2023年网络空间测绘报告
AI智能总结
关于绿盟科技 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000年 4 月,总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有 50 余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。 绿盟威胁情报实验室聚焦威胁情报领域的前沿技术研究,为绿盟威胁情报生态、情报产品及基于威胁情报的威胁解决方案提供关键技术研究工作。实验室主研方向包括:网络空间测绘、恶意 IP/ 域名 /URL/ 样本分析及挖掘、攻击面管理、钓鱼网站监测、敏感信息泄露监测、网络挖矿监测技术、暗网资源监测等。实验室研究成果落地于多个威胁对抗场景中,包括:网络空间测绘、攻击面管理、恶意网站治理、网络挖矿治理、数据安全监测等产品或解决方案。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 执行摘要 1 01 2023 年重大网络空间安全事件回顾31.1高风险资产安全事件41.2大模型资产安全事件91.3信创资产安全事件101.4数据资产安全事件101.5小结12 02 网络空间高风险资产分析13 2.1工控资产暴露情况分析142.2物联网资产暴露情况分析182.3安全设备资产暴露情况分析222.4黑客控守资源暴露情况分析252.5高风险服务资产暴露情况分析27 03 大模型资产测绘专题分析31 CONTENTS3.1语言类大模型服务站点测绘333.2绘图类大模型服务站点测绘373.3大模型资产风险分析393.4小结43 04 信创资产测绘专题分析444.1信创资产测绘454.2信创资产风险分析484.3小结50 05 数据安全资产测绘专题分析515.1数据安全资产测绘525.2数据安全资产风险分析595.3小结65 06 总结与展望66 参考文献 69 观点1: 2023年,工控和物联网等传统资产仍是黑客关注的重要攻击资源。勒索团伙、APT组织和间谍组织等威胁参与者利用网络空间中暴露的脆弱资产对多个受害者发起攻击。 观点2: AIGC、LLM热潮下,持续增长的ChatGPT资产屡次曝出数据泄露安全事件,加剧了未来威胁的发展趋势。数据投毒、对抗攻击、AI模型注入、LLM框架漏洞利用等新型智能攻击方式将成为未来黑客攻击的武器库之一。 观点3: 近年来国内对工控、物联网等资产开展的安全治理工作显有成效。对比去年,国内暴露的工控资产总量呈下降趋势。但总体来看,互联网仍存在部分暂未进行治理的工控资产。 观点4: 安全设备作为保护内部网络的第一道屏障、正常办公访问的入口,其自身的安全保障至关重要。目前国内互联网暴露的安全设备数量众多,值得关注。 观点5: 大量高风险服务资产暴露在互联网上,其中绝大多数使用默认端口。这些服务一旦被黑客攻击,就会直接造成数据泄露、DDoS攻击等重大安全问题。 观点6: 全球范围内发现大量ChatGPT服务站点。从地理分布来看,这些站点主要位于美国和中国。从国家数据安全监管视角,国内企业人员使用这些服务站点可能存在数据安全隐患,引发严重的数据泄露。 观点7: ChatGPT服务站点的IP地址具有很高的聚集性,常常会有多个站点托管在同一个IP地址上。产生聚集性的主要原因是大量站点在搭建时采用了相同的开源框架,这些框架的调用的IP配置相同。这增加了此类站点所面临的风险。 观点8: 信创资产的主要用户通常是重要的企事业单位或重要机构。信创资产暴露在互联网容易暴露重点单位的攻击面(IP地址范围)。同时信创资产也或多或少存在安全漏洞,应尽量避免直接暴露在互联网。 观点9: 随着消息中间件、数据服务组件等资产的广泛应用,数据安全资产的攻击面不断扩大。 观点10: 采用过时、不安全配置的,和存在漏洞的数据安全资产,仍是企事业单位需关注的焦点。 观点11: 在数据安全资产中,消息中间件存在一些利用成本低、危害性高的漏洞,此类资产的安全性值得关注。 观察1: 从地理分布上来看,工控暴露资产主要集中在工业互联网产业发展较快的地区,暴露数量随工业互联网发展程度呈现增长态势。 观察2: 按资产协议划分,工控资产暴露的MODBUS协议数量最多,占到全部暴露协议数量的57.50%。 观察3: 从厂商分布来看,工控资产暴露的厂商类型主要以国外厂商为主。其中暴露最多的为施耐德,数量为312个。 观察4: 大量物联网设备仍暴露在互联网中,设备类型以摄像头、路由器和NAS为主。其中涉及的国产设备占比约50%。经济发达、人口密集的地区容易暴露更多的物联网设备。 观察5: 对比2022年,在物联网安全治理下,国内暴露的路由器、摄像头数量大幅下降。 观察6: 从地理分布来看,工业体系较为发达的地区暴露的资产数量占比较多。 观察7: 从变化趋势看,互联网暴露安全设备数量比上一年增加了近一半。从地理分布来看,沿海、经济发达、人口稠密和重要行业、单位集中的地区安全设备资产暴露数量偏多。 观察8: 2023年国内暴露的Cobalt Strike(下文简称CS)服务有3337个,较去年有所增加,其中北京、上海、广东暴露数量位列前三,国内多家知名云厂商分布量远超传统运营商,国内云厂商资产占比达到80%以上。 观察9: 从地理分布来看,语言类大模型服务站点(ChatGPT)应用最广泛的地区为美国,ChatGPT服务网站数量占比约为68.0%。其次是中国和新加坡,两者占比分别为21.6%和3.9%。从运营商分布来看,该类站点采用云服务器为主,占比约为93.7%。 观察10: 从 地 理 分 布 来 看, 国 内 绘 图 类 大 模 型 服 务 站 点 应 用 数 量 前 三 的 地 区 分 别 为 香 港(27.4%)、北京(21.6%)和上海(14.5%)。从运营商分布来看,数量前三的国内厂商分别是中国电信(21.4%)、阿里云(19.4%)和腾讯(16.9%)。 观察11: ChatGPT服务站点的安全性和可靠性一般,一方面其普遍使用不安全的HTTP协议;另一方面这些站点的架构和部署方式具有很高的相似性。 观察12: 从地理分布来看,江苏省暴露的信创资产数量较多,约占40.1%;从端口分布来看,22端口暴露数量最多,约占86.1%。 观察13: 对比去年,传统的Mysql、PostgreSQL数据库暴露数量平均减少近1倍,而大数据、文档等数据库暴露数量平均增长近1倍。 观察14: 对比去年,代码仓库暴露数量呈下降趋势,下降比率达33%。从类型分布来看,整体没有较大的变化。 观察15: 2023年,数据服务组件暴露总量为107,953。其中,数据监测类组件Zookeeper暴露数量最多,占比约为34.6%;数据应用类组件最多的为Squid,占比约为20.6%。 观察16: 2023年,消息中间件ActiveMQ暴露数量为70,550,Kafka暴露数量为9,878。 观察17: 从整体分布来看,越来越多的数据库资产采用了云数据中心,占比约为83.92%,云数据中心成为企业数字化转型的首选基础架构设施服务。 执行摘要 2023年,是网络安全产业充满考验和挑战的一年。在全球经济下行背景下,网络安全面临的威胁复杂多样。自党的二十大提出加快建设网络强国的战略以来,网络安全已成为国家安全的重要组成部分。在安全战略建设的驱动下,网络安全相关政策法规和标准规范相继落地、国家网络安全治理日臻完善、网络安全技术加快迭代升级,国内网络安全治理工作效能显现,但网络攻击事件仍时有发生,互联网空间暴露资产仍常成为攻击者利用的对象。2023年,是网络安全技术变革的一年。信创产品、生成式人工智能(AIGC)、基于人工智能的对抗攻防技术、量子安全技术、云原生安全、安全审计和合规、云密码、网络防护有效性验证、数据安全治理和软件供应链安全治理等多个热点技术涌现。在新技术热潮下,不断暴露的脆弱资产仍然是网络空间治理的重中之重。 绿盟科技制定的2023年网络空间测绘报告,从网络安全事件开始,在观察网络空间传统资产暴露情况的基础上,针对大模型安全、信创安全、数据安全三个专题场景进行深入的分析,探究我国在互联网暴露资产上总体态势和安全风险情况。报告中的主要内容如下: 第一章,回顾和简要分析2023年较为重大的安全事件中的典型案例。基于当前热点发展领域分析网络安全事件态势,有助于发现和识别热点领域关联资产潜在的风险,保证整体网络空间的稳态运行,进而保障经济稳定及安全发展。 第二章,梳理国内网络空间中的关键领域高风险资产暴露的变化情况。从资产类型、地理、协议、厂商、IP应用场景、运营商、端口等不同视角,观察网络空间中暴露资产的分布特点。在不同的实战场景下,有助于企业定位资产治理的高风险点,指导网络安全布防措施的有效开展。 第三章,以“大模型资产”为切入点,分析2023年全球大模型资产的暴露情况。测绘大模型关联资产及地理、运营商分布特点,能够帮助国家摸清新技术领域资产的安全特点。指引在技术进步的前提下认知网络安全态势变化、调整相应的安全防护措施。 第四章,从信创安全角度分析当前信创资产的暴露情况。信创的发展使得信息系统更为安全。通过测绘信创资产的类型、地理和端口分布特征,能够对底层技术的持续发展、维护国家安全的战略主动权起到借鉴作用。 第五章,以“数据安全”视角对当前不同数据资产的暴露面情况进行梳理。脆弱的数据资产成为数据泄露的源头,统计和挖掘更多数据安全资产,有助于优化和完善数据安全治理 工作,保证敏感数据资产的安全运行。 第六章,对全文工作进行总结。总结年度暴露资产的特点,分析资产存在的风险,以及展望未来工作。 2023 年重大网络空间安全事件回顾 观点1: 2023年,工控和物联网等传统资产仍是黑客关注的重要攻击资源。勒索团伙、APT组织和间谍组织等威胁参与者利用网络空间中暴露的脆弱资产对多个受害者发起攻击。 观点2: AIGC、LLM热潮下,持续增长的ChatGPT资产屡次曝出数据泄露安全事件,加剧了未来威胁的发展趋势。数据投毒、对抗攻击、AI模型注入、LLM框架漏洞利用等新型智能攻击方式将成为未来黑客攻击的武器库之一。 网络安全态势与社会形势、国家治理及法律政策息息相关,尽可能减少敏感设备的暴露,增强网络设备或应用的安全防护,才能尽可能减少形势变化下重大网络安全事件的发生。从ChatGPT数据泄露事件可以看出,对技术发展热潮下出现的大模型产业,厂商在进行技术迭代的同时还需要关注供应链安全。工业控制系统领域是勒索软件攻击的主要目标,因为对于多数受害企业来说,他们无法承受系统或生产线停止服务的代价,所以攻击者会有更大概率拿到赎金。随着各个行业业务上云步伐的加快,云化业务及数据变得越来越重要,这势必吸引更多的攻击者针对云上目标展开攻击。在工控独角兽遭受勒索攻击事件中,攻击者通过攻击工控云服务漏洞,以谋取利益。同时,云上服务面向多租户,相关漏洞的影响因而具有规模性。近年来越来越多的安全设备漏洞被披露出来,其中远程命令执行、权限提升较为常见。自国内重要机构遭遇网络攻击以来,涉及军、政、科研等敏感数据受到攻击者的关注,泛数据资产也成为攻击的主要目标之一。总之,2023年网络攻击趋势仍在持续攀升中,勒索软件、漏洞利用、数据泄露以及供应链攻击仍是安全需要关注的重点问题。 本章将站在网络空间资产视角下,对2023年网络披露的重大安全事件进行简要分析。 1.1高风险资产安全事件 1.1
