科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全安恒信息发布2014年互联网安全年报

安恒信息发布2014年互联网安全年报

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今日,安恒信息正式对外发布了其2014年互联网安全年报,对2014年整个互联网安全行业的国内外热点安全事件、安全漏洞、安全威胁变化以及APT攻击做了全面的分析。

来源:ZDNet安全频道 2015年1月14日

关键字: 安恒信息 互联网安全 年报

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共6页)

二、安全形势分析

1、网络空间安全威胁阶段和当前形势

随着互联网和信息技术的发展趋势,存在信息网络当中的“安全”成为关乎国家安全的重要问题,国际上信息科技发达国家进入了网络空间的战略集中部署阶段,网络安全的边界概念被模糊化,各种安全威胁不断被放大和演变,网络的安全形势日益复杂严峻。

▎各国加速网络安全战略部署

美国从90年代后期开始注重关键基础设施来自网络空间的威胁,并先后制定出成熟的国家网络空间安全战略,主要战略性文件包括《网络空间安全国家战略》、《网络空间国际战略》和《网络空间行动战略》。

在 美国的示范效应作用下,先后有50多个国家制定并公布了国家安全战略。欧盟委员会在2014年2月公报中强调网络空间治理中的政府作用;习近平在巴西会议 上第一次提出信息主权,明确“信息主权不容侵犯”的互联网信息安全观。日美第二次网络安全综合对话结束,两国在网络防御领域的合作将进一步强化;中日韩建 立网络安全事务磋商机制并举行了第一次会议,探讨共同打击网络犯罪和网络恐怖主义,在互联网应急响应方面的建立合作。

▎网络安全威胁隐患不容忽视

木 马病毒、钓鱼诈骗、僵尸网络、分布式拒绝攻击(DDOS攻击)、高级持续威胁攻击(APT攻击)等成为当今网络主流的攻击方式,并呈现愈演愈烈的趋势。云 端恶意代码样本已从2005年的40万种增长至目前的60亿种,全球恶意代码样本数目正以每天可获取300万个的速度增长,继“震网”和“棱镜门”事件之 后,网络基础设施又遇全球性高危漏洞侵扰,“心脏出血”漏洞威胁我国境内约3.3万网站服务器,Bash漏洞影响范围遍及全球约5亿台服务器及其他网络设 备,基础通信网络和金融、工控等重要信息系统安全面临严峻挑战。

▎解析Blackhat 2014峰会,展望未来安全趋势

Blackhat 2014峰会解密了无线、物联网、移动终端、操作系统、大数据等十大领域的安全漏洞,顶级黑客在演示活动中施展破解大法,也凸显现实世界安全风险之大。比 如,号称最安全的安卓智能手机在5分钟内就被破解;澳洲黑客无需任何硬件;仅利用无线技术就在短时间内破解汽车系统。还有专家在会上指出,全球有超过20 亿个移动设备安装了含有漏洞的远端管理程序,而黑客能借此获得权限,在移动设备上安装恶意程序或存取机密信息。

黑客技术不断创新,针对受众的攻击面迅速扩大,攻击技术更加智能、隐蔽,信息安全议题的受关注程度前所未有,可以说--安全隐患无处不在!

随着互联网和移动互联技术在全球迅速普及,人们工作生活的方方面面被“一网打尽”,但网络环境日趋复杂,面对高速增长的数据信息量、移动应用端的普及,以及病毒和黑客不断变化的入侵方式,预计未来的信息安全重点将聚集在云安全、物联网、移动终端、数据存储安全方面。

2、我国网络空间安全现状

我 国信息网络蓬勃发展,互联网络规模不断扩大,应用水平不断提高,网络应用形势呈现多样化,成为推动社会进步和经济发展的巨大动力。伴随着信息网络快速增长 的步伐,也出现了不少迫切需要解决的问题,尤其是当前网络立法系统性不强、及时性不够和立法规格不高,物联网、云计算、大数据等新技术新应用、数据和用户 信息泄露等的网络安全问题日益突出。

CNCERT监测数据和通信行业报送信息,我国互联网仍然存在较多网络攻击和安全威胁,不仅影响广大网民利益,妨碍行业健康发展,甚至对社会经济和国家安全造成威胁和挑战。

▎政府网站成为信息安全威胁的重灾区

地方政府网站是黑客攻击的“重灾区”, 2014年我国境内被篡改和被植入后门的政府网站中,超过90%是省市级以下的地方政府网站。我国政府网站频繁遭受黑客组织攻击。

▎网络设备成黑客入侵后门

国 家互联网应急安全中心指出部分路由器厂商的产品留有“后门”,这些“后门”一旦被黑客利用,用户的信息和财产安全将受到威胁。本来这些“后门”是在路由器 出厂时为了以后厂家调试和检测使用,而黑客一旦发现并侵入该“后门”后,可以直接对路由器进行远程控制,劫持用户路由器。越来越多与人们生活密切相关的信 息汇聚到网络,存在严重泄露风险,可能给传统社会的信任机制带来挑战。

▎有组织攻击频发,我国面临大量境外攻击威胁

国 家 级有组织网络攻击频发,我国部分重要网络信息系统遭受渗透入侵, CNCERT 监测发现境内 1.5 万台主机被 APT 木马控制。境内1090多万台主机被境外控制服务器控制,主要分布在美国、韩国和中国香港,其中美国占 30.2%,控制主机数量占被境外控制主机总数的 41.1%。

▎移动互联网环境有所恶化

仅2014上半年,新增移动互联网恶意程序就超过36.7万,移动恶意程序99%以上针对安卓平台,恶意扣费类程序占到62%以上,超过300家应用商店存在移动恶意程序。手机应用商店、论坛、下载站点、经销商等生态系统上游环节污染,下游用户感染速度加快。

3、移动互联网的安全现状

据 中国互联网络信息中心(CNNIC)的第34次互联网报告显示,截至2014年6月,我国手机网民规模达5.27亿,较2013年底增加2699万人,网 民中使用手机上网的人群占比进一步提升,由2013年的81.0%提升至83.4%,手机网民规模首次超越传统PC网民规模。移动上网设备以其快捷、方便 的特点成为了人们生活中不可或缺的一部分。移动应用App取代浏览器成为人们上网的最主要入口;2014年,中国移动互联网用户平均每天启动App的时长 达116分钟,接近2小时,移动互联网用户的App使用呈现高集中度,经常使用1-5个的App占比最大,接近一半。但移动设备的安全问题也越来越成为关 注的焦点。2014年中国计算机网络安全年会发布的《2013中国移动互联网环境治理报告》显示:2013年,中国移动互联网网络安全状况整体评价等级为 “危”,是五级网络安全状况中的最危险级别!随着App的快速增加,恶意程序也呈井喷式增长。2013年,我国境内感染移动互联网恶意程序的用户数量超过 609万。

2014年,国家互联网应急中心在2014中国互联网大会上发布了《2014年上半年移动互联网环境治理报告》中发布的新数 据,更是引起了人们的注意:新增移动互联网恶意程序超过36.7万,移动恶意程序99%以上针对安卓平台,恶意扣费类程序占到62%以上,超过300家应 用商店存在移动恶意程序……

钓鱼、病毒植入、非法窃取信息、盗版、篡改版,涉嫌采集用户包括联系人、通话记录、手机位置、手机识别码等 隐 私信息的产品,可以说充斥着整个市场。恶意应用大量泛滥,到2014年底恶意App数量将突破300万;手机应用商店、论坛、下载站点是传播移动互联网恶 意程序的主要来源。

综上所述,为净化移动互联网的应用环境,构建移动应用(APP)自身的立体防护体系,将是移动互联网网络信息安全的源头和重中之重。

三、2014网络安全热点问题

1、威胁由网络层转向应用层

如今,许多行业用户将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。不论是电子政务、通信、金融、电子商务抑或是小小的个人博客,基于Web和数据库的应用系统已经逐渐成为主流。在我们享受这些信息系统带来便利的同时,也必须正视其带来的安全和威胁:

(1)随着Web应用系统不断地建设及陆续投入运行,这些Web应用程序所带来的安全漏洞越来越多;

(2)使用者安全意识的培养跟不上Web应用的普及速度,加上Web应用本身的粗放式特点,使攻击成为了简单的事情;

(3)目前基于Web的各种应用直接承载有各类虚拟资产,而这类虚拟资产可以方便的转换为现实经济价值。很显然,此类应用系统将会成为以经济利益为驱动的攻击首选;

(4)随着技术的不断提高,攻击工具日益专业化、易用化、攻击方法也越来越复杂、隐蔽,防护难度较大、导致各类攻击者活动越来越猖獗;

然 而与之形成鲜明对比的却是:原有安全解决方案无一例外的把重点放在网络层,致使当应用层攻击(如:SQL注入攻击、跨站脚本攻击、恶意代码等等)发生时, 传统的网络层安全设备,如防火墙、IDS/IPS等形同虚设,根本无能为力。根据Gartner的报告,目前网络中常见的攻击已经由传统的系统漏洞攻击逐 渐发展演变为对应用自身弱点的攻击,其中最常见的攻击技术就是针对Web应用的SQL注入和钓鱼攻击。据安恒信息风暴中心的统计显示,国内网站安全性令人 担忧:65.5%的网站存在安全漏洞,其中,29.2%的网站存在高危安全漏洞;8.7%的网站遭到篡改,33.7%的网站被植入了后门。平均每天有 3500 多家网站遭到 35 万次的各类漏洞攻击;每天有超过 600 余家网站遭到 1180 多万次的流量攻击。政府网站是漏洞攻击的首要目标,而企业网站则是流量攻击的首要目标。跨站脚本漏洞和 SQL 注入漏洞这两类高危安全漏洞仍然是占比最高的网站安全漏洞, 二者之和超过网站所有漏洞检出总次数的一半。

2、网络攻击趋势变化

当 前攻击者也由过去的单兵作战,无目的的攻击转为有目的、有针对性的攻击,并且形成一整套以攻击者为中心的“传、攻、销”的经济产业链。境外情报机构、企业 公司和犯罪团伙都愿意付钱买下有关安全漏洞——以及如何加以利用——的信息。各种信息网络犯罪每天充斥在我们生活当中,信息网络犯罪已经达到了一个前所未 有的高度,违法犯罪类型和形式趋于多样化、隐蔽化、复杂化。那么如今的信息网络犯罪攻击技术已经达到什么样的程度了呢?

(1)Web应用安全与数据泄漏

从 2014年春运第一天12306爆用户信息泄露漏洞,年中最严重的是泄露了130万考研信息,到年底12月25日12306用户数据遭泄露,账号密码身份 证信息被售卖。不论是通过不安全的第三方平台还是继续遭受2012年年底的“泄密门”时间持续影响,过去的2014年都是数据泄密的高发持续增长期,使用 失窃账户密码依然是非法获取信息的最主要途径,而这里面三分之二的数据泄露都与漏洞或失窃密码有关。

攻击者的目标明确、趋利化特点明 显, 针对不同Web应用网站所采用的攻击手段不同,攻击者入侵一个目标站点的时候,首先会看该站点是否存在利益价值。目前攻击者的商业攻击主要针对在线购物网 站、社交网站、网络游戏、大型论坛、慈善机构、电子政务、金融证券网站等网站。比如攻击者可以通过入侵缺乏防护措施的政府网站挂“黑链”,因为政府网站在 搜索引擎中占据的权重较高,攻击者可以通过植入脚本木马进行网页篡改,将自己指定的网站或代码插入到政府网站的正常页面中,从而提供其在搜索引擎中的排名 靠前并盈利。

现在的大型网站一般都使用第三方开发公司的商业网站管理内容系统,虽然一般情况下这些商业网站每年也会聘请安全服务机构进 行 安全风险评估,部署大量安全产品,但是狡猾的攻击者会绕道先攻击网站的开发商,获取到商业网站管理系统的源码,然后进行分析挖掘漏洞,再转回头攻击之前的 目标商业网站。同时攻击者会利用挖掘到的商业漏洞攻击其他商业网站或者出售该漏洞。

攻击者们通过入侵各个站点,把这些站点的用户数据库 整 体下载下来,这个叫做“拖库”;然后再把这些数据库里的个人信息拿来进行网络诈骗或者层层出售,这个叫做“洗库”;最后攻击者们通过某些渠道相互共享出 来,找到各自用户信息的共同点和关联之处,取得完整用户的完整个人信息,再用这些信息进一步去尝试其他攻击目标网站或者个人,这个叫做“撞库”,最后偷取 用户游戏账号、银行账号、证券交易账号、密码等,窃取用户的私有财产。

(2)0day攻击

根据路透社的报告,在一个蓬 勃 发展的由攻击者和安全公司开发和销售入侵工具的灰色市场,美国政府是“0day”漏洞最大的买家。路透社称,“私营公司雇佣了专业技术人员和开发人员来发 现漏洞,开发利用漏洞的代码,之后拿到市场上去卖。这些0day漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长 时间内不被公开。

挖掘软件漏洞,在网络安全中是一个古老的技艺,世界上第一个蠕虫病毒“莫里斯蠕虫”就是病毒制造者莫里斯通过挖到的 UNIX漏洞进行传播的。现在越来越多的破解者和攻击者们,已经把目光从率先发布漏洞信息的荣誉感转变到利用这些漏洞而得到的经济利益上,互联网到处充斥 着数以万计的充满入侵激情的脚本小子,更不用说那些以窃取信息为职业的商业间谍和情报人员了。于是,0day有了市场。

国外很早就有了 0day的网上交易,攻击者们通过网上报价出售手中未公开的漏洞信息,几年前,攻击者通常会将漏洞信息出售给微软和苹果等公司,然后由它们去修复。由于政 府机构愿意付出更高的价格购买0day漏洞,迫使微软提高价格至最高15万美元。有两位意大利攻击者,他们将找到的0day漏洞细节出售给美国政府的安全 机构如NSA及其对手伊朗革命卫队。

同时,攻击者也会利用白帽攻击者和专业安全研究人员分享的研究成果,并通过分析的代码或者测试程序改制成恶意软件。

当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从0day走过,但不管怎样,0day带来的潜在经济利益不可抹杀,而其将来对信息安全的影响以及危害也绝不能轻视。

(3)网络攻击工具逐渐齐全

Metasploit 是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在发布Metasploit时,它的发布在安全界引发了强烈的地震,甚至有人把它形容成“可以黑掉整个星球”。仿佛一夜之间,任何人都可以成为 攻击者,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为 Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。

经验丰富的攻击者一般都喜欢使用 一些网络攻击工具来提升自己的攻击效率,而这些工具的使用,只需要非常少的技术,另外,开发人员通常将这些工具做为合法的渗透测试工具在攻击者论坛或他们 的网站上免费提供。通过最近几年网络安全技术的快速发展,网络攻击工具也有了新的发展趋势。

比如现在攻击工具的自动化水平不断提高。以 前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。在2000年之前,攻 击工具需要人来发动新一轮攻击。现在,攻击工具可以自己发动新一轮攻击,比如震网病毒主要利用Windows系统漏洞实施攻击和传播,具有极强的复制能力 和明确的攻击目标,一旦成功感染系统就会自动传播给其他与之相连的电脑,最后造成大量网络流量的连锁效应,导致整个网络系统瘫痪。

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。

攻 击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工 具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的 成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工 具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。

(4)APT攻击

高级持续性威胁 (Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是攻击者以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业 间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据, 这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。

APT入侵客户的途径多种多样,主要包括以下几个方面。

——以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

—— 社会工程学的恶意邮件是许多APT攻击成功的关键因素之一,随着社会工程学攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发 现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。攻击者刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进 行攻击的源头。

——利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。

(5)移动互联网安全

为什么很多单位开会的时候不允许带手机?因为手机有可能变成窃听器。如果你手里拿着的是一部已经感染了恶意代码的智能手机,那么你接听和拨打的所有电话,都将被恶意代码控制者掌控,而作为普通手机用户的你,完全看不出任何端倪。

如 今,人们的信息交流开始越来越多地由PC转向手机,然而,随着移动互联网的快速发展,固定互联网上原有的恶意程序传播、远程控制、网络攻击、垃圾邮件等网 络安全威胁也快速地向移动互联网蔓延。这些恶意程序往往在用户不知情的情况下窃取用户个人信息,诱骗用户上当受骗,造成用户的经济损失。移动互联网已经被 各种病毒、木马、恶意代码等攻击行为全面侵袭——手机上的木马可以控制调取通讯录、短信,可以对通话进行录音,然后把录音传到控制端去,还可以伪造朋友给 机主发短信,或者伪造机主身份给朋友发短信……

因此,对移动互联网恶意程序进行有效的防范和控制,不断提高移动智能终端的安全能力,关系到我国移动互联网的健康发展和对广大移动互联网终端用户合法权益的保护。

(6)智慧城市面临的新型信息安全威胁

智慧城市是一项甚为复杂的大型系统工程,随着三网融合、两化融合的深入推进,物联网、云计算、大数据等高新技术的应用与发展,所面临的网络环境更加复杂,因此其信息与网络乃至应用终端的安全问题均比一般互联网的信息安全问题要多。

我国的“智慧城市”建设进入高峰期,智慧城市的信息系统特点是一把双刃剑,在给人们带来智慧城市的美好前景的同时,也带来了新的信息安全的威胁。

主要的威胁包括(但不限于):

1. 恶意的网络攻击:

美 国好莱坞电影《虎胆龙威4:虚拟危机》中,描述了一个恐怖分子利用网络攻击达到让一个国家陷入“全面性瓦解”的景象,而智慧城市所提倡的全面物联、透彻感 知、深入的智能化,以及在任何时间、任何地点、利用任何设备登录网络,非常方便的利用云计算能力获得等特点,让恶意人员实施网络攻击变得异常简便,甚至可 以让电影情节中的“全面性瓦解”有可能真正地发生。试想一下,恐怖分子如果要攻陷表面固若金汤的大国的最后防线,与其劫持飞机再续911事件,不如逮住建 立于二进制系统之上的国家安全漏洞,只要一个有缺陷的程序,就可能掌握物联网应用的控制系统,实施对目标地域的水、电、油、气、交通进行完全掌控,瘫痪任 意系统、控制经济命脉,再制造点导弹齐飞核弹解禁之类的威胁,该是一种多么恐怖的景象。

2. 城市管理信息泄密:

智慧 城 市应用大部分是在公网上运行,采集并保存着城市运行和管理的海量数据,这些海量数据通过大数据分析软件的分析,为城市管理人员提供了这个城市的各种重要信 息,其中一些信息具备非常高的信息价值,应该对这些信息进行很高密级的保护。然而,由于这些信息设备往往无人值守,恶意人员可能偷盗传感器件获得其存储密 码和感知数据,通过多位置放置被控节点副本及发射无线干扰信号,进行物理层面攻击使网络瘫痪,还可能利用公开的智慧城市应用和方便的云计算资源,实施大数 据计算,从而获取到这些机密信息,这种情况轻则会造成商业的被动和损失,重则可能会造成社会和国家安全上的威胁。

3. 个人信息的泄密:

在 智慧城市建设中,所谓的“大数据”,核心就是个人信息。智慧城市的建设使得城市生活的方方面面互联化了,造成了市民的个人信息在大量的网络应用上发布、原 本在物理世界的生活却在网络上全面的留下足迹、个人和家庭的设施和物品通过物联网也暴露在互联网上。凡此种种,都是个人信息泄露的威胁,这样的威胁在与普 通民众生活息息相关的领域给自身和相关行业造成巨大的困扰和经济损失。目前因为还处在智慧城市建设的初期阶段,对这些威胁还没有得到足够的认识,也没有安 全防护的安全实践,甚至于人们普遍缺乏个人信息保护的安全防范意识。

4. 业务连续性和灾难恢复方面的安全威胁:

智慧城市是城市运行和管理的高级信息化应用,这些应用发展到一定的规模后,人们会发现越来越离不开这些应用,到那个时候,如果出现智慧城市应用的运行问题或者遭受到自然的灾害影响时,城市的运行和管理将遭到重大的打击,最终将极大的影响到市民的正常生活。

综上所述,智慧城市建设除了会带来通常的信息安全问题,还可能会带来严重的社会稳定、经济利益甚至于国家安全的威胁,因此必须倍加重视与小心务实应对。


    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章