C114讯 5月10日消息(林想)近日,绿盟科技发布了《绿盟科技安全事件响应观察报告》。报告重点分析了绿盟科技应急响应团队在2018年处理的来自全国各地的338起安全应急事件,事件涉及运营商、金融、企业等行业,且覆盖地域广泛。
绿盟科技安全服务部技术经理罗伟在接受C114采访时表示,对比2017年,2018年运营商安全事件有所减少,但并不意味着运营商可以就此高枕无忧,勒索软件类安全事件仍然所增长,流量异常事件仍是关注重点。同时,他认为今年安全形势应重点聚焦四个方面。
少了“中间商”,黑色产业链条变得更加便捷
报告显示,随着网络安全形势的发展,越来越多的攻击者不再以炫耀技术能力为目的,而是以获取经济利益为行动向导。
在绿盟科技2018年处理的安全事件中,勒索软件、挖矿和入侵类事件占比最高,分别为20%、17%和15%。在罗伟看来,黑客是否发起攻击很大程度上取决于攻击成本和获利多少。勒索病毒和虚拟货币 “黄金搭档”这一模式,在目前来看成本低,收益高且风险低;在未来一段时间还会持续,但热度会有所下降,直到攻击者找到更好利益变现手段或者攻击成本高于所获利益。
罗伟表示,“2018年是相对平静的一年,如MS17-010等核弹级漏洞带来的阴影正渐渐淡去,但在这平静的表面下,黑色产业链也在默默壮大。而且少了中间商赚差价,黑客可以快捷攫取高额的非法收入。”
对于今年安全形势的走向,罗伟认为应重点关注四个方面:
一是0day、1day漏洞披露更多更快。随着企业在漏洞研究和攻防技术上加大投入,漏洞挖掘和复现的时间将被缩短,研究员们在得知漏洞消息后,可在几小时,甚至几分钟内对漏洞进行复现和利用。由此越来越多的0day或1day漏洞将在短时间内被披露并通过媒体进入大众视野。
二是跨平台攻击威胁物联网安全。随着传统X86平台系统的漏洞关注度逐渐提高,其安全性也随之逐年提升,对应的攻击成本无疑也会越来越高。部分攻击者开始将目标转移到近年热门的物联网行业。摄像头、机顶盒、光猫、路由器这类具备嵌入式Linux系统的设备,由于开发初期,并未考虑到物联网安全问题,导致攻击者很容易通过搜索引擎、固件分析等方式,凭借弱口令、命令执行、未授权访问等漏洞,植入Botnet程序。
三是勒索软件攻击仍然值得关注。根据卡巴斯基的勒索软件和Malious Cryptominers 2016-2018报告显示,勒索软件感染在过去的12个月中下降了近30% ,加密货币开采同期增长了44.5%。虽然勒索软件的数量正在减少,但随着网络犯罪分子攻击手段升级,复杂程度也在提高。新的勒索软件变种的数量增长迅速,这意味着勒索软件仍然是许多企业的威胁。
四是不断增加的5G部署将进一步扩大网络攻击范围。在2018年,许多5G网络基础设施项目陆续进行部署,毫无疑问,2019 年将成为5G加速发展的一年。越来越多的5G 物联网设备将直接连接至5G网络,而非通过Wi-Fi路由器。5G的转变将催生全新的运营模式和架构,也会触发新的漏洞,这一趋势将导致设备更容易遭到攻击。此外,在云端备份或传输数据情况也会为攻击者提供大量的新的攻击目标。
运营商安全事件减少,流量异常事件仍需重点关注
由于体量大、分布广、数据敏感等特性,在绿盟科技2018年处理的安全事件中,公用事业、通信、金融、能源等行业安全事件发生占比较高,成为攻击的重点对象。这些行业的信息系统或工业控制系统一旦发生网络安全事故,会直接对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
运营商作为网络设施的建设、运营和维护单位,在网络层面承担了基础和关键性的角色,这一特点使得运营商行业备受黑客关注。报告显示,总体上2018年运营商的安全事件比去年有所减少。
数据显示,2017年运营商客户安全事件共44起,客户子行业覆盖了移动、电信、联通、广电等,事件类型包括流量异常、挖矿、勒索软件等。其中流量异常类安全事件9起,占比26%,挖矿事件数量占比16%。2018年运营商客户安全事件共38起,事件类型包括了勒索软件、流量异常、挖矿、入侵事件等。其中流量异常类安全事件勒索软件10起,占比26%,流量异常事件占比18%。
“之所以出现这种情况和运营商自身安全防护的提高有着密切的关系。”罗伟表示,“运营商网络信息安全水平和安全保障能力逐年提升,有效支撑了运营商业务发展的进程。历经多年的探索与实践,已建立起集中治理、预警应急、评估等一整套完备的网络信息安全管理机制, 网络信息安全管理、运营与支撑能力保持行业领先。”
“获利是攻击者永恒的诉求, 针对运营商勒索事件,达到净化公共互联网网络空间,检测和处置网络上传播的恶意信息,绿盟科技专门为运营商客户量身打造了僵木蠕防护方案。”罗伟补充道,“绿盟僵木蠕监控安全解决方案,整合了行为特征库检测引擎、流式病毒检测引擎、静态文件分析引擎、动态沙箱检测引擎、绿盟威胁情报系统等多种技术手段,全面提升僵木蠕检测能力,对网络中的勒索软件、僵木蠕、恶意IP、恶意URL等信息进行检测和处置,降低僵木蠕类安全事件。僵木蠕防护方案已经在运营商成功落地多期项目。”
在罗伟看来,针对流量异常事件,DDoS始终是攻击者的惯用手段,DDoS攻击有着见效快和获利便捷等特点,DDoS的防护同样也不能因循守旧,要充分利用大数据和人工智能技术,提供更有效的预警和检测方案,以及充分利用威胁情报体系,在监管机构和安全厂商之间共享威胁信息,协同防御,合作共赢。
为此,绿盟科技专门为运营商客户量身打造了异常流量清洗方案,由三部分组成立体的防御体系:绿盟云威胁情报、清洗中心和客户侧清洗设备。协助运营商和客户更好地利用现有资源最大化地缓解DDoS攻击,缓解流量异常事件。在流量异常防护方面,绿盟科技与中国电信云堤建立技术合作,目前已形成了覆盖国内 31 省和亚太、欧洲、北美等主要POP点的一体化攻击防御能力。
等级保护2.0标准即将出台,绿盟科技即将迎来业务机会
“网络安全攻防技术是一把‘双刃剑’,新的攻击技术会来带新的威胁,新的威胁也会促进防御手段的更新换代。”罗伟表示,“新的威胁手段必然会出现,我们只能防患于未然,赶在威胁到来之前做好准备。”
“在安全领域,其实最基础的安全管理防护措施发挥着最为重要的作用。”罗伟认为,绝大多数的安全事件可以通过基础的控制措施进行防护,比如及时更新的管理制度和流程机制、有效的网络边界隔离与防护、定期 / 不定期的安全评估、第三方服务及供应链的安全管控和安全应急预案编制与应急演练等。
此外,安全事件的爆发一定程度上在推进企业重视自身安全问题,从漏洞披露到安全事件全面爆发都有一定的周期,在这之前如果企业关注并跟进漏洞,及时更新相关补丁,可以大大降低安全风险。同时,企业应培养安全团队应急技能,加强员工安全意识培训。
在日前举办的网络安全论坛上,公安部网络安全保卫局处长祝国邦透露,等级保护已步入新的阶段,等级保护2.0标准有望出台。
实际上,等级保护政策极大促进了我国信息安全产业的发展。等级保护2.0是网络安全的一次重大升级,将催生国内信息安全市场将释放新的巨大需求。
由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合等保2.0时代国家网络安全等级保护政策的新要求,将会进一步加大信息安全产品和服务的投入;等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内所有新技术纳入,比等保1.0拓展了一个维度。
据罗伟介绍,目前等级2.0出台了两项相关标准,分别是GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程测评过程指南》和GB/T 36959-2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范 》。这两项标准发布日期为2018-12-28,实施日期为2019-07-01。
罗伟指出,“从逻辑上来讲,等保2.0偏重于事后审计、回溯、分析,新增的产品多与此功能相关,如APT,流量回溯,堡垒机,数据库审计,集中日志审计,态势感知平台等,将为我们的产品销售创造新的业务机会。”
等保2.0的定级、备案、安全建设和整改、测评、检查全过程相对比较专业,对于政府部门或企业IT人员而言,自行处理存在一定的难度,为了降低风险,政府和企业客户可以选择产品线相对完整的信息安全头部公司,绿盟科技能够满足等保2.0对于新产品和全流程咨询服务要求。 
