产业互联网时代,大数据、云计算、人工智能等新技术在加速产业发展的同时,也让企业网络安全面临更复杂的挑战。近日,腾讯安全发布《2019 年企业安全威胁报告》(以下简称《报告》),对全年企业网络安全整体态势,病毒主要类型、病毒分布行业、攻击形式、传播手段及发展趋势进行全面剖析和研判,并有针对性地提出防御方案。
《报告》显示,在所有的攻击对象中,企业终端依然是病毒感染的重灾区,2019 年平均每周有 40% 的企业遭遇了病毒攻击,近 8 成企业终端还存在高危漏洞未修复。
风险木马感染占比高,教育行业最“受伤”
在企业终端风险中,风险木马软件、后门类、感染性病毒是企业面临的三大主要威胁。其中,风险木马软件在病毒攻击事件中占比最高,这类病毒攻击者常常通过下载器捆绑及搜索引擎竞价排名获得优先展示来获取大量受众,感染量极大,占比高达 44%。后门远控类木马以 21% 的占比紧随其后,由于其具有极高的隐蔽性,接受远程指令执行信息窃取、截屏、文件上传等操作,对金融科技等信息敏感行业造成极大危害。
在所有病毒类型中,挖矿木马仍是企业服务器被攻陷后植入的主要木马类型,2019 年,针对 Linux 平台的挖矿木马开始流行。如 2019 年 9 月,大型挖矿僵尸网络 WannaMine 就发起了针对 Linux 系统的攻击,攻击者利用 SSH 弱口令爆破成功后植入挖矿木马,并通过 SSH 弱口令在内网横向传播。勒索病毒在病染毒事件中虽然占比不高,但加密数据、锁定系统、针对企业数据价值勒索更加昂贵的赎金等行为令企业损失严重,破坏性极大,企业仍需重点防范。
从行业来看,病毒攻击对教育、科技、医疗、金融、政府等行业均有不同程度影响,其中,教育行业最受伤,这与教育行业存在频繁的文件交互传输不无关系。《报告》显示,在感染病毒的终端中,教育行业染毒比例最高,其中,感染性病毒在教育行业占比高达 57.4%,远控木马、勒索病毒感染教育行业机器的占比也都超过了 50%。其次,政府和科技行业也成为病毒攻击的主要对象,在勒索病毒感染中,政府机器占到了感染对象的 23%。
企业终端存高危漏洞比例近八成,恶意邮件成传播工具
《报告》显示,2019 年漏洞利用及端口爆破仍然是攻陷终端设备的重要手段,尤其是针对企业服务器的攻击,通过漏洞利用或爆破攻击公网环境下的服务器,随后进行内网横向渗透已成为最常用的手段。
企业自身防御部署薄弱是病毒攻击接连得手的重要原因。据腾讯安全威胁情报中心数据显示,截至 2019 年 12 月底,仍有 79% 的企业终端上存在至少一个高危漏洞未修复。同时,目前仍有大量的企业资产开放了高危端口,除了 22、3389 等高危端口之外,还有较大比重的邮件服务、数据库服务等端口也暴露在公网上,给网络黑产带来可乘之机。《报告》显示,2019 年平均每周约有 40% 的企业发生过终端木马感染事件。
在针对服务器的漏洞攻击中,远程代码执行(RCE)、SQL 注入、XSS 攻击、webshell 等是最常见的攻击类型。同时,为了让其自身恶意行为实现效益最大化,内网传播与持久化驻留成为网络黑产发力的方向。在内网横向传播中,漏洞利用、弱口令爆破攻击、文件共享成为主要手段。在病毒的持续化驻留上,通过加壳混淆、增肥对抗后常驻注册表启动位置或启动文件夹的方式,简便且不易被查杀,深受黑产青睐;通过将自身写入任务计划实现常驻的方式则更为隐蔽和灵活,尤其是白利用远程下载的技巧常被利用于任务计划中。
此外,恶意邮件也成为黑产发动定向攻击的传播工具,如鱼叉邮件会精心收集目标对象的信息,然后结合目标对象信息,制作相应主题的邮件和内容,骗取目标运行恶意附件。腾讯安全高级威胁检测系统(腾讯御界)就曾捕获多起类似案例,攻击者通过将带有精心构造的“CVE-2017-8570”漏洞利用代码的 word 文档伪装为附件“订单列表”,诱使用户打开文档以触发漏洞代码逻辑,最终实现投放“NetWiredRC”远控木马。
筑牢信息安全防线,构建事前事中事后全流程防御体系
《报告》指出,2019 年勒索病毒、挖矿木马持续传播,高危漏洞频繁爆出、信息泄漏事件频发,安全形势依然不容轻视。随着安全对抗不断升级,网络攻击将进一步加剧,尤其是随着云计算的发展及 5G 的普及,越来越多的企业将业务转移到云上,攻击面的增加将使企业面临的环境更加复杂,安全形势更加严峻。为此,腾讯安全专家提醒企业提高对网络攻击的重视程度、发现能力和主动响应的能力,着力构建更加牢固的信息安全防线。
为避免网络攻击给企业造成重大影响,腾讯安全专家建议企业服务器关闭不必要的端口(如 135、139、445);定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞;企业内网通过密码安全策略强制使用高强度密码,防止黑客暴力破解;对关键服务启用专业备份系统,并保留多个备份、异地备份,以防万一。
腾讯安全网络资产风险检测系统实时检测企业网络资产风险
同时,腾讯安全还针对企业安全现状打造了整体解决方案。对于企业云上业务,推荐开通腾讯云安全运营中心(SOC),实现云上业务的事前安全预防、事中威胁检测及事后响应处置的全流程安全管理。对于暂未采用云上业务的企业用户,可部署腾讯安全运营中心(私有云)进行集中化安全运营。
此外,腾讯安全网络资产风险检测系统(腾讯御知)可全面检测网络资产是否受安全漏洞影响,腾讯安全安全高级威胁检测系统(腾讯御界)可基于网络流量检测黑客对企业网络的入侵渗透攻击风险,腾讯安全终端安全管理系统(御点)可拦截各类病毒木马攻击,腾讯安全威胁情报服务可以提供最新的威胁检测能力,企业可通过部署相应安全产品提升防御能力,防患于未然。