2020年注定是難忘的一年，COVID-19的大流行幾乎影響到人類生活的每個(gè)方面。同樣，在網(wǎng)絡(luò)領(lǐng)域也產(chǎn)生了重大影響，疫情改變了企業(yè)和組織的運(yùn)作方式，使它們面臨一系列新的風(fēng)險(xiǎn)和惡意攻擊，同樣也對(duì)網(wǎng)絡(luò)犯罪的行為產(chǎn)生影響。

深信服千里目安全實(shí)驗(yàn)室從惡意軟件、網(wǎng)站安全、漏洞、數(shù)據(jù)泄露、APT攻擊等方面分析整體網(wǎng)絡(luò)安全態(tài)勢(shì)情況，發(fā)布《2020年網(wǎng)絡(luò)安全態(tài)勢(shì)洞察報(bào)告》（以下簡(jiǎn)稱報(bào)告）。本文摘取自報(bào)告關(guān)鍵內(nèi)容，為您直觀呈現(xiàn)2020年網(wǎng)絡(luò)安全態(tài)勢(shì)，與您共同關(guān)注2021年網(wǎng)絡(luò)安全新趨勢(shì)！

惡意軟件態(tài)勢(shì)

2020上半年由于受新冠疫情的影響惡意軟件攔截量較少，2020年下半年惡意軟件攔截量比上半年增長(zhǎng)超過(guò)30%，逐漸恢復(fù)到2019年水平。其中，加密挖礦仍是網(wǎng)絡(luò)犯罪分子主要研究的惡意活動(dòng)之一，在惡意軟件中占比30.64%。其次是傳播性較強(qiáng)的木馬遠(yuǎn)控和蠕蟲(chóng)病毒，分別占比26.98%和16.76%。

其中，勒索軟件攻擊方面，2020年加密貨幣暴漲，勒索軟件同樣加速演變進(jìn)化。2020年下半年勒索軟件展開(kāi)瘋狂攻勢(shì)，安全事件數(shù)量在9月達(dá)到峰值，攻擊規(guī)模、贖金要求都屢創(chuàng)新高，數(shù)據(jù)泄露結(jié)合加密勒索的勒索方式使得受害者繳納贖金的概率大大增加。勒索軟件犯罪團(tuán)伙逐漸專注大型機(jī)構(gòu)，進(jìn)行精確的攻擊行動(dòng)，持續(xù)潛伏、制造嚴(yán)重破壞，索要大額贖金。

在挖礦軟件攻擊方面，相較2019年挖礦軟件的攻擊繼續(xù)持續(xù)放緩，但隨著虛擬貨幣的持續(xù)上漲，2020下半年挖礦軟件活動(dòng)攔截增長(zhǎng)超過(guò)20%，并總共檢測(cè)到超過(guò)50個(gè)傳播采礦木馬的主要網(wǎng)絡(luò)犯罪集團(tuán)。其中，NDay漏洞利用攻擊、暴力破解仍然是常用攻擊方式，無(wú)文件攻擊也仍然受到挖礦團(tuán)伙的青睞。

為防止惡意軟件對(duì)企業(yè)的造成損害，建議企業(yè)用戶做好以下的防護(hù)措施：在網(wǎng)絡(luò)層面，進(jìn)行多層防護(hù)措施，在惡意軟件傳播到系統(tǒng)造成真正損害之前將其阻止。在系統(tǒng)層面，用戶可假設(shè)惡意軟件已經(jīng)滲透到企業(yè)系統(tǒng)的某一層級(jí)，然后相應(yīng)地采取有效措施予以限制其可能帶來(lái)的進(jìn)階影響并加快安全響應(yīng)速度。

漏洞安全態(tài)勢(shì)

2020年CNVD共收錄漏洞信息19964條，同比增長(zhǎng)24%，接近2011年的3倍，漏洞披露數(shù)量持續(xù)創(chuàng)新高，中高危漏洞信息占比超九成，漏洞形勢(shì)依然嚴(yán)峻。此外，2020 年移動(dòng)端、物聯(lián)網(wǎng)設(shè)備等多平臺(tái)爆出越來(lái)越多 0day 漏洞，Excel4.0 宏等的使用增加了攻擊者的入侵效率和靈活性。為了能夠及時(shí)處置并閉環(huán)漏洞問(wèn)題，建議企業(yè)單位的安全補(bǔ)救措施在基于暴露面、可利用性和其他因素進(jìn)行考慮，以保持能及時(shí)補(bǔ)救關(guān)鍵風(fēng)險(xiǎn)。

網(wǎng)站安全態(tài)勢(shì)

互聯(lián)網(wǎng)帶來(lái)便利的同時(shí)，安全問(wèn)題也伴隨而來(lái)。研究顯示，自2003年以來(lái)，Web應(yīng)用程序已成為最受歡迎的被利用目標(biāo)之一。當(dāng)前網(wǎng)站安全形勢(shì)仍較為嚴(yán)峻，不容樂(lè)觀，建議相關(guān)單位部門(mén)及時(shí)做好重要網(wǎng)站的應(yīng)急處置工作，積極應(yīng)對(duì)各種網(wǎng)站攻擊。

網(wǎng)站漏洞方面，2020年網(wǎng)站漏洞檢測(cè)數(shù)量整體呈現(xiàn)增長(zhǎng)趨勢(shì)，其中6月網(wǎng)站漏洞檢測(cè)數(shù)量達(dá)到全年檢測(cè)數(shù)量峰值，中高危漏洞檢測(cè)數(shù)量占據(jù)半壁江山，平穩(wěn)中上漲，需要重點(diǎn)關(guān)注。從網(wǎng)站的漏洞類型來(lái)看，CSRF跨站請(qǐng)求偽造所占比例最高，為29%。其次是信息泄露和配置不當(dāng)，分別占比24%和17%。

網(wǎng)站篡改方面，深信服云眼系統(tǒng)2020年累計(jì)授權(quán)監(jiān)測(cè)網(wǎng)站178828個(gè)，其中監(jiān)測(cè)到被篡改站點(diǎn)41546個(gè)，占總站點(diǎn)數(shù)量23%，超過(guò)1/5。網(wǎng)站被篡改數(shù)量在平穩(wěn)中持續(xù)增長(zhǎng)，被篡改網(wǎng)站類型中，網(wǎng)絡(luò)色情占比最高為43%，其次是網(wǎng)絡(luò)博彩為41%。

數(shù)據(jù)泄露態(tài)勢(shì)

2020年，全球數(shù)據(jù)泄露事件頻發(fā)，企業(yè)單位面臨的數(shù)據(jù)泄露問(wèn)題依然嚴(yán)峻。遠(yuǎn)程工作的常態(tài)下會(huì)增加數(shù)據(jù)泄露的成本和事件響應(yīng)時(shí)間，而勒索病毒的“竊密”勒索策略變化則促進(jìn)了數(shù)據(jù)泄露事件的發(fā)生，受害者不支付贖金，攻擊者就會(huì)公開(kāi)或出售這些被盜數(shù)據(jù)。

深信服安全人員從近期捕獲到暗網(wǎng)情報(bào)近10萬(wàn)條中分析到，數(shù)據(jù)交易類情報(bào)占比56.55%。從行業(yè)上看，金融行業(yè)、教育行業(yè)的泄露事件占比高達(dá)53%，是黑產(chǎn)團(tuán)伙重點(diǎn)關(guān)注的對(duì)象。

其中教育行業(yè)在數(shù)據(jù)資產(chǎn)泄露的事件排第二。教育行業(yè)信息系統(tǒng)具有 一定的特征:一是使用人員多，全國(guó)范圍內(nèi)教育機(jī)構(gòu)、教師、學(xué)生均 數(shù)量龐大;二是信息系統(tǒng)多，教育行業(yè)的網(wǎng)站、系統(tǒng)數(shù)量同樣巨大; 三是數(shù)據(jù)多，這三大特征，使得網(wǎng)絡(luò)安全監(jiān)管防護(hù)難度較大。

根據(jù)深信服安全數(shù)據(jù) 顯示，2020 年針對(duì)教育行業(yè)的攻擊持續(xù)保持在較高水平，并在 10 月 達(dá)到峰值 1.5 億次。整體上，攻擊數(shù)呈上升趨勢(shì)，年攻擊總數(shù)達(dá)到了 13.4 億次。

此外，當(dāng)前行業(yè)內(nèi)普遍缺乏對(duì)代碼安全的管控意識(shí)和制度流程，員工有意或無(wú)意地將敏感代碼托管到開(kāi)源的代碼共享平臺(tái)，可能造成代碼泄露及代碼泄露引發(fā)的一系列安全隱患。數(shù)字觀星發(fā)布的《數(shù)字資產(chǎn)暴露面風(fēng)險(xiǎn)報(bào)告》顯示，系統(tǒng)源碼和技術(shù)方案占據(jù)中國(guó)企業(yè)外部數(shù)據(jù)泄露類型的61%；泄露系統(tǒng)源碼中含有密碼密鑰風(fēng)險(xiǎn)最高。

為防范各類書(shū)籍泄露事件發(fā)生，深信服安全專家建議企業(yè)采取深度防御安全策略，包括：

（1）特權(quán)訪問(wèn)管理，用于監(jiān)視和控制系統(tǒng)帳戶的訪問(wèn)。

（2）多重驗(yàn)證加強(qiáng)身份管理、防止身份假冒，降低登陸設(shè)備賬號(hào)丟失和弱密碼等相關(guān)風(fēng)險(xiǎn)。

（3）注重端點(diǎn)威脅檢測(cè)和響應(yīng)，自動(dòng)識(shí)別和減少可能導(dǎo)致數(shù)據(jù)泄露的惡意軟件、網(wǎng)絡(luò)釣魚(yú)、勒索軟件和其他惡意活動(dòng)的工具。

（4）最小權(quán)限管理將訪問(wèn)權(quán)限與角色緊密結(jié)合在一起，以確保僅提供工作所需的訪問(wèn)權(quán)限。

高級(jí)持續(xù)性威脅態(tài)勢(shì)

亞洲地區(qū)是APT攻擊（高級(jí)持續(xù)性威脅攻擊）在2020年最活躍的地區(qū)，另外中東與東歐也相對(duì)頻繁。此外，在疫情背景下，圍繞病毒及其影響的這種不確定性和恐懼為威脅行為者利用局勢(shì)提供了絕佳機(jī)會(huì)，多個(gè)APT組織利用冠狀病毒主題的釣魚(yú)郵件作為感染媒介，在受害機(jī)器上獲得立足點(diǎn)。

從整體活動(dòng)分析，APT攻擊未來(lái)可能呈現(xiàn)以下趨勢(shì)：

（1）地緣政治攻擊

從整體活動(dòng)分析，局勢(shì)敏感以及動(dòng)蕩的地區(qū)相關(guān)的APT攻擊活動(dòng)會(huì)更加頻繁，未來(lái)地緣政治仍然是APT威脅組織的重要目標(biāo)。

（2）漏洞開(kāi)發(fā)與0day網(wǎng)絡(luò)軍火商興起

漏洞是APT武器庫(kù)中不可缺失的資產(chǎn)之一，頂級(jí)APT組織會(huì)繼續(xù)挖掘漏洞與開(kāi)發(fā)相關(guān)利用工具；而不具有漏洞挖掘的組織可以通過(guò)0day網(wǎng)絡(luò)軍火商購(gòu)買(mǎi)相關(guān)的漏洞利用工具。

（3）利用入口設(shè)備與管理軟件

2020年國(guó)內(nèi)外已經(jīng)出現(xiàn)了多起VPN漏洞攻擊事件、網(wǎng)絡(luò)邊界設(shè)備漏洞攻擊事件。未來(lái)，APT組織更多聚焦在這類設(shè)備與軟件，深入分析該類設(shè)備以及軟件，挖掘其中的安全漏洞，實(shí)現(xiàn)以點(diǎn)擊面的攻擊效果，甚至達(dá)到供應(yīng)鏈攻擊的效果。

（4）多平臺(tái)攻擊一體化

除了傳統(tǒng)的Windows、Linux以及MAC OS系統(tǒng)平臺(tái)，越來(lái)越多的APT組織已經(jīng)在移動(dòng)端進(jìn)行監(jiān)控布局與攻擊，多平臺(tái)一體化逐漸成為未來(lái)趨勢(shì)之一，例如Lazarus組織的三平臺(tái)一體化攻擊框架MATA。

2021年網(wǎng)絡(luò)安全趨勢(shì)展望

1. 人工智能賦能安全的同時(shí)，也給網(wǎng)絡(luò)安全帶來(lái)巨大挑戰(zhàn)

在網(wǎng)絡(luò)技術(shù)方面，基于機(jī)器學(xué)習(xí)的僵尸網(wǎng)絡(luò)攻擊變得越來(lái)越復(fù)雜和準(zhǔn)確，網(wǎng)絡(luò)防御者需要以更具創(chuàng)新性的解決方案做出應(yīng)對(duì)。在應(yīng)用方面，利用人工智能可以生成和偽造具有欺騙性的信息。例如通過(guò)人工智能假裝用戶，并模仿人類的行為進(jìn)行相應(yīng)的網(wǎng)絡(luò)操作，而這些行為很難通過(guò)傳統(tǒng)方法和真實(shí)的用戶行為加以區(qū)分。另外，在對(duì)抗性環(huán)境中，人工智能系統(tǒng)本身也可能受到攻擊或欺騙，從而導(dǎo)致錯(cuò)誤的分類或預(yù)測(cè)結(jié)果。

2.隨著5G使用率的提高，更多設(shè)備變得依賴于5G提供的連接性，攻擊者將更有動(dòng)力尋找其中可以利用的漏洞

與前幾代移動(dòng)通信系統(tǒng)相比，5G依靠大規(guī)模天線和超密集組網(wǎng)等顯著提升了移動(dòng)接入技術(shù)，帶動(dòng)核心網(wǎng)技術(shù)的換代，但5G的網(wǎng)絡(luò)切片技術(shù)使得網(wǎng)絡(luò)邊界逐漸模糊，其延伸業(yè)務(wù)擴(kuò)大了網(wǎng)絡(luò)安全的攻擊面。在促進(jìn)網(wǎng)絡(luò)發(fā)展的同時(shí)，5G技術(shù)必然會(huì)成為不法分子攻擊的重點(diǎn)目標(biāo)，攻擊者也將更有動(dòng)力尋找可以利用的漏洞。如果發(fā)生惡意的網(wǎng)絡(luò)攻擊，或許在毫秒間就可以瞬間癱瘓掉整片的網(wǎng)絡(luò)通信系統(tǒng)，進(jìn)而癱瘓所有與網(wǎng)絡(luò)相關(guān)的基礎(chǔ)設(shè)施。

3. IT基礎(chǔ)架構(gòu)進(jìn)一步向云轉(zhuǎn)型，云原生安全需求明顯提升，安全即服務(wù)（SECaaS）長(zhǎng)周期成為國(guó)內(nèi)發(fā)展的目標(biāo)，技術(shù)變革將產(chǎn)生天然的規(guī)模效應(yīng)

憑借敏捷部署、彈性擴(kuò)展、易于維護(hù)等優(yōu)勢(shì)，SECaaS在國(guó)外已成主流。當(dāng)前國(guó)內(nèi)SECaaS逐漸出現(xiàn)產(chǎn)品雛形，雖然國(guó)內(nèi)外在IT架構(gòu)標(biāo)準(zhǔn)化程度、云化進(jìn)度、公有云廠商對(duì)于生態(tài)理解等方面存在差異，但數(shù)字化轉(zhuǎn)型背景下企業(yè)上云需求旺盛，云安全面臨相似的發(fā)展趨勢(shì)，SECaaS未來(lái)將長(zhǎng)期成為國(guó)內(nèi)發(fā)展目標(biāo)。

4.基于現(xiàn)代身份管理技術(shù)進(jìn)行構(gòu)建的零信任安全架構(gòu)正在快速發(fā)展，并逐漸落地于企業(yè)信息化安全建設(shè)中

傳統(tǒng)基于邊界的安全防護(hù)邏輯逐步失效，內(nèi)外部威脅愈演愈烈，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)和解決方案難以適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，基于現(xiàn)代身份管理技術(shù)進(jìn)行構(gòu)建的零信任安全架構(gòu)應(yīng)運(yùn)而生。零信任安全架構(gòu)基于“以身份為基石、業(yè)務(wù)安全訪問(wèn)、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制”四大關(guān)鍵能力，可以打破傳統(tǒng)物理安全的困境，建立新型安全防御體系。

未來(lái)幾年零信任將會(huì)快速發(fā)展并落地到企業(yè)安全建設(shè)中去。不管是企業(yè)內(nèi)部威脅，還是新的遠(yuǎn)程業(yè)務(wù)訪問(wèn)安全需求，零信任都可以有效地幫助解決相關(guān)安全問(wèn)題。

5.人們生活和辦公越來(lái)越遠(yuǎn)程化、數(shù)字化并且更加互聯(lián)，其中物聯(lián)網(wǎng)設(shè)備數(shù)量激增，同時(shí)遭受攻擊的風(fēng)險(xiǎn)也在迅速增加

據(jù)市場(chǎng)調(diào)研機(jī)構(gòu)MarketsandMarkets發(fā)布的“物聯(lián)網(wǎng)安全市場(chǎng)”預(yù)測(cè)數(shù)據(jù)，2021年將有350億智能設(shè)備在線，到 2025年，這一數(shù)字將增加到 750億。但物聯(lián)網(wǎng)設(shè)備仍然缺乏諸如加密之類的基本保護(hù)處理能力，設(shè)備一旦被攻陷，可用于各種惡意應(yīng)用，包括DDoS攻擊、加密挖掘、監(jiān)視、網(wǎng)絡(luò)側(cè)鏈攻擊和個(gè)人信息盜竊等。

另外，物聯(lián)網(wǎng)漏洞從出現(xiàn)PoC到被攻擊者實(shí)際利用的時(shí)間間隔進(jìn)一步縮短，同時(shí)設(shè)備漏洞容易引發(fā)大規(guī)模影響。2020年重大的IoT設(shè)備漏洞披露，包括6月的Ripple20和12月的Amnesia-33，影響了數(shù)百萬(wàn)IoT設(shè)備。

6. 標(biāo)準(zhǔn)化XDR解決方案能有效提升安全團(tuán)隊(duì)的效率和生產(chǎn)力

Gartner當(dāng)前給XDR的定義是：XDR是一種基于SaaS的，綁定到特定供應(yīng)商的安全威脅檢測(cè)和事件響應(yīng)工具，可以將（該供應(yīng)商的）多個(gè)安全產(chǎn)品原生地集成到一個(gè)統(tǒng)一的安全運(yùn)行系統(tǒng)中，以統(tǒng)一所有授權(quán)的安全組件。

 XDR通過(guò)集中、規(guī)范化和關(guān)聯(lián)來(lái)自多個(gè)來(lái)源的安全數(shù)據(jù)來(lái)幫助安全團(tuán)隊(duì)解決安全問(wèn)題，XDR提供了更完整的可見(jiàn)性。XDR在提供EDR的所有功能的基礎(chǔ)上，還為企業(yè)提供了將其端點(diǎn)數(shù)據(jù)與其他安全產(chǎn)品數(shù)據(jù)關(guān)聯(lián)的機(jī)會(huì)。XDR通過(guò)分析來(lái)自多個(gè)來(lái)源的數(shù)據(jù)以驗(yàn)證警報(bào)，從而減少誤報(bào)和整體警報(bào)量。

 除了警報(bào)關(guān)聯(lián)性和更高的準(zhǔn)確性外，XDR解決方案還提高了安全團(tuán)隊(duì)的生產(chǎn)力，實(shí)現(xiàn)了更快、更自動(dòng)化的事件響應(yīng)功能。許多安全工作流程在以往手動(dòng)進(jìn)行時(shí)，耗時(shí)且容易出錯(cuò)，這些任務(wù)可以在XDR中有效解決，包括關(guān)聯(lián)自動(dòng)化和威脅情報(bào)收集等，這也是安全編排、自動(dòng)化與響應(yīng)（SOAR）解決方案的核心功能。

關(guān)于報(bào)告更多詳細(xì)內(nèi)容，點(diǎn)擊《2020年網(wǎng)絡(luò)安全態(tài)勢(shì)洞察報(bào)告》下載完整報(bào)告