2023年网络安全
态势回顾与安全威胁分析
2023年,我们见证了全球网络安全态势的严峻与复杂,网络攻击者利用ai等新技术升级武器,技术手段日新月异、专业化程度越来越高,攻击的频率和力度持续攀升。在这一年,全球范围内发生的勒索攻击、数据泄露、零日漏洞及供应链攻击事件层出不穷,关键信息基础设施面临的网络安全形势日趋严峻。
01 “零日漏洞 供应链攻击 勒索”,组合式勒索攻击创历史新高
据国际网络安全公司rapid统计,2023年勒索软件攻击创下历史新高,共计43个勒索组织制造5200起攻击事件,其中41%的受害者选择支付赎金。部分组织还使用“零日漏洞 供应链”的组合式攻击展现出强大的破坏力,例如:勒索软件组织colp利用moveit和goanywhere两个mtf零日漏洞与勒索病毒组合,引发多起重大数据泄露及勒索事件;朝鲜黑客组织lazarus利用voip ipbx公司的3cx电话系统零日漏洞展开广泛的供应链攻击。
勒索攻击不仅会导致经济损失,更严重的是对国家基础设施和通信网络的正常运行产生严重影响。例如:2023年2月,全球范围内数千台vmware esxi服务器被黑客利用并部署勒索软件;2023年2月,知名美国卫星电视公司因勒索攻击导致服务中断超过一周;2023年5月,abb遭受black basta勒索软件攻击导致部分数据泄露;2023年10月,思科ios漏洞使得近42000台思科设备受到影响;2023年11月,德国西部遭受大规模勒索软件攻击,导致多个城市和地区的地方政府服务瘫痪等事件。
【零日漏洞的发掘与利用,对攻击者的技术素养和财力资源具有较高要求。然而,“零日漏洞、供应链攻击、勒索”相结合所产生的协同效应,大幅提升了勒索组织的攻击成功率,给全球众多政府组织及高科技企业带来了严峻的网络安全威胁和挑战。】
02 间谍软件呈现复杂化演变趋势
间谍软件具有极高的隐蔽性,可以在不被察觉的情况下,收集用户信息如身份、位置、网络活动等,会对用户的隐私和系统安全造成严重威胁。开发和利用间谍软件实施攻击的人员,通常具有深厚的技术功底,且大多对目标实施长期潜伏和监测,以实施更为深入和持久的数据窃取。
据网络信息显示,2023年7月,国内某高校遭受网络攻击事件中,上千台遍布各国的网络设备中发现了隐蔽运行“二次约会”间谍软件及其衍生版本;2023年12月,iphone历史上最具复杂的间谍软件攻击“三角测量行动”(operation triangulation)被曝光,网络信息显示,该间谍软件利用苹果芯片中未记录的特性绕过基于硬件的安全保护措施,自2019年以来便开始持续对iphone设备进行攻击,攻击者借助三角测量攻击,成功感染了俄罗斯外交使团及数千名使馆工作人员的iphone及卡巴斯基公司及多名员工,造成的后果不可估量。
【间谍软件具有极高的隐蔽性和复杂性,但造成的后果往往又极为严重,建议企业建立产品服务供应商准入及定期评估管理机制,同时利用技术手段,加强对核心业务的网络流量监测和分析,通过管理和技术手段相结合的方式,应对日益猖獗的间谍软件威胁。】
03 云基础设施安全引发的数据泄露呈上升趋势,加强人员安全意识是核心
云计算是企业改进it技术和基础设施,持续加速企业数字化转型的新方式,应用和数据已经逐步从原有传统的it环境延伸到云上(公有云、行业云、边缘云、私有云)。诸多研究成果表明,人员自身安全意识已成为企业敏感数据泄露的主要根源。
2023年全球范围内发生了多起与云基础设施相关的数据泄露事件,根据 radware 的多云报告,69%的组织报告称因多云安全配置而遭遇过数据泄露。例如,2023年2月,美国国防部在azure微软云上的服务器错误配置导致军事邮件数据泄露,其中大量内容涉及美国特种作战司令部;2023年9月,微软因共享访问签名(sas)令牌配置失误,致使38tb内部数据泄露;2023年5月,日本丰田公司云配置失误导致26万车主数据泄露,涉及车载设备id、地图数据更新以及日本车主的更新数据创建日期等信息;2023年10月,丰田公司还发现由于数据库配置错误,导致超过200万用户信息泄露长达10年,泄露数据包括车辆识别号、底盘号和车辆位置信息等。
【对云基础设施安全的担忧,正成为企业应用云技术的“拦路虎”。云安全应用防护体系建设,需要企业、云服务商和安全厂商三方通力协作,在数字化时代做到统筹发展与安全,实现安全与新技术应用同步规划、同步建设、同步使用的安全保障目标。】
04 网络战依然持续,大规模ddos攻击对关键信息基础设施构成严重威胁
网络战已成为现代战争的重要组成部分,地缘政治紧张局势的升级越来越多地映射到网络空间,利用大规模篡改、数据泄露、凭证泄露以及分布式拒绝服务(ddos)攻击等方式,对全球关键信息基础设施的稳定性造成破坏。相较传统网络攻击,此类攻击更加针对能源、交通、金融等关键信息基础设施。
anonymous sudan(匿名苏丹)是2023年网络战中较为突出的黑客组织,因使用大规模 ddos 攻击而闻名,几乎每周都会发起攻击,目标是航空公司、政府、银行、大型企业、机场和电信公司。2023年,包括星链、微软(outlook、onedrive以及azure服务)、openai、cloudflare、facebook在内的多家全球科技巨头以及美国政府服务的网站均遭受到该组织攻击。2023年10月,该组织还对以色列的工业控制系统(ics)发动了多次攻击,破坏了多个关键信息基础设施。
【关键信息基础设施安全防御是一个持续不断的过程,其建设应从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面展开,整体上采用动态风控理念,强化安全管理职责,强调数据安全和供应链安全,落实闭环安全防护体系。】
05 网络安全政策法规持续推进,隐私保护成为关注重点
网络安全政策的出台对于维护国家安全与社会稳定、保护公民权益、促进经济发展具有重要意义和积极作用,同时也为构建安全、稳定、可信的网络环境提供了有力保障。
2023年,全球各国政府围绕网络安全、数据安全、个人信息保护等持续出台相关法律法规、政策。鉴于数据泄露和隐私滥用事件层出不穷,隐私保护也成为2023年全球关注的焦点。2023年3月,美国《国家网络安全战略》出台,旨在确保数字生态系统的安全保障,并强化对于关键信息基础设施供应商的安全要求;2023年10月,英国《在线安全法案》正式出台,在保护儿童免受网络伤害方面给出明确规定。2023年11月,欧盟更新了最新的《通用数据保护条例》(gdpr)及美国加州在2023年修订的《加州消费者隐私法案》(ccpa)等法规,在维护用户隐私权益方面发挥了显著作用。政府、企业和个人纷纷努力探索加强数据保护、打击隐私泄露以及规范不合理使用个人信息的途径。
【网络安全面临的风险和挑战在不断增加,网络安全政策法规的制定和实施需要不断更新和完善,才能适应新的发展需求。完善和强化网络安全法律法治体系,加强网络安全法治体系现代化建设,是确保网络空间安全、有序和繁荣的必要手段。】
2023天融信
网络安全应急响应服务年度总结
全球化时代,网络攻击已不再局限于某个特定国家或地区,网络安全已成为全球共同关注的重要议题。无论是追求经济利益的勒索组织,还是近年来高发的数据泄露事件,都在时刻提醒着企业、组织、个人需要加强安全防御措施,提升安全防护意识。作为国家网络空间安全建设的中坚力量,2023年天融信共为各行业客户提供了近千次线上线下相结合的网络安全应急响应服务,全力协助客户挽救损失并快速恢复业务。根据总结报告显示,攻击事件主要集中在2-9月,华中、华南为主要目标地区,累计占比超过50%。
1、“政府部门、公共服务及金融行业”成为网络安全事件高发的三大领域
从2023年天融信网络安全应急服务的数据统计来看,政府部门、公共服务和金融行业由于其信息系统的重要性、数据敏感性以及对社会的影响力,成为网络安全事件高发的领域。
2、超过80%的组织无法及时、有效地发现网络攻击行为
根据收集的案例和数据显示,能够通过定期安全检查及时发现并解决潜在问题的机构仅占14.3%,超过80%的政企组织往往在遭受勒索或系统呈现显著入侵迹象后才觉察到攻击事件。
深入剖析显示,约有4.5%的政企组织在接收到上级主管单位、监管机构或第三方平台的预警通报后,方才启动应急响应。这些组织不仅在网络安全运营体系方面显得乏力,且缺乏必要的威胁情报支持,威胁发现能力存在明显不足,其中部分还因此受到了法律和行政处罚。
3、利用已知漏洞及恶意程序实施攻击成为主要技术手段
在天融信应急服务处置的网络安全事件中,漏洞攻击和木马病毒占据较大比例,合计超过40%。攻击者以利用已知漏洞及恶意程序实施攻击为主要技术手段,对大中型政企机构的重要服务器及数据库实施攻击,从而导致数据损毁或丢失等严重后果。此外,也凸显出企业在已知漏洞排查与修复方面存在短板,亟待持续优化和完善相关流程、技术。
4、web资产成为主要攻击目标向量
在攻击目标方面,web资产仍为黑客攻击的主要目标所在。据数据统计,2023年天融信应急服务处置的网络安全事件中,针对web的攻击事件所占比例高达64%。由于web资产在互联网上具有较高的可见性和易接触性,所以成为攻击者的首选目标。攻击者通过漏洞利用等攻击技术获取web资产权限后,可进入企业内网并进一步进行横向渗透,寻找内网中更有价值的资产或数据。
5、网络木马及后门程序是实现远程控制的关键工具
在2023年的应急事件中,一般木马占比70%、勒索病毒占比12%、挖矿木马占比18%。在一般木马中,windows可执行文件、linux可执行文件和powershell后门这三种类型占据了总量的90%以上。各组织和企业需加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施,实现应急常态化管理。
6、勒索攻击主流病毒家族
在2023年全年的勒索病毒事件中,tellyouthepass、phobos、lockbit3.0、mkp四个勒索病毒家族需要特别关注,及时打补丁、更新安全软件、定期备份重要数据、使用强密码仍是勒索病毒防御的主要手段。
· tellyouthepass通常会要求受害者交出密码才能解锁被加密的数据。由于其高隐蔽性和针对性,用户多在不知不觉中成为受害者。
· phobos倾向于攻击大型企业或组织,通常利用漏洞入侵受害者的系统,然后加密其文件。
· lockbit3.0以高级的加密算法和强大的攻击能力而著称,常通过钓鱼邮件或其他恶意软件传播,一旦感染便会加密所有文件。
· mkp具有较强的自适应性,能够针对不同的操作系统和应用程序进行定制化的攻击。传播途径多样,包括恶意广告、假冒的软件更新以及暗网上出售的exploit kits等。
随着信息技术的发展,安全威胁不但数量、形式种类越来越多,而且其破坏性也越来越大。网络安全应急响应服务是网络安全保护的重要措施之一,也是保护网络安全的最后一道防线。《中华人民共和国网络安全法》《网络安全等级保护条例(征求意见稿)》《关键信息基础设施安全保护条例》中,也明确提及要加强网络安全应急响应能力建设,鼓励或规定部门和单位采购网络安全应急服务。通过健全防御措施,建立及时有效的应急处置,能最大限度减少损失,更好地保障关键信息基础设施的安全。