2018年网络安全应急响应分析报告

2018年网络安全应急响应分析报告 主要观点  凡事预则立，不预则废。网络安全应急响应是为了对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对、妥善处理。  2018年全年，全国应急响应服务需求呈逐步上升趋势，自2017年“永恒之蓝”勒索病毒爆发以来，针对政府、金融等行业的攻击层出不穷，我国网络安全态势严峻。  政府、医疗、金融和教育培训行业是2018年黑客攻击的主要目标，传媒、银行、科研等关键基础设施行业也面临着越来越多的安全威胁风险。网络安全防护存在短板、人员缺乏安全意识是网络攻击有机可乘的重要原因，应大力倡导各行各业，通过宣传教育、攻防演练等方式，加强网络安全意识培训。  2018年，应急响应处理安全事件中，勒索病毒攻击是政府机构、大中型企业服务器、终端失陷的重要原因之一，面对勒索病毒的频繁变种，政府机构、大中型企业应打破传统安全防护观念，多角度看待安全问题，实现安全能力的大幅提升与技术体系的全面升级。  网络安全应急响应工作应成为政府机构、大中型企业日常管理的一部分。勒索病毒等影响广泛的网络安全事件可能扩大为全行业、全国甚至全球性问题，网络安全应急响应需要政府机构、安全厂商、企业加强合作、取长补短，必要时进行跨国协作。  网络安全厂商提供的网络安全应急服务已经成为政府机构、大中型企业有效应对网络安全突发事件的重要手段。网络安全应急服务应该基于数据驱动、安全能力服务化的安全服务运营理念，结合云端大数据和专家诊断，为客户提供安全运维、预警检测、持续响应、数据分析、咨询规划等一系列的安全保障服务。 摘 要  2018年全年奇安信集团安服团队共参与和处置了717起网络安全应急响应事件.  行业应急处置排在前三位的分别为公检法（66起）、政府部门（63起）、医疗机构（56起），占到所有行业应急处置的9.0%、8.0%、8.0%，三者之和约占应急处置事件总量的25%。  在2018年奇安信集团 安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中，由行业单位自己发现的安全攻击事件占92%，而另有8%的安全攻击事件政府机构和企业实际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知已被攻击。  安全事件的影响范围主要集中在外部网站和内部网站（25.3%）、内部服务器和数据库（18.7%）。除此之外，还占有一定比例的还有办公终端（17.5%）、业务专网（6.3%）。  黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动谋取暴利；利用勒索病毒感染政府机构、大中型企业终端、服务器，对其实施敲诈勒索。  从上述数据可以看出，攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、破坏性攻击、声誉影响、系统不可用。其中，导致生产效率低下占比20%，数据丢失占比13%，破坏性攻击占比10%。 关键词：应急响应、安全服务、敲诈勒索、黑产活动、木马病毒 目 录 第一章 研究背景 ........................................................................................................................... 1 第二章 应急响应监测分析 ............................................................................................................ 2 一、 月度报告趋势分析 ............................................................................................................ 2 二、 行业报告排名分析 ............................................................................................................ 2 三、 攻击事件发现分析 ............................................................................................................ 3 四、 影响范围分布分析 ............................................................................................................ 5 五、 攻击意图分布分析 ............................................................................................................ 5 六、 攻击现象统计分析 ............................................................................................................ 6 七、 事件类型分布分析 ............................................................................................................ 7 第三章 应急响应服务分析 ............................................................................................................ 9 一、 网站安全 ........................................................................................................................... 9 二、 终端安全 ......................................................................................................................... 11 三、 服务器安全 ...................................................................................................................... 12 四、 邮箱安全 ......................................................................................................................... 14 第四章 应急响应典型案例 .......................................................................................................... 16 一、 某医院服务器勒索软件事件应急响应 ............................................................................ 16 二、 某电网公司终端勒索软件事件应急响应 ........................................................................ 16 三、 某汽车公司挖矿木马事件应急响应 ................................................................................ 17 四、 某部委CC事件应急响应 ................................................................................................. 18 五、 某证券公司DDOS事件应急响应 ...................................................................................... 18 六、 某集团网站挂马事件应急响应 ....................................................................................... 19 七、 某大学网站非法页面应急响应 ....................................................................................... 19 八、 某部委蠕虫病毒事件应急响应 ....................................................................................... 20 九、 某地法院遭到APT攻击事件应急响应 ............................................................................ 21 附录1 勒索病毒应急响应自救手册 ........................................................................................... 23 一、 如何判断病情 .................................................................................................................. 23 二、 如何进行自救 .................................................................................................................. 25 三、 如何恢复系统 .................................................................................................................. 27 四、 如何加强防护 .................................................................................................................. 29 附录2 恶意挖矿应急响应自救手册 ........................................................................................... 31 一、 感染恶意挖矿程序的主要方式 ....................................................................................... 31 二、 恶意挖矿会造成哪些