1月17日, 安恒資訊聯合中科院計算所和賽迪, 發佈了三方共同策劃編纂的《2017年度網路空間安全報告》。
報告發佈
據安恒資訊副總裁楊勃介紹, 這已是安恒連續第三年發佈網路空間安全報告。 通過對網路安全態勢和典型攻擊行為的多維度分析, 該報告旨在幫助安全從業者更新對安全態勢, 以及大資料安全分析等新技術的認知, 以應對日趨複雜的網路安全威脅。
那麼, 這次的年度安全報告又有哪些重量級內容?
1. 利用大資料分析技術打擊涉眾風險型網路經濟犯罪
涉眾風險型經濟犯罪是指非法吸收公眾存款、集資詐騙、傳銷、非法銷售未上市公司股票等犯罪活動。 此類犯罪具有涉及地域廣、涉案人數多(老年人和大學生的參與正逐漸增多, 無業閒散人員占大比例)、涉案資金金額巨大(“善心匯”案件涉案金額達22億元)等特徵, 嚴重擾亂互聯網金融市場秩序, 嚴重損害了社會公眾利益, 極易造成行業性甚至區域性風險。
近年來, 傳統的犯罪活動日漸趨向於網路化。 而傳統的犯罪活動尤其是經濟犯罪活動一旦披上了網路化的外衣, 往往存在發展速度極快、作案手法隱蔽性強, 作案範圍跨區域、跨境化的特點。
此次在報告中新加入的涉網涉眾風險型網路經濟犯罪, 就以網路傳銷為例, 列舉了高新科技、商品加盟、消費返利、虛擬貨幣、理財眾籌、金融互助等常見犯罪模式, 並提出“基於涉傳目標的典型特點進行資料建模, 充分利用大資料、機器學習等技術, 通過對涉傳目標的多維度自動化研判, 深度挖掘藏於互聯網中的涉傳目標”的思路, 以及對網路經濟犯罪“打早打小”的處置方針。
但是目前, 國內在利用大資料分析技術輔助犯罪調查方面的研究還處於起步階段, 只有很少量的公司投入零星的資源, 且少有成功案例。 除了資源投入嚴重不足的原因以外, 業界“重視工具平臺, 輕視資料利用思路, 缺少行業用戶與廠商之間深入溝通合作”的認識誤區也是一個主要原因。
2017年3月, 由安恒自主研發“風險型經濟犯罪互聯網監測研判平臺”正式上線試運行。 結合互聯網、協力廠商和公安內網資料, 對情報線索進行自動化收集、篩選, 並基於涉案網站的特點對目標系統進行初步和二次研判。 經多次研判以及線索分類後, 協助相關部門進行核查打擊。
據悉, 該平臺在今年配合公安搗毀了一個從上線到偵破歷時僅5個月的網路傳銷犯罪團夥, 抓獲犯罪嫌疑人9人, 涉案金額達6000余萬元。
2. Web應用安全:威脅已延伸到區縣和鄉鎮級
安恒是國內最早提供Web應用安全防護的廠商, 這部分技術也一直是安恒的強項。 根據安恒風暴中心對全國重要網站的安全監測資料, 2017年駭客對Web伺服器發起攻擊主要手段,更多的是通過SQL注入、協議違規、跨站腳本等方式進行精確攻擊;缺失報頭、掃描工具等無腦攻擊越來越少。而在所有攻擊行為中,使用自動化工具(包括掃描、應用層CC攻擊、惡意user-agent)的,僅占到攻擊總數的9%。
從行業角度來看,攻擊目標較為集中的是教育行業和政府,分別為43%和30%。
教育行業因其網站多、分佈廣、建設分散、缺乏管理等特點,通常被攻擊者用來獲取敏感資訊、掛暗鏈(在原始程式碼中植入非法連結)/黑頁(被上傳非法頁面),且在2017年子功能變數名稱受攻擊比重遠大於主功能變數名稱。而政府網站,則更多的是出於政治目的。
報告歸納了全國重要網站的4個基礎安全問題:
(注:抽樣針對教育和政務網站)
無人監管的僵屍網站增大被黑概率僵屍網站,指的是因內容長期未更新或無人維護,已經無法對外提供有價值服務的的網站。此類網站多發生於多級功能變數名稱,並使用老舊的IIS伺服器。
DNS劫持成為攻擊常態通過DNS劫持,修改功能變數名稱的解析結果,可以實現對特定網址的訪問禁止或訪問虛假網站。以政府網站為例,風暴中心檢測到有3093個國內的政務網站主功能變數名稱被解析到海外,涉及46個國家,尤其以美國數量較多,遠超之後的日本、印尼等國家。同時可以看到,電子政務發展較快的東部沿海地區,DNS劫持現象較為普遍。
除此以外,通過對問題網站whois資訊的統計分析發現,以聚名網為代表,搶注和私自註冊政府功能變數名稱,並跳轉到博彩頁面的問題,也較為嚴重。
傀儡機被作為DDoS攻擊發起工具風暴中心在2017年對捕捉到的惡意IP進行反查分析時發現,有1117個IP作為DDoS攻擊介質,對外提供Web服務,攻擊物件多為政府、教育類網站。
政府網站“一標兩備”資訊缺失2017年5月的《政府網站發展指引》要求政府單位開辦網站前需提交加掛黨政機關網上標識,以及ICP備案和公安網備案的申請,但大量網站存在逃避監管、非法部署,沒有任何備案資訊。據風暴中心統計,截止到2017年12月,仍有1203個網站未進行ICP備案,占整體網站的1.83%;而公安備案率僅為13.40%,56867個網站公安未備案。
安全事件方面,根據風暴中心向監管單位報送的安全事件中,報告將安全事件的特點抽象概括為下面三類:
以宣傳政治色彩為目的的“反共”事件駭客通過網站漏洞、預先植入後門等手段,控制網站伺服器,繼而持續篡改中國境內政府和重要資訊系統部門、企事業單位網站,發佈反動言論。攻擊成功後,受影響網站頁面會被貼上極具政治煽動性和攻擊性的標語,同時攻擊者會在穀歌地圖標記被攻陷網站的名稱和事件,通過網路媒介展示和傳播以擴大影響。
2017年1月份以來,風暴中心已發現118起反共駭客入侵事件,並呈現“後臺管理等業務管理系統漏洞多”、“越來越多的教育系統受駭客攻擊”、“未備案網站更受駭客青睞”等特點。
黑灰產為幕後推手的黑帽SEO事件通過違反搜尋引擎品質規範的優化方法,提高在檢索中的排名,進行非法牟利,便是黑帽SEO。在中國龐大的線民規模上,流量成為了黑帽SEO最覬覦的目標,並已成為黑灰產滲透各行業網站的主要斂財手段。
2017年,風暴中心共上報了1080起相關入侵事件。目前,黑帽SEO入侵的主要手段是黑頁和暗鏈,但由於暗鏈隱蔽性較差,所以駭客越來越傾向於選擇植入黑頁的方式。在受影響範圍方面,政務網站中的政府門戶網站較為嚴重,有159個網站受到波及。而在被黑人民政府官網中,受影響最大的,已達到區縣和鄉鎮級。除此以外,報社、廣播電視臺、新聞類網站,以及重點企業,都受到影響。
仿冒政務網站除了金融、電子商務類網站,政務網站以受到釣魚威脅的青睞。通過仿冒政務網站,攻擊者可以實現後門植入、傳播木馬等攻擊行為,並獲取敏感資訊。
3. 大資料分析技術:與資訊安全的結合與實踐
近年來,大資料分析技術與安全的結合,已經誕生了許多優秀應用。通過將大資料分析技術引入安全領域,我們可以更好地解決海量異構資料的採集、存儲,並借助深度學習和資料採擷演算法,更加主動、彈性地應對複雜多變的網路安全威脅,並形成全域化的態勢感知能力。
報告中,介紹了安恒AiLPHA大資料智慧安全平臺在APT威脅預警與攻擊取證、內網惡意主機和惡意進程檢測、潛伏性資料竊取檢測等方面的實踐,並給出了大資料安全分析平臺的功能架構(如下圖所示):
在大資料安全分析的未來發展趨勢方面,報告認為,未來大資料安全分析將是極為重要的安全技術支撐,大資料分析技術的發展也將持續推動安全分析的情境感知化與智慧化。同時,結合諸如持續學習、預測分析、情境感知和自我調整等技術,我們將有更強的安全威脅檢測和發現能力,更自信地應對複雜多變的威脅態勢。
2017年駭客對Web伺服器發起攻擊主要手段,更多的是通過SQL注入、協議違規、跨站腳本等方式進行精確攻擊;缺失報頭、掃描工具等無腦攻擊越來越少。而在所有攻擊行為中,使用自動化工具(包括掃描、應用層CC攻擊、惡意user-agent)的,僅占到攻擊總數的9%。從行業角度來看,攻擊目標較為集中的是教育行業和政府,分別為43%和30%。
教育行業因其網站多、分佈廣、建設分散、缺乏管理等特點,通常被攻擊者用來獲取敏感資訊、掛暗鏈(在原始程式碼中植入非法連結)/黑頁(被上傳非法頁面),且在2017年子功能變數名稱受攻擊比重遠大於主功能變數名稱。而政府網站,則更多的是出於政治目的。
報告歸納了全國重要網站的4個基礎安全問題:
(注:抽樣針對教育和政務網站)
無人監管的僵屍網站增大被黑概率僵屍網站,指的是因內容長期未更新或無人維護,已經無法對外提供有價值服務的的網站。此類網站多發生於多級功能變數名稱,並使用老舊的IIS伺服器。
DNS劫持成為攻擊常態通過DNS劫持,修改功能變數名稱的解析結果,可以實現對特定網址的訪問禁止或訪問虛假網站。以政府網站為例,風暴中心檢測到有3093個國內的政務網站主功能變數名稱被解析到海外,涉及46個國家,尤其以美國數量較多,遠超之後的日本、印尼等國家。同時可以看到,電子政務發展較快的東部沿海地區,DNS劫持現象較為普遍。
除此以外,通過對問題網站whois資訊的統計分析發現,以聚名網為代表,搶注和私自註冊政府功能變數名稱,並跳轉到博彩頁面的問題,也較為嚴重。
傀儡機被作為DDoS攻擊發起工具風暴中心在2017年對捕捉到的惡意IP進行反查分析時發現,有1117個IP作為DDoS攻擊介質,對外提供Web服務,攻擊物件多為政府、教育類網站。
政府網站“一標兩備”資訊缺失2017年5月的《政府網站發展指引》要求政府單位開辦網站前需提交加掛黨政機關網上標識,以及ICP備案和公安網備案的申請,但大量網站存在逃避監管、非法部署,沒有任何備案資訊。據風暴中心統計,截止到2017年12月,仍有1203個網站未進行ICP備案,占整體網站的1.83%;而公安備案率僅為13.40%,56867個網站公安未備案。
安全事件方面,根據風暴中心向監管單位報送的安全事件中,報告將安全事件的特點抽象概括為下面三類:
以宣傳政治色彩為目的的“反共”事件駭客通過網站漏洞、預先植入後門等手段,控制網站伺服器,繼而持續篡改中國境內政府和重要資訊系統部門、企事業單位網站,發佈反動言論。攻擊成功後,受影響網站頁面會被貼上極具政治煽動性和攻擊性的標語,同時攻擊者會在穀歌地圖標記被攻陷網站的名稱和事件,通過網路媒介展示和傳播以擴大影響。
2017年1月份以來,風暴中心已發現118起反共駭客入侵事件,並呈現“後臺管理等業務管理系統漏洞多”、“越來越多的教育系統受駭客攻擊”、“未備案網站更受駭客青睞”等特點。
黑灰產為幕後推手的黑帽SEO事件通過違反搜尋引擎品質規範的優化方法,提高在檢索中的排名,進行非法牟利,便是黑帽SEO。在中國龐大的線民規模上,流量成為了黑帽SEO最覬覦的目標,並已成為黑灰產滲透各行業網站的主要斂財手段。
2017年,風暴中心共上報了1080起相關入侵事件。目前,黑帽SEO入侵的主要手段是黑頁和暗鏈,但由於暗鏈隱蔽性較差,所以駭客越來越傾向於選擇植入黑頁的方式。在受影響範圍方面,政務網站中的政府門戶網站較為嚴重,有159個網站受到波及。而在被黑人民政府官網中,受影響最大的,已達到區縣和鄉鎮級。除此以外,報社、廣播電視臺、新聞類網站,以及重點企業,都受到影響。
仿冒政務網站除了金融、電子商務類網站,政務網站以受到釣魚威脅的青睞。通過仿冒政務網站,攻擊者可以實現後門植入、傳播木馬等攻擊行為,並獲取敏感資訊。
3. 大資料分析技術:與資訊安全的結合與實踐
近年來,大資料分析技術與安全的結合,已經誕生了許多優秀應用。通過將大資料分析技術引入安全領域,我們可以更好地解決海量異構資料的採集、存儲,並借助深度學習和資料採擷演算法,更加主動、彈性地應對複雜多變的網路安全威脅,並形成全域化的態勢感知能力。
報告中,介紹了安恒AiLPHA大資料智慧安全平臺在APT威脅預警與攻擊取證、內網惡意主機和惡意進程檢測、潛伏性資料竊取檢測等方面的實踐,並給出了大資料安全分析平臺的功能架構(如下圖所示):
在大資料安全分析的未來發展趨勢方面,報告認為,未來大資料安全分析將是極為重要的安全技術支撐,大資料分析技術的發展也將持續推動安全分析的情境感知化與智慧化。同時,結合諸如持續學習、預測分析、情境感知和自我調整等技術,我們將有更強的安全威脅檢測和發現能力,更自信地應對複雜多變的威脅態勢。