网络安全应急响应学习记录-初识

  • A+

记录学习中的点点滴滴,希望此记录可帮助到伙伴们,也盼望伙伴们可以指正错误、指引方向。

5c751913d1a45.png

What is it

"应急响应"对应的英文是"Incident Response"或"Emergency Response"等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

对象

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标,可以把安全事件定义为破坏信息或信息处理系统CIA的行为。
比如:
* 破坏保密性的安全事件:比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
* 破坏完整性的安全事件:比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马(如BackOrifice2K)、计算机病毒(修改文件或引导区)等;
* 破坏可用性(战时最可能出现的网络攻击)的安全事件:比如系统故障、拒绝服务攻击、计算机蠕虫(以消耗系统资源或网络带宽为目的)等。但是越来越多的人意识到,CIA界定的范围太小了,比如以下事件通常也是应急响应的对象:
* 扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞。
* 抵赖:指一个实体否认自己曾经执行过的某种操作,比如在电子商务中交易方之一否认自己曾经定购过某种商品,或者商家否认自己曾经接受过订单。
* 垃圾邮件骚扰:垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件,不仅耗费大量的网络与存储资源,也浪费了接收者的时间。
* 传播色情内容:尽管不同的地区和国家政策不同,但是多数国家对于色情信息的传播是限制的,特别是对于青少年儿童的不良影响是各国都极力反对的。
* 愚弄和欺诈:是指散发虚假信息造成的事件,比如曾经发生过几个组织发布应急通告,声称出现了一种可怕的病毒"Virtual Card for You",导致大量惊惶失措的用户删除了硬盘中很重要的数据,导致系统无法启动。

意义

应急响应的活动应该主要包括两个方面:

  • 第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;

  • 第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。

体系

国际网络安全应急响应体系的重要运行机构是计算机应急响应组织(CERT)。CERT最早是20世纪80年代末为对抗突发的大规模网络安全事件而产生的,并逐步演变成围绕安全事件对抗提供有计划的、全面技术支持的队伍。如今各国政府、企业和高校建立的CERT组织已成为各国网络安全保障领域不可或缺的专业队伍,在全世界活跃着数百支各类事件响应组织。为了加强国际交流与合作,CERT组织一方面通过双边的联系渠道,开展交流和合作;另一方面由各国CERT组织自主发起成立了国际事件响应与安全组织(FIRST)、亚太地区应急响应合作组织(APCERT)、欧盟的事件响应组织工作组(TF-CSIRT)等国际组织开展多边交流与合作。另外,联合国、国际电信联盟(ITU)、亚太经合组织(APEC)、上合组织等国际政府间合作组织,也都已经将CERT组织合作纳入到有关工作或文件。

一、国际和区域组织

  • FIRST介绍
    FIRST成立于1990年,是全球网络安全应急响应领域的联盟。FIRST现有成员520个,来自美国、俄罗斯、英国、德国、澳大利亚、中国、巴西等95个经济体,是预防和处置网络安全事件的国际联合会,通过向成员提供可信的联系渠道、分享最佳实践和工具等途径,促进成员间对网络安全事件的快速响应。
    FIRST按照其制定的运行原则和规章开展工作,对其成员的组织运行等不存在任何控制权力。FIRST下设董事会和秘书处。董事会由10人组成,任期两年,由成员选举产生,负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护,财务管理,以及年会的筹办等工作。CNCERT于2002年成为FIRST的正式成员。
  • APCERT介绍
    APCERT成立于2003年,是亚太地区计算机应急响应组织的联盟。APCERT现有成员30个,来自中国、澳大利亚、日本、韩国、马来西亚等21个经济体,其目标是通过国际合作帮助建立亚太地区安全、干净、可信的网络空间。

APCERT按照其制定的运行原则和规章开展工作,对其成员的组织运行等不存在任何控制权力。APCERT下设指导委员会和秘书处。指导委员会由7个成员组织组成,任期两年,由成员选举产生,负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护等工作。CNCERT是APCERT的发起组织之一,现任APCERT副主席职务、APCERT指导委员会委员,是APCERT信息共享组的负责人。

二、国家级CERT情况

近年来随着世界各国更加深入地认识到网络安全对国家安全的重要影响力,以及跨境网络安全事件呈现日益增多的趋势,政府层面也开始从国家角度关注CERT组织的建设和发展,各国政府纷纷指定和建立本国的国家级CERT组织,作为国内外的主要联络点,负责协调处置涉及本国的网络安全事件和威胁。如2017年新西兰成立的NCSC-NZ。

多数国家指定一个CERT作为本国的国家级CERT,也有一些国家有两个国家级CERT,其中“CERT”负责国家的基础网络安全,而“GovCERT”负责政府的网络安全。近年来,新出现不同于“CERT”或“GovCERT”的国家级CERT名称:“NCSC”(National Cyber Security Center,国家赛博安全中心)。如荷兰的NCSC-NL、芬兰的NCSC-FI、英国NCSC、澳大利亚ACSC(澳大利亚网络安全中心)。

多数国家的国家级CERT隶属于本国的通信信息主管部门,如日本JPCERT、韩国KrCERT、新加坡SingCERT、马来西亚Cybersecurity Malaysia、印度尼西亚ID-SIRTII、柬埔寨CamCERT、哈萨克斯坦KZ-CERT、乌兹别克斯坦CERT.UZ、德国CERT-Bund、西班牙CERTSI、罗马尼亚CERT-RO、巴西CERT.br。也有部分国家的CERT比较特殊,如美国CISA隶属于美国国土安全部,俄罗斯GOV-CERT.RU隶属于俄罗斯联邦安全局。
* 美国CISA
网络安全和基础设施安全局(CISA)是国家的风险顾问机构,与合作伙伴一道捍卫网络安全威胁,并合作建立更安全,更具弹性的基础设施。CISA提供网络安全和基础设施安全支持和实践,实现风险管理,保护国家的基本资源。2018年11月特朗普总统签署了《 2018年网络安全和基础设施安全局法》,提高了国土安全部(DHS)内前国家保护和计划局(NPPD)的使命,并建立了CISA ,其中包括国家网络安全和通信集成中心(NCCIC)。在CISA成立之前,NCCIC在2017年调整了组织结构,整合了以前由美国计算机应急准备小组(US-CERT)和工业控制系统网络应急小组(ICS-CERT)独立执行的职能。
* 英国NCSC
2017年英国国家网络安全中心(NCSC)经女王伊丽莎白二世揭幕宣告正式成立。该中心是为了《网络安全战略》和《英国数字化战略》的指导工作而生,由三个网络安全组织合并而成,分别是网络评估中心、计算机应急响应小组和情报机构政府通信总部的信息安全小组。此外,它也涉及国家基础设施保护中心与网络相关的部分工作。英国NCSC从事以下各类项目:增强电子邮件的安全性;扫描公共组织的系统漏洞;鼓励创新身份认证模式;开展默认安全伙伴计划;自动过滤实现网络保护;完善软件生态系统;减少攻击和应对安全事件以及在研究、创新和技能上提升网络安全能力等。
* 澳大利亚ACSC
澳大利亚网络安全中心(ACSC)于2014年开始运营。作为2017年独立情报评估的一部分,澳大利亚政府指出需要提供增强的网络安全能力,以及对网络安全的建议和支持。2018年7月1日,联合网络安全计划将与CERT Australia一起过渡到ACSC,并将成为ACSC与行业合作的重要项目,ACSC扩大并正式成为澳大利亚信号局(ASD)的一部分。ACSC总部设在堪培拉,在全国各地设有办事处。ACSC是澳大利亚政府在国家网络安全方面的牵头机构,具体职能包括:作为澳大利亚计算机应急响应小组(CERT)应对网络安全威胁和事件;与私营和公共部门合作,共享有关威胁的信息并增强抵御能力;与政府,行业和社区合作,提高网络安全意识;为所有澳大利亚人提供信息,建议和帮助。
* 韩国KrCERT
KrCERT/CC设立在韩国互联网振兴院(KISA),是韩国未来创造科学部指导下的国家级网络安全应急组织,负责韩国互联网网络安全事件的监测响应,致力于创造一个安全可靠的互联网使用环境,为韩国互联网和通信服务发展提供安全防护。韩国互联网振兴院(KISA)是2009年由韩国信息安全部门、韩国国家互联网发展部门和韩国IT国际合作部门等三个机构合并而成的一家公共机构,致力于促进韩国互联网发展,维护韩国互联网安全。其主要业务范围包括:互联网安全监测、事件投诉和处置、安全漏洞分析和处理、关键基础设施和重要信息系统安全防护、网络安全技术普及和意识宣传、PKI服务、下一代互联网应用、网络安全国际交流、网络安全培训和咨询服务。
* 马来西亚Cybersecurity Malaysia
Cybersecurity Malaysia是隶属于马来西亚科学技术创新部的国家网络安全专门机构。1997年,它作为马来西亚应急响应组织(MyCERT)开始运作,1998年成为国家ICT安全和应急响应中心(NISER),2007年NISER又经历一次转型,更名为Cybersecurity Malaysia。其主要职责是:运行面向马来西亚互联网用户的Cyber999TM帮助中心;提供网络安全领域的安全提示、咨询和专门服务,如数字取证和无线网络安全等;运行专业的认证培训机构,并且是ISO15408通用标准在马来西亚的唯一认证机构。
* 中国CNCERT
国家计算机网络应急技术处理协调中心(CNCERT/CC),成立于2001年8月,为非政府非盈利的网络安全技术中心,是中国计算机网络应急处理体系中的牵头单位。作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保障关键信息基础设施的安全运行。

三、国际网络安全应急响应体系

各国国家级CERT组织作为本国网络安全威胁和事件的应急联络点,在国内和国际两个层面开展协调和沟通工作。一方面,作为国内网络安全应急体系中的牵头单位,通过组织网络安全企业、学校、社会组织和研究机构,协调运营商、域名服务机构和其他应急组织等,构建本国的网络安全应急体系,共同处理各类互联网重大网络安全事件,分析本国的网络安全威胁态势。另一方面,在国际上作为本国的网络安全应急联络点,分享网络安全威胁信息,协调处置跨境网络安全事件,净化互联网环境。国际网络安全应急响应体系由各国的网络安全应急响应组织共同协调工作组成,主要具有以下职能:
* 威胁和事件发现
部分能力较强的网络安全应急响应组织可实现对网络安全威胁和事件的自主监测。大部分组织还通过与国内外合作伙伴进行数据和信息共享,以及通过事件接受渠道等接收国内外用户的网络安全事件报告等多种渠道发现网络攻击威胁和网络安全事件。
* 预警通报
网络安全应急响应组织通过对掌握的网络安全威胁和事件资源的综合分析,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等,为其用户提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。
* 应急处置
对于发现和接收到的事件及时响应并积极协调处置,每个组织都有各自规范的事件处置流程,大体包括事件投诉、受理、处置和反馈几个环节。
* 信息共享
网络安全应急响应组织间相互共享掌握的网络安全威胁和事件信息。部分国家级CERT组织还承担着本国网络安全信息共享的中枢职能,收集各企业、基础设施部门、政府部门的相关威胁和事件信息,进行分析研判等工作。同时,各网络安全应急响应组织还通过国际或区域应急响应联盟的联系渠道或双边的联系方式就重大的跨境网络安全威胁和事件进行及时沟通、信息共享和等工作。
* 人才培养和意识提升
部分有能力的网络安全应急响应组织注重人才培养和意识提升工作,每年定期举办活动提高本机构或本国的网络安全意识水平和技术能力。包括举办网络安全年会、技术培训、应急演练、大赛等。

四、国内开展网络安全应急工作的重要性

随着信息技术的飞速发展和广泛应用,互联网深入到政治、社会、经济、国计民生的每一个领域。与此同时,网络安全事件频发,网络安全形势不容乐观。习总书记深刻指出,“没有网络安全就没有国家安全”。网络安全事关国家安全和国家发展,事关广大人民群众工作生活。网络安全应急工作作为网络安全工作的重要一环,已纳入国家网络安全顶层设计。做好网络安全事件应急工作,快速、有效处置网络安全事件,预防和减少网络安全事件带来的损失和危害,是维护国家安全和社会稳定的现实需要。

近年来,我国高度重视网络安全应急工作,将网络安全应急工作上升到国家战略高度,并在体制、机制和立法等方面取得了一定进展。一是我国将网络安全应急工作上升到国家战略高度。2016年12月,我国发布首份《国家网络空间安全战略》。战略中明确规定,“⋯⋯完善网络安全监测预警和网络安全重大事件应急处置机制”。这就为我国网络安全应急工作指明了方向和重点,作出了重要战略部署。二是出台《中华人民共和国网络安全法》,从立法高度明确网络安全应急工作机制。三是,我国网络安全事件应急预案体系初步建立。近年来,我国各地区各行业纷纷制定了地区和行业的网络安全事件应急预案,为网络安全应急处置工作提供了标准和依据。四是,我国网络安全应急演练普遍开展。为检验网络安全应急预案的有效性,细化网络安全事件应急处置流程,各地区各行业定期或不定期开展了网络安全应急演练。

国家计算机网络应急技术处理协调中心(CNCERT/CC),作为中国计算机网络应急处理体系中的牵头单位,通过组织网络安全企业、学校、社会组织和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建中国互联网安全应急体系,共同处理各类互联网重大网络安全事件。CNCERT还发挥行业联动合力,发起成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA),与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立漏洞信息共享、网络病毒防范、威胁治理和情报共享等工作机制,加强网络安全信息共享和技术合作。同时,CNCERT开展网络安全国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制。截至2019年,CNCERT已与78个国家和地区的260个组织建立了“CNCERT国际合作伙伴”关系。CNCERT还是国际事件应急响应和安全组织FIRST的成员,以及亚太应急组织APCERT的副主席,还积极参加亚太经合组织、国际电联、上合组织、东盟、金砖等政府层面国际和区域组织的网络安全相关工作。通过构建的国内国外网络安全应急响应联系体系,CNCERT成功处置了wannacry勒索病毒、某电商服务器遭受持续性DDoS攻击、中国某些银行无法访问的事件等,极大降低了我国政府部门、企业和公众的损失,同时增进国家间的互信,促进国际社会对我国互联网管理政策和思路的理解和认识,树立我大国负责任形象。

网络安全应急工作是一项系统性、综合性工作,应在国家、地方、行业密切配合、相互协同,社会公众和社会力量的广泛参与的基础上,通过强化网络安全事件应急的体制、机制和法制建设,应急技术提升、人才队伍建设,以及应急培训、演练、意识提升活动等基础性工作,加快提升我国网络安全事件预防和应急处置能力,为我国的国家安全保驾护航。

流程

一、网络安全应急响应建设的背景和现状

当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构、企业也根据自身情况,设计了服务于自身的网络与信息安全应急预案,建立有相应的制度流程和保障队伍,但相关的应急流程和保障措施普遍存在有自动化程度低、与实践脱节等共性问题。在面对重大网络与信息安全事件时,现有机制还是凸显出一定的不足:机制尚显薄弱,难以有效整合资源,或是难以实现从预警到评判再到应急处置的快速反应处置机制。
基于现实困境,在充分运用既有研究、建设成果的基础上,应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程,确保一旦发生重大信息安全事件,能够迅速研判,形成预案,迅速指挥调度相关部门执行应急预案,做好应对措施,避免给国家和社会造成重大影响和损失,防止威胁国家安全的情况发生。

二、网络安全应急响应体系的要素

建立良好的网络安全应急保障体系,使其能够真正有效地服务于网络安全保障工作,应该重点加强以下几方面的能力。
(一)综合分析与汇聚能力
网络安全领域的应急保障,有其自身较为明显的特点,其对象灵活多变、信息复杂海量,难以完全靠人力进行综合分析决策,需要依靠自动化的现代分析工具,实现对不同来源海量信息的自动采集、识别和关联分析,形成态势分析结果,为指挥机构和专家提供决策依据。完整、高效、智能化,是满足现实需求的必然选择。因此,应有效建立以信息汇聚(采集、接入、过滤、范化、归并)、管理(存储、利用、管理)、分析(基础分析、统计分析、业务关联性分析、技术关联性分析)、发布(多维展现)等为核心的完整能力体系,在重大信息安全事件发生时,能够迅速汇集各类最新信息,形成易于辨识的态势分析结果,最大限度地为应急指挥机构提供决策参考依据。
(二)综合管理能力
伴随着互联网的飞速发展,网络安全领域相关的技术手段不断翻新,对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中,应注重用信息化手段建立完整的业务流程,注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。
要切实认识到数据资源管理的重要性,结合日常应急演练和管理工作,做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作,在应急处理流程中,能够依托自动化手段,针对具体事件的研判处置推送关联性信息,不断丰富数据资源。
(三)处理网络安全日常管理与应急响应关系的能力
网络安全日常管理与应急响应有较为明显的区别,其主要体现在以下3个方面。
1、业务类型不同。日常管理工作主要包括对较小的信息安全事件进行处置,组织开展应急演练工作等,而应急响应工作一般面对较严重的信息安全事件,需要根据国家政策要求,进行必要的上报,并开展或配合开展专家联合研判、协同处置、资源保障、应急队伍管理等工作。
2、响应流程不同。日常管理工作中,对较小事件的处理在流程上要求简单快速,研判、处置等工作由少量专业人员完成即可。而应急响应工作,需要有信息上报、联合审批、分类下发等重要环节,响应流程较为复杂。
3、涉及范围不同。应急响应工作状态下,严重的网络安全事件波及范围广,需要较多的涉事单位、技术支撑机构和个人进行有效协同,也需要调集更多的应急资源进行保障,其涉及范围远大于日常工作状态。
然而,网络安全日常管理与应急工作不可简单割裂。例如,两者都需要建立在对快速变化的信息进行综合分析、研判、辅助决策的基础之上,拥有很多相同的信息来源和自动化汇聚、分析手段。同时,日常工作中的应急演练管理、预案管理等工作,本身也是应急响应能力建设的一部分。因此,在流程机制设计、自动化平台支撑等方面,应充分考虑2种工作状态的联系,除对重大突发网络安全事件应急响应业务进行能力设计实现外,还应注重强化对日常业务的支撑能力,以能够最大限度地发挥管理机构能力和效力。
(四)协同作战能力
研判、处置重大网络信息安全事件,需要多个单位、部门和应急队伍进行支撑和协调,需要建设良好的通信保障基础设施,建立顺畅的信息沟通机制,并通过经常开展应急演练工作,使各单位、个人能够在面对不同类型的事件时,熟悉所承担的应急响应角色,熟练开展协同保障工作。

三、网络安全事件的应急响应流程

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多,网络边界不断扩大,网络安全管理的难度日趋增大,各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展,但实践证明,现实中再完备的安全保护也无法抵御所有危险。因此,完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。
(一)网络安全应急响应六大阶段
为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学(最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出),将应急响应分成准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段的工作,并根据网络安全应急响应总体策略对每个阶段定义适当的目的,明确响应顺序和过程。
(二)网络安全事件分阶段响应流程
1、准备阶段
选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具,为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘(或CD−ROM)使机器以已知的预先设定的配置重新启动,这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。
为了防止不可预期的变化,在试验机器上安装可信任版本的系统;为了避免有意或无意的破坏,所有的介质应该处于硬件写保护状态。
建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。建立资源工具包并准备相关硬件设备资源工具包,包含在响应过程中可能要使用的所有工具。确保测试系统正确配置且可用在任何分析或测试中,使用被入侵的系统都可能导致这些系统进一步地暴露和损害。已被入侵的系统产生的任何结果都是不可靠的。此外,采用这样的系统或许会由于恶意程序而暴露正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中,并且部署新安装的打过补丁的安全系统,以便继续运行。在完成分析后,清除所有的磁盘,这样可以确保任何残留文件或恶意程序不影响将来的分析,或任何正在测试系统上进行的工作,或无意中被传到其他运行系统中。这在测试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果,以备将来进一步分析。
2、检测阶段
检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作,分析所有可能得到的信息来确定入侵行为的特征。
一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵,需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹,进一步破坏准备拯救的系统。这会使分析无法进行下去。
备份并“隔离”被入侵的系统,进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志,确定攻击者的入侵路径和方法,以及入侵者进入系统后都做了什么。
在当前缺少安全预警机制的情况下,网络安全的应急响应活动主要还是立足于事中或事后的确认,而且,即使是在事中或事后,也不一定可以发现存在的安全问题,往往都是在已经造成了破坏之后,才发生了对系统可用性、完整性和保密性造成明显破坏的行为或者有了用户投诉后才会去了解发生的安全问题。
一般典型的事故现象包括:
(1)账号被盗用;
(2)骚扰性的垃圾信息;
(3)业务服务功能失效;
(4)业务内容被明显篡改;
(5)系统崩溃、资源不足。
3、抑制阶段
抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响,最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是,一般情况下攻击包都会伪造源IP地址,在Internet这样的大型网络环境中难以确定攻击流的真正来源,因此,要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。
抑制采用的方式可能有多种,常见的包括:
(1)关掉已受害的系统;
(2)断开网络;
(3)修改防火墙或路由器的过滤规则;
(4)封锁或删除被攻破的登录账号;
(5)关闭可被攻击利用的服务功能。
4、根除阶段
根除阶段的主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。
对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。
主动方式是采用攻击诱骗技术,通过让攻击方去侵入一个受监视存在漏洞的系统,直接观察到攻击方所采用的攻击方法。
被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。
(1)系统异常行为分析:这是在维护系统及其环境特征白板的基础上,通过与正常情况做比较,找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码。
(2)日志审计:日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。
(3)入侵监测:对于还在进行的攻击行为,入侵监测方式通过捕获并检测进出系统的数据流,利用入侵监测工具所带的攻击特征数据库,可以在事件分析过程中帮助定位攻击的类型。
(4)安全风险评估:无论是利用系统漏洞进行的网络攻击还是感染病毒,都会对系统造成破坏,通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。
但是,在实际的事件分析过程中,往往会综合采用被动和主动的事件分析方法。特别是对于在网上自动传播的攻击行为,当采用被动方式难以分析出事件根本原因的时候,采用主动方式往往会很有效。
最后,改变全部可能受到攻击的系统的口令、重新设置被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序(包括应用服务)和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露程度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。
5、恢复阶段
恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。
6、跟踪阶段
跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息,进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵,基于入侵的严重性和影响,确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要,参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。
跟踪阶段的工作主要包括3个方面的内容。
(1)形成事件处理的最终报告。
(2)检查应急响应过程中存在的问题,重新评估和修改事件响应过程。
(3)评估应急响应人员相互沟通在事件处理上存在的缺陷,以促进事后进行有针对性的培训。

四、结语

当今时代,互联网的飞速发展使各国面临的信息安全形势日趋严峻。在复杂多变的网络与信息安全形势下,必须从经济发展、社会稳定、国家安全、公共利益的高度,充分认识网络与信息安全应急保障工作的重要性,高度重视并切实做好应急准备工作。
较大的网络与信息安全事件时有发生,重大、特别重大的网络与信息安全事件也随时有可能发生。必须做好应急准备工作,建设快速有效的现代化应急协同机制,确保一旦发生重大网络与信息安全事件,能够快速根据相关信息,组织研判,迅速指挥调度相关部门执行应急预案,做好应对,避免给国家和社会造成重大影响和重大损失。
为最大限度科学、合理、有序地处置网络安全事件,采纳了业界经典的PDCERF方法学,将应急响应分成准备、检测、抑制、根除、恢复、总结6个阶段的工作。

基础知识

风险评估

风险评估(Risk Assessment)是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。那么网络安全中的风险评估是指那些呢,下面从以下几点入手学习
* 目的
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。
* 范围
基于风险评估目标确定风险评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
* 依据
根据系统调研结果,确定评估依据和评估方法。 
评估依据包括(但不限于):现有国际或国家标准、行业主管机关的业务系统的要求和制度、系统互联单位的安全要求、系统本身的实时性或性能要求等。 
根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。
* 流程

1.png
* 资产
资产是具有价值的信息或资源,它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不仅仅以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。 
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。

3.png
* 威胁
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。 
在对威胁进行分类前,应考虑威胁的来源

4.png
对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁分为以下几类。

5.png

  • 计算
    风险计算原理,以下面的范式形式化加以说明: 
    风险值=R(A,T,V)= R(L(T,V),F(Ia,Va )) 
    其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节: 
    1、计算安全事件发生的可能性  
    根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即: 安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V ) 
    在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。  
    2、计算安全事件发生后的损失  
    根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失,即: 安全事件的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va ) 
    部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。 
    部分安全事件损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。 
    3、计算风险值  
    根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即: 风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va )) 评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系;相乘法通过构造经验函数,将安全事件发生的可能性与安全事件的损失进行运算得到风险值。
  • 判定
    为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可以将风险划分为一定的级别,如划分为五级或三级,等级越高,风险越高。 
    评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度

    2.png

分级分类

网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
* 符合下列情形之一的,为特别重大网络安全事件:
1.重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
* 符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
1.重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
* 符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
1.重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
3.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
* 除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。

网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。
* Ⅰ级响应
  属特别重大网络安全事件的,及时启动I级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。应急办24小时值班。
  有关省(区、市)、部门应急指挥机构进入应急状态,在指挥部的统一领导、指挥、协调下,负责本省(区、市)、本部门应急处置工作或支援保障工作,24小时值班,并派员参加应急办工作。
  有关省(区、市)、部门跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急办。指挥部对应对工作进行决策部署,有关省(区、市)和部门负责组织实施。
* Ⅱ级响应
网络安全事件的Ⅱ级响应,由有关省(区、市)和部门根据事件的性质和情况确定。
(1)事件发生省(区、市)或部门的应急指挥机构进入应急状态,按照相关应急预案做好应急处置工作。
(2)事件发生省(区、市)或部门及时将事态发展变化情况报应急办。应急办将有关重大事项及时通报相关地区和部门。
(3)处置中需要其他有关省(区、市)、部门和国家网络安全应急技术支撑队伍配合和支持的,商应急办予以协调。相关省(区、市)、部门和国家网络安全应急技术支撑队伍应根据各自职责,积极配合、提供支持。
(4)有关省(区、市)和部门根据应急办的通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
* Ⅲ级、Ⅳ级响应
事件发生地区和部门按相关预案进行应急响应。

重大案件

2019年网络安全事件回顾(国内篇)

2019年, 随着我国数字化转型的深入发展,云安全成为互联网经济运转的基石,关键信息基础设施安全则成为社会生活稳定的有力保障,信息数据已从资产保护对象成为重要的经济生产工具,数据安全面临着前所未有的威胁。数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化,个人安全意识缺乏、企业安全投入不足,也加重了网络安全事件所带来的损失和影响。
* 超2亿中国求职者简历疑泄露,数据“裸奔”将近一周
2019年1月,HackenProof的网络安全人员Bob Diachenko在推特上爆料称,一个包含2.02亿中国求职者简历信息的数据库泄露,被称为中国有史以来最大的数据曝光之一。
据称,包含854GB数据的MongoDB数据库无人看管,处于不受保护的状态。共计202,730,434条简历详尽记录了大量敏感信息,包括个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、过去的工作经验等等。
该机构通过对比简历的数据模式,发现GitHub项目xzfan/data-import(目前该项目已经被删除)疑似为收集这些简历数据的爬虫。该爬虫会收集来自国内多个求职平台的简历。
* 拼多多现优惠券漏洞,遭黑产团伙盗取数千万元
2019年1月20日凌晨,拼多多被曝出现重大BUG,用户可领100元无门槛券。网友称“有大批用户开始‘薅羊毛’,一晚上200多亿都是话费充值”。
当天上午9点,拼多多已经把100元无门槛优惠券的领取方式全部下架,之前领到未使用的优惠券也全部下架。
在“薅羊毛”事件发生几个小时后,1月20日中午12点,认证为拼多多微博客服的@拼多多客户服务终于对此事发布了官方回应《关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明》,声明全文如下:
1月20日晨,有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。针对此行为,平台已第一时间修复漏洞,并正对涉事订单进行溯源追踪。同时我们已向公安机关报案,并将积极配合相关部门对涉事黑灰产团伙予以打击。
* 京东金融APP被曝获取用户隐私
2019年2月16日凌晨,一网友在微博发布视频称,京东金融APP疑似会获取用户的截图和照片并上传。京东金融随后回应称,图片缓存为方便客户投诉或建议使用,不会上传京东金融后台,不会未经允许获取手机用户隐私。
该微博网友发布的视频显示,京东金融APP在手机后台运行期间,该网友打开手机中的一个银行APP并进行了页面截图。随后,该网友在手机文件管理器中,打开京东金融APP的文件目录,在一个文件夹中找到了刚刚保存的银行APP页面截图。不久后,该网友再次发布一个视频显示,京东金融APP在手机后台运行期间,用手机其他应用拍摄照片,也在京东金融的文件目录中找到。该网友发布视频之后,多位网友使用同样的操作,也得到相似的结果。
上述事件在微博获得广泛关注,2月17日,“京东金融客服”官方发布声明称,图片缓存为方便客户投诉或建议使用,不会上传京东金融后台,不会未经允许获取手机用户隐私。经排查,发现安卓系统上的APP5.0.5以后版本存在该问题,并已定位问题且下线修复,该功能属于需求错误开发。
* 抖音千万级账号遭撞库攻击,牟利百万黑客被捕
2019年2月,北京字节跳动公司向海淀警方报案,其公司旗下抖音APP,遭人拿千万级外部账号密码恶意撞库攻击,其中上百万账号密码与外部已泄露密码吻合。
字节跳动系统实时监测到攻击后,为防止黑客利用撞出账户实施不法行为,字节跳动公司通过安全系统,实时对所有疑似被盗账号设置了短信二次登陆验证。
经警方侦查,发现湖北籍男子汪某有重大作案嫌疑,5月底,海淀警方将汪某在家中抓获。据了解,汪某毕业后一直无业,便利用其掌握的计算机能力,控制了多个热门网络平台的大量账号,随后通过在网上承接点赞刷量、发布广告等业务牟利。同时汪某还编写了大量撞库代码,对目前网络上比较热门的网络平台进行撞库,然后控制撞库获取的账户,累计获利上百万元。
* 阿里云宕机致大波互联网公司网站瘫痪
2019年3月3日凌晨,有不少网友微博上反馈称阿里云疑似出现了宕机故障,造成购买阿里云服务的企业网站或APP无法正常使用。
凌晨2点37分,阿里云官方回应称,宕机原因为“华北2地域可用区C部分ECS服务器等实例出现IO HANG”,经紧急排查处理后逐步恢复。并已经全面排查其他地域及可用区,未发现此类情况。
此外,阿里还表示,“针对本次故障,我们将根据SLA协议,尽快处理赔偿事宜。”
* 境外黑客利用勒索病毒攻击部分政府和医院机构
2019年3月13日,有消息显示,我国部分政府部门和医院等公立机构遭遇到国外黑客攻击。此次攻击中,黑客组织利用勒索病毒对上述机构展开邮件攻击。
从2019年3月11日起,境外不明黑客组织对我国部分政府部门开展勒索病毒邮件攻击。这些邮件的标题是“你必须在3月11日下午3点向警察局报到!”,这些邮件的发件者名为“Min,GapRyong”(部分部门反映还有其他的假冒发件人约70多个),另外这些邮件中无一例外都附有名为“03-11-19.rar”的压缩文件,而不明真相者一旦打开这些附件将会中招。
另外,据了解,多个政府单位和企业收到了紧急通知,湖北省宜昌市夷陵区政府、中国烟草旗下福建武夷烟叶有限公司、中国科学院金属研究所等在其官网发布了上述消息。腾讯、360等互联网安全公司发布了预警信息。
* 华硕超百万用户可能感染恶意后门
2019年3月,俄罗斯卡巴斯基实验室发现了一项新型的复杂APT攻击行动,该行动可能通过一个后门应用程序感染了超过一百万的华硕用户。
去年6月至11月期间,一群黑客成功劫持了ASUS Live自动软件更新服务器,并推动恶意更新,在全球超过一百万台Windows计算机上安装后门。
在分析了200多个恶意更新样本后,研究人员发现,黑客不希望以所有用户为目标,而只是针对由其唯一MAC地址识别的特定用户列表,这些用户被硬编码到恶意软件中。
根据卡巴斯基的说法,至少有57,000名卡巴斯基用户下载并安装了华硕Live Update的后门版本。卡巴斯基已经向华硕和其他反病毒公司通报了此次袭击事件的调查。
华硕回应称,此事件已在华硕的管理及监控之中,媒体报道华硕Live Update工具程序可能遭受特定APT集团攻击,APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证,目前受影响的数量是数百台,大部分的消费者用户原则上并不属于APT集团的锁定攻击范围。
* 湖北首例入侵物联网系统案告破,十万设备受损
2019年5月,湖北警方经过50余天侦查,成功破获湖北省首例入侵物联网破坏计算机信息系统的刑事案件,抓获两名犯罪嫌疑人。
据警方介绍,3月21日至22日,位于光谷总部国际的“微锋”(化名)科技有限公司的多台物联网终端设备出现故障:自助洗衣机、自助充电桩、自助吹风机、按摩椅、摇摇车、抓娃娃机等均脱网无法正常运行。经统计,共100余台设备被恶意升级无法使用、10万台设备离线,造成了重大经济损失。
接报案后,网警通过对故障设备的源代码进行解密,对公司服务器日志进行取证分析。原来从3月21日20时开始,公司服务器收到了大量的伪造离线报文,通过溯源分析,网警发现“微天地”科技公司谢某、王某有重大作案嫌疑。
5月13日,民警在位于东湖新技术开发区精工科技园的“微天地”科技公司抓获谢某、王某。经审查核实,谢某系“微锋”公司前员工,2018年初离职时带走了该公司产品的设计源代码,后与王某共同成立了“微天地”科技公司,成为“微锋”公司的行业竞争对手。谢某、王某为提高自己公司产品的市场占有率,破解了“微锋”公司的物联网服务器,利用系统漏洞将终端设备恶意升级,导致100余台设备系统损坏,无法正常工作;同时模拟终端设备,以每秒3至4千条的速度给服务器发送伪造离线报文,导致10万台设备离线。
* 易到用车服务器遭攻击,黑客勒索巨额比特币
2019年5月26日,易到用车官网瘫痪,App也无法正常使用。易到用车官方发布微博称:“2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。我们的相关技术人员正在努力抢修。
我们严厉谴责这种不法行为,并已向北京网警中心报案,并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案,希望广大用户能够理解和保持耐心等待。“此前便有用户遇到过账户余额被强制清零,默认支付方式也从余额支付被改为微信支付或支付宝支付的情况。但易到用车表示:“是乘客端APP发生了系统故障。”
盗币880万元!广东警方打掉一盗取游戏币的黑客团伙
2019年6月,广东警方打掉一个特大黑客团伙,该团伙入侵破坏某游戏公司计算机信息系统,盗取游戏虚拟货币60亿金,折合人民币价值约880万元。
2019年3月1日,珠海市高新区某知名游戏企业向公安机关报案称,有不法分子利用黑客技术侵入该公司研发的一款热门游戏后台系统,盗取大量游戏虚拟货币,案值约880万元。接报后,珠海警方对此立案侦查。
经查,不法分子利用该游戏的竞争漏洞,通过黑客软件进行入侵,比如在游戏发放红包时,复制一份“红包”到自己账户,从而盗取游戏中的虚拟货币。办案民警介绍,该游戏为PC端角色类游戏,1元人民币大约可换取500到700的虚拟游戏币。该团伙在盗取了游戏虚拟货币后,再卖给其他游戏玩家获利。
经审讯,该团伙的犯罪嫌疑人多为90后,学历文化程度较高。唐某是一名资深游戏玩家,通过在网站论坛跟国外黑客接触,让其帮忙制作黑客程序。其团伙成员则通宵开工,使用黑客软件攻击入侵游戏后台系统,并用一些技术修改地址来逃避打击。

攻击趋势

《网络攻击趋势:2020 年上半年报告》揭示了犯罪分子如何利用疫情主题发起针对所有部门的攻击,并重点强调了国家级网络活动的激增。

近日,全球领先的网络安全解决方案提供商 CheckPoint 软件技术有限公司(纳斯达克股票代码:CHKP)今天发布了《网络攻击趋势:2020 年上半年报告》,报告揭露了出于犯罪、政治和国家动机的攻击者如何利用新冠肺炎疫情及其相关主题发起针对所有部门组织(包括政府、工业、医疗、服务提供商、关键基础设施和消费者)的攻击。

与新冠肺炎疫情相关的网络钓鱼和恶意软件攻击急剧增加,从 2 月份的每周不足 5,000 次激增至 4 月下旬的每周超过 20 万次。此外,在 5 月和 6 月,随着各国开始解除防疫封禁措施,攻击者随之加大了与新冠肺炎疫情相关的攻击。与 3 月和 4 月相比,6 月底全球所有类型的网络攻击增加了 34%。

报告中揭示的主要趋势包括:

  • 网络战升级:随着世界各国试图收集有关疫情的情报或破坏竞争对手对的疫情防控工作,今年上半年,国家级网络攻击的强度和严重程度均出现飙升。这种攻击扩展到了医疗和人道主义组织,例如世界卫生组织,该组织报告称攻击数量增加了 500%。
  • 双重勒索攻击:2020年,一种新型勒索软件攻击被广泛使用,攻击者在窃取大量数据之后会对其进行加密。如果受害者拒绝支付赎金,则会遭到数据泄露威胁,从而被迫满足网络犯罪分子的要求。
  • 移动攻击:攻击者一直在寻找新的移动感染媒介,改进其技术以绕过安全防护措施并将恶意应用植入官方应用商店中。在另一种创新攻击中,攻击者利用大型国际公司的移动设备管理 (MDM) 系统来将恶意软件分发到其托管的 75% 的移动设备中。
  • 云暴露:疫情期间向公有云的快速迁移导致针对敏感云工作负载和数据的攻击有所增加。 攻击者也在利用云基础设施来存储其恶意软件攻击中使用的恶意有效载荷。 今年 1 月,Check Point 研究人员在 Microsoft Azure 中发现了业界首个严重漏洞,该漏洞允许黑客破坏其他 Azure 租户的数据和应用,这表明公有云并非天生安全。
    Check Point 产品威胁情报与研究总监 Maya Horowitz 表示:“今年上半年,在全球奋力抗击新冠肺炎疫情之际,攻击者惯常的攻击模式发生改变并加速发展,利用人们对疫情的恐惧心理来为其攻击活动提供掩护。我们还发现新型重大漏洞和攻击向量,严重威胁着各个部门的组织安全。安全专家需要了解这些快速发展的威胁,以确保其组织在 2020 下半年能够得到最高保护。”

2020 年上半年的主要恶意软件
* Emotet(影响全球 9% 的组织) – Emotet 是一种能够自我传播的高级模块化木马。Emotet 最初是一种银行木马,但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。 此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
* XMRig (8%) - XMRig 是一种用于挖掘门罗币加密货币的开源 CPU 挖矿软件。攻击者经常滥用此开源软件,并将其集成到恶意软件中,从而在受害者的设备上进行非法挖矿。
* AgentTesla (7%) - AgentTesla 是一种高级远程访问木马 (RAT),常被用作键盘记录器和密码窃取器,自 2014 年以来一直活跃至今。AgentTesla 能够监控和收集受害者的键盘输入与系统剪贴板,并能够记录截图和窃取受害者设备上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的证书。AgentTesla 在各种在线市场和黑客论坛上均有出售。

2020 年上半年的主要加密货币挖矿软件
* XMRig(全球 46% 的加密货币挖矿活动均与其有关) - XMRig 是一种开源 CPU 挖矿软件,用于门罗币加密货币的挖掘,于 2017 年 5 月首次出现。攻击者经常滥用此开源软件,并将其集成到恶意软件中,从而在受害者的设备上进行非法挖矿。
* Jsecoin (28%) - Jsecoin 是一种基于 Web 的加密货币挖矿软件,可在用户访问特定网页时执行门罗币加密货币在线挖掘操作。植入的 JavaScript 会利用最终用户设备上的大量计算资源来挖矿,从而影响系统的性能。JSEcoin 已于 2020 年 4 月停止活动。
* Wannamine (6%) - WannaMine 是一种利用“永恒之蓝”漏洞进行传播的复杂的门罗币加密挖矿蠕虫。WannaMine 通过利用 Windows Management Instrumentation (WMI) 永久事件订阅来实施传播机制和持久性技术。

2020 年上半年的主要移动恶意软件
* xHelper(24% 的移动恶意软件攻击与其有关)- xHelper 是一种 Android 恶意软件,主要显示侵入式弹出广告和通知垃圾邮件。 由于其具有重新安装功能,安装之后将难清除。xHelper 于 2019 年 3 月首次发现,到目前为止已感染了超过 4.5 万台设备。
* PreAMo (19%) - PreAMo 是一种针对 Android 设备的点击器恶意软件,于 2019 年 4 月首次发现。 PreAMo 通过模仿用户并在用户不知情的情况下点击广告来产生收入。该恶意软件是在 Google Play 上发现的,在六个不同的移动应用中被下载超过 9,000 万次。
* Necro (14%) - Necro 是一种 Android 木马植入程序,它可下载其他恶意软件、显示侵入性广告,并通过收取付费订阅费用骗取钱财。

2020 年上半年的主要银行恶意软件
* Dridex(27% 的银行恶意软件攻击与其有关)- Dridex 是一种针对 Windows PC 的银行木马。它由垃圾邮件活动和漏洞利用工具包传播,并依靠 WebInjects 拦截银行凭证并将其重定向到攻击者控制的服务器。Dridex 不仅能够联系远程服务器,发送有关受感染系统的信息,而且还可以下载并执行其他模块以进行远程控制。
* Trickbot (20%) - Trickbot 是一种针对 Windows 平台的模块化银行木马,主要通过垃圾邮件活动或其他恶意软件家族(例如 Emotet)传播。
* Ramnit (15%) - Ramnit 是一种模块化银行木马,于 2010 年首次发现。Ramnit 可窃取 Web 会话信息,支持攻击者窃取受害者使用的所有服务的帐户凭证,包括银行帐户以及企业和社交网络帐户。

资料来源

  • 《信息安全风险评估指南》
  • 《信息系统安全等级保护测评准则》
  • 《计算机信息系统安全等级保护划分准则》
  • 《中国信息安全》杂志2020年第3期
  • 《计算机与网络安全》
  • 2019年网络安全事件回顾(国内篇)
  • 《Cyber Attack Trends: 2020 Mid-Year Report》

相关推荐: 浅谈Springboot中的文件上传

引言   在JavaWeb应用中,任意文件上传一直是关注的重点,攻击者通过上传恶意jsp文件,可以获取服务器权限。但是在Springboot框架对JSP解析存在一定的限制。Spring官方原文如下,大概意思是jsp对内嵌的容器的支持不太友好…