日前,绿盟科技发布《2017上半年网络安全观察报告》,报告从攻击源、安全漏洞、DDOS、网站安全、勒索事件、威胁热点等多角度描述网络安全现状和发展趋势,帮助机构和企业了解网络安全动态、以便采取相应防御措施。
绿盟科技威胁情报中心的监测数据表明,全球60%的恶意IP集中在GDP排名前十的国家中,其中以美国、中国、印度、日本为恶意IP占比最高的四个国家;另一方面,恶意IP地址占比(即恶意IP数和该国家总IP地址数的比例)和国家人均GDP展现出相当明显的线性关系,也即发达国家的互联网环境比发展中国家更为安全。和犯罪率类似,恶意IP率将会成为一个国家、地区、运营商重要的治理和运营指标。
攻击源主要集中在全球GDP TOP10国家
2017年上半年,绿盟科技威胁情报中心监控的数据显示,全球60%的恶意IP集中在GDP排名前十的国家中,其中以美国、中国、印度、日本为恶意IP占比最高的四个国家。
漏洞数量最多的是权限、特权与访问控制类漏洞(CWE-264)
2017年上半年,从总体数量来看,权限、特权与访问控制类漏洞(CWE-264)数量最多,主要以中、高危漏洞组成。其次是缓冲区溢出类漏洞(CWE-119),该部分漏洞中,高危漏洞占比超过55.7%。此外XSS漏洞(CWE-79)、CSRF漏洞(CWE-352)、SQL注入漏洞(CWE-89)、路径遍历漏洞(CWE-22)、密码学安全问题(CWE-310)也是今年漏洞数量最为集中的类别。
网站安全问题中最常见的仍旧是SQL注入
从绿盟科技对网站安全的的防护监测中,我们得出下述四个关键发现:
- 网站攻击非常活跃
- SQL注入仍是最常见的攻击手段
- Web服务器中,针对老旧漏洞的攻击占据80%以上的攻击次数
- Struts2代码执行漏洞仍居Web框架和应用的漏洞首位
2017年上半年DDoS攻击较去年整体放缓
2017年上半年,我们监控到DDoS攻击约10万次,相比2016年下半年下降30%;攻击总流量约1.6万TBytes,相比2016年下半年下降38.4%,我们认为,这与今年年初开始反射攻击活动减少有关。
2017上半年,中国依然是DDoS攻击受控攻击源最多的国家,发起攻击次数占全部的46.6%,其次是美国和俄罗斯,分别占3.0%和2.0%
勒索攻击升温
网络勒索是2017年上半年最为火热的网络犯罪活动,根据对各种勒索活动的监测和分析,有如下发现:
- 勒索软件数量持续增长,技术能力提升明显
- 勒索软件趋向于利用系统漏洞进行自动传播,针对Mac和Linux的漏洞开始频繁出现
- 勒索软件产业日趋成熟,威胁将长期存在
- DDoS勒索和数据库勒索频繁出现,或将成为新的热点
针对2017年上半年出现的勒索软件进行技术分析,我们发现:
- 为逃避检测,曾经流行过的勒索软件正在不断升级,以变种的新形式出现在网络中;开源勒索软件的出现使得勒索软件开发变得更加容易
- 勒索软件编写质量和加密机制日趋成熟,软件存在设计上的缺陷明显减少,被破解解密的可能性变得越来越小
- 从软件逆向分析结果上看,有的恶意软件根本不具备解密能力,即使受害者按照要求支付了赎金也无法解密数据。这类软件往往伪装成勒索软件,实际上却擦除或者不可逆的破坏了用户的文件,而且还可能开出一个高得离谱的赎金来恐吓受害者
攻守之势 生死循环
万物互联之下,已经没有可以独善其身的安全孤岛,只有相对安全和不安全的各种子生态。防御方可以接受某种程度上的渗透和泄露,只需要把风险控制于可接受水平之下,避免出现破窗效应,否则任何安全措施的效果都会大打折扣,进入“死环”。防御方必须利用各种因素使己方的漏洞、漏洞的利用、被利用后的踪迹处于可视、收敛和受控状态,如此防御方处于“生环”状态,安全态势逐渐向好的方向发展。信任体系、安全策略和实践、产品设计都应该评估并考虑目标系统所处的生态的安全水平。
威胁情报,就像名字所传递的意味,可以帮助管理层和运营团队判断所处态势、掌握威胁方动向、动态调整策略、架构、行动计划。更多内容,请见文末报告下载。
绿盟科技威胁情报中心NTI
绿盟科技威胁情报中心(NTI)定位于绿盟科技智慧安全战略的安全数据中枢,是绿盟科技依托自身在安全研究、安全产品、安全平台、安全服务的长期积累,以及威胁情报应用实践,构建的集情报生产、消费、服务于一体的综合性威胁情报服务中心。NTI聚焦威胁情报在提升安全能力方面的核心价值,以高质量的威胁情报为核心,通过数据共享、设备联动、服务定制等形式,为企业客户提供威胁情报驱动的安全解决方案,全面提升客户在安全响应和安全对抗中的主动性、及时性和有效性。
《2017上半年网络安全观察报告》下载: