CNCERT发布《2019年上半年我国互联网网络安全态势》
以下是该报告全文,敬请阅读。如需下载该报告,请点击结尾处“阅读原文”下载。
一、2019年上半年我国互联网网络安全监测数据分析
国家互联网应急中心(以下简称“CNCERT”)从恶意程序、漏洞隐患、移动互联网安全、网站安全以及云平台安全、工业系统安全、互联网金融安全等方面,对我国互联网网络安全环境开展宏观监测。数据显示,与2018年上半年数据比较,2019年上半年我国境内通用型“零日”漏洞①收录数量,涉及关键信息基础设施的事件型漏洞通报数量,遭篡改、植入后门、仿冒网站数量等有所上升,其他各类监测数据有所降低或基本持平。
(一)恶意程序
1. 计算机恶意程序捕获情况
2. 计算机恶意程序用户感染情况
3. 移动互联网恶意程序
近年来,新型网络诈骗手法层出不穷,随着移动互联网和普惠金融的大力发展,出现了大量以移动端为入口骗取用户个人隐私信息和账户资金的网络诈骗活动。据CNCERT抽样监测,2019年上半年以来,我国以移动互联网为载体的虚假贷款APP或网站达1.5万个,在此类虚假贷款APP或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过90万。大量受害用户在诈骗平台支付了上万元的所谓“担保费”、“手续费”费用,经济利益受到实质损害。
4. 联网智能设备恶意程序
(二)安全漏洞
1. 安全漏洞收录情况
2019年上半年,CNVD继续推进移动互联网、电信行业、工业控制系统和电子政务4类子漏洞库的建设工作,分别新增收录安全漏洞数量384个(占收录数量的6.6%)、323个(占5.5%)、158个(占2.7%)和87个(占1.5%)。
2. 联网智能设备安全漏洞
(三)拒绝服务攻击
CNCERT抽样监测发现,2019年上半年我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击(以下简称“DDoS攻击”)事件数量平均每月约4,300起,同比增长18%,并且仍然是超过60%的DDoS攻击事件为僵尸网络控制发起。在DDoS攻击资源分析方面,2019年上半年,CNCERT发现用于发起DDoS攻击的C&C控制服务器②数量共1,612个,其中位于我国境内的有144个,约占总量的8.9%,同比减少13%,位于境外的控制端数量同比增长超过一倍;总肉鸡③数量约64万个,同比下降10%;反射攻击服务器约617万个,同比下降33%;受攻击目标IP地址数量约5.7万余个,这些攻击目标主要分布在色情、博彩等互联网地下黑产方面以及文化体育和娱乐领域。
(四)网站安全
1. 网页仿冒
2. 网站后门
3. 网页篡改
(五)云平台安全
根据CNCERT监测数据,2019年上半年,发生在我国云平台上的网络安全事件或威胁情况相比2018年进一步加剧。首先,发生在我国主流云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受DDoS攻击次数占境内目标被攻击次数的69.6%、被植入后门链接数量占境内全部被植入后门链接数量的63.1%、被篡改网页数量占境内被篡改网页数量的62.5%。其次,攻击者经常利用我国云平台发起网络攻击,其中利用云平台发起对我国境内目标的DDoS攻击次数占监测发现的DDoS攻击总次数的78.8%、发起对境内目标DDoS攻击的IP地址中来自我国境内云平台的IP地址占72.4%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的71.2%、木马和僵尸网络恶意程序控制端IP地址数量占境内全部恶意程序控制端IP地址数量的84.6%。另外,自2019年以来,CNCERT在持续开展的MongoDB、Elasticsearch等数据库数据泄露风险应急处置过程中,发现存在隐患的数据库搭建在云服务商平台上的数量占比超过40%。云服务商和云用户应加大对网络安全的重视和投入,分工协作提升网络安全防范能力。云服务商应提供基础性的网络安全防护措施并保障云平台安全运行,全面提高云平台的安全性和可控性,全面加强网络安全事件监测和处置能力。云用户对部署在云平台上的系统承担主体责任,需全面落实系统的网络安全防护要求。
(六)工业互联网安全
1. 工业网络产品安全检测情况
2. 联网工业设备和工业云平台暴露情况
3. 重点行业安全情况
(七)互联网金融安全
为实现对我国互联网金融平台网络安全总体态势的宏观监测,CNCERT发挥技术优势,建设了国家互联网金融风险分析技术平台网络安全监测功能,对我国互联网金融相关网站、移动APP等的安全风险进行监测。
1. 互联网金融网站安全情况
2. 互联网金融APP安全情况
二、2019年上半年我国互联网网络安全状况特点
(一)个人信息和重要数据泄露风险严峻
2019年初,在我国境内大量使用的MongoDB、Elasticsearch数据库相继曝出存在严重安全漏洞,可能导致数据泄露风险,凸显了我国数据安全问题严重。CNCERT抽样监测发现,我国境内互联网上用于MongoDB数据库服务的IP地址约2.5万个,其中存在数据泄露风险的IP地址超过3,000个,涉及我国一些重要行业。Elasticsearch数据库也曝出类似安全隐患。经过分析,CNCERT发现这两个数据库均是在默认情况下,无需权限验证即可通过默认端口本地或远程访问数据库并进行任意的增、删、改、查等操作。在数据库启用连接公共互联网前,用户需做好相关安全设置以及数据库访问安全策略,才能有效避免数据泄露风险。
(二)多个高危漏洞曝出给我国网络安全造成严重安全隐患
2019年以来,WinRAR压缩包管理软件、Microsoft远程桌面服务、Oracle WebLogic wls-9-async组件等曝出存在远程代码执行漏洞⑤,给我国网络安全造成严重安全隐患。以Oracle WebLogicwls-9-async组件存在反序列化远程命令执行“零日”漏洞为例,该漏洞容易利用,攻击者利用该漏洞可对目标网站发起植入后门、网页篡改等远程攻击操作,对我国网络安全构成了较为严重的安全隐患。这些基础软件广泛应用在我国基础应用和通用软硬件产品中,若未得到及时修复,容易遭批量利用,造成严重危害。同时,近年来“零日”漏洞收录数量持续走高,在2019年上半年CNVD收录的通用型安全漏洞数量中,“零日”漏洞收录数量占比43.3%,同比增长34.0%,因这些漏洞在披露时尚未发布补丁或相应的应急策略,一旦被恶意利用,将可能产生严重安全威胁。针对安全漏洞可能产生的危害,CNVD持续加强对重大高危漏洞的应急处置协调,2019年上半年通报安全漏洞事件万余起。
(三)针对我国重要网站的DDoS攻击事件高发
正像前期预测,2019年具有特殊目的针对性更强的网络攻击越来越多。2019年上半年,CNCERT监测发现针对我国重要网站的CC攻击事件高发。攻击者利用公开代理服务器向目标网站发起大量的访问,访问内容包括不存在的页面、网站大文件、动态页面等,由此来绕过网站配置的CDN节点直接对网站源站进行攻击,达到了使用较少攻击资源造成目标网站访问缓慢甚至瘫痪的目的。2019年上半年,CNCERT抽样监测发现,针对我国境内目标的DDoS攻击中,来自境外的DDoS攻击方式以UDP Amplification FLOOD攻击、TCP SYN FLOOD攻击方式等为主,其中又以UDP Amplification FLOOD攻击方式占比最高约75%。
(四)利用钓鱼邮件发起有针对性的攻击频发
2019年上半年,CNCERT监测发现恶意电子邮件数量超过5600万封,涉及恶意邮件附件37万余个,平均每个恶意电子邮件附件传播次数约151次。钓鱼邮件一般是攻击者伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动,因欺骗迷惑性很强,用户稍不谨慎就很容易上当。其中,对通过钓鱼邮件窃取邮箱账号密码情况进行分析,CNCERT监测发现我国平均每月约数万个电子邮箱账号密码被攻击者窃取,攻击者通过控制这些电子邮件对外发起攻击。例如2019年初,某经济黑客组织利用我国数百个电子邮箱对其他国家的商业和金融机构发起钓鱼攻击。
三、2019年上半年网络安全威胁治理工作开展情况
2019年上半年,CNCERT协调处置网络安全事件约4.9万起,同比减少7.7%,其中安全漏洞事件最多,其次是恶意程序、网页仿冒、网站后门、网页篡改、DDoS攻击等事件。此外,2019年以来,我国有关部门针对移动应用违法违规收集使用个人信息、互联网网站安全等开展专项治理工作,以规范市场秩序、维护我国网络安全。
(一)我国网络安全治理的顶层设计逐步完善
近年来,我国用户个人信息和重要数据保护工作受到广泛关注,我国正在抓紧推进数据保护方面的规章制度、标准等的制定工作。2019年以来,国家互联网信息办公室会同各行业主管部门研究起草了《数据安全管理办法(征求意见稿)》、《网络安全审查办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《儿童个人信息网络保护规定(征求意见稿)》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》,并面向社会公开征求意见。此外,为规范网络安全漏洞报告和信息发布等行为,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,工业和信息化部会同有关部门起草了规范性文件《网络安全漏洞管理规定(征求意见稿)》,正在向社会公开征求意见。
(二)移动APP违规收集个人信息治理专项
随着移动互联网技术的快速发展和应用,移动互联网终端应用已成为互联网用户上网的首要入口和互联网信息服务的主要形式。根据统计,我国境内应用商店数量已超过200家,上架应用近500万款,下载总量超过万亿次,发展势头迅猛。与此同时,移动APP强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反应强烈。CNCERT监测分析发现,在目前下载量较大的千余款移动APP中,每款应用平均申请25项权限,其中申请了与业务无关的拨打电话权限的APP数量占比超过30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量APP存在探测其他APP或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。为保障个人信息安全,维护广大网民合法权益,中央网信办、工业和信息化部、公安部、市场监管总局决定,2019年在全国范围组织开展APP违法违规收集使用个人信息专项治理,组织开展移动应用专项评估。专项治理工作启动以来,多项成果文件向社会发布,包括《百款常用APP强制开启权限情况通报》、《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》、《APP违法违规收集使用个人信息行为认定办法》等,有效指导APP运营者加强个人信息保护,规范市场秩序。
(三)互联网网站安全整治专项
2019年5月至12月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展全国范围的互联网网络安全专项整治工作。专项整治工作将对未备案或备案信息不准确的网站进行清理,对攻击网站的违法犯罪行为进行严厉打击,对违法违规网站进行处罚和公开曝光。此次专项整治的一大特点是将加大对未履行网络安全义务、发生事件的网站运营者的处罚力度,督促其切实落实安全防护责任,加强网站安全管理和维护。专项整治期间,中央网信办将加强统筹协调,指导有关部门做好信息共享、协同配合,坚持依法依规,坚持防摄并举,促使网站运营者网络安全意识和防护能力有效提升,实现网站安全形势取得明显改观。截至2019年6月,互联网网站安全专项整治行动期间,共享网站安全事件511起,其中网页篡改事件占比最高达89.2%。
(四)DDoS攻击团伙治理工作
报告中的脚注:
①“零日”漏洞是指CNVD收录该漏洞时还未公布补丁。
②C&C控制服务器:全称为Command and Control Server,即“命令及控制服务器”,目标机器可以接收来自服务器的命令,从而达到服务器控制目标机器的目的。
③ 肉鸡:接收来自C&C控制服务器指令,对外发出大量流量的被控联网设备。
④ 制造报文规范(MMS)协议是ISO 9506标准所定义的一套用于工业控制系统的通信协议,目的是为了规范工业领域具有通信能力的智能传感器、智能电子设备、智能控制设备的通信行为,使系统集成变得简单、方便。
⑤ 对应的CNVD编号:WinRAR系列任意代码执行漏洞(CNVD-2019-04911、CNVD-2019-04912、CNVD-2019-04913与CNVD-2019-04910),Microsoft远程桌面服务远程代码执行漏洞(CNVD-2019-14264),Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。
⑥ CNCERT发布的《2018 年活跃DDoS攻击团伙分析报告》
推荐阅读
点击下方“阅读原文”进入官网下载报告