12月3日,中国信通院发布了与微步在线共同编制的《2020年网络安全威胁信息研究报告(2021年)》。该报告从定义内涵、应用价值、标准化进展、政策和产业支撑等多个方面阐述了网络安全威胁信息的概念和发展现状。结合2020年全球网络安全威胁信息,从网络环境安全现状、常见网络攻击手法、受攻击行业和地域分布、国内较严重网络威胁及攻击事件等多维度系统性分析了2020年国内外网络安全形势。阶段性梳理了网络安全威胁信息在国内重点行业的典型应用案例。
报告提到,从全球范围来看,2020 年攻击者的重要攻击对象未产生较大变化,邮件、云服务、VPN、移动设备、IOT 设备仍然是受害重灾区;攻击手段上,钓鱼、勒索软件、供应链攻击、漏洞和社会工程学等仍然是攻击者的主流选择。从国内受攻击情况看,大多时攻击来自于国内攻击者,威胁集中表现为设备被利用于挖矿,反映出目前国内黑客黑产攻击者的主要目的是获得经济利益。
着眼国内,在2020年,大金融行业仍然是黑客黑产组织攻击欲望最高的对象,金融、银行、支付三项总和在观察到的受攻击网络环境总数中占比382%,此外,政府与公安受攻击占比17.7%,科技类公司受攻击占比16.7%,能源、信息中心、交通、医疗、教育等行业也受到不同程度的网络攻击。
从行业属性来看,金融、能源、科技、医疗等是全球范围内受攻击较多的行业,国外的制造业、零售业和高端服务业(如酒店等)受攻击情况也较为严重。相比之下,国内这三个行业尚未受到较多攻击,但随着我国IT信息化水平的提高,各行业上云工作持续推进,制造业、零售业、高端服务业等目前尚处于攻击低频状态的行业将面临更加严峻的网络安全环境。此外、政府、传媒、信息中心、交通、教育等行业和领域的网络攻击情况也值得关注。
在2020年国内各类高级网络威胁中,从综合危害程度的维度,僵尸网络、木马、蠕虫、远控/后门等仍然是影响较大的高级威胁。挖矿、勒索、数据窃取、资源消耗、远程控制是其造成的主要危害。在抽样调查中,排行前三位的Nitol僵户网络、CoinMiner挖矿木马和XMRCoinMiner挖矿木马感染了1/3的网络环境,Bladabindi后门虽然感染的网络环境较少,却是目前监测环境中命中次数最多的高级威胁,总命中数达到8.8亿次。
从应急响应的维度分析,在2020年全部应急响应案例中,16.7%的应急响应需求来自攻击者的攻击,13.3%由挖矿导致,约10%的威胁来源于国内的黑客/黑产团伙,勒索类应急响应占10%,病毒蠕虫。远控后门、RootkivBootkit病毒、Web攻击、钓鱼、BEC、DDoS等威胁亦有发生。
从国内地域层面来看,2020年失陷主机最多的五个省份分别为江苏、浙江、安徽、广东和台湾,分别为149,899台、123,690台。82,756台、81614台和44440台,失陷主机最多的五个城市分别是苏州、杭州、湖州、深圳和泰州。
国内失陷主机分布最多的长三角、珠三角辐射地区,是我国经济相对发达的区域,也是整体信息化水平较高的区域。然而失陷主机最多的5个城市中无一为省会城市,且仅深圳一座一线城市,北京、上海和广州并未上榜,这可能与一线城市和省会城市的网络安全防护措施相对完善有关。
报告提出,在江苏、浙江、安徽、广东等经济发展较快、网络安全水平未及时跟上的行政区块中,应当继续贯彻落实等保20、《关基条例》等剧度,因地制宜进行网络安全相关政策法规的推动落实,把先进的网络安全技术、产品、解决方案和服务下沉覆盖,除了每年定期的攻防演练外,还需定期清查主机失陷情况,排除网络环境中的已有威胁。