95015网络安全应急响应分析报告（2023）.docx

%flDo奇安信95015网络安全应急响应分析报告(2023)THEREPORTCwWWWW发布机构：,乡'奇安僖安眼团队主要观点2023年，奇安信集团安服团队共接到应急服务需求853起。政府部门、制造业和金融机构的业务专网是2023年攻击者攻击的主要目标。令严重缺乏最基本的网络安全基础设施建设，缺乏最基本的网络安全运营能力，是当前国内绝大多数政企机构的通病。一方面，弱口令、永恒之蓝等基础漏洞仍然普遍存在，高危端口大量暴露；另一方面，仅有13.6%的政企机构能够通过安全巡检提前发现问题，避免损失，而绝大多数政企机构只能在重大损失发生之后，或被第三方机构通报后才能发现安全问题。令2023年，攻击者攻击目标仍以业务专网为主，然而办公终端问题也不容小觑。与去年相比，服务器受感染台数较去年减少2535台，办公终端受感染台数较去年增加12375台。受影响终端数量的明显增加，预示着不仅是服务器安全问题，日益凸显的终端安全问题也需要引起我们的关注。安全意识问题已经成为制约政企机构安全生产的根本性问题：由内部人员违规操作触发的应急响应事件约占2023年95015服务平台接报事件总量的五分之一；近三成的应急事件与弱口令有关；员工被黑客钓鱼、私自下载带毒软件、滥用U盘导致系统瘫痪、乱开端口感染勒索病毒等由安全意识不足引发的应急事件层出不穷。由此可见，大中型政企机构加大力度提升内部员工网络安全防范意识迫在眉睫。令2023年接收的安全事件中有小部分来自政企机构内部实战攻防演习活动，通过实际的攻击模拟和防御演练，企业可以更好地发现和识别可能存在的安全漏洞，能够尽早发现并修复潜在的威胁，防止实际攻击的发生，减少潜在的损失。Q2023年，95015服务平台共接到全国政企机构网络安全应急事件报告853起。奇安信安服团队累计投入工时6654.0小时处置相关事件，折合831.8人天，处置一起应急事件平均用时7.8小时。令从行业分布来看，2023年，95015服务平台接报的网络安全应急响应事件中，政府部门报告的事件最多，为158起；其次是制造业107起；金融机构排第三，为96起。此外，医疗卫生、事业单位、IT信息技术等行业也是网络安全应急响应事件高发行业。令49.0%的政企机构，是在系统已经出现了非常明显的入侵迹象后，拨打的95015网络安全服务热线；33.1%的政企机构，是在被攻击者勒索之后进行的报案求助。而真正能够通过安全运营巡检，提前发现问题的仅占比13.6%o令从网络安全事件的影响范围来看，68.3%的事件主要影响业务专网，而主要影响办公网的事件占比31.7%o从受影响的设备数量来看，失陷服务器为11745台，失陷办公终端为17787台。业务专网、办公终端是网络攻击者攻击的主要目标。令从网络安全事件造成的损失来看，造成生产效率低下的事件352起，占比41.3%；造成数据丢失的事件198起，占比23.2%；造成数据泄露的事件89起，占比10.4%；此外，造成声誉影响的事件47起，造成数据被篡改的事件36起。内部人员为了方便工作等原因进行违规操作，进而触发应急响应的网络安全事件多达186起。这一数量仅次于黑产活动（207起）、超过了以窃取重要数据（173起）和敲诈勒索（170起）等为目的的外部网络攻击事件的数量。令以漏洞利用为主要手段的网络攻击最为常见，占比38.4%；其次是恶意程序，占比29.8%；钓鱼邮件排第三，占比7.8%o网页篡改、网络监听攻击、Web应用CC攻击等也比较常见。还有约18.8%的安全事件，并非网络攻击事件。应急事件分析显示，勒索病毒、挖矿木马、网站木马是攻击者使用最多的恶意程序类型，分别占到恶意程序攻击事件的21.8%、9.7%和6.0%。此外，蠕虫病毒、DDOS木马、永恒之蓝下载器木马、APT专用木马等也都是经常出现的恶意程序类型。令在应急响应事件处置的勒索软件中，排名第一的是Phobos勒索软件，全年触发大中型政企机构网络安全应急响应事件30次；其次是1.ockBit勒索软件15次，Makop勒索软件15次。这些流行的勒索病毒，十分值得警惕。弱口令是攻击者在2023年利用最多的网络安全漏洞，相关应急事件多达231起，占比27.1%。其次是永恒之蓝漏洞，相关利用事件为162起，占比19.0%o关键词：95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用目录第一章网络安全应急响应形势综述1第二章应急响应事件受害者分析2一、行业分布2二、事件发现2三、 影响范围3四、 事件损失4第三章应急响应事件攻击者分析5一、 攻击意图5二、 攻击手段6三、 恶意程序6四、 漏洞利用7第四章应急响应典型案例分析9一、 某企业数据库遭Mallox病毒勒索9二、 某单位官网存在安全漏洞被挂黑链10三、 某地运营商用户路由器被插件劫持11四、 某企业感染WatchDogs挖矿病毒12五、 某企业使用盗版激活工具感染蠕虫13六、 某单位装驱动服务器感染U盘病毒14七、 某单位财务主管遭微信钓鱼被远控16八、 某企业域名管理权限在暗网被倒卖17附录195015网络安全服务热线19附录2奇安信集团安服团队20附录3网络安全应急响应图书推荐21第一章网络安全应急响应形势综述2023年112月95015服务平台共接到全国范围内网络安全应急响应事件报告853起，奇安信安服团队第一时间协助政企机构处置安全事故，确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。综合统计数据显示，在全年853起网络安全应急响应事件的处置中，奇安信安服团队累计投入工时为6654.0小时，折合831.8人天，处置一起应急事件平均用时7.8小时。其中，1月份，因春节假期期间，应急响应处理量略有减少；8月，因全国多地举行网络安全实战攻防演习活动，应急响应处理量大幅增加。95015平台网络安全应急响应服务年度数据变化趋势第二草应急响应事件受害者分析本章将从网络安全应急响应事件受害者的视角出发，从行业分布、事件发现方式、影响范围、以及攻击行为造成的影响等几个方面，对95015服务平台全年接报的853起网络安全应急响应事件展开分析。一、行业分布从行业分布来看，2023年，95015服务平台接报的网络安全应急响应事件中，政府部门报告的事件最多，为158起，占比18.5%；其次是制造业，为107起，占比12.5%；金融机构排第三，为96起，占比11.3%o此外，医疗卫生、事业单位、IT信息技术等行业也是网络安全应急响应事件高发行业。下图给出了不同行业网络安全应急响应事件报案数量的TOPlO排行。180160140120100806040200数据来源：95015服务平台统计周期：2023年全年,Jf*v奇安Ig不同行业网络安全应急响应事件报案数量排行TOPl015810783Iii政府制造业金融医疗事业IT信息部门卫生单位技术二、事件发现从安全事件的发现方式来看，49.0%的政企机构，是在系统已经出现了非常明显的入侵迹象后，拨打的95015网络安全服务热线；33.1%的政企机构，是在被攻击者勒索之后进行的报案求助。这二者之和为82.1%。也就是说，超过八成的大中型政企机构是在系统已经遭到了巨大损失，甚至是不可逆的破坏后，才向专业机构进行求助。而真正能够通过安全运营巡检，在损失发生之前及时发现问题并呼救，避免损失发生的政企机构，占比就仅为13.6%。此外，还有约4.3%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应。这些机构不仅严重缺乏有效的网络安全运营，也严重缺乏必要的威胁情报能力支撑，致使自己的主管单位或监管机构总是先于自己，发现自身的安全问题或被攻击的现象。其中，某些通报可能还会使相关单位面临法律责任及行政处罚。这些被通报的政企机构都是潜在的定时炸弹，随时都有可能爆发。网络安全应急响应事件的发现方式监管机构及第三方平台通报主管单位通报安全运营巡检13.6%数据来源：95015服务平台统计周期：2023年全年即、奇安信三、影响范围网络安全事件往往会对IT及业务系统产生重大的影响。在2023年95015服务平台接报处置的网络安全应急响应事件中，68.3%的事件主要影响的是业务专网，而主要影响办公网的事件占比31.7%o从受网络安全事件影响的设备数量来看，失陷服务器为11745台，失陷办公终端为17787台。2023年大中型政企机构遭受网络攻击事件的影响范围如下图所示。大中型政企机构遭受攻击影响范围分布受影响区域分布数据来源：95015服务平台统计周期：2023年全年奇安信在本报告中，办公网是指企业员工使用的台式机、笔记本电脑、打印机等设备组成基本办公网络，而业务专网泛指机构整体运行与对外支撑所需要的各种网络系统。从影响范围和受影响设备数量可以看出，大中型政企机构的业务专网、办公终端是网络攻击者攻击的主要目标。大中型政企机构在对业务专网进行安全防护建设的同时，还应提高内部人员安全防范意识，加强对内网中办公终端、重要服务器的安全防护保障和数据安全管理。四、事件损失网络安全事件通常都会引起政企机构不同程度、不同类型的损失。应急处置现场情况分析显示，在95015服务平台全年接报的853起报案中，有352起事件，造成了相关机构的生产效率低下，占比41.3%,是排名第一的损失类型：其次是造成数据丢失的事件有198起，占比23.2%,排名第二；造成数据泄露的事件89起，占比10.4%,排名第三；此外，造成政企机构声誉影响的事件47起，造成数据被篡改的事件36起，造成其他损失的事件131起。造成不同类型损失的网络安全应急响应事件数量分布特别说明，在上述统计中，同一事件只计算一次，我们只统计每起事件造成的最主要的损失类型。造成生产效率低下的主要原因是挖矿、蠕虫、木马等攻击手段使服务器CPU占用率过高，造成生产效率降低。也有部分企业是因为勒索病毒攻击造成了部分生产系统停产。造成数据丢失的原因是多方面的，其中，因勒索病毒加密而导致数据无法恢复是首要原因。造成数据泄露的主要原因是黑客的入侵和内部人员的泄密。第三章应急响应事件攻击者分析本章将从网络安全应急响应事件攻击者的视角出发，从攻击意图、攻击类型、恶意程序和漏洞利用等几个方面，对95015服务平台全年接报的853起网络安全应急响应事件展开分析。一、攻击意图攻击者是出于何种目的发起的网络攻击呢？应急人员在对网络安全事件进行溯源分析过程中发现，2023年，内部人员为了方便工作等原因进行违规操作，进而导致系统出现故障或被入侵，触发应急响应的网络安全事件多达186起。这一数量仅次于黑产活动（207起）、超过了窃取重要数据（173起）和敲诈勒索（170起）等为目的的外部网络攻击事件的数量。网络安全应急响应事件中的攻击者意图溯源分析在这里，黑产活动以境内团伙为主，主要是指通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。在186起内部违规事件中，内部人员为了方便工作或出于其他原因将内部业务端口映射至外网的违规操作需要引起大中型企业的重视。以窃取重要数据为目的的攻击，一般分为两种：一种是民间黑客非法入侵政企机构内部系统盗取敏感、重要数据，如个人信息、账号密码等；另一种则是商业间谍活动或APT活动。从实际情况来看，第一种情况更为普遍，第二种情