中國信通院：互聯網行業：2020年網絡安全威脅信息研究報告（2021年）（49頁）.pdf

《中國信通院：互聯網行業：2020年網絡安全威脅信息研究報告（2021年）（49頁）.pdf》由會員分享，可在線閱讀，更多相關《中國信通院：互聯網行業：2020年網絡安全威脅信息研究報告（2021年）（49頁）.pdf（49頁珍藏版）》請在三個皮匠報告上搜索。

1、2020 年網絡安全威脅信息 研究報告 年網絡安全威脅信息 研究報告 （2021 年）年） 中國信息通信研究院安全研究所 北京微步在線科技有限公司 2021 年 12 月 中國信息通信研究院安全研究所 北京微步在線科技有限公司 2021 年 12 月 hZgVdYiYbYdWxPvNwOxP7NcM8OtRnNoMnMkPoPmOlOmMyQ9PpPvMvPsOtOxNrNwO 前言前言 2021 年 3 月 12 日，中華人民共和國國民經濟和社會發展第 十四個五年規劃和 2035 年遠景目標綱要 正式發布， 明確提出將 “加 強網絡安全基礎設施建設，強化跨領域網絡安全信息共享和工作協 同，提

2、升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力” 作為發展規劃之一，對國家網絡空間安全提出了更高的發展要求。 網絡安全威脅信息作為發現網絡威脅、抵御網絡攻擊的重要依托， 助力信息安全防御手段向主動化、自動化、精準化轉型，對于維護 國家網絡空間安全、建設數字中國具有重要意義。 2020 年新冠肺炎疫情爆發后， 線上辦公的廣泛普及加劇了信息 傳遞對網絡的依賴，催生了愈加頻繁的網絡攻擊行為。網絡攻擊的 產業化發展趨勢使得攻擊工具和手法變得愈加復雜多樣，傳統的防 火墻、入侵檢測技術、惡意代碼掃描、網絡監控等被動防御手段顯 得捉襟見肘疲于應付。面對日益嚴峻的網絡空間安全威脅，研究網 絡安全威脅信息

3、有助于企業更好“知己”“知彼”，了解自身的網 絡安全脆弱點，掌握已知、未知的網絡安全風險點，不斷提升自身 在實戰中的檢測與響應能力，筑牢網絡安全防御城墻。 本報告從定義內涵、應用價值、標準化進展、政策和產業支撐 等多個方面闡述了網絡安全威脅信息的概念和發展現狀。 結合 2020 年全球網絡安全威脅信息，從網絡環境安全現狀、常見網絡攻擊手 法、受攻擊行業和地域分布、國內較嚴重網絡威脅及攻擊事件等多 維度系統性分析了 2020 年國內外網絡安全形勢。 階段性梳理了網絡 安全威脅信息在國內重點行業的典型應用案例。最后，圍繞發展中 存在的標準化落地不足、共享機制缺失、產業成熟度較低等諸多問 題進行了探

4、索性思考，結合產業現狀提出了針對性的意見和建議。 對于本報告中的局限與不足，懇請各方同仁批評指正。 目錄目錄 一、網絡安全威脅信息概念及現狀.1 (一) 網絡安全威脅信息的概念.1 (二) 網絡安全威脅信息能力層級模型.5 (三) 網絡安全威脅信息的應用價值.7 (四) 網絡安全威脅信息領域發展現狀.10 二、2020 年國內外網絡安全威脅信息分析.14 (一) 2020 年國內外網絡威脅情況概覽.15 (二) 2020 年國內外網絡攻擊手法概覽.17 (三) 2020 年國內外網絡受攻擊情況分析.28 (四) 2020 年國內較嚴重網絡威脅盤點.32 三、網絡安全威脅信息典型應用實踐.34

5、(一) 電子信息制造商實踐案例.35 (二) 基礎電信企業實踐案例.36 (三) 網絡視頻平臺實踐案例.37 (四) 云計算服務商實踐案例.38 四、網絡安全威脅信息應用建議.40 (一) 推進標準體系建設 完善行業共享機制.40 (二) 堅持效果評估導向 構建聯動協同業態.41 (三) 強化主體責任意識 筑牢安全防御體系.42 (四) 完善從業培訓機制 提高人才培養水平.43 圖 目 錄圖 目 錄 圖 1 威脅信息能力層級模型.6 圖 2 網絡安全威脅信息表達模型示意圖.12 圖 3 近年已通報的 CVE 漏洞數量.24 圖 4 國內各行業受攻擊情況占比.29 圖 5 2020 年國內失陷主

6、機最多省份.30 圖 6 2020 年國內失陷主機最多城市.31 圖 7 綜合危害程度最強的 20 種高級威脅.33 圖 8 應急響應維度占比分析.34 圖 9 電子信息制造商威脅信息管理部署.36 圖 10 基礎電信企業威脅信息管理部署.37 圖 11 網絡視頻平臺威脅信息管理部署.38 圖 12 云計算服務商威脅信息管理部署.40 表 目 錄表 目 錄 表 1 攻擊者攻擊活動平臺分布.26 表 2 國外網絡攻擊受害行業分析與對比.28 2020 年網絡安全威脅信息研究報告（2021 年） 1 一、網絡安全威脅信息概念及現狀 本章詳細闡述了網絡安全威脅信息的定義內涵、層級模型和應 用價值，并

7、從國內政策導向、產業支撐情況和標準化進展等方面對 網絡安全威脅信息的發展現狀展開說明。 (一一) 網絡安全威脅信息的概念網絡安全威脅信息的概念 近年來，威脅信息逐漸成為網絡安全行業的關注焦點，受到業 界廣泛討論，如今已成為守護網絡安全的重要手段。本節將從網絡 安全威脅信息的概念、意義和研發過程著手，對其技術理念、網絡 安全防護優勢和研發工作特征展開介紹。 1.網絡安全威脅信息的定義與內涵 綜合國內外相關研究，我們歸納分析了多方定義后認為，網絡 安全威脅信息的核心內涵如下： 第一第一，網絡安全威脅信息來源于對既往網絡安全威脅的研究、 歸納、總結，并作用于已知網絡威脅或即將出現的未知網絡威脅； 第

8、二第二，網絡安全威脅信息的價值是為受相關網絡威脅影響的企 業或對象提供可機讀或人讀的戰術戰略數據并輔助其決策，因此網 絡安全威脅信息需要包含背景、機制、指標等能夠輔助決策的各項 內容。 網絡安全威脅信息的研究對象是“威脅”，包含已知的和即將出 現的未知網絡威脅，其內容既包括單一的木馬樣本、遠控域名、攻擊 IP 等基礎數據，也包括安全事件、攻擊團伙等概括性數據?！靶畔ⅰ?是研究的結果，通過研究網絡威脅的背景、機制、指標等內容，生產 2020 年網絡安全威脅信息研究報告（2021 年） 2 出能夠作用于該威脅的戰術或戰略數據，這些戰術或戰略數據就是 “信息”。根據從簡單到復雜的邏輯， “信息”可分

9、為單一失陷指標、 資產特征、時間畫像、團伙畫像、攻擊者身份等不同的層次。簡而言 之， 網絡安全威脅信息是為研究網絡威脅而提取出的， 用于發現威脅、 認識威脅、追蹤威脅的數據。 2.威脅信息的網絡安全防護優勢 隨著網絡攻擊技術的更新迭代，政府部門、企事業單位、社會組 織等機構面臨的網絡威脅和挑戰也愈加嚴峻。 從傳統的僵木蠕到勒索 與虛擬幣挖礦 （Bitcoin Mining） ， 從傳統的漏洞利用套件 （Exploit Kit） 到供應鏈攻擊，從傳統的反檢測到無文件攻擊，攻擊者的工具和手法 愈發復雜多變、角度刁鉆、難以檢測?，F有的殺毒軟件、防火墻、網 站應用級入侵防御系統（Web Applica

10、tion Firewall，WAF）等傳統防 護手段多為被動防御，僅根據已有策略在攻擊發生時攔截攻擊、阻止 攻擊生效并進行后續的恢復工作， 對于策略之外的攻擊則缺乏有力的 檢測和抵御手段。 如何有效檢測未知的網絡威脅成為網絡安全行業各 方的共同著眼點。 網絡安全威脅信息利用公開的可用資源預測潛在的網絡威脅， 通 過對歷史網絡威脅的收集和處理提前預知攻擊， 在攻擊發生之前就做 好防御策略，幫助企業在網絡安全防御方面更為積極主動，實現較為 2020 年網絡安全威脅信息研究報告（2021 年） 3 精準的動態防御。根據 PPDR 安全防護模型1理論，威脅信息的網絡 安全防護優勢主要體現在如下幾個方面

11、。 （1）檢測方面： 網絡安全威脅信息能輔助用戶對相關資產、 風 險、攻擊面進行排查，從而讓用戶快速了解網絡當前受攻擊情況。 （2）防御方面：采取主動防御措施，對網絡威脅進行精準打擊。威 脅信息提供的惡意 IP 地址、域名/網站、惡意軟件 hash 值等失陷指 標（Indicators of Compromise，IOC）能夠直接用于網絡安全系統和 設備進行防護。 （3）響應方面： 網絡安全威脅信息能夠幫助提供更完善的安全 事件響應方案。 （4）預測方面： 構建安全預警機制， 不斷收集有關新型網絡威 脅的信息數據， 根據當前網絡環境的薄弱環節有效預測可能的威脅， 以幫助企業更好地應對未知威脅。

12、 網絡安全威脅信息的使用將有效提升報警準確性， 降低無效報警 數量，極大減輕安全運營人員工作壓力，使其聚焦于真實威脅，提升 工作效率，對政府部門、企事業單位、社會組織等用戶機構的網絡安 全建設和運營具有重要意義。 3.網絡安全威脅信息研發工作特征 1Gartner 在 2017 年發布的 應用保護市場指南 （ Market Guide for Application Shielding ， ID: G00337009） 中，提出了由 Predict（預測）、Prevent（防護）、Detect（檢測）、Response（響應）四個階段組成的新 PPDR 閉環安全防護模型，該模型在安全防護不同階

13、段引入網絡威脅信息、大數據分析等新技術和服務， 旨在構建一個能進行持續性威脅響應、智能化、協同化的安全防護體系。 2020 年網絡安全威脅信息研究報告（2021 年） 4 從 Gartner 提出概念開始，網絡安全威脅信息已經發展了 8 年有 余，形成了威脅信息研發的專業產線，研發工作的高度專業化、高成 本特征日趨明顯。 高度專業化： 網絡安全威脅信息研發的高度專業化體現在研發對 象多元、研發產線環節多、數據數量質量要求高和研發人員專業性要 求強等方面。首先，網絡安全威脅信息研發產線涵蓋原始數據、基礎 網絡數據和網絡威脅數據的采集、 提取、 分析等數據全生命周期管理， 研發對象多元、研發環節多

14、。其次，研發網絡安全威脅信息依托于總 量大、質量高的原始數據，即互聯網公開的基礎網絡數據歷史信息。 原始數據經過處理后成為可用于威脅信息研發的基礎數據， 并由威脅 信息研發工程師對其進行分析生成網絡安全威脅信息。再次，網絡安 全威脅信息研發對研發工程師有較高的專業技術能力要求， 研發工程 師首先需要感知到新型網絡威脅的存在，研究威脅的投遞路徑、關聯 關系等特點，搭建對應的網絡安全威脅狩獵模型進行追蹤，最終依賴 不同類型的分析系統進行威脅分析和威脅信息的提取研發。 高成本研發： 網絡安全威脅信息研發工作的高成本體現在人力成 本高、計算資源成本高這兩方面。隨著跨國家、跨地區的全球化攻擊 日益猖獗，

15、網絡安全防護措施正逐漸由合規驅動轉變為需求驅動，這 就要求威脅信息需更為及時、準確。在數據收集階段，需要積累時間 跨度長、范圍廣的網絡基礎數據，并依托大量人力資源和計算資源投 入對數據進行清洗、篩選，生成規?；母哔|量數據。在網絡安全威 脅信息預測的模型訓練階段，依托于已有的規?；哔|量數據，需要 2020 年網絡安全威脅信息研究報告（2021 年） 5 經驗豐富的威脅信息研發工程師對模型進行人工調優， 進一步拉高了 人力成本。 (二二) 網絡安全威脅信息能力層級模型網絡安全威脅信息能力層級模型 在研發和使用威脅信息時， 不同的威脅信息復雜度和價值不盡相 同，為了使威脅信息的研發和使用流程更清

16、晰明了，需要根據失陷指 標價值、安全能力和使用目的對威脅信息進行分類，以便應用于不同 的場景。本節將詳細描述“痛苦金字塔”威脅信息指標模型，并在此 基礎上基于使用目的對威脅信息進行分類， 歸納出威脅信息能力層級 模型。 資深安全專家 David J.Bianco 于 2013 年提出了 “痛苦金字塔 （The Pyramid of Pain）”威脅信息指標模型，并獲得業內廣泛認可。威脅 信息的意義在于對已掌握的失陷指標做出快速響應， 攻擊者無法繼續 利用該指標發起攻擊并由此感到痛苦，攻擊者痛苦程度越高，該指標 的價值也越高?！巴纯嘟鹱炙蹦Ｐ透鶕粽叩耐纯喑潭?，將失陷 指標價值劃分了不同層級

17、，由下至上分別為 Hash 值、IP 地址、域名、 網絡/主機工件、 攻擊工具、 TTPs （Tactics、 Techniques and Procedures， 戰術、技術和行為模式），其價值依次遞增。 痛苦金字塔模型提出至今已有 8 年，模型中價值最高的 TTPs 指 標已無法完全滿足當前的安全需求， 同時威脅信息研發技術的發展進 步也賦予安全人員更完善的技術能力，挖掘更具價值的威脅信息，探 知攻擊團伙畫像及其在現實世界中的真實身份。 2020 年網絡安全威脅信息研究報告（2021 年） 6 因此，基于技術能力和安全需求的發展演進水平，本報告相應納 入了更具價值的威脅信息指標，對痛苦金字

18、塔模型進行了擴展，模型 各層級由下至上分別為 Hash 值、IP 地址、域名、網絡/主機工件、攻 擊工具、TTPs、攻擊團伙、真實身份，其價值依次遞增。 威脅信息指標價值越高，其安全能力也越高，痛苦金字塔上層 指標具備遠高于下層指標的安全能力，可據此將威脅信息劃分為三 個遞進的能力層級，不同的能力層級對應著不同的使用目的。最底 層是以自動化檢測分析為目的的戰術級信息，中間層是以安全響應 分析為目的的運營級信息，最高層是以指導整體安全投資策略為目 的的戰略級信息。 來源：中國信息通信研究院 圖 1 威脅信息能力層級模型 戰術級信息：位于威脅信息能力層級模型的最底層，對應痛苦金 字塔模型中 Has

19、h 值、IP 地址、域名、網絡/主機工件、攻擊工具等 5 個層級，其目的主要是自動化完成威脅發現、報警確認、優先級排序 2020 年網絡安全威脅信息研究報告（2021 年） 7 等安全檢測分析工作。例如 C&C2和 IP，二者都是可機讀信息，可被 設備直接使用并自動化完成上述安全工作。 運營級信息：位于威脅信息能力層級模型的中間層，對應痛苦金 字塔模型“TTPs”層級，其使用者主要是安全分析師或安全事件響應 人員，目的是分析已知的重要安全事件，如分析攻擊影響范圍、攻擊 鏈及攻擊目的、技戰術方法等，或者利用已知的攻擊者技戰術手法主 動查找攻擊相關線索。 戰略級信息：位于威脅信息能力層級模型的最高

20、層，對應痛苦 金字塔模型的“攻擊團伙”和“真實身份”層級，使用者主要是用 戶機構的安全管理者，如首席安全官（Chief Security Officer，CSO） 等，其目的是幫助用戶機構把握當前安全態勢，更加有理有據地制 定安全決策。戰略級信息包含多方面內容，如預判和評估攻擊者身 份、攻擊潛在危害、攻擊者戰術能力和資源掌控情況、具體攻擊實 例等。 在威脅信息能力層級模型中， 自下向上每個層級的分析成果都作 為其上方一層級的信息輸入，層級越高，威脅信息研發難度越高、數 量越少；相應地，攻擊者攻擊成本也隨之增加，威脅信息對于被攻擊 者的價值也越高。 (三三) 網絡安全威脅信息的應用價值網絡安全威

21、脅信息的應用價值 網絡安全威脅信息目前主要應用于企業網絡安全防護、 公共安全 防護、國家安全防護等領域，相應的應用價值主要體現在提升企業主 2C&C：即 Command and Control 信息，攻擊者控制被害主機所使用的遠程命令與控制服務器信息。 2020 年網絡安全威脅信息研究報告（2021 年） 8 動防御能力、助力打擊網絡犯罪行為、保護國家網絡空間安全三個方 面。 1.提升企業主動防御能力 隨著廣泛的企業“上云”趨勢，云計算技術在生產辦公環境中的 大規模應用使得企業受攻擊面變廣，面臨更加嚴峻的網絡安全挑戰。 很多企業的安全防護以傳統的防火墻、 入侵檢測技術、 惡意代碼掃描、 網絡監

22、控等手段為主，在受到攻擊后才采取措施，因此經常陷入被動 防御的境地。 網絡安全威脅信息能夠提升企業對網絡威脅的感知能力， 讓企業 的安全防護由被動轉向主動。威脅信息提供了多種網絡安全防護操 作， 如攻擊檢測與防御、 事件檢測與響應、 攻擊團伙追蹤、 威脅狩獵、 基于網絡威脅發現驅動的漏洞管理、暗網信息發現等，能夠有效降低 網絡威脅的平均檢測時間與平均響應時間。在檢測與響應階段，威脅 信息能夠幫助企業快速識別攻擊，明確攻擊類型、意圖和來源，利用 上下文數據追溯攻擊團伙，總結攻擊者畫像。在防護與預測階段，威 脅信息能夠幫助企業在攻擊發生前發現威脅，提前修復關鍵漏洞，變 被動為主動，實現防御體系的關

23、鍵性轉變，提升企業安全防護能力， 減少企業因網絡威脅而遭受的損失。此外，行業內網絡安全威脅信息 共享能夠匯聚具有相似特征的攻擊事件， 為精準溯源攻擊者提供數據 基礎，提升行業內網絡安全的聯合防護水平。 2.助力打擊網絡犯罪行為 2020 年網絡安全威脅信息研究報告（2021 年） 9 互聯網技術飛速發展并廣泛融入人們的生產生活， 各種形式的網 絡犯罪也隨之頻繁發生，以黑產、灰產和暗網犯罪為主。黑產多利用 網絡開展違法犯罪活動， 直接觸犯國家法律， 如電信詐騙、 釣魚網站、 木馬病毒、黑客勒索等；灰產多由正當行業衍生，游走于法律灰色地 帶，以惡意注冊和虛假認證等方式為黑產活動提供便利，如為黑產運

24、 營社交賬號、提供網絡水軍服務等；暗網犯罪是通過隱秘、特殊的登 錄方式與支付方式在難以追溯特征的網絡空間從事犯罪活動。 網絡犯 罪危害網絡空間的公共秩序，嚴重侵犯社會組織和公民個人權益，打 擊遏制網絡犯罪、 追蹤溯源犯罪分子是維護網絡空間公共安全的重要 議題。 通過分析處理惡意 IP 地址、域名網站、惡意軟件 Hash 值、網絡 或主機特征、TTPs 等數據產出的威脅信息，能夠完整還原犯罪團伙 的組織名稱、活躍時間、服務器和其他基礎設備情況、攻擊方向以及 整體事件的來龍去脈，實現對網絡犯罪的調查分析和記錄留存，網絡 犯罪的線索共享、事件防范和預警，能夠輔助案件偵破，抓捕犯罪嫌 疑人，有效打擊網

25、絡犯罪、改善網絡環境，助力維護網絡空間的公共 安全。 3.保護國家網絡空間安全 攻擊者對國家政府部門、關鍵信息基礎設施、關鍵行業機密的攻 擊越來越猖獗，網絡空間如今已成為國家安全的又一重要角力場。金 融、能源、電力、通信、交通等行業的關鍵信息基礎設施一旦遭到攻 擊，可能導致交通中斷、金融紊亂、電力癱瘓等嚴重后果，對國家安 2020 年網絡安全威脅信息研究報告（2021 年） 10 全具有極大的破壞力與殺傷力；核電、軍工、高校等領域的研發核心 數據如果被竊取，可能會造成國家機密泄露，后患無窮。網絡安全威 脅信息能夠檢測與阻止內外威脅， 增加黑客入侵成本， 降低入侵速度， 提升主動防御能力，確保組

26、織提前做好準備，應對攻擊，避免機密和 數據泄露及資產損失，保護國家關鍵信息基礎設施穩定安全運行。因 此， 各個國家的安全部門會持續跟蹤全球活躍攻擊者、 生成威脅信息， 并據此指導相關行業的網絡安全防護工作， 從而保障各行業關鍵基礎 設施安全性、 核心數據安全性和核心業務連續性， 從而保護國家安全。 (四四) 網絡安全威脅信息領域發展現狀網絡安全威脅信息領域發展現狀 1.國內相關政策文件要求 網絡安全威脅信息的研發和應用已成為一項安全防護必備技能， 受到安全廠商、用戶機構和監管部門的廣泛認可，國家及相關主管部 門陸續出臺了一系列與網絡安全威脅信息相關的政策、標準等文件， 如中華人民共和國國民經濟

27、和社會發展第十四個五年規劃和 2035 年遠景目標綱要 信息安全技術 網絡安全等級保護測評要求 （以 下簡稱等保 2.0）、關鍵信息基礎設施安全保護條例（以下簡稱 關基條例）等。針對工業互聯網、虛擬現實、5G、數據中心等 細分領域的網絡威脅信息工作，工業和信息化部（下稱“工信部”） 陸續出臺多項政策進行了規劃和部署，發布了加強工業互聯網安全 工作的指導意見（工信部聯網安2019168 號）、5G 應用“揚 帆”行動計劃（2021-2023 年）（工信部聯通信202177 號）等 2020 年網絡安全威脅信息研究報告（2021 年） 11 指導性文件， 將構建網絡安全威脅信息能力視為維護國家網絡

28、空間安 全和各領域網絡安全的一項重要手段。 此外，工信部已連續多年組織開展網絡安全試點示范工作，并將 網絡安全威脅監測與處置作為重點引導方向之一， 以增強企業防范和 應對網絡安全威脅的能力。網絡安全試點示范工作延續至今，威脅監 測已成為 5G 網絡、車聯網、物聯網、人工智能等多個新型信息基礎 設施安全的重點工作內容之一， 威脅信息作為網絡安全公共服務的核 心環節備受重視。 2.國內標準化工作進展 制定網絡安全威脅信息標準具有重大意義。 通過規范化威脅信息 的格式， 業內對網絡安全威脅信息的描述就可以達到一致， 使用戶間、 系統間的上傳下達等流轉工作更加高效順暢， 提升威脅信息的共享效 率和行業

29、整體的網絡威脅態勢感知能力。 在網絡安全威脅信息共享方面，美國較為領先，已提出一些威脅 信息共享交換標準。 目前國外已經有多種較為成熟的網絡安全威脅信 息格式，并得到不同程度的應用。 美國聯邦信息系統安全和隱私控 制建議（Security and Privacy Controls for Information Systems and OrganizationsNIST 800-53）、美國聯邦網絡威脅信息共享指南 （Guide to Cyber Threat Information SharingNIST 800-150）、結構 化威脅表達式（Structured Threat Inform

30、ation eXpression，STIX）、網 絡可觀察表達式（Cyber Observable Expression，CyboX）以及指標信 息 的可 信 自動 化 交換 （Trusted Automated eXchange of Indicator 2020 年網絡安全威脅信息研究報告（2021 年） 12 Information，TAXII）等都為國際網絡安全威脅信息的交流和分享提 供了可靠參考。 威脅信息的標準制定和優化能夠有力推動其技術發展 和共享進程，然而，到目前為止，暫時沒有一個能夠在國際上通用的 相關標準。 2018 年 10 月 10 日，我國正式發布國內首個網絡威脅信息

31、的國 家標準信息安全技術 網絡安全威脅信息格式規范（GB/T 36643-2018），并于 2019 年 5 月 1 日正式實施。該標準從可觀測數 據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方 法、應對措施等八個組件進行描述，并將這些組件劃分為對象、方法 和事件三個域，最終構建出一個完整的網絡安全威脅信息表達模型。 該通用模型能夠統一業內對網絡安全威脅信息的描述， 進而提升威脅 信息共享效率和網絡威脅態勢感知能力。 來源：信息安全技術 網絡安全威脅信息格式規范 圖 2 網絡安全威脅信息表達模型示意圖 2020 年網絡安全威脅信息研究報告（2021 年） 13 規范網絡安全威脅信

32、息的格式和交換方式是實現網絡安全威脅 信息共享和利用的基礎與前提， 在推動網絡安全威脅信息技術發展和 產業化應用方面具有重要意義。 該標準適用于供需雙方之間的網絡安 全威脅信息生成、共享和使用，為網絡安全威脅信息共享平臺的建設 和運營提供參考，指導產品間、系統間、組織間的威脅信息共享和交 換，提升整體安全檢測和防護能力，在多個層面支撐國家網絡安全工 作。在國家級態勢感知能力構建層面，標準提供了不同層級系統間統 一的威脅信息上傳下達格式，有助于快速建立態勢感知機制；在行業 級通告預警信息共享層面，標準提供了統一的預警信息格式，條件允 許的場景下，能形成可機讀的檢測和防護規則，有助于大幅縮短響應

33、時間；在產業級安全防護協同聯動層面，標準有助于不同廠商產品間 的自動化交互，提升產業整體能力水平。然而，我國現行的網絡安全 威脅信息國家標準距離在業內廣泛落地實行仍有一定差距， 標準在描 述字段、適應業務能力和接口標準上仍有較大提升空間。 3.國內網絡安全產業支撐 （1）建立健全威脅信息共享聯動機制 工信部牽頭組織建設了工業和信息化部網絡安全威脅和漏洞信 息共享平臺3（簡稱 NVDB 平臺），督促網絡產品提供者合理發布自 身產品安全漏洞， 鼓勵漏洞收集平臺和其他漏洞發現組織和個人主動 3 工業和信息化部官網：工業和信息化部網絡安全威脅和漏洞信息共享平臺正式上線運行 （https:/ 2020

34、年網絡安全威脅信息研究報告（2021 年） 14 報送漏洞信息，支持開展網絡安全產品漏洞技術評估，督促網絡產品 提供者及時修補產品安全漏洞。 （2）行業自律共建網絡威脅信息聯盟 2016 年 2 月，國家互聯網應急中心與中國互聯網協會網絡信息 安全工作委員會聯合發起成立了中國互聯網網絡安全威脅治理聯盟 （CCTGA），宣布建立專業領域協作機制，聯合網絡安全領域上下 游力量，加強全國網絡安全縱深防御體系建設，有效整治互聯網地下 黑色產業相關威脅， 為凈化網絡環境和維護網民利益的起到了積極作 用。 2019 年 3 月，上海市信息安全行業協會協同連尚網絡、平安科 技、順豐集團等發起成立“威脅數據共

35、享聯盟”。該聯盟重點共享治 理網絡威脅的知識體系和信息， 通過平臺化模式累積網絡威脅最佳解 決路徑，威脅數據脫敏后變成一種可供他人獲取的知識模式，進行策 略分配到執行的知識庫，供聯盟內企業進行比對查詢，共同推進威脅 數據領域的新技術新應用，維護行業安全穩定發展，提升數據治理與 安全防御能力，打造安全創新生態圈。 網絡安全威脅信息產業聯盟聚集了安全產業上下游企業， 為其提 供了資訊互通和資源整合的新渠道， 成員間的監督協作有助于加強我 國網絡安全行業自律和社會治理水平，為打破威脅信息孤島、保障新 時期網絡安全提供了強勁動力。 二、2020 年國內外網絡安全威脅信息分析 2020 年網絡安全威脅信

36、息研究報告（2021 年） 15 本章將基于 2020 年網絡安全威脅信息，從網絡威脅變化趨勢、 攻擊手法、國內外易受攻擊行業和地域等維度對 2020 年網絡安全態 勢進行研究分析，并盤點 2020 年國內較嚴重的網絡威脅類型。 (一一) 2020 年國內外網絡威脅情況概覽年國內外網絡威脅情況概覽 2020 年國內外網絡安全態勢較以往更為嚴峻。據 Check Point4和 SonicWALL5觀測，在 PC 端一直都有活躍表現的勒索軟件在 2020 年 全年呈激增態勢，并造成嚴重危害。勒索軟件開始利用基于暗網的云 基礎設施進行數據的分批次泄露，以此威脅被勒索組織，迫使其盡快 交付贖金；隨著世

37、界范圍內移動設備感染率的上升，IoT 設備被感染 的可能性也大大增加；黑客對供應鏈、VPN、漏洞等常見攻擊面的興 趣仍然在持續， 并且開始出現偽裝成 Zoom、 Slack 等通訊工具客戶端 進行攻擊的現象；此外，黑客及黑產組織仍然在暗網上持續活動，并 被監測到存在利用暗網買賣泄露數據、云基礎設施等行為；在 2020 年，被曝光的 APT 攻擊事件有數百起，40 余個國家和地區遭受了不 同程度的 APT 攻擊。 2020 年的新冠肺炎疫情對網絡環境也產生了一定影響，尤其在 網絡攻擊方面，與新冠肺炎疫情相關的攻擊數量大幅度上升，攻擊手 段更加多樣，醫療行業受此影響較大，移動辦公相關的信息基礎設施

38、 和遠程通訊工具是受攻擊重災區， 新冠肺炎疫情及冠狀病毒相關的話 題成為攻擊者偏好的誘餌。 4數據來源于全球威脅指數報告，由頭部網絡安全解決方案提供商 Check Point 軟件技術公司的網絡安 全威脅信息部門 Check Point Research（CPR）于 2021 年 5 月發布。 5數據來源于2020 年威脅報告（2020 SonicWall Cyber Threat Report），由頭部互聯網安全設備及平 臺提供商 SonicWALL 于 2021 年發布。 2020 年網絡安全威脅信息研究報告（2021 年） 16 2020 年網絡威脅的變化趨勢主要體現在以下幾個方面。 （

39、1）移動端和固網端感染率大幅上升 Nokia 的觀測數據6表明，受新冠肺炎疫情影響，在 2020 年 2 月和 3 月， 移動端感染率比前幾個月增加了近 30%， 在 5 月和 6 月， 固定寬帶網絡的感染率也出現大幅度上升，但 Nokia 并未披露具體 數據。 （2）冠狀病毒相關域名數量大幅增加 Akamai 的數據7顯示， 2020 年 1 月 1 日到 2020 年 4 月 1 日， 超 過 90,000 個以冠狀病毒為主題的域名被注冊， 盡管其中很大一部分 域名與惡意行為無關，但攻擊者的確注冊了大量與新冠肺炎相關聯 的欺詐性域名。此外，由于疫情期間醫療機構的業務量增加，信息 化系統需要

40、錄入更多患者數據，面臨更大運營壓力；為了保證業務 連續性，醫療機構在受到勒索攻擊后交付贖金的意愿更高，因此可 能會更容易受到勒索攻擊。 （3）疫情相關垃圾郵件大規模出現 趨勢科技的數據8顯示，2020 年全年至少有超過 1600 萬個與新 冠肺炎疫情相關的網絡威脅被檢出，包括惡意 URL、垃圾郵件和惡 意軟件，這些網絡威脅大部分來自美國、德國和法國。在各類網絡 6Nokia 于 2020 年發布的Threat Intelligence Report 2020 7業界頭部內容交付網絡（CDN）服務提供商 Akamai 于 2020 年發布的state of the internet/securi

41、ty: AYear in Review 8全球頭部安全整體解決方案提供商趨勢科技 （Trend Micro） 于 2021 年 2 月發布的 AConstant State of Flux: Trend Micro 2020Annual Cybersecurity Report 2020 年網絡安全威脅信息研究報告（2021 年） 17 威脅中，垃圾郵件占比近 90%，攻擊者將其作為首選攻擊渠道，相 較于惡意 URL 和惡意軟件，垃圾郵件有著更低的技術門檻。 （4）針對遠程辦公場景的攻擊手段增加 疫情期間，當員工居家辦公時，攻擊者也正在利用電話會議軟 件發起更多攻擊行為，模仿電話會議提供商的應

42、用程序以分發惡意 軟件，例如創建與 Zoom、Microsoft Teams、Google Hangouts 等遠 程辦公軟件類似的惡意域名等。 （5）攻擊者活躍度顯著提升，攻擊指向性愈發明顯 攻擊者的主要攻擊對象是從事疫苗開發、生物醫療研究、政策 制定的機構和組織，攻擊者會調整釣魚誘餌，冒充疫情相關信息引 誘攻擊對象操作，從而竊取其核心數據。攻擊者通過釣魚網站和垃 圾郵件等方式誘導攻擊對象打開釣魚附件，傳播 Emotet、Trickbot、 遠控、后門、DDoS 和挖礦等木馬，并以此進行攻擊。 (二二) 2020 年國內外網絡攻擊手法概覽年國內外網絡攻擊手法概覽 根據現有數據統計，2020

43、年全球失陷主機約有 6,431,498 臺，國 內約有 880,607 臺，約為全球的 1/8 左右。 從全球范圍來看， 攻擊者的主要攻擊對象未產生較大變化， 郵件、 云服務、VPN、移動設備、IOT 設備仍然是受害重災區；攻擊手段上， 釣魚、勒索軟件、供應鏈攻擊、利用漏洞、社會工程學等仍是攻擊者 的主流選擇。 從國內受攻擊情況來看，大多數攻擊來自于國內攻擊者，而威脅 集中表現為設備被利用于挖礦， 這也反映出目前國內黑客黑產等攻擊 2020 年網絡安全威脅信息研究報告（2021 年） 18 者的主要目的是獲得經濟利益。 國外已經出現勒索和竊取數據融合的 攻擊手法，產生的危害較大，建議國內相關機

44、構持續重視這一趨勢。 此外，利用木馬遠程控制主機進行 DDoS 攻擊、下載惡意軟件等行為 也在持續發生，蠕蟲等病毒傳播引發的計算資源、帶寬資源的消耗仍 然值得重視。 下面將詳細盤點 2020 年全球網絡攻擊的主要手法和發展趨勢， 并簡要探討應對措施。 1.釣魚郵件仍是主流攻擊手段 2020 年，攻擊者仍舊廣泛使用電子郵件展開攻擊活動，傳播各 種網絡威脅。歐盟網絡安全局（ENISA）9指出，“攻擊包括諸如基 于企業工程的電子郵件攻擊（BEC）和身份欺騙技術等計劃，以使網 絡釣魚活動更有效”，“超過 99的分發惡意軟件的電子郵件需要 人為干預（包括點擊鏈接、打開文檔、接受安全警告和其他行為）才 能

45、有效”。 釣魚郵件的發件者會模仿成信譽良好的組織或機構， 其目標通常 是竊取身份驗證數據等敏感信息、 安裝惡意軟件或獲取信用卡號等其 他財務資源。 一部分釣魚攻擊屬于魚叉式網絡釣魚， 具有高度針對性， 但是無確定攻擊對象的“廣撒網”式釣魚攻擊活動更為普遍。釣魚郵 件誘使收件人點擊指向惡意站點或文件的鏈接、或打開附件（通常是 壓縮文件或 Microsoft Office 文件），在某些釣魚郵件中，接收者還 必須啟用編輯或宏才能觸發感染。 9ENISAThreat Landscape 2020 年網絡安全威脅信息研究報告（2021 年） 19 但是，網絡釣魚技術也在不斷發展。趨勢科技在 2020

46、年觀察到 10，攻擊者開始使用在線表單（例如生成在線調查問卷的工具）來托 管網絡釣魚站點。相比假冒域名和網站，創建表單的時間成本和技術 門檻更低，表單創建者僅借助表單生成器就能制作簡單的頁面，雖然 與精心構建的偽造域名相比較為簡陋，但這也意味著即使是沒有經 驗、 技術水平較低的網絡犯罪分子也可以毫不費力地開始網絡釣魚攻 擊。 未來較長一段時間內，網絡釣魚攻擊將變得越來越常見，并可能 和勒索軟件、 APT 攻擊等手段相結合， 誘餌和所用郵箱也將和企業機 構信息有更高的相關度。安全人員可適當開展網絡安全培訓、網絡釣 魚模擬演練等工作，定期督促員工警惕釣魚攻擊的風險和危害，提升 員工網絡安全意識，防

47、止被網絡釣魚。 2.遠程辦公普及，VPN 攻擊帶來網絡安全新挑戰 新冠肺炎疫情防控的要求催生了遠程辦公的興起，但是邊界、隔 離模糊和大量遠程終端的接入也給辦公網絡帶來了新的安全挑戰。 根 據趨勢科技的觀測 10，VPN 作為常見的應對手段，2020 年的使用率 達到了歷史最高水平。 VPN 已經成為新的攻擊面和風險來源。根據 Zscaler 的數據10， CVE 數據庫中已經列出了將近 500 個 VPN 漏洞；在企業當中，93 的用戶正在使用 VPN 服務，同時，94的用戶知道網絡犯罪分子將 VPN 定位為目標，以獲取對網絡資源的訪問權限；72的用戶擔心 10云安全公司 Zscaler 于

48、2021 年發布的2021 VPN Risk Report 2020 年網絡安全威脅信息研究報告（2021 年） 20 VPN 可能會損害 IT 部門保持其環境安全的能力；67的用戶正在考 慮替代傳統 VPN 的遠程訪問；目前，72的用戶將優先考慮采用零 信任模式。 隨著疫情防控常態化，遠程辦公網絡的 VPN 攻擊也將成為中大 型用戶必須面對的挑戰之一。對于多分支機構、多辦公地點、員工地 域流動較大的企業和組織，安全人員須找到一種既精準有效、又易于 部署和統一管控的網絡防護方案，如利用 DNS 解析技術對撞威脅信 息等， 否則將存在攻擊者從分支機構或員工遠程終端攻入總部辦公網 絡的風險。 3.

49、勒索軟件產業化特征明顯，攻擊手法出現新變化 為了追求經濟利益，攻擊者對于攻擊對象的選擇更具針對性，不 同于以往的隨機選擇方式， 現階段勒索軟件攻擊對象更關注具有高價 值資產的關鍵行業；且攻擊手法更加多樣，包括利用未修補的漏洞、 濫用弱的遠程桌面協議（RDP）安全性、采用其他惡意軟件家族等。 Ryuk 和 Sodinokibi 是目前最知名的勒索軟件，它們在很大程度 上定義了現代勒索軟件格局。2020 年還出現了一些相對較新的勒索 軟件，例如 Egregor 和 DoppelPaymer，兩者都已有成功實施勒索的案 例11。勒索軟件運營商還一直在將其目標范圍擴展到更多操作系統， 例如，Ranso

50、mExx 并非 2020 年最常被檢測到的勒索軟件，但它對 Linux 服務器的攻擊能力卻不容小覷，其主要目標是 VMware 環境， 即用于存儲 VMware 文件的計算機。 11AConstant State of Flux：Trend Micro 2020Annual Cybersecurity Report. 2020 年網絡安全威脅信息研究報告（2021 年） 21 此外，勒索手法也出現了新的變化，過去受害者只需要擔心其數 據被加密或刪除，而現在的攻擊者將定位高價值數據，不僅會刪除或 加密受害者的數據以進行勒索，還會通過泄漏站點（DLS）間接泄漏 被盜數據，這種手法可被理解為 Big