启明星辰发布《2018-2019网络安全态势观察报告》总结出9大特性

自互联网诞生以来，各种网络犯罪就以惊人的速度在全世界范围内广泛蔓延。特别是近年来，随着云计算、大数据、物联网、移动互联网等新一代信息技术的快速发展，网络攻击无论从其频率、复杂性还是针对的目标来看都在大幅度增加。

7月23日，启明星辰集团正式发布《2018-2019网络安全态势观察报告》，以观察者的视角尝试剖析2018年全年至2019年上半年网络安全形势及其变化。

报告的前言部分这样写道：

过去一年多，网络安全总体态势虽不像2017年那样“波澜壮阔”，但也绝对不是“一帆风顺”，各种各样的网络安全事件不断吸引着人们的眼球，同时引发网络安全从业者的一次次深思。

从2018年初曝光的各种芯片漏洞，到不死的“永恒之蓝”漏洞，再到被广泛应用的各类Web应用漏洞、IoT漏洞;从趋于定向化和敏捷化的勒索攻击，到各类挖矿攻击的全面铺开;从一次次数据泄露事件的曝光，到几乎每天曝光一次的APT攻击活动。不绝于耳的网络安全事件让我们深切感受到攻击者手段更加武器化，经济利益驱使下黑客的攻击方式更加理性化，网络攻击更加产业化，国与国之间的攻防对抗更加常态化，网络攻击面更加扩大化。

《报告》通过对过去一年多的网络安全事件进行研究、分析，得出九大网络安全发展态势：

1. 应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来越短;

2. 恶意软件即服务(MaaS)趋势明显，地下产业链日趋成熟;

3. Office公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且稳定的攻击方式;

4. 越来越多APT攻击被曝光，攻击隐匿进一步增强;

5. 勒索攻击趋于定向化，版本迭代进入“敏捷化”时代;

6. 挖矿攻击增长明显，逐渐成为黑客获利的最佳途径;

7. 针对IoT设备的攻击呈爆发式增长，IoT蠕虫较往年增长数倍;

8. 各类数据泄露事件频发，数据安全越来越受重视;

9. 工控环境、云环境成黑客新宠，各类针对性安全事件频发

一、应用广泛的软硬件曝出多个重大漏洞，漏洞从曝光到被利用的时间越来越短

过去一年多，影响最大的硬件漏洞当属CPU芯片的多个漏洞。这些漏洞涉及了过去十年间的绝大部分CPU型号，给互联网造成了一次史无前例的技术危机。

2018年年中，影响包括苹果、高通、英特尔和博通等大型厂商所生产的设备固件以及操作系统的高危蓝牙漏洞被曝光;2018年年中，BEC、SocialChain和EOS等接连曝出智能合约漏洞。

2018年全年，WebLogic、Struts2、ThinkPHP等影响面广的Web应用框架被曝多个严重漏洞，给各类网站安全带来严重威胁。

报告称，“我们预计未来，攻击者甚至可能只需一天、甚至几个小时的时间，就可以利用软硬件的最新漏洞发起攻击”。

二、恶意软件即服务(MaaS)趋势明显，地下产业链日趋成熟

近年来，暗网的传播创造了新的非法商业模式。除了黄赌毒等传统的非法商品外，地下黑市还出现了包括黑客服务和恶意软件开发在内的新型服务：恶意软件即服务(MaaS)。

网络犯罪分子可以通过地下黑客论坛浏览“商品”，同时使用匿名通讯工具进行在线交流，最后使用加密数字货币进行匿名交易，整个流程可以做到完全隐匿。即使是不具备任何技术经验的小白也可以使用购买来的工具轻易发动攻击。包括TrickBot、AZORult、GandCrab等在内的恶意软件都提供了成熟的服务，GandCrab勒索软件作者甚至为他们的产品提供技术支持和教程视频。

报告指出，“我们预计在不久的将来,地下产业链会曰趋成熟，一批为数不多但颇具实力的“Malware-as-a-Service"团体会应运而生。随着这些团队的曰益壮大，新漏洞将得以快速利用，各类新攻击手段也将会层出不穷”。

三、Office公式编辑器漏洞与恶意宏利用横行，黑客青睐攻击面广且稳定的攻击方式

自Office面世以来，Office文档一直是各类攻击中最常用的攻击载体。过去一年多，新披露的Office Oday漏洞有所减少，黑客攻击时使用的Oday漏洞多为利用Office触发的VBS漏洞以及Flash漏洞。与2017年攻击者更倾向于使用新漏洞不同的是，这些漏洞并没有在公开后得到广泛的利用。而是依然使用恶意宏和公式编辑器系列漏洞这类更稳定的攻击方式来完成攻击。

公式编辑器系列漏洞有着结构简单旦不需要与用户交互即可稳定触发的优点，因此在其它新漏洞被公开后依然保持了很高的使用率。2018年底出现了CVE-2018-0798新的利用方式，兼具了CVE-2017-11882和CVE-2018-0802的攻击面，通用性更强，预计后续还会被大规模利用。

恶意宏作为一种经典的攻击方式，利用方式极为丰富。2018年还出现了利用古老技术Excel 4.0宏进行的攻击，相比普通的VBA宏进一步提高了攻击的隐蔽性。

四、越来越多APT攻击被曝光，攻击隐匿性进一步增强

截止到2019年上半年，启明星辰监控到的已经披露的各类APT组织共计220余个。

过去一年多，国内外厂商披露的各类APT攻击报告400余份，平均每天都有一个APT攻击报道被披露。被披露最多的APT组织分别为：APT28、Lazarus、Group123、海莲花、Hades、MuddyWater、DarkHotel、白象、APT29、Turla。

在APT针对的领域中，政务行业(14.13%)占比最多，其次是国防军工(11.96%)，科研(10.87%)，金融(8.70%)和教育(7.61%)。

报告写道：纵观过去一年多，APT攻击的隐匿性逐渐增强，主要体现在以下几个方面：

1. 钓鱼手段更加精细化，针对性和迷惑性更强;

2. 关键攻击代码鲜少落地，给APT攻击的防护和取证带来不少挑战;

3. 利用各种手段尽可能隐藏网络踪迹;

4. 利用开源代码或工具隐藏组织特点，降低攻击成本

五、勒索攻击趋于定向化，版本迭代进入“敏捷化”时代

过去一年多，勒索病毒攻击从广撒网转向针对高价值目标的定向投递。一来是因为中勒索病毒后支付赎金的人往往是极少数，大部分人都是一格了之。大规模投递的低回报率反倒增加了攻击者的成本。二来，大规模投递会引发安全厂商的密切关注，使得投放出去的勒索病毒很快夭折。因此，攻击者逐渐转向攻击那些防御措施有限，但被勒索后会造成重大影响而不得不支付赎金才能恢复业务的目标，如医疗行业。

同时，勒索病毒版本迭代逐渐进入“敏捷化”时代。如著名的GandCrab勒索病毒：当其中某个版本被安全公司破解后，GandCrab总能在很短的时间发布新版本。RaaS (勒索软件即服务)模式的兴起，更是让很多“小白”黑客具备了动动手指按几个按钮就能发动勒索攻击的能力。

报告预计，未来勒索攻击会更加具有针对性，特别是针对重要关键设施的勒索攻击将会越来越多。

六挖矿攻击增长明显，逐渐成为黑客获利的最佳途径

近年来，勒索攻击的支付不确定性导致加密数字货币威胁巳经逐渐转为挖矿攻击。尽管加密数字货币价格在2018年经历了暴跌的悲痛，但挖矿仍是黑产团伙在成功入侵之后最直接、最稳定、最隐蔽的变现手段。

过去一年多，挖矿攻击较上一年度增长超过4倍，挖矿攻击已经覆盖几乎所有平台，成为黑客最主要的牟利手段之一。随着挖矿团伙的产业化运作，越来越多的0day/1day漏洞在公布的第一时间就被用于挖矿攻击。同时挖矿木马已经不满足于“单打独斗开始和僵尸网络、勒索病毒、蠕虫病毒相结合，再集成各种病毒常用的反杀软、无文件攻击等技术，挖矿木马的传播和植入成功率得到了进一步增强。

未来，只要数字货币存在，挖矿活动就不会停止，其攻击范围还会进一步扩展，成为黑客获取经济利益的主要途径。

七、针对IoT设备的攻击呈爆发式增长，IoT蠕虫较往年增长数倍

这几年，物联网设备由于其基数大、实时在线、无法及时更新、安全漏洞多、安全防护能力差等原因备受攻击者喜爱。特别是过去一年多，针对loT设备的攻击增长迅猛。众多物联网设备被攻击成为巨大僵尸网络中的节点，有的被用来发动DDoS攻击，有的被用来进行挖矿、劫持网络流等。在针对loT设备的攻击中，路由器和摄像头是被攻击频率最高的，分别占比65%和25%。弱密码爆破和漏洞攻击是针对loT设备攻击的最主要手段。

过去一年多，我国物联网设备受到的攻击最为严重。

八、各类数据泄露事件频发，数据安全越来越受重视

2018年5月25曰，欧盟颁布执行史上最严的个人数据保护条例《通用数据保护条例》(GDPR),标志着对数据安全的重视上升到了有史以来的新高度。

过去一年多，各类信息泄露事件已连续5年突破历史记录。信息泄露事件呈现常态化现象，随着全球信息化程度的不断提高，这一情况会不断加剧。信息泄露的途径主要分为内部人员或第三方合作伙伴泄露，信息系统本身漏洞泄露，机构本身的防护机制不健全，以及对安全配置的疏忽大意等问题。

九、工控环境、云环境成黑客新宠，各类针对性安全事件频发

过去一年多，云环境和工控环境逐渐成为黑客的新宠。

云计算已成为个人和商业生活中不可或缺的组成部分。它提供了强大的弹性计算资源,基于云计算资源衍生出了各类成本低、灵活、敏捷的软件即服务(SaaS)产品。然而，云计算的带来的各种安全问题越来越不容忽视。首先云环境包含大量的敏感数据，拥有强大的计算资源，其对于黑客的吸引力毋庸置疑。其次，云服务一般仅提供基本的安全配置，导致不少云环境的安全措施非常薄弱:包括配置错误、误将关键资产暴露于公网、弱密码设置等，这给了黑客可乘之机，他们只需极低的成本即可轻易获得对云环境的控制权。

针对云环境的威胁主要有以下几种:

数据泄露：云环境包含的大量敏感数据成为黑客垂涎欲滴的对象，去年就有多次因为配置错误导致的数据库直接暴露在公网被直接“拖库”的案例。

云挖矿：坐拥强大的计算资源使得云服务器成为黑客挖矿的最佳场所。

恶意软件传播的庇护场所：很多攻击开始使用云服务作为恶意软件的中转站，如DropBox, OneDrive, GoogleDrive等。一方面可以显著降低攻击成本;另一方面可以帮助攻击者隐藏真实身份，提高溯源难度。

工控环境和传统网络环境相比，有很大不同。工业系统目标价值高，其安全系统的复杂程度远高于传统的IT网络系统。首先,工控系统大多基于Windows等主流操作系统开发,其面临着和底层操作系统一样的威胁。但由于工控系统的特殊性，其底层的揉作系统一般不会轻易升级为最新版本，潜在风险巨大。其次，工控系统在设计之初只为实现自动化、信息化的控制功能，方便生产和管理，缺乏信息安全建设。工控系统安装杀毒软件困难也使得工控系统很容易遭受病毒木马的感染。

再者，最初的工控系统是相对封闭的，但随着近年来信息技术的飞速发展和企业不断提高的管理需求，工控系统甚至可以直接连接互联网。目前全球暴露在互联网上的工控设备超过10万个。工控系统面临的威胁不仅来自于企业内部，同时面临来自互联网的威胁。