绿盟科技2022年度 安全事件观察报告 CONTENTS2022 年度安全事件观察报告2关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市， 证券代码 ： 300369。 绿盟科技在国内设有 50 余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息， 均不会出现在本报告中。 CONTENTS01 网络安全形势分析 001 02 安全事件数据观察 005 2.1 网络攻击出现行业指向性 006 2.2 居家办公需求扩大 APT 攻击面 007 2.3 虚拟币市场转冷，挖矿攻势向缓 008 2.4 安全意识仍为网络边界被突破的主要原因 009 03 攻击手段升级对防守提出更高要求 010 3.1 攻防体系进一步完善，演练对抗常态化推进 011 3.2 日常钓鱼防范意识还需要加强针 016 3.3  勒索产业热度持续上升 019 3.4 软件供应链安全攻防不对等，导致攻击事件频发 027 3.5 新旧病毒共存，安全威胁倍增 031 04 加大数据安全的投入逐步成为共识 035 4.1 数据安全事件数量呈逐年上升趋势 036 4.2 个人信息已成为数据泄露的主要对象 038 4.3 网络安全保险迎合数据安全需求 03905 安全漏洞变化趋势 040 5.1 安全漏洞趋势分析 041 5.2 重点漏洞盘点 046 5.3 法律法规落地规范漏洞管理 049 06 典型安全事件专题 050 6.1 挖矿事件案例 051 6.2 钓鱼邮件专题 063 6.3 Hive 勒索案例 069 07 安全建议 074 附录一 GBT20986-2007信息安全事件     分类分级指南 分类分级指南 077 附录二  绿盟科技事件分类方法 07801 网络安全 形势分析2022 年度安全事件观察报告002【报告概述】 2022年全球政治、经济格局发生着剧烈变化，网络安全领域作为社会发展的伴生行业也 在其中被裹挟前进。各个黑产团伙纷纷加紧攻势，安全事件数量明显攀升：绿盟科技 2022 年接收应急响应事件 563 起，总量相比去年增加了 29%，第一季度事件数量 94起，同比持平； 第二季度起，事件数量呈持续上升趋势，至 7月事件数量呈井喷式爆发并达到年度峰值，相 较6月份事件数量增加了 158%；8 月起事件数量逐渐回落至正常水平。 从网络攻击的目标来看，出现了更多具有行业指向性的趋势。并且由于各种形势变化， 不同攻击类型的热度出现了起伏。例如因居家办公增多，办公软件、通信信道的安全问题成 为APT攻击的新突破口；供应链攻击、钓鱼攻击等攻击手法也有增加的态势；虚拟挖矿进入 冷却期；攻防对抗常态化推进，数据安全领域成为热点关注。 图1.1　近三年事件发生趋势 绿盟科技在《 GBT20986-2007 信息安全事件分类分级指南》的指导下，制定了信息 安全事件分类方法。对处理的安全事件进行国标分类和详细分类统计，事件分布如图 1.2、 图1.3。 003 网络安全形势分析图1.2　国标事件类型分布 本年度事件按照细分子类型排序，TOP5 分别为钓鱼攻击事件、勒索软件、虚拟挖矿和木 马程序、后门事件。 ■ 网络攻击事件 ■ 有害程序事件 ■ 信息破坏事件 ■ 非安全事件 ■ 设备设施故障 ■ 未知事件类型分布图 图1.3　事件类型分布图2022 年度安全事件观察报告004绿盟科技 CERT团队 2022年处理的应急响应事件遍布全国， 覆盖了全国 32个省级行政区， 其中发生在北京、广东、上海的事件最多。 图1.4　事件发生地区分布图 【适用性】 此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。 【局限性】 此报告基于绿盟科技应急响应服务数据，具有一定局限性。 【特别声明】 本次报告中涉及的所有数据，均来源于绿盟科技自有产品和合作伙伴产品，所有数据在 进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息， 也均不会出现在报告中。