绿盟科技2022年 度 网络空间测绘年报 CONTENTS关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构，为政府、金融、运营商、 能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营 服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打 造全球网络安全行业的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过匿名化处理 , 不会在中间环节出现泄露 , 任何与客 户有关的具体信息，均不会出现在本报告中。关于中国电信研究院 中国电信股份有限公司研究院秉承中国电信企业发展引擎、技术灯塔、决策智库的定位，肩负通信行业前瞻技术与 决策研究、通信产业技术开发、创新基础设施研发的使命，研发创新涵盖 5G/6G 及未来通信、云网融合、光通信、网信 安全、低碳节能、AI 大数据、工业物联网等多个领域，是中国通信行业研发国家队。 中国电信研究院安全技术研发部作为一支研究型安全开发运营团队，依托中国电信云网和数据资源禀赋，进行安全 核心能力的关键技术研究、云网安全运营系统等产品的自主研发，以及现网安全运营支撑。通过强化安全运营统一管理， 持续提升云网事件处置、联防联动等安全运营能力，确保云网业务安全高效高质运行。 关于天翼安全科技有限公司 天翼安全科技有限公司（简称“电信安全公司”）是中国电信集约开展网络安全业务的科技型、平台型专业公司， 以研发运营一体化方式，整合全集团云网、安全、数据等优势资源和能力，进行统一运营，为内外部客户提供云网安全、 数据安全、信息安全等各类安全产品和服务。公司始终坚持以“传承红色基因，守护安全中国”为使命，致力于成为数 字经济时代最可靠的网络安全运营商！ 电信安全公司“广目”（互联网资产暴露面排查及风险监测服务）产品，从资产维度出发，结合运营商独特的网络 资源优势，为用户提供了资产探测、风险监测、风险通告等功能。实现网络资产的可知、可控，为实现安全风险管理提 供基础数据。广目实现 IP、URL、端口、公众号、 小程序、APP、网盘、源代码等维度的互联网资产暴露面排查及风险 监测，产品已广泛应用于金融、医疗、政府、公安等行业。CONTENTS执行摘要 001 1ﾠ2022 年重大网络空间安全事件回顾 003 1.1 网络安全事件趋势分析 004 1.2 某头部软件厂商遭受勒索攻击 007 1.3 某券商 OA 系统遭攻击企业移动办公受影响 008 1.4 Microsoft Exchange 被暴露存在 0day漏洞 009 1.5 行业巨头 PLC 工控平台被曝有高危漏洞 011 1.6 恶意黑客利用物联网设备成功入侵电网 012 1.7 DrayTek Vigor 路由器被曝有RCE 漏洞 012 1.8 超过 900 个俄工控系统遭匿名者组织攻击 013 1.9 九成俄互联网暴露数据库遭入侵攻击 015 1.10 某省健康码遭到境外组织网络攻击 016 1.11 黑产团队利用远控软件 RCE 漏洞发起攻击 017 1.12 数百个 Elasticsearch 数据库遭到勒索攻击 018 1.13 思科修复高危身份验证绕过漏洞 019 1.14 小结 019 2ﾠ网络空间暴露资产分析 020 2.1 工控资产 021 2.2 物联网资产 024 2.3 安全设备 028 2.4 重要服务：Web、数据库、邮件服务 031 2.5 黑客控守资源 033 2.6 私搭网络挖矿资源 0353ﾠ俄乌网络战测绘专题分析 038 3.1 安全事件测绘分析 039 3.2 网络资产测绘分析 041 3.3 域名证书测绘分析 048 3.4 俄乌冲突爆发阶段的网络监控 056 3.5 俄乌冲突全周期存活资产情况 058 3.6 俄乌双方资产遭受的攻击 060 3.7 俄乌冲突给中国的启示 073 3.8 小结 078 4ﾠ远程办公关联资产测绘专题分析 079 4.1 远程办公关联资产暴露情况 080 4.2 远程办公资产风险分析 084 4.3 小结 090 5ﾠ数据安全测绘专题分析 091 5.1 数据资产暴露情况分析 093 5.2 数据资产风险分析 096 5.3 小结 105 6ﾠ总结与展望 106 参考文献 109观点 1 004 工控资产是黑客关注的重要攻击资源。随着德国“工业 4.0”、美国“再工业化”、 “中国制造 2025”等国家战略的推出，以及信息化新兴技术与制造业的加速融合， 工控领域中“软硬件更新换代”、“安全设计缺乏”、“系统建设周期长”等问题加 剧了工控系统的安全隐患和潜在风险。总之，工控安全面临着严峻的挑战。 观点 2 004 2022年，黑客将物联网僵尸网络资产作为攻击的重要资源，对国内包括“健康码” 在内的多个重要设施发起攻击。 观点 3 021 工业越发达的省份工控资产暴露数量越多的趋势已在改变，现今工业互联网发展 领先的省份会暴露更多的工控资产。我国工业互联网发展蹄疾步稳，北京、上海因其 产业结构更加高端，在“高精尖”产业领域优势明显，具备数字化、智能化转型的基础， 工业互联网发展领先于其他省份。工业互联网的发展引入 5G、物联网、云计算等新 技术，有些是业务需要与互联网连接，有些则是意外连接互联网，两者都导致更多的工控资产暴露在网络空间中。 观点 4 024 随着《数据安全法》正式实施，数据安全已成为每个人关注的热点话题。随着手 机、电脑、平板等设备使用频率的增多，以及国内 COVID-19 对远程协同工作需求 的不断上升，网络附加存储（ NAS）市场份额迅速增长，大量 NAS暴露在网络空间 中。NAS 对个人以及企业的价值越来越高，这让攻击者更加感兴趣，攻击者可利用 NAS计算资源进行挖矿，或盗取数据进行倒卖，甚至加密数据勒索赎金。未来 NAS 可能会成每个家庭及企业必需品，成为攻击者重点关注的目标。观点 5 041 从俄乌的网络资产测绘的测绘数据不难看出，网络资产数量越多的地区，越有可 能成为军事进攻主要目标，物联网和工控资产往往是网络战争切入点，是攻击者青睐 的对象。 观点 6 056 在俄乌冲突中，俄罗斯网空力量与传统的军事、政治和外交紧密配合，这表明网 络空间战争已经成为现代军事战争的延申，我国亟需建设与大国地位相匹配的网络空间力量。 观点 7 060 随着冲突升级和乌克兰颓势，俄乌双方的局部对抗，已经演变成俄罗斯与整个西 方在网络空间的对抗博弈，我国应该面向未来军事需求提前做好冲锋准备。结合本次攻击事件教训，我国应该对互联网暴露的工控资产进行提前梳理和处理，提前消除遭 受网络攻击的隐患。乌克兰网络和防护措施相对落后，敌对势力会发起 DDoS攻击， 导致国家关键设施无法正常提供服务，造成了国际局势较大的混乱和恐慌，在本次冲突中遭受了较多攻击。我国应该制定针对 DDoS的事前预防、事中响应、事后恢复的 措施。 观点 8 073 信息化战场是俄乌战争中非常重要的一个环节，对于我国来说，我们应当提高网 络安全意识，加强我国网络安全建设。由于种种原因，自建托管代码仓库的安全防护 往往容易被人忽略，但该类代码仓库又常常存在着重要机构的源代码信息，因此我们 应当定期排查、及时处理相关风险。观点 9 040 办公应用和远程协助工具、物联网设备等资产，在远程办公期间遭受攻击或被利 用于参与攻击的事件较多，安全风险持续增加，安全治理值得关注。 观点 10 084 物联网、 DDoS反弹服务等资产组合，可能被黑客用于对重要设施发起严重的 DDoS攻击，导致大量民众需要访问的服务面临风险。 观点 11 085 办公应用的 0day漏洞被用以发动供应链勒索攻击，造成大规模勒索等恶性安全 事件，给企业和组织造成更严重的损失。 观点 12 088 互联网暴露了大量存在安全漏洞的远程协助资产， 这些漏洞极易被黑客团队利用， 投放恶意软件，最终导致服务器沦陷并变成矿机。 观点 13 092 旧伤未愈又添新伤。传统数据库资产暴露情况不容乐观，新兴技术下的新型数据 库资产安全风险严峻，互联网上大量私自搭建的源代码平台存在严重的数据泄露风险， 数据安全治理工作任重道远。观点 14 096 与2021年相比， 2022年占比最高的数据资产类型是数据库资产。其中，数据库 资产类型占比达 98.55%，其余为代码仓库资产。 观点 15 096 传统数据库资产暴露情况不容乐观，仍然有大量过时、脆弱的数据库暴露在互联 网上。 观点 16 099 新兴技术和热点安全领域下的数据库安全将成为未来关注的焦点。 观点 17 103 源代码泄露往往会引起数据供应链安全问题的发生，大量源代码中隐藏着数据库 凭证等重要信息，这些数据的丢失将导致严重的数据泄露事件发生。