远瞻慧库-360WHY
随着数字化转型的加速,网络安全已成为全球关注的焦点。政企机构在享受数字技术带来的便利同时,也面临着日益严峻的网络安全威胁。2024年上半年,奇安信集团安服团队接到的应急服务需求达到336起,显示出网络安全事件的高发态势。金融机构、制造业、政府部门的业务专网成为主要攻击目标,而内部人员违规操作触发的事件也占据了相当比例。本文旨在深入分析攻击者的意图、手段及恶意程序使用情况,为政企机构提供网络安全防护的参考。
关键词:网络安全、应急响应、攻击者分析、内部违规、恶意程序、漏洞利用
攻击意图:内部违规与外部攻击的双重挑战
在网络安全领域,攻击者的意图是多样化的。2024年上半年,内部人员违规操作触发的应急响应事件多达81起,这一数字仅次于黑产活动(90起),超过了窃取重要数据(65起)和敲诈勒索(46起)等为目的的外部网络攻击事件的数量。内部违规行为,如为了方便工作将内部业务端口映射至外网,不仅暴露了企业内部安全管理的松懈,也为外部攻击者提供了可乘之机。
黑产活动以境内团伙为主,通过黑词黑链、钓鱼页面、挖矿程序等手段开展非法活动牟取暴利。而以窃取重要数据为目的的攻击,一般分为民间黑客非法入侵政企机构内部系统盗取敏感、重要数据,以及商业间谍活动或APT活动。敲诈勒索则主要指攻击者利用勒索软件攻击政企机构的终端和服务器,实施勒索。这些攻击几乎全部由境外攻击者发起,打击难度极大。
攻击手段:恶意程序与漏洞利用的较量
不同的安全事件,攻击者所使用的攻击手段也有所不同。2024年上半年的网络安全应急响应事件分析发现,以恶意程序为主要手段的网络攻击最为常见,占比32.0%;其次是漏洞利用,占比29.8%;钓鱼邮件排第三,占比8.4%。此外,网页篡改、Web应用CC攻击、网络监听攻击、拒绝服务攻击等也比较常见。还有约21.8%的安全事件,最终被判定为非攻击事件。
恶意程序的广泛使用,尤其是勒索病毒、挖矿木马、网站木马,分别占到恶意程序攻击事件的20.4%、20.0%和5.8%。这些恶意程序不仅对政企机构的网络安全构成威胁,也严重影响了正常的业务运行。勒索软件如Phobos、Mallox和Makop等在上半年触发了多次大中型政企机构网络安全应急响应事件,成为值得警惕的安全威胁。
漏洞利用方面,弱口令是攻击者在2024年上半年最为经常利用的网络安全漏洞,相关网络安全应急响应事件多达102起,占95015平台2024年上半年应急响应事件接报总数的30.4%。其次是永恒之蓝漏洞,相关利用事件为59起,占比17.6%。这些数据表明,政企机构在网络安全基础设施建设和运营能力方面存在严重不足,亟需加强。
恶意程序:勒索软件与挖矿木马的盛行
勒索软件和挖矿木马是攻击者使用最多的恶意程序类型。勒索软件通过加密受害者的文件并要求支付赎金以解锁文件,给政企机构带来直接的经济损失和声誉风险。挖矿木马则利用受感染的计算机资源进行加密货币挖矿,消耗大量计算资源,影响系统性能。这些恶意程序的流行,反映了攻击者追求经济利益的直接动机。
勒索软件的流行,如Phobos、Mallox和Makop等,不仅因为其技术实现相对成熟,也因为其对政企机构的威慑力。一旦勒索软件成功部署,政企机构往往面临支付赎金与数据丢失之间的艰难选择。挖矿木马则因其隐蔽性和持续性,成为攻击者长期获利的手段。这些恶意程序的盛行,要求政企机构在网络安全防护上投入更多的资源和注意力。
总结
网络安全形势日益严峻,攻击者的意图和手段不断演变。政企机构面临的不仅是外部攻击的威胁,更有内部管理的挑战。强化网络安全意识,提升安全防护能力,是每个政企机构必须面对的课题。通过深入分析攻击者的意图、手段和恶意程序的使用情况,我们可以更好地理解网络安全的复杂性,并采取有效的防护措施,以减少网络安全事件的发生,保护企业的数据资产和业务运营。
