网络安全趋势盘点 P ICM Flo od od d Flo oo S Fl TP N HT SY K AC d Flo oo P Fl UD od h t i g b u m o c . 5 年度研究报告精华合集 text of Buildi ng e Con h t aC in y y t ri er ow rP be Cy Cy b e rse cu 守望高质量 Context of Building the a 网络安全2022 Cyb ers ec u y in rit wer Po r be m o c . 5 报告集合绿盟科技2021年度在网络安全攻防相关领域的核心研究成果，分态势篇、 威胁篇、 数 字基础设施篇三大篇章，针对区域威胁、漏洞态势、恶意软件、高级持续性威胁、IPv6安全威 胁、 数据安全、 物联网安全、 工业互联网安全、 车联网安全、 5G安全等领域开展网络安全观察。 态势篇 b u 2021年，全国网络资产暴露加剧，数字资产暴露面不断扩大。 暴露硬件资产类型排名前三为物 联网资产、 工业控制系统和安全设备，暴露互联网应用排名前三为Web服务、 数据库服务和邮 件服务。 防御建议 h t i g 通过网络资产测绘探测全球互联网空间上的资产暴露情况，还原真实网络空间全貌， 绘制更有效的地图指导网络攻防战。 威胁篇 受地缘政治影响，2021年南亚、东亚和东欧地区依然是APT组织最为活跃的地区，朝鲜 Kimsuky和Lazarus及新出现的东欧APT Lorec53是活跃度排名前列的APT组织。 防御建议 持续追踪并挖掘新的APT攻击事件，从攻防视角全面开展APT组织归因、 追踪、 主动防 御和反制。 数字基础设施篇 全球数据安全事件导致的经济损失居高不下，上亿级别的重大数据泄露事件达8起，互联网 暴露和配置错误、 黑客攻击是造成大规模数据泄露的主要原因。 事件 1 时间 2021年国内外大规模数据泄露事件收录（按泄漏规模排序） 2021年7月 规模 7亿 2 2021年4月 4 2021年1月 2.23亿 3 5 6 7 8 5.3亿 2021年1月 3.18亿 2021年1月 2021年9月 2亿 1.4亿 2021年8月 1.26亿 2021年8月 1.06亿 事件描述 原因 m o c . 5 美国LinkedIn公司7亿多条用户信息在论坛RaidForums被黑客出售 黑客攻击 美国Facebook公司有超5.3亿条用户数据在一个黑客论坛公开 互联网暴露与配置错误 国内某公司被曝泄露了400GB数据，涉及3.18亿条用户记录 互联网暴露与配置错误 巴西官方数据库遭到重大泄露，受影响人员2.2亿，几乎为所有巴西公民 b u Cyble的研究团队发现黑客在暗网出售2亿多中国公民的信息，包括QQ 和微博的信息 美国Firebase的数据库配置错误，导致iOS / Android 应用程序泄露了超 h t i g 过1.4亿条信息 未知原因 未知原因 互联网暴露与配置错误 美国OneMorelead营销公司发生数据泄露，涉及1.26亿美国公民的信息 互联网暴露与配置错误 泰国游客的ES数据库暴露，泄露数据涉及1.06亿游客的个人信息 互联网暴露与配置错误 供应链攻击受到攻击者的青睐，Log4j2漏洞爆发在全球掀起轩然大波，GitHub中17万余个 开源组件受其影响，软件产业链上下游各环节环环相扣，依赖关系错综复杂，影响范围广， 危害性大。 防御建议 对敏感数据进行全生命的安全防护，采取分类分级、 数据脱敏、 数据加密、 隐私计算等 安全措施； 在开源组件的安全控制上有待加强，并将依赖管理、 风险识别、 缺陷修复纳 入软件供应链全过程中。 关注公众号 回复 “网络安全2022” 即可获取报告全文 ers pace Surve yR e ort 20 2021网络空间 rt 20 po 21 b Cy 测绘年报 be ep 21 Cy rspace Survey R m o c . 5 2021年国家 “十四五” 规划强调，加快数字化发展和建设数字中国，加快建设数字经济、 数字社 会、 数字政府，以数字化转型整体驱动生产方式、 生活方式和治理方式变革。 在数字化转型稳 步推进的背景下，必定会有越来越多新兴的资产服务出现在互联网上，对这些服务的暴露面 以及脆弱性管理对于网络安全而言仍是重要挑战。 2021年我们将过去的物联网安全年报（2017-2020）升级扩展为 《2021网络空间测绘年报》 ，覆 b u 盖物联网、 公有云、 工业控制系统、 安全设备、 数据库、 智慧平台等关键领域资产在互联网上的 暴露情况，并对物联网、 云原生、 工业控制系统等专题的脆弱性情况进行分析，希望能够帮助 h t i g 大家把握网络空间安全态势，促进网络空间安全发展。 暴露的物联网资产以摄像头和路由器主，厂商需关注供应链安全 从2021年曝光的ThroughTek Kalay SDK 和摄像头未授权这两起安全事件，不难看 出物联网安全问题有着低级漏洞、 高级风 险、 影响范围广的特点。 目前物联网的软硬 件产业结构也相对复杂，厂商管理好自身 安全的同时还需要关注供应链安全。 2021年国内暴露物联网资产类型分布情况 中国台湾暴露工控资产数量最多，目前工控资产安全防护手段较为薄弱 2021年超过一半的工业控制系统领域攻击事件都与勒索软件有关，其中Revil和DarkSide家 族占比最大。 工业互联网的管理相较于传统互联网还处于发展阶段，没有成熟完善的体系可 以参考，因此在工业控制场景由闭塞向开放转型的同时，需要确保人员的意识和操作也在同 步转型。 数据库对外未授权暴露问题依旧，老旧版本仍在大规模使用 数据库服务暴露在互联网上存在很大的安全风险，尤其是无身份验证、 弱口令以及存在未授 权访问漏洞的数据库，管理员往往忽视对数据库进行权限验证，造成敏感信息泄露，甚至严重 影响到组织的业务。 此外，通过测绘发现仍有大量用户在使用已经停止更新的数据库版本，这 些数据库存在严重的安全风险，一旦被黑客攻陷，将导致用户的数据和个人隐私泄露。 m o c . 5 云安全事件以挖矿和数据泄露为主，不同云资产安全成熟度差异大 云安全事件数量呈现上升趋势，以非法挖矿和云上数据泄露为主。 云上租户众多，故相关漏洞 的影响具有规模性。 公有云安全风险突出，安全事件层出不穷，大部分安全风险来自用户错误 b u 配置。 云上资产数量大、类型多，不同资产暴 露攻击面均不相同，安全成熟度有较大差异， h t i g 云上安全态势较为复杂。 云上数据泄露事件 依然每年发生。 云原生资产中，容器相关组件 由于落地时间较长，脆弱性暴露情况较少，但 其他资产不容乐观。 云上常见物联网协议服 务 （如MQTT） 存在较大的未授权访问风险。 2021年国内暴露的Kubernetes Top10省市 新冠疫情之下，远程办公成为常态，相关服务暴露和风险呈上升趋势 新冠疫情爆发以来，远程办公、协同办公的需求大增，大量相关服务暴露在互联网上，很多 存在一个或多个安全漏洞。 报告对Confluence、Jira为代表的协同办公应用及用于远程连 接的VPN进行测绘分析，探讨它们可能存在的风险。 由于这些应用深度参与到企业生产过 程中，它们的暴露风险对企业运作、业务运行有重要影响，使用这些应用的企业需要加大 重视程度，监控自身业务暴露面和攻击面，非必要不暴露，及时更新修复相关安全漏洞，或 积极践行零信任战略。 关注公众号 回复 “空间测绘” 即可获取报告全文 wa 1 re AP tnet&Ransom c ed 威胁研究报告 Th po rt an 202 Adv 2021年度高级 T o &B re a ts Resea e rc h R m o c . 5 2021年，以APT攻击、 新型僵尸网络攻击、 RaaS型勒索软件攻击为代表的高级威胁攻击事件， 在攻击技术、 影响范围、 造成损失等多个维度上都提升到了全新的高度。 绿盟科技伏影实验室 联合CNCERT网络安全应急技术国家工程研究中心发布《2021年度高级威胁研究报告》 ，对 2021年度重点高级威胁事件与组织进行回顾和总结。 b u 观点一：雇佣军形式的APT组织开始出现 h t i g 2021年，绿盟科技发现的APT组织Lorec53受到更高级间谍组织雇佣,并开始承担国家级网 络钓鱼攻击任务。 此类组织的出现，表明随着地缘冲突加剧、 国家级APT组织的攻击任务大 幅增加，他们不得不探索新的组织形式来快速提升攻击能力。 观点二： 安全人员成为APT组织的新型攻击目标 绿盟科技发现多个APT组织策划了以安全公司和安全研究人员为目标的高等级渗透攻击活 动，攻击者通过直接攻击安全公司服务器、 伪造SNS账号与博客、 制作并分发带有后门的工 程文件或分析工具等方式，对包括我国在内的多个国家的安全人员进行网络间谍攻击，以 获取新型攻击工具和技术。 观点三： “扩招”成为僵尸网络团伙的主要运营思路 2021年，以KekSec团伙为代表的僵尸网络团伙，通过高调的自我宣传、 合并其它僵尸网络团 伙、 大量吸纳新的运营人员、 制作新型僵尸网络木马或变种等方式，持续且迅速地扩张僵尸网 络节点的控制范围，使自己具备了头部僵尸网络运营者的攻击能力，成为了具有强大DDoS能 力的威胁实体。 m o c . 5 观点四： 新型网络结构的应用提升了僵尸网络的隐匿性 为躲避溯源追踪，僵尸网络运营者更多使用Tor构建的新型网络结构。 在P2P网络不再安全的 情况下，僵尸网络运营者积极升级僵尸网络的通信信道，使用Tor网络的比例明显上升，僵尸网 络的活动也愈发难以追踪和拦截。 h t i g b u 观点五： 僵尸网络是目前各类高级威胁攻击的“首选” 利用僵尸网络进行侦察、 入侵，以减少真实目的的暴露，是APT攻击活动和勒索团体活动的首 选手段。 高级威胁攻击以组合攻击的形式对目标发起攻击活动，也对现有安全防护措施和方案 提出了更大挑战。 观点六： RaaS和 “双重勒索” 模式使勒索软件攻击成为新的致命威胁 由Maze勒索软件带来的RaaS（勒索软件即服务）和 “双重勒索” 的新型勒索模式已经在2021年 成为了勒索软件领域最普遍、 最高效、 危害最大的运营模式，进而培养出多个具备千万元以上 赎