2018年 中国政企机构网络安全形势 分析报告 奇安信威胁情报中心 2019年4月13日 摘 要 终端安全  2018年，奇安信公有云监测数据显示国内大中型政企机构遭到勒索、蠕虫和漏洞攻击207961次，其中，蠕虫病毒攻击数量最多，共170173次，其次是漏洞利用攻击30938次，勒索软件攻击6850次。从感染病毒的角度来看，共有3762家政企机构感染了病毒。其中遭遇蠕虫攻击感染最多，共有3253家政企机构，其次是漏洞利用攻击，有1591家政企机构，还有397家感染了勒索病毒。  2018年，国内大中型政企机构遭到网络蠕虫病毒攻击170173次。其中，遭到蠕虫病毒攻击最多的关键行业是医疗卫生行业，达48966次。从感染病毒的角度来看，政府部门是遭蠕虫攻击感染病毒最多的行业部门，有828家单位感染。  2018年，针对国内大中型政企机构遭到漏洞利用攻击（不含蠕虫病毒、勒索软件和挖矿木马攻击）30938次，在关键行业中，能源行业遭受漏洞利用攻击最为频繁，多达4611次。从感染病毒的角度来看，政府部门是遭漏洞利用攻击而感染病毒最多的行业部门，有449家单位感染。  2018年，国内大中型政企机构终端设备（含服务器）遭到勒索软件攻击6850次，在关键行业中，金融机构遭受勒索软件攻击的次数最多，达2180次。从感染病毒的角度来看，政府部门是感染勒索病毒最多的行业部门，有83家单位感染。在感染勒索病毒的政企单位中，34.0%感染了GlobeImposter，22.0%感染了GandCrab，17.6%感染了Crysis，10.1%感染了Satan，仍然有7.5%单位感染WannaCry。 网站安全  2018年，奇安信网站安全检测平台共扫描检测网站149.2万个（年度去重），存在漏洞的网站110.3万个（月度去重），占比为73.9%，共扫描出漏洞1230.4万次。其中，共扫出存在高危漏洞的网站23.1万个，占扫描网站总数的15.5%，共扫描出217.0万次高危漏洞。  2018年全年，奇安信网站卫士共为76.1万个网站（月度去重）拦截各类网站漏洞攻击32.6亿次，平均每天拦截漏洞攻击945.8万次。  2018年，补天平台SRC共收录各类网站安全漏洞21238个，共涉及11227个网站。高危漏洞占比为29.7%，中危漏洞占比为40.8%，低危漏洞占比为29.5%。  补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为19.0%；其次，教育培训网站漏洞为18.3%，互联网行业为11.5%。从高危漏洞网站来看，金融行业的网站高危漏洞占比最多，均为50.6%。  2018年，奇安信威胁情报中心在全球范围内共监测发现扫描源IP 1400万个，累积监测到扫描事件约3.93亿次。全球平均每日活跃的扫描源IP大约有13.3万个，对应的日均扫描事件约107.6万起。  2018年，奇安信威胁情报中心监测到626.2万个IP在过去一年曾遭到过1064.3万次DDoS攻击，平均每天监测到DDoS攻击2.9万次。 工业互联网安全  从2011年-2015年，CNVD收录的工控系统漏洞数量，呈现了一个持续的稳中有降的态势。但在2015年底至2016年初的乌克兰大停电事件之后，工控系统漏洞的发现再次进入高速增长期：2016年191个；2017年351个；而到了2018年，增长到了442个。  在2018年四大漏洞平台收录的工业控制系统漏洞中，漏洞成因多样化特征明显，技术类型多达30种以上。其中，拒绝服务漏洞（103）、缓冲区溢出漏洞（54）和访问控制漏洞(32)数量最多，最为常见。从危险等级看，高危漏洞占比53.6%，中危漏洞占比为36.4%。  从漏洞涉及到的行业来看，制造业占比最高，涉及的相关漏洞数量占比达到30.6%，其次是能源行业涉及的相关漏洞数量占比23.9%。 信息泄露  2018年1-10月，补天平台共收录可导致百万条以上数据泄露的网站漏洞280个，约占补天平台全年漏洞收录总数（18200个）的1.5%，涉及网站129个，共可造成86.5亿条数据泄露。  从可导致数据泄露的网站漏洞技术类型来看，命令执行占比最高，为81.1%。其次为代码执行和弱口令，占比分别为7.9%和7.1%。  2018年1-11月，奇安信安服团队共为全国多家大中型政企机构，提供了717次网络安全应急响应服务，其中，涉及到数据泄露事件共130次，占应急响应处置事件总数的18.1%。  政企机构对网络攻击的重视程度、发现能力和主动响应的能力正在显著上升。95.5%的数据泄露事件是企业自行发现的。  2018年，抽样收集的206起全球政企机构重大数据泄漏事件中，13.1%为生活服务行业，12.1%为IT信息技术，11.7%为互联网行业。从泄露数据的原因来看，49%的事件是由于外部攻击导致的。从泄露的数据规模分布来看，47.1%的事件泄露的数据规模在100万条以上。值的注意的是，7.1%的事件泄露规模在1亿条以上。  2018年，抽样收集的1000条暗网中关于数据交易的行业来看，金融行业占比为23.1%；互联网行业占比为16.3%；数据交易的规模来看，10万条以上的数据占到了46.0%；10万至100万条的数据占到了23.4%；100万至500万条的数据占到了11.0%；500万至1000万条的数据占到了3.6%；1000万至5000万条的数据占到了8.6%；5000万到1亿条的数据占比为1.4%；1亿条以上的数据，占比为5.8%。 APT攻击  奇安信威胁情报中心在2018年监测到的高级持续性威胁相关公开报告总共478篇，其中下半年报告披露的频次和数量明显高于上半年。  2018年全球公开披露的APT分析报告中，被攻击目标涉及最多的5个行业领域分别是：军队与国防（17.1%）、政府（16.0%）、金融（15.5%）、外交（11.6%）、能源（10.5%）。  在2018年，APT攻击活动几乎覆盖全球绝大部分地区的国家和区域。其中，针对韩国、中东、美国、俄罗斯、巴基斯坦等地区的APT活动最为活跃，也被披露的最多。 应急响应事件  2018年，奇安信安服团队为全国各地多家大中型政企机构，提供了网络安全应急响应服务，参与和协助处置各类网络安全应急响应事件717次。  2017年和2018年的统计数据显示，近九成的攻击事件都是政企机构自行发现并请求援助的。2017年6月《网络安全法》的实施后，大中型政企机构对安全事件的应急响应重视程度大幅提高，尽早发现，尽早处置，自行响应渐成主流。  从大中型政企机构网络安全事件中的失陷区域来看，25.3%为网站；18.7%为内部服务器、数据库；17.5%为办公终端。  目前网络安全事件对机构的最常见影响有以下三类：生产效率低下、数据丢失和破坏性攻击。统计显示，20%的安全事件导致了生产效率下降，13%的事件导致数据丢失，10%的安全事件对政企机构的系统造成了破坏  在2018年，奇安信安服团队现场处置的网络安全应急响应事件中，有223个网络安全事件背后有明显的黑产活动的影子，189个安全事件属于敲诈勒索事件。 关键词：终端、蠕虫、勒索、网站安全、工业互联网、信息泄露、漏洞、APT、应急响应 目 录 第一章 终端安全 ............................................................................................................ 1 一、 攻击概况 ........................................................................................................................... 1 二、 蠕虫病毒攻击 .................................................................................................................... 3 三、 漏洞利用攻击 .................................................................................................................... 4 四、 勒索软件攻击 .................................................................................................................... 5 第二章 网站安全 ............................................................................................................ 8 一、 网站漏洞检测 .................................................................................................................... 8 二、 网站漏洞攻击 .................................................................................................................. 11 三、 人工漏洞挖掘 .................................................................................................................. 13 四、 网络扫描 ......................................................................................................................... 17 五、 DDOS攻击 ......................................................................................................................... 20 第三章 工业互联网 ....................................................................................................... 26 一、 工控系统互联网暴露情况 ............................................................................................... 26 二、 工业互联网安全漏洞分析 ............................................................................................... 27 三、 工业互联网安全威胁 ...................................................................................................... 30 第四章 信息泄露 ...............................................