2020年上半年 网络安全应急响应 分析报告 奇安信安服团队 2020年7月 主要观点  2020年上半年奇安信集团安服团队应急响应接到服务需求 367起，政府部 门、医疗卫生和事业单位等行业的办公终端和业务服务器是 2020年上半年 攻击者攻击的主要目标，攻击手段也多以窃取重要数据、扰乱业务正常运营 为主。出于各种意图的网络安全攻击不会停止，攻击对象更具针对性。  2020年上半年网络安全应急响应事件发生的主要原因除系统、网络环境存 在漏洞外，大概率的网络安全事件主要归结为内部问题，如内部员工的不规 范操作、内部人员数据泄露等问题，随意转发重要资料导致信息泄露等。政 企机构应加大力度提升内部员工网络安全防范意识，培养严谨的网络安全观 念至关重要。  2020年上半年，政企机构应急攻击事件发现分析中，有 41.7%的政企机构 是在遭受勒索攻击后才发 现系统被攻陷。这一方面是由于攻击者针对性的攻 击较多，另一方面则反映出政企机构仍缺乏足够的安全监测能力，忽视内部 漏洞检测和修复动作。政企机构应完善网络安全防御体系，构建内部网络纵 深防护能力，以应对新常态下的各种网络安全威胁。  疫情防控工作下，政企机构应更好的 反思自身网络安全环境存在的弊端，审 视当下网络安全治理是否满足国家网络安全治理要求。进一步推动和完善网 络安全应急响应预案和演练工作， 对突发事件作出及时响应和处置，避免突 发事件扩大、升级，最大限度的 减少突发事件造成的损失和影响。完善应急 响应预案和演练机制仍然是 大中型政企机构日常管理运营的重要工作之一。  网络安全应急响应需要政府机构、安全厂商、企业之间加强合作，形成多方 参与的生态链，取长补短才能共同完成。网络安全厂商作为生态链中的创新 主体，应基于实现内生安全、数据驱动的安全服务运营理念，积极开展网络 安全事件的预防、发现、预警和协调等工作，为客户提供咨询规划、威胁检 测、攻防演习、持续响应、预警通告、安全运营等一系列的安全保障服务。 摘 要  2020年上半年奇安信集团安服团队共参与和处置了全国范围内 367起的网 络安全应急响应事件。  2020年上半年应急处置事 件最多的行业 TOP3分别为：政府部门行业（ 69 起） 、医疗卫生行业（ 59起）以及事业单位（ 39起） ，事件处置数分别占应 急处置所有行业的 18.8%、16.1%、10.6%。  2020年上半年奇安信安服团队参与处置的所有政府机构和企业的网络安全 应急响应事件中，由行业单位自行发现的安全攻击事件占 93.8%，其中有 41.7%的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有 6.2%的 安全攻击事件则是由监管机构及第三方平台通报得知。  2020年上半年应急安全事件的影响范围主要集中在业务专网， 占比 69.8%； 办公终端， 占比为 30.2%。  2020年上半年应急安全事件中，攻击者对系统的攻击所产生的影响主要表 现为数据丢失、系统 /网络不可用、生产效率低下。  2020年上半年应急安全事件中，敲诈勒索、黑产活动仍然是攻击者攻击大 中型政企机构的主要原因。  2020年上半年大中型政企机构安全事件攻击类型，排名前三的类型分别 是：恶意程序，占比 58.6%；漏洞利用，占比 24.5%；钓鱼邮件，占比， 5.2%。  2020年上半年安服团队共参与和处置了医疗卫生行业网络安全应急响应事 件59起，其中， 94.9%的安全攻击事件是由行业自行发现， 5.1%为监管机 构及第三方平台通报得知；受影响范围主要分为业务专网占比 66.1%，办 公终端占比 33.9%；攻击所产生的影响主要表现为系统 /网络不可用、数据 丢失和数据被篡改等；攻击类型主要表现在：恶意程序，占比 61.0%；漏 洞利用，占比， 30.5%；钓鱼邮件，占比 3.4%，其次为拒绝服务攻击和网 络监听攻击。 关键词： 应急响应、安全服务、黑产、敲诈、勒索病毒 目 录 第一章 2020年上半年应急 ................................ ................................ ........... 1 第二章 应急事件受害者分析 ................................ ................................ ......... 2 一、 行业现状分析 ................................ ................................ .................... 2 二、 事件发现分析 ................................ ................................ .................... 2 三、 影响范围分析 ................................ ................................ .................... 3 四、 攻击影响分析 ................................ ................................ .................... 4 第三章 应急事件攻击者分析 ................................ ................................ ......... 5 一、 攻击意图分析 ................................ ................................ .................... 5 二、 攻击类型分析 ................................ ................................ .................... 5 三、 恶意程序分析 ................................ ................................ .................... 6 四、 漏洞利用分 析 ................................ ................................ .................... 7 第四章 典型事件案例分析 ................................ ................................ ............ 9 一、 某运输公司员工敏感数据泄露致内网 20多台机器受感染事件 .......... 9 （一） 事件概述 ................................ ................................ ..................... 9 （二） 防护建议 ................................ ................................ ..................... 9 二、 某大型企业挖矿木马事件处置 ................................ ........................... 9 （一） 事件概述 ................................ ................................ ..................... 9 （二） 防护建议 ................................ ................................ ................... 10 三、 某政府单位服务器因 SQL注入漏洞被攻陷事件 ................................ 10 （一） 事件概述 ................................ ................................ ................... 10 （二） 防护建议 ................................ ................................ ................... 11 四、 某国有企业勒索病毒 Hermes837 事件处置 ......................