2018年安全態勢年度報告

江民科技  2019/1/7

江民赤豹安全實驗室針對2018年整體安全態勢做了詳細分析，報告中引用了Gemalto調研資料，據統計僅2018年資料洩露事件高達945次，導致的資訊洩露數量達到45億條之多，相比2017年同期雖然洩露事件有所下降，但資訊量卻陡增了133個百分點。而在去年頻繁發生的勒索及挖礦病毒攻擊熱度也並沒有下降，隨著科技化時代的到來，仍有很多企業和個人的網路安全意識和措施並沒有成熟，網路攻擊和資料洩露帶來的影響未來也會越發重要。

2018年中國網路安全形式分析

赤豹實驗室研究人員從以下八個方面分析了網路安全的現狀與未來發展趨勢：

1.社會工程學

社交工程是網路犯罪發展最快的領域，世界第一駭客凱文·米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多企業、公司在資訊安全上投入大量的資金，最終導致資料洩露的原因，往往卻是發生在人本身。你們可能永遠都想像不到，對於駭客們來說，通過一個用戶名、一串數位、一串英文代碼，社會工程師就可以通過這麼幾條的線索，通過社交工程攻擊手段，加以篩選、整理，就能把你的所有個人情況資訊、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕跡等個人資訊全部掌握得一清二楚。雖然這個可能是最不起眼，而且還是最麻煩的方法。一種無需依託任何駭客軟體，更注重研究人性弱點的駭客手法正在興起，這就是社會工程學駭客技術。

勒索軟體配合利用社會工程學的欺詐郵件造成的影響往往比其他方式投遞的手法要大很多，尤其在2018年這個勒索軟體仍然氾濫的使其特別明顯。電子郵件欺詐帶來的損失史無前例，累計已達120億美元。古老的騙局一而再再而三的捲土重來，其利用的是人們心理上的弱點與認知上的缺陷。針對這種攻擊，我們註定無法完全免疫。

2.勒索軟體

2018上半年基於“永恆之藍”的攻擊嘗試超過漏洞攻擊總量的30%以上。眾所周知，2017年4月，某駭客組織獲取並洩漏美國國家安全局(NSA)掌握的網路武器“永恆之藍”，導致利用該漏洞的惡意程式在網路上肆虐，最典型的是勒索病毒。

勒索軟體在全球範圍內持續對不同業務無差別攻擊，但他們的目標會聚焦在包括SMBs在內的抗攻擊能力較弱且準備不足的企業。在這種情況下，勒索金額會降低以便小企業有能力支付，區域性醫療服務機構或醫院將會遭到重擊，主要原因是作為目標他們攻擊起來太容易。用最少的付出獲取最大收益是這些“生意人”所追求的。

與此同時，勒索軟體也在與網路釣魚和社會工程協同合作，2018年這兩大方面的進一步融合。同樣有趣的是，加密貨幣價值正在影響勒索軟體的增長。

3.區塊鏈安全

說到區塊鏈，就繞不開數字貨幣的問題，而談到數字貨幣，就無法回避數字貨幣的安全問題，從以前的幣安受到攻擊，到不久前因為智慧合約漏洞導致的巨額經濟損失，直到今年發生的EOS爆發高危漏洞，無一不證明著區塊鏈和數字貨幣安全的問題，絕不是像表面看起來那麼簡單。

近三年來，交易所被盜的損失大概是8.64億美元，一些很著名的交易所都發生過盜竊，盜竊情況越來越猖獗。2016年為1.48億美元，2017年為2.96億美元，2018年才過去一半已達5億美元，超過了前兩年的總和。

攻擊方法也從Botnet、DDoS逐漸向挖礦轉移。UCloud通過安全產品共捕獲到了ddg20xx木馬，而這些木馬控制的三個錢包已經合計挖礦90萬到150萬美元。UCloud目前已經捕捉了30多種類似的樣本，而像星巴克Wifi挖礦，軟體中捆綁挖礦代碼、南方週刊官網挖礦這些熱門攻擊事件說明，以往複雜的攻擊方式變得更加簡單，新的變現方式，更加容易變現，駭客的門檻也顯著降低，而原本由彈窗和廣告構成的PC端惡意軟體，也加入了挖礦產業。這種情況的發生，與數位貨幣火熱關係重大，數位貨幣高回報、匿名性、不可溯源的特性，實際上為駭客提供了一個很好的變現途徑。

4.機器學習

機器學習是一個因人而異的時髦的口號，在未來的幾年我們都希望能看到對於這種能力更清晰的發展思路。機器學習的目標應該是解放人類，提高在資訊海洋中處理、理解和行動力、安全技術持續發展意味著我們會看到更好品質更高的資料結果。處理能力的提高和更為智慧化的反應也成為了可能。

近年來，機器學習因其自主執行特定任務及訓練設備的特質，已被視為當前最有前途的網路安全工具之一。在面對網路威脅的時候，機器學習可主動分析其複雜性，採取有效的對策，與傳統手動修復方式相比，機器學習超高的學習能力和執行效率大幅減輕了安全人員的工作負擔。但機器學習仍有弊端，因為機器學習無自主意識，駭客可入侵機器學習的過程，直接更改設備設定或行為，獲取其完全控制權。

5.AI

隨著人工智慧的發展，安全人員越來越難以分辨攻擊是否由人類發起，自動化入侵過程中的某些技術密集部分，同樣可以為攻擊者帶來較高的投資回報。

研究人員發現，AI能通過其可擴展性引入威脅，例如惡意軟體可在受感染環境中觀察正常業務操作，通過瞭解受感染機器與哪些內部設備通信、使用的協定和通訊埠有哪些等內容，學習所處環境的上下文，免除傳統命令與控制（C2）通道，增加檢測難度。在提供此類攻擊管道的同時，AI還可以學習可能觸發安全解決方案警報的資料傳輸數率，動態調整其資料滲漏的規模和時機以避免檢測。

6.黑灰色產業鏈

有人的地方就有江湖，黑灰產則是網際網路江湖水最渾的領域，而黑灰產內部為了利益也是不斷亂鬥，其中不擇手段之處更甚於正規商業江湖。

相對早期駭客的單打獨鬥，如今網際網路黑色產業更像一個航母戰鬥群，各種外部資源如手機號、郵箱號、IP 資源、過驗證碼服務，都已經形成規模化平臺。這讓駭客只要專注最核心的技術實現，就可以快速整合資源對各公司造成危害。

駭客利用病毒木馬非法盜取或者通過機構洩密人員購買他人身份證號、手機號、遊戲帳號、郵箱、家庭住址等私人資訊，以及被盜者家庭成員的上述隱私，甚至包括所養寵物的資訊，然後進行非法販賣。資訊洩露連續五年創歷史記錄，且不分行業與領域。而隨著網路世界向數位世界的演化，資訊洩露將成為全球科技始終無法避免的“自然災害”。

7.立法

漏洞披露、個人隱私、資料安全、關鍵基礎設施保護、經濟博弈、網路犯罪、國家安全，是制定政策法規的關鍵字和重要背景。網路安全已經得到全球各國政府的實際重視，並成為支撐自身發展，與他國進行政治、軍事、經濟博弈的關鍵因素之一。

2018年政府在網際網路上發揮著重要作用。隨著網路強國戰略逐步實施推進，多部網路安全法律法規及政策檔的出臺實施，將有力推進我國網際網路安全管理水準，提升網路安全影響力，保障廣大人民享受健康清朗的網際網路應用環境，共同維護繁榮、健康、有序的網路文化環境。

8.漏洞

漏洞受到業界的極大重視並成為重要戰略資源。這種重視反而限制了漏洞公佈的速度和數量，許多相關的破解活動和賽事陷入低潮。與此同時，如何減少漏洞的產生以及如何進行客觀的價值評價，成為各方面的關注重點。

以前漏洞大部分都是APT團夥在使用，但隨著經濟利益的驅使，挖礦和勒索病毒也開始使用漏洞，而且使用漏洞的種類開始增加，這就導致很多受害者，並沒有下載運行可疑程式也有可能中毒。尤其是伺服器，運行了很多web服務、資料庫服務、開源CMS等服務，這些服務經常會出現漏洞，如果伺服器沒有及時更新補丁，就會被攻擊者通過漏洞植入病毒，而且很多公司的外網伺服器和內網是連通的，一旦伺服器中毒，就可能導致局域網很多機器中毒。

2018安全事件概述

網路安全攻擊事件：

國內

2月 上海某公立醫院HIS系統被黑，勒索2億“乙太幣”

3月 湖北某醫院內網遭到挖礦病毒瘋狂攻擊

3月 中國某軍工企業被美、俄兩國駭客攻擊

3月 駭客利用思科高危漏洞攻擊國內多家機構

6月 A站受駭客攻擊 近千萬條使用者資料外泄

7月 “疫苗門”後，長生生物官網被駭客攻擊

8月 臺灣半導體巨頭台積電突遭勒索病毒入侵損失慘重

12月 “驅動人生”木馬爆發

國際

1月 韓國平昌冬奧會遭駭客魚叉式網路釣魚攻擊

1月 東京交易所Coincheck價值5.3億美元的加密貨幣NEM被駭客竊取

2月 加密貨幣採礦軟體攻擊致歐洲廢水處理設施癱瘓

3月 GitHub遭受有史以來最嚴重DDoS攻擊

4月 納斯達克資料中心被聲音“攻擊”，北歐交易全線中斷

5月 惡意軟體VPNFilter影響範圍覆蓋全球54個國家，超過50萬台路由器和網路設備。

7月 一夥網路犯罪通過劫持40名受害者的手機SIM卡，共竊取了總額超過500萬美元的加密貨幣。

8月 微軟發現新一輪俄羅斯駭客攻擊，美國中期選舉或受影響

12月 NASA伺服器遭駭客攻擊

資料洩露事件

國內

5月 國內駭客成功入侵快遞公司後臺:盜近億客戶資訊

6月 A站受駭客攻擊 近千萬條使用者資料外泄

6月 圓通10億條快遞數據在暗網上兜售

8月 浙江省1000萬學籍數據在暗網被售賣

8月 華住旗下酒店5億條資訊洩露

9月 順豐疑似洩露3億條物流資料

10月 國泰航空940萬乘客敏感資訊外泄。

12月 陌陌數據外泄

12月 “春節搶票”導致資訊洩露

國際

1月 美國國土安全部洩露24萬公民敏感資訊

1月 印度國家資料庫 Aadhaar中11億印度公民資訊遭洩露

3月 安德瑪運動品牌1.5億使用者資料洩露

3月 Facebook超過5000萬名使用者資料遭“劍橋分析”公司非法用來發送政治廣告

4月 美國最大麵包連鎖店Panerabread旗下網站洩露顧客記錄3700萬條

6月 DNA檢測公司MyHeritage洩露9200萬帳戶

6月 Google Firebase平臺2,271個資料庫可公開訪問，這些資料庫中包括了1億多條敏感資訊記錄

9月 瑞士資料管理公司洩露4.45億條使用者資料

9月 MongoDB資料庫近1100萬郵件詳細資訊洩露

10月 在美國2018年中期選舉之前，暗網上出售20個州的選民資料，數量達到8000萬之多

12月 萬豪酒店5億客戶資料洩露

12月 Facebook洩露680萬用戶私密照片

其他重大安全事件概述：

1月 英特爾處理器曝“Meltdown”和“Spectre漏洞”

2月 蘋果IOS iBoot源碼洩露

5月 區塊鏈平臺EOS現史詩級系列高危安全性漏洞

5月 Git曝任意代碼執行漏洞

7月 微信支付SDK曝XXE漏洞，攻擊者可免費獲取商品

9月 惡意軟體XBash曝光，針對Linux及Windows系統

9月 新型僵屍勒索軟體Virobot通過微軟Outlook廣泛傳播

12月 “微信支付”勒索病毒曝光，10萬多台電腦被感染

網路安全防範建議

隨著人工智慧、雲計算、物聯網、大數據、移動網路和區塊鏈等技術越來越廣泛的應用和融合發展，新技術應用在帶來新一輪的產業變革的同時，全球性的網路安全威脅和新型網路犯罪也變得日益猖獗，重大網路安全事故頻發，網路安全形勢越發嚴峻。下面是就網路安全提出的幾點防範建議：

1. 防止洩露敏感性資料

無論是商業記錄還是個人納稅申報表，加密最敏感的資料都是個好主意。加密可確保只有您或您提供密碼的人才能訪問您的檔。

2. 保護所有被攻擊面

向虛擬和雲環境遷移帶來的明確業務利益意味著混合網路正逐漸成為標準。如果希望有效確保Office 365等基於雲或SaaS的應用程式，必須採用專用于混合網路集中管理的綜合解決方案。

3. 提高用戶安全意識

用戶行為可以成為最大的弱點。只有通過執行、監控和用戶教育的相互結合，才能確保良好的安全性，特別是應對網路釣魚、魚叉式網路釣魚、註冊近似功能變數名稱和社會工程等威脅。

4. 不要忘記遠端連接管理

移動革命可以推動生產力、協作和創新，但由於經常通過個人設備進行連接，很多工作會處於網路邊界以外。如果沒有進行適當保護，將會對安全性造成巨大的潛在缺口。

5. 維護要求

軟體維護不是迷人的，但沒有它，你可能會暴露自己主要的安全性漏洞。 使用移動設備和許多PC，你可以設置和忘記對移動應用程式的自動更新。 與你連接的東西，閱讀用戶手冊，以確保自己知道如何檢查更新。

6. 學會發現潛在威脅

基礎設施可能包含很多潛在威脅。電子郵件收件箱裡充滿了等待點擊的惡意附件和連結。同樣，必須定期對本地和雲端的所有應用程式進行掃描和打補丁，以杜絕漏洞。

7. 新攻擊防禦技術部署

隨著當今威脅趨勢的不斷演化，開始出現成熟且具有目標性的零時差攻擊。為了阻止這些攻擊，需要通過沙箱分析和訪問最新的全球威脅情報獲得先進的動態保護。

8. 使用可靠的備份解決方案

一個簡單可靠的備份系統可以説明你在幾分鐘或幾小時內從多個攻擊中恢復。當由於惡意軟體導致資料損壞、加密或被竊時，只需從備份中進行恢復，即可讓業務重新回到正常軌道。

從網路攻擊、惡意軟體到資料洩露，網路安全形勢日益嚴峻，變化越來越快。無論是個人消費者，還是企業，都應當重視網路安全發展，注意網路安全態勢。未來我們即將迎來一個萬物互聯的時代，網路安全不僅單單影響網際網路的穩定，也關係到資料，業務，財產乃至國家安全，只有走在威脅的前面，才能有效及時得防止威脅。鑒於當前全球安全態勢的性質，我們需要思考自身當前安全性原則，樹立新時代的網路安全觀，與時俱進，才能夠應對當下乃至未來更嚴峻的網路安全威脅。

（本報告來源於江民赤豹網路安全實驗室）

Bye!