绿盟 2021网络空间测绘年报

2021 网络空间测绘年报 c . 5 b u Cy 21 yR e 20 ort rt 20 pace Surve po h t i g rs be be ep 21 Cy rspace S m o y urve R 2021 网络空间测绘年报关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。中国电信天翼安全科技有限公司 b u 天翼安全科技有限公司（简称“安全公司”）是中国电信集约开展网络安全业务的科技型、平台型专业公司，以研发运营一体化方式，整合全集团云网、安全、数据等优势资源和能力，进行统一运营，为内外部客户提供云网安全、数据安全、信息安全等各类安全产品和服务。公司始终坚持以“传承红色基因，守护安全中国”为使命，致力于成为数字经济时代最可靠的网络安全运营商！电信安全公司广目及物联网安全系列产品，从资产维度出发，结合运营商独特的网络资源优势，为用户提供精准的网络空间资产测绘台账、规避暴露面风险。其中，广目可以实现 IP、URL、端口、公众号、小程序、 APP、网盘、源代码等维度的互联网资产暴露面排查及风险监测；物联网安全相关产品以终端软件、外置硬件等方式保障物联资产的接入可用、传输可信、边界可防、数据可靠、全程可视。广目及物联网安全相关产 h t i g 品已广泛应用于金融、医疗、政府、公安等行业。版权声明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。 2 c . 5 m o CONTENTS 执行摘要 001 01 2021 年重大网络空间安全事件回顾 003 1.1 CISA 公布物联网设备严重漏洞 8300 万台智能设备受影响 004 1.2 H 厂商远程代码执行漏洞 005 1.3 DarkSide 勒索软件攻击美国燃料管道商 Colonial Pipeline 公司 m o 007 1.4 数百家工业组织在 SolarWinds 事件中遭受 Sunburst 恶意 c . 5 软件攻击 1.5 Q 厂商终端安全管理系统未授权访问漏洞 1.6 APT 组织正在利用 Fortinet VPN 安全漏洞进行攻击 b u 1.7 云服务提供厂商 DreamHost 泄露 8 亿用户数据 1.8 数据分析公司 Polecat 近 30TB 业务数据泄露，因 h t i g 008 010 011 012 Elasticsearch 服务器未受身份验证 014 015 1.9 TeamTNT 组织在 2021 年多次针对云计算目标进行攻击 1.10 ChaosDB：Azure 数据库服务错误影响数千公司 1.11 小结 02 016 017 网络空间重点领域暴露资产分析 019 2.2 物联网资产暴露情况分析 020 2.1 网络空间资产测绘简介 020 2.3 公有云资产暴露情况分析 023 2.5 安全设备暴露情况分析 031 2.4 工控资产暴露情况分析 2.6 数据库暴露情况分析 029 2.7 智慧平台资产暴露情况分析 034 2.8 蜜罐资产暴露情况分析 038 2.9 小结 040 03 043 网络空间风险专题分析 3.1 物联网风险分析 044 3.2 云上风险分析 3.3 应用风险分析 04 总结与展望参考文献 051 080 b u 3.4 工业互联网风险分析 3.5 小结 c . 5 045 h t i g 090 093 094 097 m o CONTENTS 观点 1 004 从 2021 年曝光的 ThroughTek Kalay SDK 和 H 厂商的摄像头未授权这两起安全事件，不难看出物联网安全问题有着“低级漏洞、高级风险”以及影响范围广的特点。目前物联网的软硬件产业结构也相对复杂，物联网厂商管理好自身安全的同时还需要关注供应链安全。观点 2 007 m o 2021 年超过一半的工业控制系统领域攻击事件都与勒索软件有关，其中 REvil 和 DarkSide 家族占比最大。通常勒索团伙受惩风险很低，并且能获得高额的赎金，因为 c . 5 多数受害者无法承受停工停产的严重后果。 b u 观点 3 010 从 2021 年曝出的针对安全设备的攻击事件中可以看出，漏洞利用是发起这些攻 h t i g 击的主要手段之一。而这些漏洞一旦被攻击者利用，用户可能会面临隐私泄露、被勒索、网站篡改、网络瘫痪等严重后果。安全设备通常被认为安全级别非常高，但从近两年公开的安全事件可见，其风险不容忽视。观点 4 012 数据库服务暴露在互联网上存在很大的安全风险，尤其是无身份验证、弱口令以及存在未授权访问漏洞的数据库，管理员往往忽视对数据库进行权限验证，造成敏感信息泄露，甚至严重影响到组织的业务。观点 5 015 近年云安全事件数量呈现上升趋势，特别是非法利用云资源挖矿和云上数据泄露。随着各个行业上云步伐加快，云化业务及数据变得越来越重要，势必吸引更多的攻击者针对云上目标展开攻击以谋取利益。同时，云上服务租户众多，因而相关漏洞的影响具有规模性。观点 6 023 m o 公有云市场蓬勃发展的同时，其安全风险突出，安全事件层出不穷。主流云厂商，如阿里云、腾讯云、华为云等，其上业务绝大部分的安全风险是因用户错误配置造成的， c . 5 因而对云上资产测绘十分重要。 b u 观点 7 045 相比 2020 年，2021 年 NVD 公布的物联网相关漏洞没有明显的变化趋势，相关 h t i g 漏洞仍具有攻击复杂度低、危害评级高的特点。而知名漏洞利用平台 Exploit-DB 近 5 年收录的漏洞利用总量及物联网相关漏洞利用数量均呈下降趋势，但该平台收录的漏洞以命令执行和信息泄露为主，危害程度高，各方仍应提高警惕。观点 8 051 云上服务、资产数量巨大、类型众多，不同服务及资产暴露的攻击面均不相同，相应的安全成熟度也有较大差异，云上安全态势较为复杂。尽管诸如对象存储服务等公有云服务已经设置了多种提示和警告措施，云上数据泄露事件依然每年都在发生。云原生服务中，容器相关组件（如 Docker）由于落地时间较长，脆弱性暴露情况较少，但其他云原生组件却不容乐观。此外，云上常见物联网协议或服务（如 MQTT）普遍存在未授权访问风险，较为严重。 CONTENTS 观点 9 080 新冠疫情爆发以来，远程办公、协同办公的需求大增，大量相关服务暴露在互联网上，很多存在一个或多个安全漏洞。由于这些应用深度参与到企业生产过程中，它们的暴露风险对企业运作、业务运行有重要影响，使用这些应用的企业需要加大重视程度，监控自身业务暴露面和攻击面，非必要不暴露，及时更新修复相关安全漏洞，或积极践行零信任战略。观点 10 m o 090 工业互联网风险面广、涉及行业多、造成的潜在风险大。安全风险主要来源于管 c . 5 理和技术这两个层面。工业互联网的风险往往关乎民生，生产与制造加工涉及的设备、网络、控制、数据、平台、工业 APP 等都可能成为突破口。 h t i g b u 观察 1 020 2021 国内暴露的物联网资产数量相较于去年增加了 18 万个，暴露服务数量的前三，依次是摄像头约 104 万个，路由器约 52 万个，VoIP 电话约 2 万个。暴露数量最多的地区是台湾，其次是香港，最后是长三角和珠三角地区。观察 2 029 国内工控资产暴露数量与工业发展水平成正相关，暴露较多的设备主要集中在 m o 我国东北老工业基地和东南沿海工业发达地区，并且工控资产会随业务和环境的变化呈现动态变化特征。暴露的工控资产使用最多的工控协议是 Modbus，占总数的 c . 5 49.2%。这些资产所属的厂商以国际著名公司为主，主要包括摩莎、施耐德电气和西门子等。观察 3 h t i g b u 031 2021 年国内暴露的安全设备数量共计 146,459 个，其中，暴露数量最多的是防火墙、VPN 和 WAF，并且以国外厂商的设备居多。这些设备主要集中在我国台湾、香港、北京以及长三角和珠三角等沿海地区。出口类型方面，企业专线和数据中心占比较高，分别占 49.21% 和 43.43%。观察 4 034 2021 年全国暴露在互联网上的常用数据库资产已超过 50 万个，其中，MySQL 暴露数量突破 47 万个，占比高达 92.9%, 并且仍有大量用户在使用已经停止更新的数据库版本，存在巨大的安全隐患。地理分布上，由于越来越多的企业将业务拓展到了国外，选择将服务部署在香港，导致香港成为国内数据库暴露数量最多的地区，接下来是北京和东南沿海经济发达地区。观察 5 038 我们发现全国暴露在互联网上的智慧平台资产已超过 3000 个，包括校园、水利、医疗、交通、养老、物流、车联网、农业相关领域，其中智慧校园平台数量最多。随着数字化转型的稳步推行进，未来将会有更多领域和数量的智慧服务平台出现在互联网上，安全和数字化需要同步建设。观察 6 059 m o 我们针对目前市面上比较流行的云原生服务进行了资产、版本分布梳理以及相应的风险分析，这些服务包括 Docker、Kubernetes API Server、Istio、Kong、 c . 5 Prometheus，其中 Docker 资产暴露数量在国内仅有 179 个，风险分析方面，因暴露 2375 TCP Socket 端口导致的未授权访问漏洞，仍旧是 Do