根据抽样监测,在政府网站的安全性方面,植入后门的中国政府网站数量平均下降了46.5%,被篡改的网站数量平均下降了16.4%,表明中国政府网站的安全状况有所改善。在主管部门的指导下,CNCERT会同基础电信企业和云服务提供商,持续开展DDoS攻击资源专项治理,从源头上遏制了DDoS攻击,有效减少了来自中国的攻击流量。
根据CNCERT抽样监测,2018年我国发起DDoS攻击的主动控制终端数量同比下降46%,受控终端数量同比下降37%;国内的反射服务器、跨域伪造流量源路由器、本地伪造流量源路由器等可用的攻击资源正在以更快的速度消亡,新的速度在降低。据外界报道,我国僵尸网络控制终端数量已从世界前三位降至十分之一,DDoS主动反射源下降60%。
(3)软件对重要行业关键信息基础设施的威胁加剧
2018年,ransomware攻击频繁发生,变种数量持续上升,给个人用户和企业用户带来严重损失。2018年,CNCERT捕获近14万件ransomware,全年呈现整体增长趋势。特别是下半年,随着“软件即服务”行业的兴起,活跃的软件数量呈现快速增长势头,更新频率和威胁广度大幅提升。例如,一年中大约有19个版本的ransomware GandCrab,它被快速更新和迭代。传播ransomware的方式有很多种,利用影响广泛的漏洞进行快速传播是主要方式之一。比如Lucky ransomware利用弱密码漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞快速传播。2018年,重要行业的关键信息基础设施逐渐成为ransomware的重点攻击对象,其中政府、医疗、教育、科研机构和制造业受到ransomware的严重攻击。比如GlobeImposter、GandCrab等ransomware变种攻击了国内很多医疗机构,严重影响了医院信息系统的运行。
(4)越来越多的APT攻击被披露
2018年,全球专业网络安全机构发布了478份高级威胁研究报告,同比增长约3.6倍。其中,国内12家研究机构发布80篇报告,涉及已确认的APT攻击组织,包括APT28、Lazarus、123集团、OceanLotus、MuddyWater等。目标主要分布在中东、亚太、美洲和欧洲,整体地缘政治比较接近,值得注意的是医疗、传媒、电信等国民服务业也面临越来越多的APT攻击风险。APT攻击组织采用的攻击战术主要有鱼叉邮件攻击、水坑攻击、网络流量劫持或中间人攻击等。他们频繁使用开放或开源的攻击框架和工具,综合利用各种技术实现攻击或避免与历史攻击战术重叠。
(5)云平台成为网络攻击的重灾区
据CNCERT监测数据显示,虽然我国主流云平台使用的IP地址数量仅占全国IP地址总数的7.7%,但云平台已经成为网络攻击发生的重灾区。在各类网络安全事件中,云平台DDoS攻击数量、后门植入网站数量、篡改网站数量均占50%以上。同时,国内主流云平台承载的恶意程序数量占国内互联网承载的恶意程序数量的53.7%,木马和僵尸网络的IP地址数量占全国所有恶意程序IP地址数量的59%,说明攻击者经常利用云平台发动网络攻击。
分析原因,云平台因为大量系统部署在云上,涉及国计民生、企业运营数据和用户个人信息,成为网络攻击的重要目标,成为攻击者攫取经济利益的目标。来自云平台的攻击增加是因为云服务的使用具有方便、可靠、低成本、高带宽和高性能的特点,云网络流量的复杂性帮助攻击者隐藏真实身份,攻击者利用云平台设备作为跳板或控制终端发动网络攻击。此外,云平台用户对部署在云平台上的系统的网络安全保护不够重视,导致其系统可能面临更大的网络安全风险。因此,云服务提供商和云用户都应该更加重视和投资网络安全,共同提高网络安全防范能力。云服务提供商应提供基本的网络安全防护措施,保障云平台的安全运行,全面提升云平台的安全性和可控性。云用户对部署在云平台上的系统承担主要责任,需要全面落实系统的网络安全防护要求。
(6)拒绝服务攻击的频率下降,但峰值流量继续上升
