表为Mimikatz、Cobalt Strike开源工具。但是,开源或公开武器装备使用的普遍性,为APT攻击行动的追踪溯源增加了不确定性。


2.2 攻击组织的攻击目标可能并不代表其真正的攻击意图

        在网空攻击活动中,攻击组织的攻击目标可能并不代表其真正的攻击意图,攻击目标也许只是达到其最终攻击意图的一个中间环节。

        6163银河.net163.am发布“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告中[1],涉及“JEEPFLEA_MARKET”和“JEEPFLEA_POWDER”两起攻击行动,攻击目标均为中东地区最大的SWIFT服务提供商EastNets,“JEEPFLEA_MARKET”最终的攻击意图是窃取其在比利时、约旦、埃及和阿联酋的上千个雇员账户、主机信息、登录凭证及管理员账号;“JEEPFLEA_POWDER”行动虽然没有成功,但其攻击意图却是针对EastNets在拉美和加勒比地区的合作伙伴。

        这样的攻击事件并不是个别案例,2019年9月18日,Tortoiseshell组织针对沙特阿拉伯的IT提供商进行了攻击活动,获取了对IT供应商客户的访问权限[2],也就是说Tortoiseshell组织的攻击意图是IT供应商客户的网络;APT33组织专注于针对中东的攻击活动,但也将美国的许多大型公司视为目标,一个值得注意的案例是,APT33先攻击了一家中东的公司,但其通过该公司渗透到一家大型美国公司,其真正的攻击意图是这家大型的美国公司[3]

        随着网络安全技术的快速发展以及企业网络安全防御能力的不断提升,必然造成攻击者攻击活动成本的增加,为了达到其攻击意图,攻击组织采取了一种更加迂回的策略,瞄准目标系统的供应链、供应商等薄弱环节,攻击组织在达成最终的攻击意图前,可能攻击渗透了多个目标。


2.3 网络溯源行之惟艰,部分报告主观倾向明显且不严谨

        攻击组织的溯源归因已成为APT分析的重点,虽然6163银河.net163.am此前针对白象组织进行了攻击者画像,认为其是一个由10-16人组成的攻击小组,并溯源到一个自然人,但这并非一日之功,而是6163银河.net163.am通过长期深入分析的结果,实际上针对攻击组织的追踪溯源过程是非常艰难的。在实际的攻击活动中, 攻击者不仅能够使用工具进行语言的篡改,也可能模仿其他组织的TTP,甚至攻陷并使用其他攻击组织基础设施进行攻击活动,这些都可能阻碍、误导安全人员对攻击组织的归因。

        2017年,维基解密曝光的CIA“7号军火库”(Vault 7)中的“Marble”框架,该框架通过混淆算法篡改代码字符串中的语言,支持中文、俄语、韩语、阿拉伯语和波斯语,误导安全人员的归因调查方向。

        随着开源情报社区等公开情报源的不断发展,其也成为了攻击组织的重要威胁情报来源。攻击组织基于威胁情报数据模仿其他组织的TTPs进行攻击活动,分析人员发现,海莲花和Konni组织将诱饵文档的正文编写成其他攻击组织样本的典型格式;Donot组织模仿TransparentTribe组织的恶意宏代码;某APT组织模仿响尾蛇组织的TTPs,包括诱饵文档、伪装、规避、中间脚本代码、武器装备等,这都给攻击组织的追踪溯源带来了一定的挑战。

        值得注意的一点是,攻击组织在不断更新其装备库的同时,也将目标转向了其他攻击组织的基础设施和资源。Turla组织攻陷了APT34组织,并使用其网络资源针对多个目标进行了攻击活动,使得溯源归因调查变得更加艰难。

        基于攻击者遗留痕迹的溯源分析越来越不准确,更为严重的是部分报告具有主观倾向且不严谨。近年来,某些国外的分析报告炒作他国威胁,溯源归因分析带有明显主观倾向,只认“政治正确”而不严谨求证,简单罗列攻击者能够伪造的遗留信息后,便开始大肆渲染攻击组织背景。此外,某些报告并不独立的对攻击组织进行深入的背景溯源,而是将细节关联到已有的分析报告,这些问题都会造成对攻击组织背景溯源的误判。攻击组织的溯源归因分析不应是与现有分析的简单关联,而应是在客观、长期深度分析的基础上建立的。


2.4 网空威胁行为体能力差异在第四方情报收集的情况表现加剧

        网空威胁行为体是网络空间攻击活动的来源,它们有不同的目的和动机,其能力也存在明显的层级差异。根据作业动机、攻击能力、掌控资源等角度,6163银河.net163.am将网空威胁行为体划分为七个层级,分别是业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。

        第四方情报收集(fourth-party collection)的工作模式,最早体现在爱德华·斯诺登(Edward Snowden)2013年泄露的记录着美国情报机构针对外部情报机构实施CNE(Computer Network Exploitation)获取情报的文档中。实际上,第四方情报收集一直以很隐秘的方式进行,如卡巴斯基2017年披露的Scarcruft(Group123、Reaper、APT37)和DarkHotel之间的重叠。

        APT活动的重叠意味着不同能力的网空威胁行为体使用的基础设施、TTPs或者活动针对的目标大抵相似,但超高和高级能力行为体对于在前期渗透活动中发现的一般能力行为体具备被动收集和主动收集情报的能力。这种能力差异自2017年以来愈发明显,对于苦酒(Bitter)、海莲花、Lazarus等一般能力行为体组织受到广泛的披露,主要原因是攻击能力受限,次要原因是其情报、TTPs可被超高或高级能力行为体收集并利用。2019年Turla利用针对伊朗APT组织的第四方情报收集活动,在双方共同利益的目标国家/区域、目标行业,以及武器装备、攻击手法等TTPs方面表现出重叠。这种重叠导致的结果就是针对攻击组织的溯源和归因将变得十分复杂,如卡巴斯基的分析人员所言,溯源和归因的最好情况就是很复杂。

图 3 Turla组织与APT34组织对比



2.5 A2PT攻击挑战当前网安防护体系,态势感知结合威胁猎杀是有效应对策略

        2019年,6163银河.net163.am对震网事件和方程式组织入侵SWIFT服务提供商EastNets事件复盘,详细分析传播机理、攻击流程和部分技术细节,思考超高能力国家/地区行为体对现有网络安全防护体系造成的冲击。我们在震网复盘分析过程中温故而知新,解开了历史遗留的一些疑问。在《震网事件的九年再复盘与思考》报告中详细解读了一个值得思考的问题,震网作为一种没有感染属性的针对性攻击蠕虫,为何会有大量的样本存在[4]。通过复盘分析发现,即震网的载荷投放程序,在每落地一台机器时,会有一个内嵌配置数据的自我更新,从而导致震网的每次落地形成的主执行体的HASH均不同,同时其实际攻击载荷多数均被包裹在主DLL之中,并不落地。通过复盘九年前的震网事件可以看到,这个层面的传统HASH情报对于A2PT攻击近乎无效。每一台主机上提取到Dropper文件的HASH都不可能命中另一台主机上的等效文件。当然我们不能认为震网Dropper的落地自写更新机制,主要目的是为了对抗HASH检测机制,但其客观上构成了这样的效果。而更需要看到的是,尽管在分析过程中,可以看到震网攻击的相关域名从2005年已经被注册。但在分析方将相关通讯特性作为规则时,震网的攻击效果已经达成,而在毒曲等的攻击中,我们亦广泛看到内网C2等机制的存在。如果反病毒引擎是一种会被攻击者重点绕过的重载机制,而攻击指示器(信标)又作为一种稳定性极低的情报机制的话,这对双保险的效果就会大打折扣。

        而在SWIFT服务商被入侵事件中[1],攻击组织使用了多个不同国家和地区的跳板IP,对EastNets发起了6次网络攻击。攻击者先后通过6条不同的入侵路径相互配合,针对不同的系统和设备使用了包括“BARGLEE”、“BANANAGLEE”和“永恒”系列等多套攻击装备,最终攻陷了位于EastNets网络中的4台VPN防火墙设备、2台企业级防火墙、2台管理服务器,以及9台运行多国金融机构业务系统的SAA服务器和FTP服务器以及对外提供的邮件服务器等资产。通过此次复盘分析可以发现,EastNets网络环境按照不同功能特性从VPN接入、区域边界再到管理服务器、应用服务器、数据库服务器等进行了一定的层次和分区设计,各个逻辑分区之间也做了基于端口、IP的访问控制策略,部署了企业级防火墙,并且在服务器上部署了主流品牌的安全防护软件。但是即使这种具有一定的基础防护能力和防御纵深的网络信息系统,在面对超高能力网空威胁行为体的攻击时,依然被攻陷。

        通过两起超高能力国家/地区行为体的攻击活动的复盘分析,可以发现两起事件攻方都突破了目标的防护体系,攻击方采用了大量对抗安全产品的技术,如HASH变化、感染行为控制、安全设备攻陷、可信服务器利用等,几乎突破了全部传统安全防护体系达成了其作业目的。尤其是SWIFT服务商被入侵事件,基于对被攻击资产情况、所使用攻击装备和攻击过程的复盘梳理,报告基本呈现出了整体的攻击全貌。从时间发生的2012~2013年的背景来看,被攻击目标的布防情况,总体体现出在那个时代信息资产的布防特点,部署了包括VPN、防火墙、主机杀毒等基础安全环节,对内部资产做了基本的分区,进行了一定的配置加固等,就目前网络安全现状来看这些依然是主流防护产品和部署方案。这些防护手段是建立起网络防御体系的基本工作,对于防范一般性的网络攻击是有效的,但对于防护超高能力网空威胁行为体则是完全不足的。

        面对复杂的关键信息基础设施和重要网络信息系统,需要把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模型,演化为全面建设必要的网络安全防御能力,并将其有机结合以形成网络安全综合防御体系的能力导向建设模型。6163银河.net163.am基于著名网络安全研究机构SANS的“滑动标尺”模型,提出了叠加演进的网络空间安全能力模型。其中基础结构安全类别的能力,来自于在信息化环境的基础设施结构组件以及上层应用系统中所实现的安全机制,兼具安全防护和系统保障的双重意义,主要作用是有效收缩信息化环境中基础设施所存在的攻击面。纵深防御类别的安全能力,来自于附加在网络、系统、桌面使用环境等信息技术基础设施之上综合的体系化安全机制,以“面向失效的设计”为基本原则构建防御纵深,通过逐渐收缩攻击面以有效消耗进攻者资源,从而实现将中低水平的攻击者拒之门外的防御作用。在保障安全能力的“深度结合”、“全面覆盖”基础上,建设以态势感知为核心的威胁情报驱动的动态防御能力体系,做到“掌握敌情”、“协同响应”,重点是在敌情想定的基础上提升网络系统的可弹性恢复水平,特别是依靠具有动态特性的积极防御能力,在威胁情报能力的驱动下,通过全面持续监控发现威胁踪迹,并针对潜伏威胁展开“猎杀”行动,从而发现并消除威胁。



3、非针对性勒索软件主要威胁中低级防护,攻击者能力两极分化严重


        非针对性勒索软件的主要受害者特点明显,缺少防护与管理的企业网络,即无效防护的网络。这些企业的网络一旦遭受到攻击者的攻击,会对企业造成较为严重的影响。根据统计,勒索软件攻击者最常用的攻击方式有钓鱼邮件、系统漏洞、可移动设备、钓鱼网站等。而通过有效的网络安全防护与管理,定期进行网络安全培训加强员工安全意识,可以有效避免勒索事件的发生。

       2019年勒索软件的活跃程度仍然排在所有网络安全威胁的前列, 勒索软件的开发和传播已经从单人的“小作坊”,变成了一个由开发者、传播者、中间人、代理商等环环相扣的一个有组织的勒索团体。2019年流行的勒索软件或多或少都会和近些年其他家族勒索软件有着千丝万缕的联系,勒索软件组织就像是癌细胞一样不断进行着分裂。2019年影响力最大的勒索软件家族之一GandCrab勒索病毒的运营团队在俄语论坛中声称该家族停止更新,停止更新的原因是赚到了足够多的钱。GandCrab宣称他们删除了所有密钥,停止了软件开发和一切代理商服务,但是我们发现以GandCrab为基底的变种依然会活跃在网络上,其他类似GandCrab家族的勒索软件,如Jokeroo RaaS、Sodinokibi与GandCrab高度相似,部分Sodinokibi家族样本使用与GandCrab家族相同服务器进行传播[5]

        勒索软件攻击者的能力水平两极分化严重,勒索软件的“高收益”、“低风险”和较低的开发门槛吸引了越来越多的攻击者加入到勒索阵营中。近年来使用脚本语言等解释型语言编写的“简易版”勒索软件开始逐渐增多,同时随着勒索软件即服务RaaS的流行,一部分无技术、无经验、无代码能力的“三无”人员也能快速开发出一款勒索软件进行攻击。这些攻击者并没有特定的攻击目标,他们大多采用广撒网的方式进行无针对性的攻击。

        另一方面,个人用户的计算机在遭受到勒索木马攻击文件被加密后,由于个人用户数据的重要性往往弱于企业用户,趋于放弃数据选择重新安装系统。而大多数企业数据具有高价值、不可替代性,企业机器由于运行的软件版本限制、人员等各种因素,不能及时安装补丁。当企业用户被加密并且没有备份文件的情况下,支付赎金的情况会远远多于个人用户。因此攻击者则将矛头对准了相对来说高收益、高回报率的目标。攻击者利用钓鱼邮件、漏洞扫描、RDP弱口令爆破等攻击方式,攻入目标计算机系统,投放勒索软件。相对于前些年的“蠕虫病毒式”传播,如今勒索在攻击目标选择上变得更加有针对性。从6163银河.net163.am2019年处置的勒索软件安全事件来看,这部分攻击者的攻击目标从广泛的普通用户,明显转向了中大型政企机构、行业组织等。全球针对中大型企业(政企)的勒索攻击事件数量飞速增长,包括全球最大的铝制品生产商、全球最大的助听器制造商、全球最大的飞机零件供应商等企业相继遭到攻击,这些公司的文件服务器、数据库服务器、邮件服务器等重要数据存储服务器成为了攻击者的首要攻击目标[6]。攻击者这一切可能都是为了获取巨大的经济收益,并且赎金金额也在不断增长,之前肆虐全球的WannaCry勒索软件的赎金也只有几百美金,现在的勒索软件攻击者可能是受到GandCrab勒索软件家族曾经以一年半的时间内赚得20亿美金的带动,将赎金金额提升至几个到几百个比特币不等。大多数勒索软件攻击者不直接索要赎金,先判断受害者的感染规模和数据重要性,通过和受害者谈判确定赎金价格。

        目前,由于勒索病毒多采用RaaS(勒索软件即服务)模式进行分发,使得勒索病毒开发者可以更容易规避风险,并且轻松获取巨额利益,为下一代勒索软件的开发提供了资金方面的支持。GlobeImposter勒索病毒是典型的采用Raas模式进行分发的勒索病毒,在短短的几个月内不断更新,包括GlobeImposter变种、GlobeImposter2.0变种、“十二生肖”以及“十二主神”等。GlobeImposter勒索病毒不但保持快速的勒索病毒投放速度,并且版本迭代也愈加频繁。通过对一款在暗网上售卖的基于RaaS模式分发的勒索病毒进行调查,我们发现在一年的时间里,勒索病毒开发者对此勒索病毒进行了多次升级。并且勒索病毒开发者还制定了不同的套餐,每个套餐都包含了不同的增值组件和功能以供选择。通过追踪比特币钱包地址,到目前为止,一共收到了1.73452154 BTC,最近的一笔资金流入是发生在2019年11月,说明现在还有人购买了这款勒索病毒。勒索病毒开发者就是通过这种形式,在获利的同时不断更新勒索病毒变种以保证后期的持续收入,而这也导致了2019年勒索病毒变种数量激增。Phobos勒索软件家族从2019年初期开始在全球流行,并持续更新,根据6163银河.net163.am的监测统计,Phobos勒索软件家族在短短九个月中使用了超过19个不同的加密后缀名。该家族通过RDP暴力破解和钓鱼邮件等方式扩散到全球各个国家和各个行业,感染数量持续增长[7]

        同时我们也发现越来越多的结合社会工程学的钓鱼邮件攻击被勒索者使用,Sodinokibi勒索软件伪造“中华人民共和国公安部”和“DHL快递公司”等发出的邮件进行攻击,利用用户对邮件内容的恐惧和好奇心理,诱使用户下载附件并查看附件内容[5]

        我们认为在接下来的2020年中,勒索软件仍旧是活跃程度最高的网络安全威胁之一。勒索行业目前已经逐渐成为了具有一定组织规模,且组内成员分工明确,从投放载体到勒索收益形成一条完整的黑色产业链。一些勒索软件组织不仅投放勒索软件、而且还夹带着窃密木马、挖矿木马,即包含勒索、窃取、挖矿等多种恶意行为。勒索软件带来的威胁是每一个企业和个人都应该重视的问题,完善网络安全防护、加强网络安全意识势在必行。



4、数据泄露量屡破纪录,法制建设对数据保护能力提出更高标准

        2019年数据泄露事件数量较2018年有了一定增长,且单次数据泄露事件泄露的数据量最高达27亿条,是2018年最高纪录的2.5倍。我国在全国范围内破获多起非法收集、出售公民个人信息的案件,同时进一步完善法律体系,通过法律手段来保护公民的个人信息。

图 4 全球主要数据泄露事件统计


        尽管近年来单次数据泄露事件泄露数据量的记录屡次被刷新,但2019年3月份电子邮件验证公司Verifications.io泄露20亿条数据和12月份一台未知ES服务器泄露27亿条数据的消息还是不免令人咋舌。泄露的信息里包含电话号码、地址、社交网站账户等信息,甚至部分记录还包含信用评分和抵押信息。除了上述两起因服务器配置不当造成的泄露外,因黑客攻击造成的数据泄露量也十分庞大,暗网中一名自称“A_W_S”的黑客在2019年分多次出售了包括英国在线音乐流媒体服务Mixclouud在内的多家公司的数据,共计约3.6亿条。相较于其他网络安全风险,个人信息的泄露往往会对用户的财产安全甚至生命安全产生更直接的威胁,如推广短信、骚扰电话、钓鱼邮件、诈骗电话等。

        2019年,全国范围内破获多起非法获取公民个人信息、借贷信息,并为网贷公司提供查询服务的案件,不法分子通过恶意爬取、向网贷公司收购等途径,累计获取公民个人信息及借贷信息上亿条,并模仿征信系统开发了“大数据风控系统软件”,向下游网贷公司收取数据查询费用,非法获利数千万元。近年来,国家在逐步完善法律体系,通过法律手段保护公民的个人信息,在《网络安全法》中就明确规定禁止个人或组织非法获取、出售公民个人信息,要求网络运营者采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。2018年5月份开始实施的《个人信息安全规范》更对个人信息的保护做了进一步补充,以国家标准的形式,对网络运营者收集、保存、使用个人信息的全周期做了详细规定。同时,“侵犯公民个人信息罪”也已写入刑法,在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,对非法获取、出售公民个人信息等违法行为的量刑标准做出了详细解释,以此为据逮捕、处置了一批不法分子以儆效尤。

        除了对非法出售用户数据行为的打击外,10月份发布的《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(下称解释)中,对网络服务提供者发生数据泄露事件后的处罚标准做出了更详细的规定。在解释中,国家把一些切实关乎公民个人生命、财产安全的信息泄露处罚阈值限定到了一个极低的数额,而一旦发生数据泄露,数据量往往成千上万倍于这个限额,故此次解释的发布,无疑对存储有相关公民信息的网络服务提供商的数据保护能力提出了更高要求。



5、供应链环节面临的安全威胁持续上升,安全事件增长1.7倍


        2019年,软件供应链环节面临的安全威胁持续上升,供应链安全事件持续增加,同比2018年增长1.7倍。6163银河.net163.am基于对国内外供应链安全事件的持续关注,经过采集、处理、分析,绘制了近年来供应链安全事件态势图。图中涉及供应链环节、安全事件名称及事件发生时间,从图中能够看出针对供应链的攻击呈现以下态势:

  • 供应链上游安全事件呈上升趋势,下游安全事件呈下降趋势
  • 以供应链为载体进行攻击活动的攻击组织越来越多,且越来越活跃
  • 第三方供应商风险依然严峻,不容忽视

图 5 近年来供应链安全事件态势图


5.1 供应链上游环节安全事件呈上升趋势,下游环节安全事件呈下降趋势

        从供应链安全事件整体态势图中能够看出,供应链的各个环节依然是攻击者的攻击窗口。从2017年开始供应链安全事件逐步增多,不过值得注意的是,在2018年之前,供应链安全事件主要集中在供应链下游的交付和使用环节,但从2018年和2019年的数据来看,这两年供应链上游环节安全事件呈上升趋势。根据分析来看,一方面,针对供应链上游环节的攻击比较隐秘,不容易被发现;另一方面,针对供应链上游的攻击影响范围更广,更容易满足攻击者的窃密等意图。


5.2 以供应链为载体进行攻击活动的攻击组织越来越多,且越来越活跃

        以供应链为载体进行攻击活动的攻击组织越来越多,且在这些攻击组织中Magecart攻击组织尤为活跃,其有专门的小组进行针对供应链的攻击活动。2018年至2019年间,Magecart攻击组织共进行了约10起攻击事件,均是针对供应链上游环节。虽然不同攻击事件的手法略有差异,也可能不是同一攻击小组所为,但其攻击目标明确,均为窃取用户信用卡或支付卡信息。2019年9月,6163银河.net163.am发布了《Magecart第五小组开始使用KPOT开展窃密活动》分析报告[8],分析人员梳理了Magecart涉及的十一个小组的目标、攻击过程和相应特点。预测未来,可能出现更多攻击组织,专门针对供应链环节进行网络攻击活动,也可能已经利用供应链攻击潜伏在网络之中。


5.3 第三方供应商安全风险依然严峻,不容忽视

        由于厂商对其合作的第三方供应商的信任关系,在引入产品或设备过程中缺乏严格的审查机制,导致攻击者有机可乘。近两年,由第三方供应商引入的安全风险一直没有停止。2018年8月,台积电因采购的第三方设备没有经过隔离检查,直接接入了生产网络,导致生产系统大面积感染病毒,损失严重[9]。2019年5月,6163银河.net163.am接到某重要单位的求助,经过6小时处置快速解决了问题,最终判定这是一起由挖矿蠕虫引发的内网大规模感染事件,主要是由于第三方供应商设备带毒入网后引起的病毒内网传播感染[10]越来越多的攻击者开始利用第三方供应商,间接渗透到目标系统。



6、工业安全事件频发,安全威胁形势不容乐观


        工业互联网是满足工业智能化发展需求,具有“低时延、高可靠、广覆盖”特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式[11]。在工业互联网技术的推动下,越来越多的工业控制系统正在与互联网相连接。工业互联网的发展大大地提升了生产效率、产品质量和服务水平,但也使工业控制系统越来越透明,越来越开放。工业控制系统中存在大量的传统信息系统技术,因此工业控制系统和传统信息系统面临相同或类似的威胁。例如2019年有39起涉及关键信息基础设施的安全事件,能源行业7起,医疗行业17起,交通行业2起,石油化工行业3起,制造行业4起,其它行业6起,其中大多数安全事件都是通过传统信息技术对工业企业发起攻击,并严重影响了工业企业正常生产。

        工业控制系统由于其特殊应用场景及对实时性和可靠性高的要求,导致在系统设计之初就存在安全缺陷,例如明文协议传输、缺少身份认证等。同时,工业控制系统中有大量技术与传统信息系统技术相同或相似,所以攻击者使用传统信息系统相同或相似的攻击技术和方法同样可以攻击工业控制系统,例如DDoS攻击、网络钓鱼攻击、Web应用程序攻击、勒索软件等攻击手段。因此工业企业将面临更多来自互联网的威胁。


6.1 工业控制系统的重要威胁来源之一是传统信息安全威胁

        随着工业互联网的发展,工业控制系统与传统信息系统的高度融合,大量的工业控制系统控制中心采用传统信息系统技术为支撑技术,通用系统、通用软件及通用网络技术在工业控制系统中广泛应用,也导致了传统信息安全威胁手段同样会威胁到工业控制系统的安全。DDoS攻击、网络钓鱼攻击、Web应用程序攻击、勒索软件等传统信息系统攻击方式同样适用于工业控制系统,对工业控制系统造成网络阻塞或中断、敏感信息泄露、数据交互中断、文件被加密等严重影响,导致工业控制系统不能正常运行,工业企业减产、停产,造成重大经济损失。例如2019年3月,可再生能源供应商sPower遭网络攻击,导致sPower公司风能和太阳能发电设备崩溃。

        传统信息系统中有很多重要数据关乎企业安全,而在工业企业中,工业数据更是重中之重,工艺参数、生产数据、控制指令等关键业务数据关乎整个企业的生产、运行。同时在工业企业中经常遇到勒索软件攻击,其采用传统攻击手段进入工业企业内部网络,对工业主机进行数据加密导致工业系统无法正常运行。例如2019年3月,铝生产商挪威海德鲁公司(Norsk Hydro),在全球多家工厂遭受LockerGoga勒索软件攻击,造成大量工业数据被加密,导致多个工厂关闭,部分工厂切换为手动运营模式。数据的破坏不仅仅会影响企业本身的运营,还会对社会造成严重影响。例如2019年8月,全球知名法医服务公司Eurofins Scientific被勒索软件攻击,其检测数据被加密,导致20000多起案件被积压,对社会造成严重影响。这些工业安全事件都是通过传统信息系统进入工业控制系统,同样也破坏了工业控制系统的可用性。工业控制系统的破坏不仅影响工业企业的信息安全,同时也对国家安全造成重大影响。因此传统信息安全威胁仍然是工业控制系统的重要威胁来源之一。


6.2 工业控制系统面临多样性威胁,需要建设全面的防御体系来应对

        工业互联网将工业控制系统与传统信息系统紧密结合,并已经在电力、交通、制造业等关键信息基础设施领域广泛应用,由于工业控制系统自身的特殊性,单一的传统信息系统安全防护技术并不能完全防护工业控制系统的安全,同样只具备工业控制系统的防护方案也不能完全保护工业企业的信息安全。

        工业控制系统中大量采用通用传统信息技术作为控制系统运行平台,因此不仅针对工业控制系统的攻击方式对工业控制系统会产生破坏,通用的传统信息安全威胁依然会对工业企业造成严重影响。例如2019年3月,美国主要两家化工公司Hexion和Momentive遭受勒索软件攻击,该攻击造成网络中断,并造成了大量经济损失。再如震网事件、“海渊”(TRISIS)等攻击事件,直接采用针对工业控制系统手段,对工业控制系统信息安全造成严重影响,直接影响企业的正常运行,甚至影响社会的稳定。

        由于工业企业的场景化因素,导致针对的攻击同样存在行业差异性、控制系统差异性、控制系统设备的多样性、协议多样性等因素,造成攻击难度大、攻击成本高,同时也造成对工业控制系统的信息安全防护难度大、防护手段缺失等特点。所以针对工业企业防护手段不仅需要考虑传统信息系统安全威胁,也需要应对工业控制系统信息安全威胁。因此针对工业企业的防护手段需要综合传统信息安全防护及工业控制系统防护双重手段,全面应对来自各方面针对工业企业的安全威胁。



7、泛化安全——5G技术持续落地助力物联网驶入“快车道”


        2019年10月31日,在中国国际信息通信展览会上,工信部与三大运营商举行5G商用启动仪式,并于11月1日正式上线5G商用套餐,这标志着我国将正式进入5G商用时代。5G技术具有高速率、低延迟、大容量、可靠连接等特点,能够满足海量物联网终端的连接需求,5G技术的商用无疑助力物联网产业的发展步入快车道,也将是物联网发展历史的重要节点。

        当前,传统制造产业正在经历工业互联网加持下的智能化升级,随着物联网和行业紧密结合,万物互联也将导致安全风险的加剧。传统企业的安全加固相对成熟,而物联网终端种类的多样性和脆弱性给攻击者开辟了更多的攻击入口。例如,现在企业配置更多的智能电视、智能照明、智能打印机、温度传感器、安全摄像头等智能互联设备,而这些物联网设备的安全架构通常不一致,存在更多的安全“黑匣子”风险,针对任意一个脆弱的物联网设备进行攻击,都有可能导致企业安全受到威胁。

        另外,正如我们前几年提到,物联网的威胁隐患是面向真实世界的,它切切实实地环绕在我们周围,风险也潜伏在我们周围,伺机而动,影响的是物理的实体世界的安全。

        自2013年,6163银河.net163.am用恶意代码泛化(Malware/Other)一词,说明安全威胁向智能设备等新领域的演进,之后“泛化”一直是6163银河.net163.am所关注的重要威胁趋势。当前,安全威胁泛化已经成为常态,6163银河.net163.am依然采用与前几年年报中发布“网络安全威胁泛化与分布”一样的方式,以一张新的图表来说明2019年威胁泛化的形势。



附录一:参考资料


        [1] 6163银河.net163.am:“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告

        https://www.antiy.com/response/20190601.html

        [2] Symantec: Tortoiseshell Group Targets IT Providers in Saudi Arabia in Probable Supply Chain Attacks

        https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain

        [3] Symantec:Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S

        https://www.symantec.com/blogs/threat-intelligence/elfin-apt33-espionage

        [4] 6163银河.net163.am:震网事件的九年再复盘与思考

        https://www.antiy.com/response/20190930.html

        [5] 6163银河.net163.am:勒索软件Sodinokibi运营组织的关联分析

        https://www.antiy.com/response/20190628.html

        [6] 6163银河.net163.am:FIN6组织的针对性勒索软件攻击事件分析

        https://www.antiy.com/response/20190509.html

        [7] 6163银河.net163.am:Phobos勒索软件变种分析报告

        https://www.antiy.com/response/20191016.html

        [8] 6163银河.net163.am:Magecart第五小组开始使用KPOT开展窃密活动

        https://www.antiy.com/response/20190926.html

        [9] 新华网:台积电遭电脑病毒感染 第三季营收将损失2%

        http://www.xinhuanet.com/tw/2018-08/07/c_129927871.htm

        [10] 6163银河.net163.am:六小时处置挖矿蠕虫的内网大规模感染事件

        https://www.antiy.com/response/20190925.html

        [11] 中国信息通信研究院:工业互联网术语与定义(版本1.0)发布

        http://www.caict.ac.cn/kxyj/qwfb/bps/201902/P020190227351446481977.pdf



附录二:关于6163银河.net163.am


        6163银河.net163.am是引领威胁检测与防御能力发展的网络安全国家队,始终坚持自主先进的能力导向,依托下一代威胁检测引擎等先进技术和赛博超脑大平台工程能力积累,研发智甲、探海、镇关、捕风、追影、拓痕等系列产品,为客户构建端点防护、流量监测、边界防护、导流捕获、深度分析、应急处置的安全基石。6163银河.net163.am致力于为客户建设实战化的态势感知体系,依托全面持续监测能力,建立系统与人员协同作业机制,指挥网内各种防御机制联合响应威胁,实现从基础结构安全、纵深防御、态势感知与积极防御到威胁情报的有机结合,协助客户开展深度结合与全面覆盖的体系化网络安全规划与建设,支撑起协同联动的实战化运行,赋能客户筑起可对抗高级威胁的网络安全防线。

        6163银河.net163.am为网信主管部门、军队、保密、部委行业和关键信息基础设施等高安全需求客户,提供整体安全解决方案,产品与服务为载人航天、探月工程、空间站对接、大飞机首飞、主力舰护航、南极科考等提供了安全保障。参与了2005年后历次国家重大政治社会活动的安保工作,并多次获得杰出贡献奖、安保先进集体等称号。

        6163银河.net163.am是全球基础安全供应链的核心赋能方,全球近百家著名安全企业、IT企业选择6163银河.net163.am作为检测能力合作伙伴,截止到2019年9月30日,6163银河.net163.am的威胁检测引擎为全球超过六十万台网络设备和网络安全设备、超过十七亿部智能终端设备提供了安全检测能力。6163银河.net163.am的移动检测引擎获得国际知名测试机构颁发的2013年度权威评测奖项。

        6163银河.net163.am是中国应急响应体系中重要的企业节点,在“红色代码”、“口令蠕虫”、“心脏出血”、“破壳”、“魔窟”等重大安全威胁和病毒疫情方面,实现了先发预警和全面应急响应。6163银河.net163.am针对“方程式”、“白象”、“海莲花”、“绿斑”等几十个高级网空威胁行为体及其攻击行动,进行持续监测和深度解析,协助客户在“敌情想定”下形成有效防护,通过深度分析高级网空威胁行为体的作业能力,6163银河.net163.am建立了以实战化对抗场景为导向的能力体系。


6163银河.net163.am官网 antiy.cn

微信订阅号 Antiylab