![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
近日,奇安信安服团队发布了《2022年上半年网络安全应急响应分析报告》(简称《报告》)。报告显示,2022年上半年,奇安信安服团队共接到479起公共网络安全应急响应事件,涉及政府部门(103起)、医疗卫生行业(55起)以及事业单位(42起),其中业务专网成为黑客主要攻击目标。
![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
在奇安信安服团队参与处置的所有政企机构网络安全应急响应事件中,由行业单位自行发现的攻击事件占95.4%,其中被攻击者勒索后发现的攻击占43.6%,发现入侵迹象的事件占比33.4%,安全运营巡检发现的事件占比18.4%。另有4.6%的攻击事件政企机构是在得到了监管机构及第三方平台的通报后,才得知自己已被攻击。
值得注意的是,在企业日常安全巡检过程中自行发现的安全事件占比仅为18.4%,相比去年同期20.5%略有下降,网络攻击正在变得越来越难以发现。由此可见,随着网络攻击的隐蔽性持续增强,加强常态化安全检测能力,及时发现潜在的入侵行为对政企机构而言非常重要。
![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
在所有自行发现网络入侵的事件中,大部分企业是因为已经感知到入侵对业务造成了影响。奇安信安服团队调查发现,攻击者对系统的攻击所产生的影响主要表现为生产效率低下、数据丢失、数据泄露等。
在上述数据中,有227起应急响应事件导致生产效率低下,占比47.4%,攻击者主要通过挖矿、蠕虫、木马等攻击手段使服务器CPU占用率异常高,造成生产效率降低。
有119起应急响应事件导致数据丢失,占比24.8%,攻击者通过对大中型政企机构重要服务器及数据库进行攻击,导致数据被破坏或丢失。
33起应急响应事件导致数据泄露,占比6.9%,泄露途径主要是攻击者入侵政企内部系统获取企业敏感信息或通过企业内自身系统泄露,对企业可能造成巨大的经济损失。
报告显示,在2022年上半年应急响应事件中,导致网络攻击的最主要原因依然是黑产活动,有127起,占比26.5%。攻击者通过黑词黑链、钓鱼页面、挖矿程序等攻击手段开展黑产活动牟取暴利。
122起事件的攻击原因为敲诈勒索,占比25.5%,攻击者利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,获取自身利益。
除此之外,内部违规事件已经逐渐成为导致网络攻击的主要原因之一。据统计,2022年上半年,近五分之一的应急响应安全事件是由于企业内部违规操作导致的。员工为方便工作,使用弱口令、高危端口暴露公网等导致勒索病毒蔓延、数据泄露甚至服务器失陷的事件屡见不鲜。由此可见,大中型政企机构加大力度提升内部员工网络安全防范意识至关重要。
![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
在对攻击手法分析的过程中,奇安信安服团队发现,排名前三的类型分别是:恶意程序占比42.2%;漏洞利用占比30.7%;钓鱼邮件占比6.1%。在恶意程序中,木马攻击(非蠕虫病毒)占比64.4%,蠕虫病毒攻击占比35.6%。而在所有恶意程序中,勒索病毒和挖矿木马依然牢牢占据着前两名。
![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
值得关注的是,在攻击者利用的所有漏洞中,除弱口令漏洞之外,较为久远的“永恒之蓝”漏洞依然是导致大中型政企机构失陷的最主要原因之一,数量达到了135起。能够想到的是,“永恒之蓝”等老旧漏洞仍在肆虐,除漏洞本身危害性较大之外,防护措施不到位、安全意识不足也是造成这一现象的重要原因。
![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
对此,奇安信安服团队建议,弱口令、永恒之蓝漏洞需要引起政企机构关注,全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。政企机构应加大内部巡检力度,定期对设备、终端进行漏洞扫描、修复,并定期更换服务器、终端登录密码,加大密码复杂度。
![奇安信发布应急响应报告 常态化安全检测亟待加强]( "奇安信发布应急响应报告 常态化安全检测亟待加强")
原文始发于微信公众号(奇安信安全服务):奇安信发布应急响应报告 常态化安全检测亟待加强
评论