CNCERT发布2016年我国互联网网络安全态势综述

发布于 2017-04-20 10:02:03 阅读 47 帖子 0


CNCERT发布2016年我国互联网网络安全态势综述

中国科技网讯(记者宋莉)4月19日,国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称“CNCERT”)发布《2016年我国互联网网络安全态势综述》,在对我国互联网宏观安全态势监测的基础上,结合网络安全预警通报、应急处置工作实践成果,着重分析和总结了2016年我国互联网网络安全状况,并预测2017年网络安全热点问题。 

一、2016年我国互联网网络安全监测数据分析 

CNCERT持续对我国网络安全宏观状况开展抽样监测,2016年,移动互联网恶意程序捕获数量、网站后门攻击数量以及安全漏洞收录数量较2015年有所上升,而木马和僵尸网络感染数量、拒绝服务攻击事件数量、网页仿冒和网页篡改页面数量等均有所下降。 

据抽样监测,2016年约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机,控制服务器数量较2015年下降8.0%,境内感染主机数量较2015年下降了14.1%。。其中,来自境外的约4.8万个控制服务器控制了我国境内1499万余台主机,来自美国的控制服务器数量居首位,其次是中国香港和日本。 

在监测发现的因感染恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量4896个,其中规模在10万台以上的僵尸网络数量52个。 从我国境内感染木马和僵尸网络主机按地区分布数量分析来看,排名前三位的分别是广东省(占我国境内感染数量的13.4%)、江苏省(占9.2%)和山东省(占8.3%)。为有效控制木马和僵尸网络感染主机引发的危害,2016年,在工业和信息化部指导下,根据《木马和僵尸网络监测与处置机制》,CNCERT组织基础电信企业、域名服务机构等成功关闭1011个控制规模较大的僵尸网络。 

2016年,CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个,较2015年增长39.0%,近7年来持续保持高速增长趋势。按其恶意行为进行分类,前三位分别是流氓行为类、恶意扣费类和资费消耗类1,占比分别为61.1%、18.2%和13.6%。CNCERT发现移动互联网恶意程序下载链接近67万条,较2015年增长近1.2倍,涉及的传播源域名22万余个、IP地址3万余个,恶意程序传播次数达1.24亿次。 

2016年,CNCERT重点对通过短信传播,且具有窃取用户短信和通信录等恶意行为的“相册”类2安卓恶意程序及具有恶意扣费、恶意传播属性的色情软件进行监测,并开展协调处置工作。全年共发现此类恶意程序47316个,累计感染用户超过101万人,用于传播恶意程序的域名6045个,用于接收用户短信和通讯录的恶意邮箱账户7645个,用于接收用户短信的恶意手机号6616个,泄露用户短信和通讯录的邮件222万封,严重危害用户个人信息安全和财产安全。在工业和信息化部指导下,根据《移动互联网恶意程序监测与处置机制》,CNCERT组织邮箱服务商、域名注册商等积极开展协调处置工作,对发现的恶意邮箱账号、恶意域名等进行关停处置。 

二、2016年我国互联网网络安全状况 

近年来,随着我国网络安全法律法规、管理制度的不断完善,我国在网络安全技术实力、人才队伍、国际合作等方面取得了明显的成效。2016年,我国互联网网络安全状况总体平稳,网络安全产业快速发展,网络安全防护能力得到提升,网络安全国际合作进一步加强。但随着网络空间战略地 

位的日益提升,世界主要国家纷纷建立网络空间攻击能力,国家级网络冲突日益增多,我国网络空间面临的安全挑战日益复杂。 

域名系统安全状况良好,防攻击能力明显上升。2016年,我国域名服务系统安全状况良好,无重大安全事件发生。据抽样监测,2016年针对我国域名系统的流量规模达1Gpbs以上的DDoS攻击事件日均约32起,均未对我国域名解析服务造成影响,在基础电信企业侧也未发生严重影响解析成功率的攻击事件,主要与域名系统普遍加强安全防护措施,抗DDoS攻击能力显著提升相关。2016年6月,发生针对全球根域名服务器及其镜像的大规模DDoS攻击,大部分根域名服务器受到不同程度的影响,位于我国的域名根镜像服务器也在同时段遭受大规模网络流量攻击。因应急处置及时,且根区顶级域缓存过期时间往往超过1天,此次攻击未对我国域名系统网络安全造成影响。 

针对工业控制系统的网络安全攻击日益增多,多起重要工控系统安全事件应引起重视。 2016年,全球发生的多起工控领域重大事件值得我国警醒。3月,美国纽约鲍曼水坝的一个小型防洪控制系统遭攻击;8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,该攻击主要对中东和其他国家的工业企业发起定向网络入侵;12月,乌克兰电网再一次经历了供电故障,据分析本次故障缘起恶意程序“黑暗势力”的变种。 

我国工控系统规模巨大,安全漏洞、恶意探测等均给我国工控系统带来一定安全隐患。截至2016年年底,CNVD共收录工控漏洞1036条,其中2016年收录了173个,较2015年增长了38.4%。工控系统主要存在缓冲区溢出、缺乏访问控制机制、弱口令、目录遍历等漏洞风险。通过对网络流量分析发现,2016年度CNCERT累计监测到联网工控设备指纹探测事件88万余次,并发现来自境外60个国家的1610个IP地址对我国联网工控设备进行了指纹探测。 

高级持续性威胁常态化,我国面临的攻击威胁尤为严重。 截止到2016年底,国内企业发布高级持续性威胁(APT)研究报告共提及43个APT组织,其中针对我国境内目标发动攻击的APT组织有36个4。从攻击实现方式来看,更多APT攻击采用工程化实现,即依托商业攻击平台和互联网黑色产业 

链数据等成熟资源实现 APT攻击。这类攻击不仅降低了发起APT攻击的技术和资源门槛,而且加大了受害方溯源分析的难度。2016年,多起针对我国重要信息系统实施的APT攻击事件被曝光,包括 “白象行动5”、“蔓灵花攻击行动”等,主要以我国教育、能源、军事和科研领域为主要攻击目标。2016年8月,黑客组织 “影子经纪人(Shadow Brokers)”公布了方程式组织6经常使用的工具包,包含各种防火墙的漏洞利用代码、黑客工具和脚本,涉及Juniper、飞塔、思科、天融信、华为等厂商产品。CNCERT对公布的11个产品漏洞(有4个疑似为0day漏洞)进行普查分析,发现全球有约12万个IP地址承载了相关产品的网络设备,其中我国境内IP地址有约3.3万个,占全部IP地址的27.8%,对我国网络空间安全造成严重的潜在威胁。2016年11月,黑客组织“影子经纪人”又公布一组曾受美国国家安全局网络攻击与控制的IP地址和域名数据,中国是被攻击最多的国家,涉及我国至少9所高校,12家能源、航空、电信等重要信息系统部门和2个政府部门信息中心。 

大量联网智能设备遭恶意程序攻击形成僵尸网络,被用于发起大流量DDoS攻击。 近年来,随着智能可穿戴设备、智能家居、智能路由器等终端设备和网络设备的迅速发展和普及利用,针对物联网智能设备的网络攻击事件比例呈上升趋势,攻击者利用物联网智能设备漏洞可获取设备控制权限,或用于用户信息数据窃取、网络流量劫持等其他黑客地下产业交易,或用于被控制形成大规模僵尸网络。CNCERT对车联网系统安全性进行在线监测分析,发现部分车联网信息服务商及相关产品存在安全漏洞,可导致车辆、位置及车主信息泄露和车辆被远程控制等安全风险。2016年底,因美国东海岸大规模断网事件和德国电信大量用户访问网络异常事件,Mirai恶意程序受到广泛关注。Mirai是一款典型的利用物联网智能设备漏洞进行入侵渗透以实现对设备控制的恶意代码,被控设备数量积累到一定程度将形成一个庞大的“僵尸网络”,称为“Mirai僵尸网络”。又因物联网智能设备普遍是24小时在线,感染恶意程序后也不易被用户察觉,形成了“稳定”的攻击源。CNCERT对Mirai僵尸网络进行抽样监测显示,截至2016年年底,共发现2526台控制服务器控制了125.4万余台物联网智能设备,对互联网的稳定运行形成了严重的潜在安全威胁。此外,CNCERT还对Gafgyt僵尸网络进行抽样检测分析,在2016年第四季度,共发现817台控制服务器控制了42.5万台物联网智能设备,累计发起超过1.8万次的DDoS攻击,其中峰值流量在5Gpbs以上的攻击次数高达72次。 

网站数据和个人信息泄露屡见不鲜,“衍生灾害”严重。 由于互联网传统边界的消失,各种数据遍布终端、网络、手机和云上,加上互联网黑色产业链的利益驱动,数据泄露威胁日益加剧。2016年,国内外网站数据和个人信息泄露事件频发,对政治、经济、社会的影响逐步加深,甚至个人生命安全也受到侵犯。在国外,美国大选候选人希拉里的邮件泄露,直接影响到美国大选的进程;雅虎两次账户信息泄露涉及约15亿的个人账户,致使美国电信运营商威瑞森48亿美元收购雅虎计划搁置甚至可能取消。在国内,我国免疫规划系统网络被恶意入侵,20万儿童信息被窃取并在网上公开售卖;信息泄露导致精准诈骗案件频发,高考考生信息泄露间接夺去即将步入大学的女学生徐玉玉的生命;2016年公安机关共侦破侵犯个人信息案件1800余起,查获各类公民个人信息300亿余条。此外,据新闻媒体报道,俄罗斯、墨西哥、土耳其、菲律宾、叙利亚、肯尼亚等多个国家政府的网站数据发生了泄漏。 

移动互联网恶意程序趋利性更加明确,移动互联网黑色产业链已经成熟。2016年,CNCERT通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个,较2015年增长39.0%,近6年来持续保持高速增长趋势。通过恶意程序行为分析发现,以诱骗欺诈、恶意扣费、锁屏勒索等攫取经济利益为目的的应用程序骤增,占恶意程序总数的59.6%,较2015年增长了近三倍。从恶意程序传播途径发现,诱骗欺诈行为的恶意程序主要通过短信、广告和网盘等特定传播渠道进行传播,感染用户数达到2493万人,造成重大经济损失。从恶意程序的攻击模式发现,通过短信方式传播窃取短信验证码的恶意程序数量占比较大,全年获得相关样本10845个,表现出制作简单、攻击模式固定、暴利等特点,移动互联网黑色产业链已经成熟。 

敲诈勒索软件肆虐,严重威胁本地数据和智能设备安全。 根据CNCERT监测发现,2016年在传统PC端,捕获敲诈勒索类恶意程序样本约1.9万个,数量创近年来新高。对敲诈勒索软件攻击对象分析发现,勒索软件已逐渐由针对个人终端设备延伸至企业用户,特别是针对高价值目标的勒索情况严 

重。针对企业用户方面,勒索软件利用安全漏洞发起攻击,对企业数据库进行加密勒索,2016年底开源MongoDB数据库遭一轮勒索软件攻击,大量的用户受到影响。针对个人终端设备方面,敲诈勒索软件恶意行为在传统PC端和移动端表现出明显的不同特点:在传统PC端,主要通过“加密数据”进行勒索,即对用户电脑中的文件加密,胁迫用户购买解密密钥;在移动端,主要通过“加密设备”进行勒索,即远程锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用。但从敲诈勒索软件传播方式来看,传统PC端和移动端表现出共性,主要是通过邮件、仿冒正常应用、QQ群、网盘、贴吧、受害者等传播。 

三、2017年值得关注的热点 

根据对2016年我国互联网网络安全形势特点的分析,CNCERT预测2017年值得关注的热点方向主要如下。 

(一)网络空间依法治理脉络更为清晰。2016年11月7日第十二届全国人大常委会第二十四次会议表决通过《网络安全法》,并将于2017年6月1日起施行。该法有7章79条,对网络空间主权、网络产品和服务提供者的安全义务、网络运营者的安全义务、个人信息保护规则、关键信息基础设施安全保护制度和重要数据跨境传输规则等进行了明确规定。预计2017年各部门将更加重视《网络安全法》的宣传和解读工作,编制出台相关配套政策法规,落实各项配套措施,网络空间依法治理脉络将更为清晰。 

(二)利用物联网智能设备的网络攻击事件将继续增多。2016年CNVD收录物联网智能设备漏洞1117个,主要涉及网络摄像头、智能路由器、智能家电、智能网关等设备。漏洞类型主要为权限绕过、信息泄露、命令执行等,其中弱口令(或内置默认口令)漏洞极易被利用,实际影响十分广泛,成为恶意代码攻击利用的重要风险点。随着无人机、自动驾驶汽车、智能家电的普及和智慧城市的发展,联网智能设备的漏洞披露数量将大幅增加,针对或利用物联网智能设备的网络攻击将更为频繁。 

(三)互联网与传统产业融合引发的安全威胁更为复杂。随着我国“互联网+”、“中国制造2025”行动计划的深入推进,我国几乎所有的传统行业、传统应用与服务都在被互联网改变,给各个行业带来了创新和发展机会。在融合创新发展的过程中,传统产业封闭的模式逐渐转变为开放模式,也将以往互联网上虚拟的网络安全事件转变为现实世界安全威胁。互联网金融、工业互联网等融合的新兴行业快速发展,但引发的新的网络安全威胁也不容忽略,互联网金融整合了信息流和资金流,信息流的风险很可能引发资金流损失;工业控制系统更为智能化、网络化,开放互联带来的恶意嗅探行为增多,被恶意攻击的风险不断加大。传统互联网安全与现实世界安全问题相交织引发的安全威胁更为复杂,产生的后果也更为严重。 

(四)个人信息和重要数据保护将更受重视。近年来,互联网技术的发展极大的方便和丰富了我们的生活和工作,网上购物、网上求职、社交平台、政府服务等平台上充斥着大量的个人详细隐私信息。自2011年以来我国关于严重个人信息泄露的事件不绝于耳,特别是近年来的网络诈骗案件中,受害人的详细信息都被诈骗分子所掌握,给社会安定带来严重危害。2013年 “斯诺登事件”及后续相继爆出的美国政府大范围监听项目,刺激着各国加强重要数据的保护措施,严格规范互联网数据的收集、使用、存储等。我国在《网络安全法》中对个人信息保护规则、重要数据跨境传输进行了明确规定,预计关于个人信息和重要数据信息保护的详细规范性文件将制定出台,切实落实保护措施。 

(五)网络安全威胁信息共享工作备受各方关注。及时全面获取和分析网络安全威胁,提前做好网络安全预警和部署应急响应措施,充分体现了一个国家网络安全综合防御能力。通过网络安全威胁信息共享,利用集体的知识和技术能力,是实现全面掌握网络安全威胁情况的有效途径。美国早在1998年的克林顿政府时期就签署了总统令,鼓励政府与企业开展网络安全信息共享,到奥巴马政府时期更是将网络安全信息共享写入了政府法案。近年来,我国高度重视网络安全信息共享工作,在《网络安全法》中明确提出了促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。但面对纷繁复杂的、多维度的数据源信息,如何高效地开展共享和深入分析,需建立一套基于大数据分析的网络安全威胁信息共享标准。目前,我国很多机构已经在开展网络安全威胁信息共享的探索与实践,相关国家标准和行业标准已在制定中,CNCERT也建立了网络安全威胁信息共享平台,在通信行业和安全行业内进行相关共享工作。 

(六)有国家背景的网络争端受关注度将继续升温。目前,我国互联网普及率已经达到53.2%7,民众通过互联网获得的新闻资讯越来越快捷方便,民众关注全球政治热点的热度也不断高涨。2016年美国总统大选“邮件门”事件、俄罗斯黑客曝光世界反兴奋剂机构丑闻事件等,都让网民真切感受到有组织、有目的的一场缜密的网络攻击可以对他国政治产生严重的影响,将有国家背景的网络争端从行业领域关注视角延伸到了全体网民。随着大量的国家不断强化网络空间军事能力建设,有国家背景的网络争端事件将会热点不断、危机频出,全民讨论的趋势将会持续升温。 

(七)基于人工智能的网络安全技术研究全面铺开。在第三届世界互联网大会“世界互联网领先科技成果发布活动”现场,微软、IBM、谷歌三大国际科技巨头展示了基于机器学习的人工智能技术,为我们描绘了人工智能美好的未来。目前,网络攻击事件层出不穷、手段多样、目的复杂,较为短缺的网络安全人才难以应对变化过快的网络安全形势,而机器学习在数据分析领域的出色表现,人工智能被认为在网络安全方面将会“大有作为”。有研究机构8统计发现,2016年“网络安全”与“人工智能”两词共同出现在文章中的频率快速上升,表明越来越多的讨论将二者联系在一起共同关注。以网络安全相关的大数据为基础,利用机器学习等人工智能技术,能够在未知威胁发现、网络行为分析、网络安全预警等方面取得突破性进展。


来源: 中国科技网 作者: 宋莉

最新回复 (0)
返回