【導讀】過去一年多，各種 APT 攻擊事件、勒索挖礦事件，數據泄露事件，漏洞攻擊事件仍然不絕于耳。從 ATT&CK 模型框架的興起到實戰化攻防環境的建立，從反序列化漏洞的攻防博弈到 VPN 漏洞的異軍突起，從不斷“APT”化發展的勒索攻擊到廣撒網的挖礦活動，從不斷受地緣政治影響的APT攻擊到新冠疫情引發的花式攻擊，從 MaaS 模式的逐漸成熟到惡意軟件家族間“合作”案例的逐漸增多……層出不窮的網絡安全事件時刻提醒著我們越來越嚴峻的網絡安全態勢，同時引發網絡安全從業者的一次次思考。

過去十年來，攻擊者的技戰術思路以及網絡安全攻防體系也在發生著深刻的變化。網絡攻擊正變得更加隱蔽，有針對性、有組織性和逐利性，網絡安全產品使用者更加關注產品和服務的有效性，網絡安全廠商面臨的問題更加具有挑戰性。

對此，啟明星辰集團發布《2019~2020網絡安全態勢觀察報告》，以觀察者的視角嘗試剖析2019年全年至2020年上半年網絡安全形勢及其變化，希望以此為各行業以及相關企事業單位提供網絡安全戰略和決策的參考。

?

安全態勢報告主要提出以下觀點

1、網絡攻防框架“ATT&CK”不斷升溫，“實戰化攻防”持續影響網絡安全行業。

過去一年多，網絡攻防框架 ATT&CK 在網絡安全行業廣受歡迎。越來越多的網絡安全企業開始從不同維度引入 ATT&CK 框架。無論是安全研究還是產品結合方面都找到了一些結合點，但在產品落地方面，ATT&CK 還有一段路要走。一方面是由于 ATT&CK 在落地產品層面上還存在一些成熟度的問題。另一方面，ATT&CK 是完全基于攻擊者視角而設計的，有些技術更多的是描述攻擊過程中的一種技術或思路，在產品中可能很難抽絲剝繭看到其本質。但我們堅信，在未來檢測技術不斷提升的大背景下，ATT&CK 一定能成為安全產品實現攻擊鏈還原的利器。

基于對過去一年多各類攻擊事件的匯總，我們總結出2019年~2020年上半年 ATT&CK 常用攻擊技術，如下表：?

2、反序列化漏洞成 Web 攻擊首要威脅，VPN 等網關型漏洞成新攻擊入口。

2019 年全年，啟明星辰收錄的安全漏洞總數共計 15046 個，其中超危漏洞和高危漏洞分別同比增長 67% 和 49%。雖然 2019 年新增漏洞數目較之前有進一步上漲，但實際在野利用漏洞中的一半以上仍然是 2018 年以及之前的老漏洞。

有兩個特點特別值得留意：一是反序列化漏洞逐漸成為 Web 漏洞的主要威脅。過去一年多，反序列化漏洞造成的危害非常之大且范圍很廣，主要影響集中在 Weblogic、Websphere 中間件及 Fastjson、Apache Shiro、Apache Dubbo 等第三方應用中，而漏洞的修復方式多數為利用類的黑名單修補，可以預見未來各個應用反序列化漏洞的黑名單依舊會被反復繞過且成為攻擊者實戰中的利器。二是 VPN 等網關類漏洞的異軍突起。2019 年到 2020 年上半年是VPN 漏洞曝光最多的時期，Pulse Secure、Palo Alto Networks、Fortinet、Cisco 和 Citrix 以及國內某知名品牌 VPN 產品都被曝出嚴重漏洞。加之新冠疫情在 2020 年上半年的蔓延，遠程辦公需求迅速增加，各種 VPN 使用量增加了三成左右，這都使得 VPN 漏洞得以快速被黑客關注并在實戰中應用。

3、地下黑色產業鏈愈發成熟，惡意軟件家族體系化“協同作戰”。

惡意軟件即服務（MaaS）模式下的地下黑色產業鏈愈發成熟，已經形成了從惡意代碼編寫、惡意代碼免殺、惡意代碼托管到惡意軟件分發的完整體系。

在 MaaS 模式下，我們觀察到不同黑產團伙利用相同的惡意軟件進行了“各具特色”的攻擊，同一款惡意軟件在不同的攻擊活動中也發揮了不同功能。

4、近年來罕有 Office 高危漏洞出現 ，冷門而有效的攻擊方式更受關注。

自 2017 年大量 Office 0day 漏洞爆發以來，近兩年沒有出現新的如同公式編輯器漏洞一樣使用簡單且功能強大的攻擊方式，惡意樣本使用的攻擊技術沒有發生顯著的變化。在攻防對抗的過程中，攻擊者逐漸開始嘗試使用不常見文件類型以及 Office 中一些被遺忘的冷門特性（如 Excel 4.0宏）作為攻擊載體，以更低的成本復用原有的攻擊代碼來繞過檢測。

5、地緣政治因素導致 APT 攻擊愈演愈烈，APT 攻擊武器泄露導致網絡軍火民用化。

在處理不可調和的地緣政治矛盾時，APT 攻擊是當前除了軍事打擊之外最為隱蔽和有效的攻擊方式。越來越多的政府開始組建國家級APT攻擊組織，只要存在政治目的和經濟利益，APT 攻擊就不會停止。過去一年多，南美地區，中東地區，東北亞地區等均發生了不少與地緣政治沖突相關的 APT 攻擊。以下是 2019 年“地緣政治”因素引發的 APT 攻擊事件匯總：

此外，APT 攻擊武器使用的泛化趨勢明顯。過去一年多，發生了多起中東地區 APT 組織工具和代碼泄露事件，這也進一步催生了 APT 攻擊武器的使用泛化、網絡軍火的民用化。

6、勒索攻擊越來越趨于“APT”化，逐漸瞄準大型且有實力的價值型目標。

過去一年多，勒索攻擊已由 2014 年開始的廣泛無目的的傳播階段以及 2017 年 WannaCry 開啟的大規模自動化傳播階段逐步進化到以人為核心的“APT化”攻擊階段。

勒索攻擊瞄準的目標也不再限于中小企業，而是更有實力支付贖金的大型企業目標。甚至即使未得到贖金，攻擊者也會嘗試通過泄露受害者的機密文件進行二次敲詐。

同時，RaaS 模式下的勒索軟件也開始廣泛和僵尸網絡以及 APT 攻擊結合。Emotet、TrickBot、Dridex 紛紛成為勒索軟件的傳播前站，TA505、FIN6 等組織利用勒索軟件攻擊了多個重要目標。

我們預計，未來勒索攻擊會進一步往“專，精”方向發展。“專”是指大規模勒索攻擊可能很難再現或是曇花一現，攻擊者會更多從攻擊成本和回報率的角度考慮攻擊目標的選擇；“精”是指攻擊者在選中攻擊目標后可能會定制特種勒索軟件來提高攻擊成功率。

7、網絡攻防安全演習和靶場建設如火如荼，人才培養和攻防環境建設備受重視。

網絡空間安全的本質是對抗。隨著網絡攻擊者的技術實力不斷提高，網絡攻擊面不斷擴大，爆發出來的攻擊事件也在不斷增加，用戶不斷涌現出對網絡攻防對抗的建設需求。常見解決方案是加強人才培養力度，完善攻防支撐基礎條件建設，舉辦紅藍雙方攻防安全演習和建設具備行業特色的網絡安全靶場。

過去一年多，政企客戶更加注重網絡攻防靶場建設，借此提升從業人員的網絡安全知識和技術能力，實現網絡空間對抗能力的躍升。

8、IoT 僵尸網絡持續泛濫，我國是 IoT 僵尸網絡最大受害國。

2019 年是物聯網概念提出的第二十個年頭，物聯網已深入影響到農業，醫療行業，工業等各行各業。而伴隨著物聯網的迅猛發展，其安全問題也日益受到關注。大量暴露在互聯網上的攝像頭，路由器設備成為黑客垂涎的養馬場。

據 VenusEye 威脅情報中心數據，過去一年多，在各類受僵尸網絡控制的 IoT 設備中，我國仍然數量最多，并且較第二名拉開了顯著差距。

我國境內 IoT 僵尸主機分布最多的五個地區分別為河南、山東，遼寧，江蘇和浙江。

9、“新冠病毒疫情”成最熱門話題，黑客發動全方位攻擊。

2020 年年初爆發的“新冠病毒疫情”已經蔓延到全世界幾乎每一個角落，嚴重影響全球經濟社會發展。一些黑客趁此機會利用熱點信息發起攻擊，疫情的不確定性和人們的恐懼性心理給攻擊者創造了千載難逢的好機會。

過去幾個月，我們觀察到多種利用新冠疫情開展的網絡攻擊活動。白象、海蓮花、蔓靈花、TA505、Lazarus 等活躍的 APT 組織以“冠狀病毒預防”、“疫情情況上報”等為誘餌發起釣魚攻擊。

各種網絡黑產團伙也蠢蠢欲動，通過“改造”已有木馬進行攻擊活動。

10、攻防本質是人與人之間的對抗，網絡安全逐漸回歸以人為中心的本源。

2020年 RSA 會議的主題是“Human Element”。、網絡安全的核心回歸到以人為中心的本源，而不再是片面強調“新奇酷炫”的技術或產品。可以從以下三個角度理解這個問題：

（1）攻防本質是人與人之間的對抗。

從攻的角度看，越來越多的攻擊都加入了“人”這個關鍵因素。如今越來越多的攻擊向著“APT”化發展，攻擊者利用社會工程學手段提前對攻擊目標進行“踩點”，繼而有針對性地制定攻擊策略，按照目標特點制作并投遞攻擊載荷，攻擊過程中根據目標環境一步一步進行橫向移動，最終到達核心主機資產并達成目標。“以人為核心”的攻擊路徑往往較其他攻擊周期更長，短則幾天，多則幾個月甚至幾年。

從防的角度看，人始終是網絡安全防護體系中的薄弱點。以魚叉式網絡攻擊為例，雖然這種攻擊方式很古老且屢見不鮮，但卻能一再取得較好的攻擊效果，這都是由于人在其中起到的作用導致，攻擊者正是利用了人性的特點才能屢屢得手。

（2）人是網絡安全產品的使用者，人機結合是當前解決產品有效性問題的關鍵。

與一般的互聯網應用服務相比，網絡安全產品的專業性更強。要想真正使用好網絡安全產品絕不是一紙說明書就能搞定的，一個攻擊報警代表什么含義，是真實失陷還是虛晃一槍抑或是攻擊前奏，都需要經驗豐富的人員使用不同的安全產品相互印證，同時結合溯源取證技術綜合判斷才能得出答案。

（3）在網絡安全實踐中，人的知識與經驗非常寶貴。

網絡安全的本質是攻防對抗，是人與人之間的智力對抗。在實踐中所積累總結的知識與經驗是非常寶貴的，不是某個網絡安全防護產品或技術所能取代的。人工智能技術與網絡安全產品的結合雖然在提高自動化程度、提升檢測能力等方面展現出一定的優勢。但是在安全事件分析的全面性與深度上仍然有很大不足，主要作為安全分析人員的輔助，提供一些分析的切入點與線索。

?

?報告最后提到

2010 年的“震網”攻擊事件為我們揭開了 APT 攻擊的面紗；2013 年的“棱鏡門”事件讓我們看到了龐大黑客團體背后的國家級力量；2014 年數字貨幣的快速興起和勒索攻擊的泛濫給黑客斂財提供了新的匿名方式；2015 年發生的供應鏈攻擊事件讓我們看到了身邊防不勝防的危險；2016 年 Mirai 源代碼的公布開啟了 IoT 設備的噩夢；2017 年的“永恒之藍”事件讓我們深刻領悟到了網絡核武器的威力，隨后 WannaCry、NotPetya 勒索軟件與網絡武器的結合再一次重現了類似十多年前沖擊波、震蕩波、熊貓燒香的網絡暴力，幾乎同年開始興起的挖礦攻擊成為繼勒索之后黑客又一“悶聲發大財”的渠道；2018 年件件觸目驚心的數據泄露事件為數據安全敲響了警鐘，同年曝光的 Spectre 和 Meltdown CPU 芯片漏洞直接動搖了互聯網基礎設施的根基；2019 年實戰化攻防時代開始，地下黑色產業鏈愈加成熟，勒索攻擊進入“APT”時代，IoT 僵尸網絡泛濫……

在前所未有的挑戰和機遇面前，啟明星辰愿與業界同仁共同努力，推動網絡安全產業發展，加強網絡安全自主核心技術能力建設，為提升我國網絡安全保障能力不斷貢獻力量，為網絡安全的下一個黃金十年繼續奮斗。

上一個十年，地下黑色產業鏈逐步形成，網絡軍火擴散，高級持續性攻擊泛濫，攻擊者的技戰術體系正在發生明顯的變化。同時我們也看到，網絡安全在這十年間上升到了前所未有的戰略高度。

當前，我們正面臨著來自網絡空間各種前所未有的挑戰，我國是遭受網絡攻擊最嚴重的國家之一，我們和先進發達國家的網絡安全技術水平差距仍然較大，大量的核心技術仍然受制于人，網絡安全相關法律的落地和執行還需要進一步強化……

雖是挑戰但同時也是機遇，網絡安全如今已上升為國家戰略，網絡安全產業已成為網絡強國安全領域建設的重要基礎。《網絡安全法》的實施將進一步推動我國網絡安全政企市場容量和規模的進一步擴大。新冠疫情危機催生出的數字經濟、“新基建”會給網絡安全帶來不小的發展機遇……

在前所未有的挑戰和機遇面前，啟明星辰愿與業界同仁共同努力，推動網絡安全產業發展，加強網絡安全自主核心技術能力建設，為提升我國網絡安全保障能力不斷貢獻力量，為網絡安全的下一個黃金十年繼續奮斗。

戳鏈或【點擊閱讀原文】查看完整報告：

https://www.venustech.com.cn/uploads/2020/08/170947121504.pdf

推薦閱讀

• 什么？一個核同時執行兩個線程？
  

• 征戰云時代，為什么安全是關鍵命題？
  

• 25 張圖讀懂「文件系統」
  

• 數據平臺、大數據平臺、數據中臺……傻傻分不清？這次終于有人講明白了！
  

• Java 二十五載，正在 Kotlin 化！
  

• 維度爆炸？Python實現數據壓縮如此簡單

總結

以上是生活随笔為你收集整理的《2019~2020网络安全态势观察报告》重磅发布！的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。