2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）

2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）目 錄一、網(wǎng)絡(luò)安全威脅信息概念及現(xiàn)狀 1(一)網(wǎng)絡(luò)安全威脅信息的概念 1(二)網(wǎng)絡(luò)安全威脅信息能力層級模型 5(三)網(wǎng)絡(luò)安全威脅信息的應(yīng)用價值 7(四)網(wǎng)絡(luò)安全威脅信息領(lǐng)域發(fā)展現(xiàn)狀 10二、2020年國內(nèi)外網(wǎng)絡(luò)安全威脅信息分析 14(一)2020年國內(nèi)外網(wǎng)絡(luò)威脅情況概覽 15(二)2020年國內(nèi)外網(wǎng)絡(luò)攻擊手法概覽 17(三)2020年國內(nèi)外網(wǎng)絡(luò)受攻擊情況分析 28(四)2020年國內(nèi)較嚴(yán)重網(wǎng)絡(luò)威脅盤點 32三、網(wǎng)絡(luò)安全威脅信息典型應(yīng)用實踐 34(一)電子信息制造商實踐案例 35(二)基礎(chǔ)電信企業(yè)實踐案例 36(三)網(wǎng)絡(luò)視頻平臺實踐案例 37(四)云計算服務(wù)商實踐案例 38四、網(wǎng)絡(luò)安全威脅信息應(yīng)用建議 40(一)推進標(biāo)準(zhǔn)體系建設(shè)完善行業(yè)共享機制 40(二)堅持效果評估導(dǎo)向構(gòu)建聯(lián)動協(xié)同業(yè)態(tài) 41(三)強化主體責(zé)任意識筑牢安全防御體系 42(四)完善從業(yè)培訓(xùn)機制提高人才培養(yǎng)水平 43圖目錄圖1威脅信息能力層級模型 6圖2網(wǎng)絡(luò)安全威脅信息表達模型示意圖 12圖3近年已通報的CVE漏洞數(shù)量 24圖4國內(nèi)各行業(yè)受攻擊情況占比 29圖52020年國內(nèi)失陷主機最多省份 30圖62020年國內(nèi)失陷主機最多城市 31圖7綜合危害程度最強的20種高級威脅 33圖8應(yīng)急響應(yīng)維度占比分析 34圖9電子信息制造商威脅信息管理部署 36圖10基礎(chǔ)電信企業(yè)威脅信息管理部署 37圖網(wǎng)絡(luò)視頻平臺威脅信息管理部署 38圖12云計算服務(wù)商威脅信息管理部署 40表目錄表1攻擊者攻擊活動平臺分布 26表2國外網(wǎng)絡(luò)攻擊受害行業(yè)分析與對比 282020年網(wǎng)絡(luò)安全威脅信息研究報告（2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）PAGEPAGE18一、網(wǎng)絡(luò)安全威脅信息概念及現(xiàn)狀本章詳細(xì)闡述了網(wǎng)絡(luò)安全威脅信息的定義內(nèi)涵、層級模型和應(yīng)用價值，并從國內(nèi)政策導(dǎo)向、產(chǎn)業(yè)支撐情況和標(biāo)準(zhǔn)化進展等方面對網(wǎng)絡(luò)安全威脅信息的發(fā)展現(xiàn)狀展開說明。(一)網(wǎng)絡(luò)安全威脅信息的概念近年來，威脅信息逐漸成為網(wǎng)絡(luò)安全行業(yè)的關(guān)注焦點，受到業(yè)界廣泛討論，如今已成為守護網(wǎng)絡(luò)安全的重要手段。本節(jié)將從網(wǎng)絡(luò)安全威脅信息的概念、意義和研發(fā)過程著手，對其技術(shù)理念、網(wǎng)絡(luò)安全防護優(yōu)勢和研發(fā)工作特征展開介紹。網(wǎng)絡(luò)安全威脅信息的定義與內(nèi)涵綜合國內(nèi)外相關(guān)研究，我們歸納分析了多方定義后認(rèn)為，網(wǎng)絡(luò)安全威脅信息的核心內(nèi)涵如下：第一，網(wǎng)絡(luò)安全威脅信息來源于對既往網(wǎng)絡(luò)安全威脅的研究、歸納、總結(jié)，并作用于已知網(wǎng)絡(luò)威脅或即將出現(xiàn)的未知網(wǎng)絡(luò)威脅；第二，網(wǎng)絡(luò)安全威脅信息的價值是為受相關(guān)網(wǎng)絡(luò)威脅影響的企業(yè)或?qū)ο筇峁┛蓹C讀或人讀的戰(zhàn)術(shù)戰(zhàn)略數(shù)據(jù)并輔助其決策，因此網(wǎng)絡(luò)安全威脅信息需要包含背景、機制、指標(biāo)等能夠輔助決策的各項內(nèi)容。出能夠作用于該威脅的戰(zhàn)術(shù)或戰(zhàn)略數(shù)據(jù)，這些戰(zhàn)術(shù)或戰(zhàn)略數(shù)據(jù)就是威脅信息的網(wǎng)絡(luò)安全防護優(yōu)勢（Bitcoin（ExploitKit）Application等傳統(tǒng)防精準(zhǔn)的動態(tài)防御。根據(jù)PPDR安全防護模型1理論，威脅信息的網(wǎng)絡(luò)IP/hash（Indicatorsof網(wǎng)絡(luò)安全威脅信息研發(fā)工作特征1Gartner2017《MarketGuideforApplicationShieldingG00337009）Predict（預(yù)測）、Prevent（防護）、Detect（檢測）、Response（響應(yīng)）四個階段組成的新PPDR閉環(huán)安全防護模型，該模型在安全防護不同階段引入網(wǎng)絡(luò)威脅信息、大數(shù)據(jù)分析等新技術(shù)和服務(wù)，旨在構(gòu)建一個能進行持續(xù)性威脅響應(yīng)、智能化、協(xié)同化的安全防護體系。從Gartner8年有其次(二)網(wǎng)絡(luò)安全威脅信息能力層級模型資深安全專家DavidJ.Bianco2013（ThePyramidofPain）”威脅信息指標(biāo)模型，并獲得業(yè)內(nèi)廣泛認(rèn)可。威脅HashIP/andProcedures，）8年，模型中價值最高的TTPs指各層級由下至上分別為HashIP/TTPs威脅信息指標(biāo)價值越高，其安全能力也越高，痛苦金字塔上層指標(biāo)具備遠(yuǎn)高于下層指標(biāo)的安全能力，可據(jù)此將威脅信息劃分為三個遞進的能力層級，不同的能力層級對應(yīng)著不同的使用目的。最底層是以自動化檢測分析為目的的戰(zhàn)術(shù)級信息，中間層是以安全響應(yīng)分析為目的的運營級信息，最高層是以指導(dǎo)整體安全投資策略為目的的戰(zhàn)略級信息。圖1威脅信息能力層級模型

來源：中國信息通信研究院字塔模型中HashIP/5C&C2（ChiefSecurity(三)網(wǎng)絡(luò)安全威脅信息的應(yīng)用價值網(wǎng)絡(luò)安全威脅信息目前主要應(yīng)用于企業(yè)網(wǎng)絡(luò)安全防護、公共安全防護、國家安全防護等領(lǐng)域，相應(yīng)的應(yīng)用價值主要體現(xiàn)在提升企業(yè)主2C&C：即CommandandControl信息，攻擊者控制被害主機所使用的遠(yuǎn)程命令與控制服務(wù)器信息。提升企業(yè)主動防御能力的安全防護由被動轉(zhuǎn)向主動。威脅信息提供了多種網(wǎng)絡(luò)安全防護操助力打擊網(wǎng)絡(luò)犯罪行為IPHash等數(shù)據(jù)產(chǎn)出的威脅信息，能夠完整還原犯罪團伙保護國家網(wǎng)絡(luò)空間安全(四)網(wǎng)絡(luò)安全威脅信息領(lǐng)域發(fā)展現(xiàn)狀國內(nèi)相關(guān)政策文件要求2035以2.0）、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《關(guān)基條例》）等。針對工業(yè)互聯(lián)網(wǎng)、虛擬現(xiàn)實、5G、數(shù)據(jù)中心等）2019168號5G（2021-2023年（202177號等5G國內(nèi)標(biāo)準(zhǔn)化工作進展《SecurityandPrivacyControlsforInformationSystemsandOrganizations》NIST800-53）GuidetoCyberThreatInformationSharingNIST（StructuredThreatInformation（CyberObservable以及指標(biāo)信息的可信自動化交換（AutomatedeXchangeofIndicatorInformation，TAXII）等都為國際網(wǎng)絡(luò)安全威脅信息的交流和分享提20181010日，我國正式發(fā)布國內(nèi)首個網(wǎng)絡(luò)威脅信息的國家標(biāo)準(zhǔn)——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》（GB/T36643-2018）201951日正式實施。該標(biāo)準(zhǔn)從可觀測數(shù)來源：《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》圖2網(wǎng)絡(luò)安全威脅信息表達模型示意圖規(guī)范網(wǎng)絡(luò)安全威脅信息的格式和交換方式是實現(xiàn)網(wǎng)絡(luò)安全威脅國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)支撐工信部牽頭組織建設(shè)了工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信3（簡稱NVDB平臺）3工業(yè)和信息化部官網(wǎng)：《工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺正式上線運行》（https:///xwdt/gxdt/sjdt/art/2021/art_930f57bc7b584d188f07303d4c48b730.html）2016年2月，國家互聯(lián)網(wǎng)應(yīng)急中心與中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)信息安全工作委員會聯(lián)合發(fā)起成立了中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟（CCTGA），宣布建立專業(yè)領(lǐng)域協(xié)作機制，聯(lián)合網(wǎng)絡(luò)安全領(lǐng)域上下20193月，上海市信息安全行業(yè)協(xié)會協(xié)同連尚網(wǎng)絡(luò)、平安科二、2020年國內(nèi)外網(wǎng)絡(luò)安全威脅信息分析2020年網(wǎng)絡(luò)安全威脅信息，從網(wǎng)絡(luò)威脅變化趨勢、2020年網(wǎng)絡(luò)安全態(tài)勢進行研究分析，并盤點2020年國內(nèi)較嚴(yán)重的網(wǎng)絡(luò)威脅類型。(一)2020年國內(nèi)外網(wǎng)絡(luò)威脅情況概覽2020CheckPoint4和SonicWALL5在PC2020年IoTVPNZoomSlack2020年，被曝光的APT40同程度的APT2020年的新冠肺炎疫情對網(wǎng)絡(luò)環(huán)境也產(chǎn)生了一定影響，尤其在4數(shù)據(jù)來源于《全球威脅指數(shù)》報告，由頭部網(wǎng)絡(luò)安全解決方案提供商CheckPoint軟件技術(shù)公司的網(wǎng)絡(luò)安全威脅信息部門CheckPointResearch（CPR）于2021年5月發(fā)布。5數(shù)據(jù)來源于《2020年威脅報告》（《2020SonicWallCyberThreatReport》），由頭部互聯(lián)網(wǎng)安全設(shè)備及平臺提供商SonicWALL于2021年發(fā)布。2020年網(wǎng)絡(luò)威脅的變化趨勢主要體現(xiàn)在以下幾個方面。Nokia的觀測數(shù)據(jù)6表明，受新冠肺炎疫情影響，在2020年2356月，固定寬帶網(wǎng)絡(luò)的感染率也出現(xiàn)大幅度上升，但Nokia并未披露具體Akamai71120204190,00081600URL6Nokia于2020年發(fā)布的《ThreatIntelligenceReport2020》7Akamai2020[stateoftheinternet]/securityAinReview》8（Trend20212AConstantStateofFlux:TrendMicro2020AnnualCybersecurityReport》較于惡意URL疫情期間，當(dāng)員工居家辦公時，攻擊者也正在利用電話會議軟件發(fā)起更多攻擊行為，模仿電話會議提供商的應(yīng)用程序以分發(fā)惡意軟件，例如創(chuàng)建與Zoom、MicrosoftTeams、GoogleHangouts等遠(yuǎn)程辦公軟件類似的惡意域名等。攻擊者的主要攻擊對象是從事疫苗開發(fā)、生物醫(yī)療研究、政策制定的機構(gòu)和組織，攻擊者會調(diào)整釣魚誘餌，冒充疫情相關(guān)信息引誘攻擊對象操作，從而竊取其核心數(shù)據(jù)。攻擊者通過釣魚網(wǎng)站和垃圾郵件等方式誘導(dǎo)攻擊對象打開釣魚附件，傳播Emotet、Trickbot、遠(yuǎn)控、后門、DDoS和挖礦等木馬，并以此進行攻擊。(二)2020年國內(nèi)外網(wǎng)絡(luò)攻擊手法概覽根據(jù)現(xiàn)有數(shù)據(jù)統(tǒng)計，2020年全球失陷主機約有6,431,498臺，國內(nèi)約有880,607臺，約為全球的1/8左右。VPNIOT從國內(nèi)受攻擊情況來看，大多數(shù)攻擊來自于國內(nèi)攻擊者，而威脅集中表現(xiàn)為設(shè)備被利用于挖礦，這也反映出目前國內(nèi)黑客黑產(chǎn)等攻擊DDoS下面將詳細(xì)盤點2020年全球網(wǎng)絡(luò)攻擊的主要手法和發(fā)展趨勢，并簡要探討應(yīng)對措施。釣魚郵件仍是主流攻擊手段2020年，攻擊者仍舊廣泛使用電子郵件展開攻擊活動，傳播各種網(wǎng)絡(luò)威脅。歐盟網(wǎng)絡(luò)安全局（ENISA）9指出，“攻擊包括諸如基99％的分發(fā)惡意軟件的電子郵件需要才MicrosoftOffice文件），在某些釣魚郵件中，接收者還9ENISAThreatLandscape2020年網(wǎng)絡(luò)安全威脅信息研究報告（2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）1919但是，網(wǎng)絡(luò)釣魚技術(shù)也在不斷發(fā)展。趨勢科技在2020年觀察到10，攻擊者開始使用在線表單（例如生成在線調(diào)查問卷的工具）來托與精心構(gòu)建的偽造域名相比較為簡陋，但這也意味著即使是沒有經(jīng)APT遠(yuǎn)程辦公普及，VPN攻擊帶來網(wǎng)絡(luò)安全新挑戰(zhàn)10，VPN作為常見的應(yīng)對手段，2020VPNZscaler的數(shù)據(jù)10，CVE500個VPN的用戶正在使用VPN94定位為目標(biāo)，以獲取對網(wǎng)絡(luò)資源的訪問權(quán)限；72％的用戶擔(dān)心10云安全公司Zscaler于2021年發(fā)布的《2021VPNRiskReport》2020年網(wǎng)絡(luò)安全威脅信息研究報告（2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）2020VPNIT67慮替代傳統(tǒng)VPN的遠(yuǎn)程訪問；目前，72％的用戶將優(yōu)先考慮采用零VPN攻擊也將成為中大DNS解析技術(shù)對撞威脅信勒索軟件產(chǎn)業(yè)化特征明顯，攻擊手法出現(xiàn)新變化RyukSodinokibi是目前最知名的勒索軟件，它們在很大程度上定義了現(xiàn)代勒索軟件格局。2020年還出現(xiàn)了一些相對較新的勒索Egregor和例如，RansomExx2020年最常被檢測到的勒索軟件，但它對Linux服務(wù)器的攻擊能力卻不容小覷，其主要目標(biāo)是VMware環(huán)境，即用于存儲VMware11AConstantStateofFlux：TrendMicro2020AnnualCybersecurityReport.2020年網(wǎng)絡(luò)安全威脅信息研究報告（2020年網(wǎng)絡(luò)安全威脅信息研究報告（2021年）PAGEPAGE44BigGameHunter（BGH）12。2020年，BGH的態(tài)勢趨向于迫使受害者一旦被勒索軟件感染就馬上20年10upt勒索軟件的運營商使用oSBGH2020Coalition的數(shù)據(jù)132020年上半年，Coalition保單持有人中，被勒索軟件攻擊的頻率就增加了260%47%338,669CrowdStrike（229造業(yè)（228起）、科技行業(yè)（140余起）、零售業(yè)（140余起）。值12CrowdStrike于2021年發(fā)布的《2021GlobalThreatReport》13BennettJonesLLP：2021RansomwareInsuranceUpdate,ExplosionofRansomwareandBestPractices供應(yīng)鏈攻擊成為規(guī)避網(wǎng)絡(luò)安全防御措施的新攻擊手段乏警惕的用戶機構(gòu)會默認(rèn)供應(yīng)商的產(chǎn)品和服務(wù)可以安全交互并開展SolarWinds2020年最受關(guān)注的供應(yīng)鏈攻擊事件之一。SolarWinds公司是美國基礎(chǔ)網(wǎng)絡(luò)管理軟件供應(yīng)商，擁有大批美國政府部門客戶。202036SolarWinds公司的商業(yè)軟件更新程序木馬難防御檢測，此次攻擊活動從開始實施到被披露至少經(jīng)過半年的時XcodeCCleanerXshellphpStudy漏洞威脅嚴(yán)重，老漏洞持續(xù)被利用，新漏洞大量被披露Security14Tenable15的數(shù)據(jù)，20152020年間通用漏洞CVE183582019173056%，20156487183%2020110月，14數(shù)據(jù)來源于網(wǎng)絡(luò)安全管理及安全分析服務(wù)商SkyBoxSecurity于2020年發(fā)布的半年度報告《2020VulnerabilityandThreatTrends》15的安全反應(yīng)小組（SRT）20211月發(fā)布的《2020年威脅形勢回顧》（《2020ThreatLandscapeRetrospective》）730220Chrome、MozillaFirefox、InternetExplorerMicrosoftEdge35%以上。目前可追溯到的是，2005年的漏洞仍在被大量利3CVE

來源：Tenable隔離網(wǎng)滲透的危害逐漸被認(rèn)知20205月，DarkHotelRamsay的攻擊工具被曝可通過被感染的軟件安裝包進行傳播，該程序在隔.exeRamsay是繼Stuxnet（）攻擊事件、Flame蠕蟲、CIA網(wǎng)絡(luò)武器庫Vault7、NSA秘密武器COTTON-MOUTHDMZ區(qū)域攻擊者仍舊活躍，攻擊手法多樣2020年新冠肺炎疫情期間，攻擊者仍舊活躍。根據(jù)觀測發(fā)現(xiàn)，APT攻擊最大的受害者，政府、軍事、外交、科技、金融、單一聚焦于Windows平臺，跨平臺的APT等均實施過跨平臺windows、LinuxAndroid平臺，少量出現(xiàn)在MacOSIOS表1攻擊者攻擊活動平臺分布攻擊者\OS平臺WindowsLinuxAndroidMacOS孔夫子（Confucius）有有蔓靈花（Bitter）有有響尾蛇（SideWinder）有有肚腦蟲（Donut）有有海蓮花（Oceanlotus/APT32）有有有Lazarus有有有有危險密碼有DarkHotel有Kimsuky有有Konni有有綠斑有Gamaredon有APT28有有Turla有有WellMess有有APT35有MuddyWater有APT-C-23有有StrongPity有來源：網(wǎng)絡(luò)安全威脅信息服務(wù)商）年，攻擊者通過定向釣魚郵件誘導(dǎo)攻擊對象執(zhí)行惡意文檔植入過在失陷主機部署門羅幣挖礦木馬程序，以此隱藏其高級攻擊的行20208月，國外安全廠商曝光了一個在全球范圍內(nèi)開展攻擊活動的黑客組織DeathStalker，該組織的攻DeathStalkerTAPTIP（IOC）APT(三)2020年國內(nèi)外網(wǎng)絡(luò)受攻擊情況分析國內(nèi)外網(wǎng)絡(luò)攻擊受害行業(yè)分析放眼國際，IBMX-Force的數(shù)據(jù)顯示1620192020年20192020表2國外網(wǎng)絡(luò)攻擊受害行業(yè)分析與對比行業(yè)2020年排名2019年排名排名變動金融和保險11-制造業(yè)28↑6能源39↑6零售42↓2高端服務(wù)業(yè)55-政府66-醫(yī)療健康710↑3媒體84↓4交通93↓6教育107↓3來源：IBMX-Force2020年，大金融行業(yè)仍然是黑客黑產(chǎn)組織攻擊欲38.2%17.7%16IBMSecurity于2021年發(fā)表的《X-ForceThreatIntelligenceIndex2021》來源：中國信息通信研究院整理圖4國內(nèi)各行業(yè)受攻擊情況占比（受IT信息化水平的提高，各行業(yè)上云工作持續(xù)推進，制造國內(nèi)外網(wǎng)絡(luò)攻擊受害地域分析IBMSecurity31％的攻擊發(fā)生在歐洲地區(qū)，27%25%2019212020年全球201944%有下2019223BEC攻擊事件少于其他地區(qū)，這可能是由于亞洲用戶傾向于實施多重身份驗從國內(nèi)地域?qū)用鎭砜矗?020年失陷主機最多的五個省份分別為江蘇、浙江、安徽、廣東和臺灣，分別為149,899臺、123,690臺、82,756臺、81,614臺和44,440臺，失陷主機最多的五個城市分別是蘇州、杭州、湖州、深圳和泰州。來源：中國信息通信研究院整理圖52020年國內(nèi)失陷主機最多省份來源：中國信息通信研究院整理圖62020年國內(nèi)失陷主機最多城市52.0、《關(guān)(四)2020年國內(nèi)較嚴(yán)重網(wǎng)絡(luò)威脅盤點20201月開始，新冠肺炎疫情引起政府高度關(guān)切和民眾廣泛Emotet、Trickbot、遠(yuǎn)控、后門、DDoS和挖礦2020年國內(nèi)各類高級網(wǎng)絡(luò)威脅中，從綜合危害程度的維度，僵尸網(wǎng)絡(luò)、木馬、蠕蟲、遠(yuǎn)控/后門等仍然是影響較大的高級威脅，Nitol僵尸網(wǎng)絡(luò)、CoinMiner挖礦木馬和XMRCoinMiner1/3的網(wǎng)絡(luò)環(huán)境，Bladabindi后門8.8來源：中國信息通信研究院整理圖7綜合危害程度最強的20種高級威脅202013.3%10%的威/遠(yuǎn)控后門、Rootkit/Bootkit病毒、Web攻擊、釣魚、BEC、DDoS等來源：中國信息通信研究院整理圖8應(yīng)急響應(yīng)維度占比分析三、網(wǎng)絡(luò)安全威脅信息典型應(yīng)用實踐威脅信息的本質(zhì)是知識，如何在具體場景將知識落地并取得成威脅信息庫和威脅信息共享機制，提高網(wǎng)絡(luò)威脅挖掘研發(fā)和應(yīng)用能IDS