綠盟科技：2021網絡空間測繪年報（109頁）.pdf

《綠盟科技：2021網絡空間測繪年報（109頁）.pdf》由會員分享，可在線閱讀，更多相關《綠盟科技：2021網絡空間測繪年報（109頁）.pdf（109頁珍藏版）》請在三個皮匠報告上搜索。

1、2021網絡空間測繪年報2021 Cyberspace Survey Report2021 Cyberspace Survey ReportCONTENTS2021 網絡空間測繪年報2關于綠盟科技綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立于 2000年 4 月，總部位于北京。公司于 2014 年 1 月 29 日在深圳證券交易所創業板上市， 證券代碼：300369。 綠盟科技在國內設有50余個分支機構，為政府、金融、運營商、能源、交通、科教文衛等行業用戶與各類型企業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國硅谷、日本東京、英國倫敦、新加坡及巴西圣保羅

2、設立海外子公司和辦事處，深入開展全球業務，打造全球網絡安全行業的中國品牌。中國電信天翼安全科技有限公司天翼安全科技有限公司（簡稱“安全公司”）是中國電信集約開展網絡安全業務的科技型、平臺型專業公司，以研發運營一體化方式，整合全集團云網、安全、數據等優勢資源和能力，進行統一運營，為內外部客戶提供云網安全、數據安全、信息安全等各類安全產品和服務。公司始終堅持以“傳承紅色基因，守護安全中國”為使命，致力于成為數字經濟時代最可靠的網絡安全運營商！電信安全公司廣目及物聯網安全系列產品，從資產維度出發，結合運營商獨特的網絡資源優勢，為用戶提供精準的網絡空間資產測繪臺賬、規避暴露面風險。 其中， 廣目可以實

3、現IP、 URL、 端口、 公眾號、 小程序、APP、網盤、源代碼等維度的互聯網資產暴露面排查及風險監測；物聯網安全相關產品以終端軟件、外置硬件等方式保障物聯資產的接入可用、傳輸可信、邊界可防、數據可靠、全程可視。廣目及物聯網安全相關產品已廣泛應用于金融、醫療、政府、公安等行業。版權聲明為避免合作伙伴及客戶數據泄露 , 所有數據在進行分析前都已經 過匿名化處理 , 不會在中間環節出現泄露 , 任何與客戶有關的具體信息，均不會出現在本報告中。CONTENTS執行摘要001012021 年重大網絡空間安全事件回顧0031.1CISA 公布物聯網設備嚴重漏洞8300萬臺智能設備受影響0041.2H

4、廠商遠程代碼執行漏洞0051.3DarkSide 勒索軟件攻擊美國燃料管道商 ColonialPipeline公司0071.4數百家工業組織在 SolarWinds 事件中遭受 Sunburst 惡意軟件攻擊0081.5Q 廠商終端安全管理系統未授權訪問漏洞0101.6APT 組織正在利用 FortinetVPN 安全漏洞進行攻擊0111.7云服務提供廠商 DreamHost 泄露 8 億用戶數據0121.8數據分析公司 Polecat 近 30TB 業務數據泄露，因Elasticsearch 服務器未受身份驗證0141.9TeamTNT 組織在 2021 年多次針對云計算目標進行攻擊0151

5、.10ChaosDB：Azure 數據庫服務錯誤影響數千公司0161.11小結01702網絡空間重點領域暴露資產分析0192.1網絡空間資產測繪簡介0202.2物聯網資產暴露情況分析020CONTENTS2.3公有云資產暴露情況分析0232.4工控資產暴露情況分析0292.5安全設備暴露情況分析0312.6數據庫暴露情況分析0342.7智慧平臺資產暴露情況分析0382.8蜜罐資產暴露情況分析0402.9小結04303網絡空間風險專題分析0443.1物聯網風險分析0453.2云上風險分析0513.3應用風險分析0803.4工業互聯網風險分析0903.5小結09304總結與展望094參考文獻097

6、CONTENTS觀點 1 004從 2021 年曝光的 ThroughTek KalaySDK 和 H 廠商的攝像頭未授權這兩起安全事件，不難看出物聯網安全問題有著“低級漏洞、高級風險”以及影響范圍廣的特點。目前物聯網的軟硬件產業結構也相對復雜，物聯網廠商管理好自身安全的同時還需要關注供應鏈安全。觀點 2 0072021 年超過一半的工業控制系統領域攻擊事件都與勒索軟件有關，其中 REvil 和DarkSide 家族占比最大。通常勒索團伙受懲風險很低，并且能獲得高額的贖金，因為多數受害者無法承受停工停產的嚴重后果。觀點 3 010從 2021 年曝出的針對安全設備的攻擊事件中可以看出，漏洞利用

7、是發起這些攻擊的主要手段之一。 而這些漏洞一旦被攻擊者利用， 用戶可能會面臨隱私泄露、 被勒索、網站篡改、網絡癱瘓等嚴重后果。安全設備通常被認為安全級別非常高，但從近兩年公開的安全事件可見，其風險不容忽視。觀點 4 012數據庫服務暴露在互聯網上存在很大的安全風險，尤其是無身份驗證、弱口令以及存在未授權訪問漏洞的數據庫，管理員往往忽視對數據庫進行權限驗證，造成敏感信息泄露，甚至嚴重影響到組織的業務。CONTENTS觀點 5 015近年云安全事件數量呈現上升趨勢， 特別是非法利用云資源挖礦和云上數據泄露。隨著各個行業上云步伐加快，云化業務及數據變得越來越重要，勢必吸引更多的攻擊者針對云上目標展開

8、攻擊以謀取利益。同時，云上服務租戶眾多，因而相關漏洞的影響具有規模性。觀點 6 023公有云市場蓬勃發展的同時，其安全風險突出，安全事件層出不窮。主流云廠商，如阿里云、 騰訊云、 華為云等， 其上業務絕大部分的安全風險是因用戶錯誤配置造成的，因而對云上資產測繪十分重要。觀點 7 045相比 2020 年，2021 年 NVD 公布的物聯網相關漏洞沒有明顯的變化趨勢，相關漏洞仍具有攻擊復雜度低、危害評級高的特點。而知名漏洞利用平臺 Exploit-DB 近 5年收錄的漏洞利用總量及物聯網相關漏洞利用數量均呈下降趨勢，但該平臺收錄的漏洞以命令執行和信息泄露為主，危害程度高，各方仍應提高警惕。觀點

9、8 051云上服務、資產數量巨大、類型眾多，不同服務及資產暴露的攻擊面均不相同，相應的安全成熟度也有較大差異，云上安全態勢較為復雜。盡管諸如對象存儲服務等公有云服務已經設置了多種提示和警告措施，云上數據泄露事件依然每年都在發生。云原生服務中，容器相關組件（如 Docker）由于落地時間較長，脆弱性暴露情況較少，但其他云原生組件卻不容樂觀。此外，云上常見物聯網協議或服務（如 MQTT）普遍存在未授權訪問風險，較為嚴重。CONTENTS觀點 9 080新冠疫情爆發以來，遠程辦公、協同辦公的需求大增，大量相關服務暴露在互聯網上，很多存在一個或多個安全漏洞。由于這些應用深度參與到企業生產過程中，它們的

10、暴露風險對企業運作、業務運行有重要影響，使用這些應用的企業需要加大重視程度，監控自身業務暴露面和攻擊面，非必要不暴露，及時更新修復相關安全漏洞，或積極踐行零信任戰略。觀點 10 090工業互聯網風險面廣、涉及行業多、造成的潛在風險大。安全風險主要來源于管理和技術這兩個層面。工業互聯網的風險往往關乎民生，生產與制造加工涉及的設備、網絡、控制、數據、平臺、工業 APP 等都可能成為突破口。觀察 1 0202021 國內暴露的物聯網資產數量相較于去年增加了 18 萬個，暴露服務數量的前三，依次是攝像頭約 104 萬個，路由器約 52 萬個，VoIP 電話約 2 萬個。暴露數量最多的地區是臺灣，其次是

11、香港，最后是長三角和珠三角地區。觀察 2 029國內工控資產暴露數量與工業發展水平成正相關，暴露較多的設備主要集中在我國東北老工業基地和東南沿海工業發達地區，并且工控資產會隨業務和環境的變化呈現動態變化特征。暴露的工控資產使用最多的工控協議是 Modbus，占總數的49.2%。這些資產所屬的廠商以國際著名公司為主，主要包括摩莎、施耐德電氣和西門子等。觀察 3 0312021 年國內暴露的安全設備數量共計 146,459 個，其中，暴露數量最多的是防火墻、VPN 和 WAF，并且以國外廠商的設備居多。這些設備主要集中在我國臺灣、香港、北京以及長三角和珠三角等沿海地區。出口類型方面，企業專線和數據

12、中心占比較高，分別占 49.21% 和 43.43%。觀察 4 0342021 年全國暴露在互聯網上的常用數據庫資產已超過 50 萬個，其中，MySQL 暴露數量突破 47 萬個，占比高達 92.9%, 并且仍有大量用戶在使用已經停止更新的數據庫版本， 存在巨大的安全隱患。 地理分布上， 由于越來越多的企業將業務拓展到了國外，選擇將服務部署在香港，導致香港成為國內數據庫暴露數量最多的地區，接下來是北京和東南沿海經濟發達地區。觀察 5 038我們發現全國暴露在互聯網上的智慧平臺資產已超過 3000 個，包括校園、水利、醫療、交通、養老、物流、車聯網、農業相關領域，其中智慧校園平臺數量最多。隨著數

13、字化轉型的穩步推行進，未來將會有更多領域和數量的智慧服務平臺出現在互聯網上，安全和數字化需要同步建設。觀察 6 059我們針對目前市面上比較流行的云原生服務進行了資產、版本分布梳理以及相應的風險分析，這些服務包括 Docker、Kubernetes API Server、Istio、Kong、Prometheus，其中 Docker 資產暴露數量在國內僅有 179 個，風險分析方面，因暴露2375 TCP Socket 端口導致的未授權訪問漏洞，仍舊是 Docker 服務在互聯網上面臨的一大風險；Kubernetes API Server 資產數量在國內有近 2 萬個，其中因暴露 6443及

14、8080 端口導致的未授權訪問漏洞資產數約 200 個，這個數量占總體的 1%，此外，暴露資產中約 77% 的資產受 CVE-2021-25741、CVE-2021-25735、CVE-2018-1002105 這三個漏洞的影響；Istio 資產在國內有近 2400 個，其中 443 和 80 端口數量最多；Kong 資產數量在國內暴露約 5900 個，其中命中 CVE-2021-27306 漏洞的資產數約占總資產數的 52%，命中 CVE-2020-11710 漏洞的資產數約占總資產數的37%；Prometheus 資產在國內暴露約 5200 個，目前受到 CVE-2021-29622 漏洞

15、影響的資產數量為 910 條，約占總量的 17%。觀察 7 071互聯網中暴露 32 余萬個資產涉及 MQTT 服務，其中 77% 存在未授權訪問風險，泄露了物聯網設備的敏感信息。涉及 MQTT 協議的開源物聯網框架存在明文存儲MQTT 配置、未修改默認密碼等安全問題，攻擊者可通過 MQTT 協議修改物聯網設備數據，甚至可以控制物聯網設備。觀察 8 081我們針對目前市面上常見的兩款協同辦公軟件 Confluence 和 Jira，從資產分布，版本分布以及脆弱性幾個角度進行了風險分析。其中 Confluence 資產暴露數量 1799個，Jira 資產暴露數據 4131 個。端口主要分布于 8

16、090，以及 9090，占比均超過 7成以上，這兩個端口都是服務默認配置的端口。已識別出版本的資產中，大部分資產都沒有升級到最新版本，存在著被已知脆弱性攻擊利用的風險。其中命中 CVE-2021-26084 漏洞資產占比近 Confluence 總資產的 47%。命中 CVE-2021-39128，CVE-2017-17113，CVE-2021-39124，CVE-2021-26070 漏洞的資產均超過 Jira 總資產數的 86% 以上。觀察 9 086根據Global Market Insights 2020調查，到 2026 年，全球 VPN 市場預計將同比增長 12%，價值 700 億

17、美元。由于 VPN 產品在企業網絡中的重要性，其安全性常被黑客關注，尤其是銷量靠前的產品，一旦曝出相關漏洞，往往評分較高，波及范圍較廣，例如已經被黑客武器化的數個 VPN 漏洞，Pulse Secure “Connect” VPN(CVE-2019-11510)、Fortinet FortiOS VPN(CVE-2018-13379) 和 Palo Alto Networks “Global Protect” VPN(CVE-2019-1579)，這些漏洞至今仍能對企業安全造成嚴重危害。001執行摘要執行摘要2021 年國家“十四五”規劃強調，加快數字化發展和建設數字中國，加快建設數字經濟、數

18、字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革。這也將極大地推動企業數字化轉型的進程。企業通過應用云、大、物、移、智等新技術實現以數據推動業務和管理1。在數字化轉型穩步推進的背景下，必定會有越來越多新興的資產服務出現在互聯網上，這些服務的暴露面及脆弱性管理對于網絡安全而言仍是重要挑戰。2021 年我們將物聯網安全年報（2017-2020）更新為網絡空間測繪年報 ( 由綠盟科技與中國電信天翼安全科技有限公司聯合發布 )，今年的報告將會介紹物聯網、公有云、工業控制系統、安全設備、數據庫、智慧平臺等關鍵領域資產在互聯網上的暴露情況，并對物聯網、云原生、工業控制系統等專題的脆弱

19、性情況進行分析。報告的主要內容如下：第一章，我們篩選了 2021 較為重大的安全事件進行回顧。其中，從物聯網 SDK 的安全事件可以看出，對軟硬件結合的結構復雜的產業，廠商在管理好自身安全的同時還需要關注供應鏈安全。工業控制系統領域是勒索軟件青睞對象，多數受害企業無法承受系統或生產停止的代價，攻擊者有更大概率拿到贖金?！靶鹿凇币咔榇蟊l以來，遠程辦公成為很多企業主要的工作方式之一，因此企業 VPN 產品相關漏洞受到攻擊者的關注。此外，暴露在互聯網上的數據庫服務存在很大的安全風險，尤其是未授權訪問以及弱口令問題，可能造成敏感信息泄露，甚至嚴重影響企業的正常業務。公有云安全方面，非法利用云資源挖礦

20、和云上數據泄露占據主要地位。隨著各個行業上云步伐的加快，云化業務及數據變得越來越重要，這勢必吸引更多的攻擊者針對云上目標展開攻擊，以謀取利益。同時，云上服務面向多租戶，相關漏洞的影響因而具有規模性?？傊?，2021 年網絡攻擊趨勢仍在持續攀升中，勒索軟件、錯誤配置、數據泄露以及供應鏈是需要關注的重點問題。第二章，我們對互聯網上關鍵領域資產暴露情況進行分析。隨著 IoT、5G、云原生等技術發展，未來將會有更多的新興資產和服務出現。業務資產暴露也會給企業組織帶來了安全風險。摸清企業網絡空間資產暴露情況，洞察網絡風險是建立網絡安全防御體系的第一步，也是最重要的一步。 因此， 第二章對網絡空間關鍵領域資

21、產進行了分析， 介紹了國內的物聯網、公有云、數據庫、工業控制系統、安全設備、智慧平臺以及蜜罐資產的暴露情況，以便快速感知安全風險，掌握安全態勢，輔助威脅研判分析。2021 網絡空間測繪年報002第三章，我們主要對網絡空間關鍵領域脆弱性進行專題分析。首先，我們分析了物聯網相關的年度漏洞披露情況：2021 年 NVD 公布的物聯網相關漏洞相比 2020 沒有明顯的變化趨勢，相關漏洞仍具有攻擊復雜度低、危害評級高的特點。接著，我們對云計算相關風險及脆弱性進行了分析：首先是以 AWS S3 為代表的公有云對象存儲服務，近年來數據泄露事件高發，我們將對這一現象及背后原因進行探索；其次是由 Docker、

22、Kubernetes 等服務組成的云原生生態，我們將對互聯網暴露的云原生生態組件進行梳理和分析，給出暴露情況和脆弱性態勢；我們還以 MQTT 協議為例，對云上使用較多的物聯網協議進行脆弱性分析，揭露云上MQTT服務的安全問題。 另外， 新冠疫情爆發以來， 遠程辦公、 協同辦公的需求大幅增加，相關的團隊協作工具、遠程連接工具因此被大量部署。這些軟件的安全性對企業運作、業務運行有重要影響。因此，我們還對以 Confluence、Jira 為代表的協同辦公應用及用于遠程連接的 VPN 進行測繪分析，探討它們可能存在的風險。在本章的最后，我們介紹了工業互聯網領漏洞趨勢和風險分析，其中包括設備、網絡、控

23、制、數據、平臺、工業 APP 等方面。隨著 關鍵信息基礎設施安全保護條例 、網絡安全審查辦法 和 網絡數據安全管理條例等法律法規政策的相繼出臺、實施，合規性要求將對網絡空間資產安全態勢起到正向促進作用。同時，對網絡空間資產的暴露面和脆弱面進行持續測繪，起到長效監控作用，從而引起企業重視，未雨綢繆，防微杜漸，幫助企業收斂暴露面、修補安全漏洞。012021 年重大網絡空間安全事件回顧2021 網絡空間測繪年報0041.1CISA 公布物聯網設備嚴重漏洞 8300 萬臺智能設備受影響觀點 1： 從2021年曝光的ThroughTek KalaySDK和H廠商的攝像頭未授權這兩起安全事件，不難看出物聯

24、網安全問題有著“低級漏洞、高級風險”以及影響范圍廣的特點。目前物聯網的軟硬件產業結構也相對復雜，物聯網廠商管理好自身安全的同時還需要關注供應鏈安全。1.1.1事件回顧2021 年 8 月 19 日，美國聯邦網絡安全和基礎設施安全局（CISA）公布了一個物聯網設備的嚴重漏洞，該漏洞出現在一個軟件開發工具包（ThroughTek KalaySDK）中。與這個 SDK 有關的設備有 8300 萬臺，這些設備每個月都產生超十億次的網絡連接。此漏洞不僅允許攻擊者能夠看到安全網絡攝像頭等設備拍攝的實時畫面， 可以隨意連接到這些設備，檢索音頻和視頻，并且在用戶不知情的情況下控制這些設備，更改相機角度或者重啟

25、設備等操作2。1.1.2原理簡述該事件利用的漏洞編號為 CVE-2021-28372。有此漏洞的 ThroughTek KalaySDK，提供了一個可插拔的系統，用于將智能設備與其相應的移動應用程序連接起來。Kalay 平臺為智能設備和其相應的應用程序提供代理，可以處理身份驗證和發送數據，該漏洞存在于設備與其移動應用程序之間的注冊程序中。這種設備與應用程序之間的連接對應關系，取決于每個設備的 UID，是 Kalay 協議交互唯一的標識符。如圖 1.1 為攻擊者利用漏洞的攻擊過程，具體解釋如下：攻擊者利用制造商的其他漏洞獲取設備的 UID 并發起請求。使用設備的 UID 和 Kalay 協議，攻

26、擊者可以重新注冊設備的 UID，并以此挾持獲取設備擁有者的賬號與密碼。掌握了 UID 和密碼的攻擊者可以遠程控制這些設備，再利用漏洞 CVE-2021-28372，攻擊者可以實時觀看網絡設備拍攝的畫面，還可以在設備上安裝惡意固件。因為攻擊者獲取了 UID 和密碼，然后通過 Kalay 遠程管理設備進行攻擊行為，因此設備的擁有者無法通過重置設備或者刪除數據來阻止入侵行為。受到影響的設備可能會受到不當的訪問控制，此漏洞可允許攻擊者訪問敏感信息或者執行遠程代碼。0052021 年重大網絡空間安全事件回顧圖 1.1攻擊者入侵原理示意圖1.1.3事件分析可以說，物聯網已經應用到我們生活的方方面面，智能設

27、備在給我們的生活帶來極大便利的同時，安全問題也一定不能忽視，因為這些設備攜帶的都是用戶的高度隱私信息，一個很小的漏洞可能就會對用戶造成不可挽回的損失，所以在安全領域沒有任何一個漏洞是小漏洞。提高這些設備的安全性需要設備廠商和各方的共同努力，作為使用者也需提高安全意識，此外，物聯網的軟硬件產業結構也相對復雜，物聯網廠商管理好自身安全的同時還需要關注供應鏈安全。1.2H 廠商遠程代碼執行漏洞1.2.1事件回顧2021 年 6 月，研究人員在 H 廠商 IP 攝像機設備固件中發現了一個未認證的遠程代碼執行漏洞，漏洞編號為 CVE-2021-36260。2021 年 8 月，H 廠商開始發布補丁和相關

28、受影響的設備和固件。1.2.2原理簡述該漏洞的利用很簡單，不需要用戶的交互，攻擊者只需要訪問 HTTP 或 HTTPS 服務器的80 或者 443 端口就可利用該漏洞，而且也不需要登錄時的用戶名，密碼或者其他任何操作，攝像頭本身也不會檢測到任何登錄信息，在獲取設備信息（如圖 1.2 和 1.3 所示）之后，添2021 網絡空間測繪年報006加一個 root 賬戶，并進行登錄。一旦攻擊成功，攻擊者可以讀取和更改用戶數據，而且還可以訪問和攻擊內部網絡。圖 1.2獲取設備信息，添加自己的賬戶圖 1.3使用 /bin/sh shell 添加一個 root 賬并登錄1.2.3事件分析當下，攝像頭已經成為

29、了家庭、企業單位必不可少的監控設備，這些設備的數據大多數情況下都是隱私數據，一旦被入侵或者非法利用后果不堪設想，輕則被用于肉雞對其他互聯網資產進行 DDoS 攻擊，重則隱私數據泄露，被攻擊者利用從而發起社會工程學攻擊，造成財產損失。 作為用戶來講， 可以從以下兩個方面提高設備的安全性：一個是關閉不必要的端口，減小攻擊面，另一個是及時打廠商發布的補丁，盡量避免影響3。0072021 年重大網絡空間安全事件回顧1.3DarkSide 勒索軟件攻擊美國燃料管道商 Colonial Pipeline公司觀點 2： 2021 年超過一半的工業控制系統領域攻擊事件都與勒索軟件有關，其中 REvil 和Da

30、rkSide 家族占比最大。通常勒索團伙受懲風險很低，并且能獲得高額的贖金，因為多數受害者無法承受停工停產的嚴重后果。1.3.1事件回顧2021 年 5 月 7 日，美國最大的燃油管道運營商 ColonialPipeline 因受到勒索軟件攻擊被迫關閉了其美國東部沿海各州供油的關鍵燃油網絡。此次勒索攻擊使美國三個區域受到了斷油的影響，共涉及 17 個州。5 月 9 日，聯邦汽車運輸安全管理局（FMCSA）發布區域緊急狀態聲明，放寬了 17 個州和哥倫比亞特區對攜帶汽油、柴油、噴氣燃料和其他精煉石油產品運輸司機的服務時間規定，允許他們額外或更靈活的工作時間，以減輕管道中斷導致有關燃料短缺的影響4

31、。此次勒索攻擊事件是一個名為 DarkSide 的網絡犯罪團伙發起的，該團伙入侵了 Colonial的網絡，并竊取了近 100GB 的數據，以此威脅如果不在一周內支付贖金會將其泄漏到互聯網。該次事件的攻擊者 DarkSide 是一個最早活躍于 2020 年下半年的新興黑客組織，自 2020 年8 月在地下黑客論壇出現以來，DarkSide 使用一種與組織同名的勒索軟件開展大規模的攻擊活動。 同時在2021年5月10日， DarkSide在暗網主頁上發表聲明， 稱其是單純利益驅動組織，不需要將他們關聯到政府組織或挖掘其他活動。圖 1.4DarkSide 在暗網主頁發表聲明2021 網絡空間測繪年

32、報0081.3.2原理簡述DarkSide 使用了一種雇傭式的惡意程序分發策略，因此與其相關的攻擊事件中，各自的入侵手段表現了一定的差異性。在已發現的部分事件中，DarkSide 的使用者會通過已泄露賬戶等信息登錄暴露在外的 VDI 設備，進而借助該設備進行局域網掃描并控制更多設備，最終投遞 DarkSide 勒索軟件本體。DarkSide 本體程序運行后，會利用 COM 接口進行提權，隨后進行刪除卷影數據、清空回收站、竊取本地信息、加密文件、顯示勒索內容等勒索軟件的常規操作。DarkSide 在文件加密過程中使用Salsa20算法加密文件， 但是使用RtlRandomEx生成的自定義矩陣進行

33、加密，最后使用 RSA-1024 加密生成的矩陣，并將加密后的矩陣添加到加密后文件的末尾。1.3.3事件分析雖然 DarkSide 也會對勒索軟件主體進行維護和更新，但該組織顯然將更多的精力投入到了對高價值目標的威脅上。DarkSide 會使用騷擾電話等方式對目標企業進行直接威脅，持續對其施加壓力。隨著勒索軟件事件越來越多樣，企業應加強員工安全意識培訓，加強主機賬戶口令復雜度及修改周期管理，并盡量避免出現通用或規律口令的情況；修改系統管理員默認用戶名，避免使用 admin、administrator、test 等常見用戶名；盡量避免危險端口對外開放，利用IPS、防火墻等設備對危險端口（445、

34、139、3389 等）的服務進行防護。1.4數百家工業組織在 SolarWinds 事件中遭受 Sunburst 惡意軟件攻擊1.4.1事件回顧SolarWinds 軟件在 2020 年 3-6 月期間發布的版本受到供應鏈攻擊的影響，攻擊者在這段期間發布的 2019.4-2020.2.1 版本中植入了惡意的后門應用程序，受此次供應鏈攻擊影響的客戶包括政府、國防、網絡公司和關鍵基礎設施提供商等，約有 18000 個用戶下載了包含后門的惡意軟件。安全研究人員對使用后門版本的 SolarWinds 并成為受害者的工業組織進行研究，他們使用 Sunburst 惡意軟件域名生成算法生成的 DNS 名稱獲

35、得的可用內部域名，其中已解碼和可0092021 年重大網絡空間安全事件回顧歸屬的域名將近 2000 個，按照行業劃分，工業組織占比最高（32.4%），覆蓋工業領域中制造業、運輸與物流、建筑業、礦業和能源等（如圖 1.5 所示），工業組織的地理分布也幾乎覆蓋整個世界5。圖 1.5受影響的工業組織占比情況1.4.2原理簡述植入惡意后門的應用程序利用 SolarWinds 的數字證書繞過驗證，并在休眠兩周左右后會和第三方進行通信，并且根據返回的指令執行操作，包括傳輸文件，執行文件，重啟系統等。這些通信會偽裝成 Orion Improvement Program（OIP）協議并將結果隱藏在眾多合法的插

36、件配置文件中，從而達成隱藏自身的目的。1.4.3事件分析SolarWinds 供應鏈攻擊事件表明網絡安全是各行業的迫切需求，并不是在受到攻擊之后才被需要，因為攻擊者可能破壞網絡并長期隱藏網絡訪問和入侵活動；攻擊活動的受害者不僅是大型組織，也包括中小型組織，尤其是關鍵基礎設施和影響力行業；各類組織幾乎都不存在真正的氣隙隔離系統6。針對工業領域， 建議實施基于網絡的零信任和隔離保護， 對于關鍵資產進行持續信號監控，防止物理資產受到網絡攻擊，如果發現安裝了帶有后門的惡意軟件，應及時啟動應急響應程2021 網絡空間測繪年報010序，隔離受攻擊的資產，檢測網絡日志、系統日志等排查非法賬戶身份驗證，查找可

37、疑進程活動并查看歷史命令行數據。1.5Q 廠商終端安全管理系統未授權訪問漏洞觀點 3： 從 2021 年曝出的針對安全設備的攻擊事件中可以看出，漏洞利用是發起這些攻擊的主要手段之一。 而這些漏洞一旦被攻擊者利用， 用戶可能會面臨隱私泄露、 被勒索、網站篡改、網絡癱瘓等嚴重后果。安全設備通常被認為安全級別非常高，但從近兩年公開的安全事件可見，其風險不容忽視。1.5.1事件回顧2021 年 4 月，研究人員在 Q 廠商終端安全管理系統發現一個未授權訪問漏洞，漏洞編號CNVD-2021-34259，攻擊者可利用漏洞獲取敏感信息。2021 年 6 月，Q 廠商發布了終端安全管理系統未授權訪問漏洞安全公

38、告及相關補丁信息，修復了此漏洞7。1.5.2原理簡述未授權訪問指權限認證地址或授權頁面存在缺陷，導致無權限用戶可以直接訪問，從而引起的網站頁面、數據庫等敏感信息泄露。終端安全管理系統未授權訪問漏洞利用方法很簡單，查看漏洞站點，在 API 接口訪問數據庫 /api/dbstat/gettablessize，返回數據表相關信息。圖 1.6查看漏洞站點0112021 年重大網絡空間安全事件回顧圖 1.7查看數據庫表相關信息1.5.3事件分析未授權訪問漏洞不僅造成無權限用戶可訪問操作、敏感數據泄露，還存在被勒索軟件利用進行植入、勒索攻擊的風險。1.6APT 組織正在利用 Fortinet VPN 安全

39、漏洞進行攻擊1.6.1事件回顧2021 年 4 月，FBI 和 CISA（美國網絡安全與基礎設施安全局）發出告警，聲稱有 APT組織正在利用 Fortinet FortiOS 網絡安全操作系統中的已知漏洞，影響 Fortinet SSL VPN產品8。告警中稱，攻擊者正在掃描 4443 端口、8443 端口和 10443 端口上的設備，找尋發現未修補的 Fortinet 安全設備，也正在利用 CVE-2018-13379、CVE-2019-5591 和 CVE-2020-12812 進行攻擊，通過掃描這些漏洞，以獲取政府、商業網站等的訪問權限，以及利用關鍵漏洞進行 DDoS 攻擊、勒索軟件攻擊

40、、SQL 注入攻擊、釣魚攻擊以及網站篡改等活動9。1.6.2原理簡述CVE-2018-13379 是 Fortinet FortiOS SSL VPN 中的路徑遍歷漏洞，其中 SSL VPN 網站允許未經身份驗證的攻擊者通過特定的 HTTP 請求下載系統文件；CVE-2019-5591 是 FortiOS 中默認配置漏洞，可允許在同一個子網中的未經認證的攻擊者通過模擬 LDAP 服務器來獲取敏感信息；2021 網絡空間測繪年報012CVE-2020-12812 是 Fortinet SSL VPN 中的身份驗證漏洞，用戶可通過更改用戶名中的大小寫，允許用戶登錄成功，而不提示第二因素認證（For

41、tiToken）。攻擊者一旦成功利用漏洞，就會進行橫向移動，對目標網絡進行偵察，獲取關鍵基礎設施部門網絡的訪問權限，進一步進行數據滲透、數據加密攻擊。1.6.3事件分析自 2019 年新冠疫情爆發，遠程工作成為主要的工作方式之一，對 Fortinet 等 SSL VPN需求的增加，使得 SSL VPN 漏洞受到攻擊者關注。安全研究人員提示各組織應立即修復 CVE-2018-13379、CVE-2019-5591 和 CVE-2020-1281 漏洞；定期離線備份數據；實施網絡分段；需管理員憑證才能安裝軟件；盡可能使用多因素身份驗證；禁用遠程桌面協議端口并監控遠程訪問；審核用戶賬戶權限，以最低權

42、限配置訪問控制；安裝并定期更新殺毒軟件；注重培訓員工網絡與信息安全意識。1.7云服務提供廠商 DreamHost 泄露 8 億用戶數據觀點 4： 數據庫服務暴露在互聯網上存在很大的安全風險，尤其是無身份驗證、弱口令以及存在未授權訪問漏洞的數據庫，管理員往往忽視對數據庫進行權限驗證，造成敏感信息泄露，甚至嚴重影響到組織的業務。1.7.1事件回顧2021 年 4 月 16 日，研究人員發現一個來自云服務提供商 DreamHost 的無密碼保護的數據庫，其中包含超過 8 億記錄，暴露的數據為 WordPress 賬號用戶名、顯示名稱、電子郵件和與其他賬戶關聯信息以及監控日志文件，暴露的日志文件是從

43、2018 年 3 月至今的記錄，每個文件都包含托管和安裝在 DreamHost 服務器上的 WordPress 賬戶和相關信息。1.7.2原理簡述DreamHost 此次泄露的數據總大小 86.15GB，DreamPress 管理員和用戶信息，其中包括 WordPress 登錄站點、用戶名、用戶角色 / 權限、主機 IP、時間戳、版本信息和允許公共訪問配置。0132021 年重大網絡空間安全事件回顧圖 1.8DreamHost 泄露數據在 WordPress 賬戶關聯的郵件地址中發現包括 .gov 和 .edu 在內的各種擴展域名，包括美國地質調查局、美國總務管理局、倫敦市政府等，這些郵件地址

44、被暴露可能使攻擊者發起針對性的釣魚攻擊或其他社會工程詐騙10。圖 1.9泄露 london.gov.uk 相關郵箱數據圖 1.10泄露 gsa.gov 相關郵箱數據2021 網絡空間測繪年報0141.7.3事件分析目前尚不清楚 DreamHost 數據庫公開暴露了多長時間，還有誰可以訪問這些敏感信息、DreamPress 用戶是否收到了數據泄露的通知。目前大多數網絡犯罪是為了經濟利益，社會工程學成為網絡攻擊中重要的方法之一，網絡犯罪分子可能利用數據泄露通過社會工程攻擊瞄準客戶或嘗試訪問賬戶。1.8數據分析公司 Polecat 近 30TB 業務數據泄露，因Elasticsearch 服務器未受

45、身份驗證1.8.1事件回顧英國數據分析公司 Polecat 的一個 Elasticsearch 服務器因未做任何身份驗證和加密保護措施，導致近 30T 數據遭泄露。該服務器存儲的業務記錄可追溯到 2007 年，數據包括員工用戶名和密碼、超過 65 億條推文、從各種網站和博客收到的超過 10 億條帖子以及 50 億社交平臺記錄。1.8.2原理簡述關于 Polecat 泄露數據的信息被通報的第二天，便有威脅行為者成功訪問到未受保護的Elasticsearch 服務器，同時用自動化腳本掃描開放的數據庫，找到后直接刪除，經過兩輪此類攻擊，Elasticsearch 服務器僅剩 4TB 數據。不久之后，

46、威脅行為者留下一張贖金票據，要求 Polecat 支付 0.04 比特幣（約 550 美金）作為贖金以贖回數據11。值得注意的是，這類勒索攻擊通常是自動執行的，并且針對各類開放數據庫。1.8.3事件分析Polecat 泄露事件暴露出一系列受到保護的用戶名和哈希密碼，可以看出 Polecat 具有正常的數據保護和安全意識，因此數據泄露很可能是人為錯誤導致。人為錯誤也長期是數據庫泄露的主要原因之一。同時，近幾年數據庫勒索事件頻頻發生，建議企業和用戶關閉不必要的高危端口；實行最小授權原則，使用戶的權限最小化，對關鍵敏感數據進行標記；開啟登錄審計日志，審計和管控登錄行為；每臺服務器設置唯一口令，且提高

47、復雜程度，要求用數字、特殊字符以及大小寫字母的組合；做好數據備份。0152021 年重大網絡空間安全事件回顧1.9TeamTNT 組織在 2021 年多次針對云計算目標進行攻擊觀點 5： 近年云安全事件數量呈現上升趨勢，特別是非法利用云資源挖礦和云上數據泄露。隨著各個行業上云步伐加快，云化業務及數據變得越來越重要，勢必吸引更多的攻擊者針對云上目標展開攻擊以謀取利益。同時，云上服務租戶眾多，因而相關漏洞的影響具有規模性。1.9.1事件回顧據相關報道12，TeamTNT 組織至少從 2011 年就開始活躍。他們攻擊手法多樣，近兩年來，也多采用云及云原生相關攻擊手段實施攻擊。據不完全統計，TeamT

48、NT 組織在 2021 年進行了一系列的云相關攻擊活動： 2021 年 2 月，TeamTNT 被曝投放針對 Kubernetes 集群的非法加密挖礦軟件13。 2021 年 5 月，TeamTNT 被曝針對 Kubernetes 進行蠕蟲式攻擊，至少五萬個 IP 被感染14。 2021 年 9 月，TeamTNT 被 曝 發 起 了 針 對 多 個 操 作 系 統 和 應 用 的 攻 擊 行 動“Chimaera”15。 2021 年 10 月，TeamTNT 被曝在 Docker Hub 上投放惡意鏡像16。 2021 年 11 月，TeamTNT 被曝通過存在未授權訪問漏洞的 Docke

49、r 控制服務器執行挖礦等惡意操作17。1.9.2原理簡述前述由 TeamTNT 發起的攻擊事件多使用了針對脆弱云或云原生環境的攻擊技術。這些技術主要包括：1. 利用存在未授權訪問漏洞的 Docker。攻擊者能夠利用存在未授權訪問漏洞的 Docker在目標服務器上部署惡意容器、獲得宿主機 root 權限。2. 利用存在未授權訪問漏洞的 Kubelet。攻擊者能夠利用存在未授權訪問漏洞的 Kubelet在目標服務器上部署惡意容器、獲得宿主機 root 權限。3. 竊取云訪問憑證。攻擊者在攻入主機后，通過竊取云訪問憑證，能夠進一步控制更多云資源。2021 網絡空間測繪年報0164. 竊取 Docke

50、r 憑證。攻擊者在攻入主機后，通過竊取 Docker 憑證，能夠向目標鏡像倉庫（默認為 Docker Hub）中上傳惡意鏡像。5. 竊取 Kubernetes 服務憑證。攻擊者在攻入主機后，通過竊取 Kubernetes 服務憑證，能夠獲得更高的 Kubernetes 集群權限。6. 在 Docker Hub 上投放傳惡意鏡像。攻擊者通過在 Docker Hub 部署惡意鏡像，誘使用戶或在攻入主機后拉取鏡像進行挖礦等非法活動。7. 部署特權容器。攻擊者通過部署特權容器，實現容器逃逸。1.9.3事件分析隨著容器及云原生技術逐漸成熟，云原生化會成為常態。在初始滲透階段，TeamTNT 并未利用高級

51、的攻擊手段，僅僅是目標主機的錯誤配置，就可以導致上萬臺主機失陷。上述一次次的事件必須引起我們的重視，加強云和云原生環境的基本配置核查、加固，避免給攻擊者可乘之機。1.10ChaosDB ： Azure 數據庫服務錯誤影響數千公司1.10.1事件回顧Azure Cosmos DB 是微軟從 2017 年開始提供的非關系型數據庫服務，不少世界 500 強公司都有使用。2021 年 8 月，來自 Wiz 的安全研究人員發現 Cosmos DB 數據庫存在一系列嚴重的安全漏洞， 可能導致大規模商業數據泄露， 他們將這個系列的漏洞命名為 “ChaosDB” ，并于 2021 年 8 月 26 日披露了相

52、關信息。1.10.2原理簡述從 2019 年起，微軟向 Cosmos DB 中增加了 Jupyter Notebook 的功能18，用戶可以直接在 Notebook 中可視化查詢他們的數據，并創建自定義視圖。從 2021 年 2 月起，所有Cosmos DB 實例的 Jupyter Notebook 功能自動開啟。然而，研究人員發現，Jupyter Notebook 存在錯誤配置，進而引發了一系列安全問題，攻擊者能夠利用這些安全問題控制大量數據庫。漏洞點一共有三處19，下面我們一一說明。0172021 年重大網絡空間安全事件回顧1. 內置 Jupyter Notebook 存在權限提升漏洞。正

53、常情況下，用戶在 Jupyter 終端或默認的 Python3 Notebook 中以非特權身份 cosmosuser 執行命令。然而，如果用戶執行的是 C# 語言編寫的代碼，相關代碼卻是以 root 權限執行。研究人員利用這個漏洞，向 /etc/passwd 中添加了一個新的 root 用戶，然后在 Jupter 終端中執行 su 命令切換到該用戶，實現了權限提升。提升權限后，研究人員開始探索 Jupyter Notebook所在容器。2. 不受限制的網絡訪問。在獲得 root 權限后，研究人員在容器內執行 IPtables 命令，看到以下地址和地址段被禁止訪問：由于已經具有 root 權限

54、，研究人員刪除了這些禁止規則，恢復了對這些地址的訪問。a. 169.254.169.254，對應 IMDS 元數據服務20。b. 10.0.0.0/16 子網。c. 168.63.129.16。3. 獲取到不屬于自己的證書。研究人員發現，168.63.129.16 是微軟的 WireServer21。借助該服務，研究人員獲取并破解了若干微軟證書和私鑰。在這些信息的幫助下，研究人員成功訪問了微軟的 Service Fabric 服務，從而接觸到了大量用戶數據。1.10.3事件分析本次事件的研究團隊最終獲得了四萬美元的獎勵，這也反映了相關漏洞的嚴重性。隨著云計算的發展，越來越多的重要數據會被存儲在

55、云端；與此同時，越來越多的國家和地區開始從法律、政策上重視數據安全。這意味著，云服務商必須做好云上數據安全工作，絲毫不能大意。本次事件看似復雜，一開始的突破口在 Jupyter Notebook 對 C# 的權限錯配上。由此可見，云上配置管理是云安全的重中之重。1.11小結本章我們選取了 2021 出現較為重大的安全事件進行回顧。從物聯網 SDK 的安全事件可以看出，對類似物聯網產業這種軟硬件產業結構復雜的產業，廠商不僅管理好自身安全的同時還需要關注供應鏈安全。工業控制系統領域主要是勒索軟件青睞對象，因為對于多數受害企業來說，他們無法承受系統或生產線停止服務的代價，所以攻擊者會有更大概率拿到贖

56、金。2021 網絡空間測繪年報018近年來越來越多的安全設備漏洞被披露出來，其中遠程命令執行、SQL 注入和未授權訪問較為常見?！靶鹿凇币咔榇蟊l以來，遠程辦公成為很多企業主要的工作方式之一，因此企業 VPN 產品相關漏洞受到攻擊者的關注。公司業務系統的數據庫直接暴露在互聯網上存在很大的安全風險，尤其是存在未授權訪問以及弱口令的數據庫，造成敏感信息泄露，甚至嚴重影響到企業的正常業務。公有云安全事件方面事，非法利用云資源挖礦和云上數據泄露占據主要地位。隨著各個行業上云步伐的加快，云化業務及數據變得越來越重要，這勢必吸引更多的攻擊者針對云上目標展開攻擊，以謀取利益。同時，云上服務面向多租戶，相關漏

57、洞的影響因而具有規模性?？傊?，2021 年網絡攻擊趨勢仍在持續攀升中，勒索軟件、錯誤配置、數據泄露以及供應鏈是仍是安全需要關注的重點問題。摸清企業網絡空間資產暴露情況，洞察網絡風險是建立網絡安全防御體系的第一步，也是最重要的一步。因此，第二章將會對網絡空間關鍵領域暴露資產情況進行分析。02網絡空間重點領域暴露資產分析2021 網絡空間測繪年報020通過對 2021 年物聯網、數據庫、工業控制系統、公有云、安全設備領域的重點安全事件進行梳理和解讀。不難發現，目前對互聯網上資產的發起攻擊趨勢持續攀升，所以本章將介紹上述關鍵領域以及智慧平臺、蜜罐資產的國內全網的暴露情況。2.1網絡空間資產測繪簡介測

58、繪最早來源于地理空間地圖的繪制，主要研究測定和推算地面幾何位置、地球形狀及地球重力場，據此測量地球表面自然物體和人工設施的幾何分布，編制各種比例尺地圖的理論和技術的學科（維基百科）。網絡空間測繪和地理信息測繪的技術路線類似，“測”是對網絡空間內一切可獲得數據的測量機制的建立，偏向于實現掃描和探測的工程問題；“繪”則是根據對網絡空間測量數據分析和關聯，包括地址地理、域名、風險脆弱性等信息的關聯，目的是繪制出多維的網絡空間地圖，傾向于對數據的分析和研究。相比于地理信息測繪，網絡空間測繪存在一些特殊之處。首先從數據維度來講，地理空間的測繪數據是三維的（經度、緯度、海拔）且連續，而網絡空間中將 IP

59、地址轉化為長整形后，地址數據是一維的，并且每個點都是獨立存在并不連續。此外，二者還有一個最大的不同之處就是變化頻率，地理信息測繪數據一般變化較慢，而且因為是連續的，所以變化趨勢相對好預測，比如珠穆朗瑪峰的每年都會以一定的高度在增長，但正常情況下一般不會突然升高或下降幾十米。而網絡空間測繪數據則不同，絕大多數的 IP 地址處于變化是常態。比如存活情況、開放服務、ASN、地理信息、地址所有者等等維度都是處在動態變化中，并且因為網絡地址都是離散分布的個體，變化趨勢也就更難預測。所以本報告提及的網絡空間資產測繪結果，都是基于實時掃描一輪的數據展開的分析，以保證資產測繪的準確性。2.2物聯網資產暴露情況

60、分析觀察 1： 2021 國內暴露的物聯網資產數量相較于去年增加了 18 萬個，暴露服務數量的前三，依次是攝像頭約 104 萬個，路由器約 52 萬個，VoIP 電話約 2 萬個。暴露數量最多的地區是臺灣，其次是香港，最后是長三角和珠三角地區。2016 年 Mirai 蠕蟲大規模爆發感染大量的物聯網設備，弱終端聯網設備的安全得到了廣泛的重視。從 2017 年開始，我們持續對互聯網上的物聯網資產暴露資產進行梳理，我們從第一章的安全事件，可以看出大量互聯網上暴露的物聯網設備和服務，目前仍是攻擊者利用的目標。在物聯網攻擊事件頻發的背景下，持續的對這些資產進行分析和梳理是有必要的。021網絡空間重點領

61、域暴露資產分析2.2.1設備類型分布情況為保證資產存活的準確性，我們對 2021 年 11 月的國內全網段測繪一個輪次作為今年的資產暴露情況的展示數據（下同）。經過統計發現，國內有 201 萬個物聯網資產服務暴露在互聯網上，相較于 2020 物聯網安全年報22統計的數量共增加了 18 萬，增長一方面是因為物聯網資產暴露本身的增長，另一方面也與我們對設備指紋擴充有關。具體的暴露設備類型分布情況如圖 2.1 所示。其中，攝像頭、路由器、VoIP 電話數量分別位列前三，這個排序也和往年一致。暴露數量（個）設備類型圖 2.1國內暴露物聯網資產類型分布情況2.2.2廠商分布情況暴露物聯網資產的廠商分布情

62、況如圖 2.2 所示，從圖可知，暴露數量最多的廠商是 H1，第二位是華碩，主要暴露的資產是其生產的路由器相關產品，第三位是思科，主要暴露資產是 VoIP 電話和路由器相關產品。2021 網絡空間測繪年報022暴露數量（個）廠商名稱圖 2.2國內暴露物聯網資產廠商分布情況2.2.3端口分布情況國內暴露物聯網資產端口分布情況如下圖 2.3 所示，從圖中可知，暴露最多的是視頻流RTSP 協議的默認端口 554、其次 Web 主流端口 443 和 80、第三是語音流協議 SIP 默認端口 5060。暴露數量（個）端口圖 2.3國內暴露物聯網資產端口分布情況023網絡空間重點領域暴露資產分析2.2.4地

63、理位置分布情況物聯網資產的地域分布情況如圖 2.4 所示，數量最多的是臺灣和香港，這主要是因為這兩個地區的 IP 地址數量分配較多，很多物聯網設備直接使用互聯網 IP 進行部署，所以使得大量的物聯網設備和服務暴露，接下來分布數量比較集中是長三角和珠三角地區的沿海城市，可見物聯網資產分布則與經濟發展程度和人口數量正相關，這也和我們以往發布的年報保持一致。暴露數量（個）地區名稱圖 2.4國內暴露物聯網資產地區分布情況2.2.5小結 本節介紹國內物聯網資產的暴露情況，物聯網是數字化時代的重要基礎設施，隨著萬物互聯的智能場景的落地，暴露趨勢將會持續增加，需要提高對物聯網安全建設的關注度，所以未來我們將

64、繼續梳理物聯網資產的暴露情況。2.3公有云資產暴露情況分析觀點 6： 公有云市場蓬勃發展的同時，其安全風險突出，安全事件層出不窮。主流云廠商，如阿里云、騰訊云、華為云等，其上業務絕大部分的安全風險是因用戶錯誤配置造成的，因而對云上資產測繪十分重要。相比傳統的本地硬件資源，云服務具備為計算、存儲、網絡等資源按需定制的優勢，可以大大節省業務的維護和擴容成本。由于云服務的種種優勢，政企領域已經逐步將業務系統2021 網絡空間測繪年報024從本地向云端遷移。而相比私有云，公有云具備成本低、免維護、擴展性好等優勢，因此公有云市場也在近幾年內走向繁榮。到 2021 年上半年，國內公有云服務 (IaaS+P

65、aaS+SaaS) 市場規模已達到 123.1 億美元；在市場份額 (IaaS+PaaS) 上，阿里云最多，達到 37.9%；騰訊云其次，占比 11.2%；華為云第三，達到 10.9%23。與此同時，云上安全風險也一直存在，安全事件層出不窮。風險態勢評估的前提是資產梳理，對云上資產服務的宏觀把握十分重要。因此，本節將對阿里云、騰訊云、華為云三大廠商在國內的活躍主機、開放端口以及對外服務進行測繪分析。2.3.1阿里云資產統計分析目前，阿里云國內的活躍主機主要集中在浙江、北京、廣東、上海等地。阿里云活躍主機地理位置分布如圖 2.5 所示。圖 2.5國內阿里云主機地理分布情況阿里巴巴總部位于浙江杭州

66、，阿里云的活躍主機數量在浙江也是最多的。此外，阿里云主機大部分活躍在北上廣等超一線城市。另外，2018 年阿里巴巴開始在山東建立全國最大的阿里云創新中心24，因此山東也活躍著一定數量的阿里云主機。阿里云開放數量前十的端口分別為 80 端口、22 端口、443 端口、21 端口、3306 端口、3389 端口、8888 端口、8080 端口、6379 端口以及 8081 端口。阿里云前十開放端口統計信息如圖 2.6 所示。025網絡空間重點領域暴露資產分析端口暴露數量（個）圖 2.6阿里云開放數量前十的端口情況具體地，我們對約 246 萬個阿里云服務進行了統計分析。其中數量最多的為 Nginx

67、服務，其次分別為 Apache 服務、OpenSSH 服務、Tengine 服務、IIS 服務器以及阿里云的 OSS 彈性存儲服務。此外 Jetty 服務器、Kong 服務網關、Elasticsearch 存儲服務等也以一定數量運行在阿里云上。阿里云服務統計信息如圖 2.7 所示。服務數量（個）服務名稱圖 2.7阿里云開放數量前六的服務情況2.3.2騰訊云資產統計分析目前，騰訊云國內的活躍主機主要集中在上海、北京、廣東、四川等地。騰訊云活躍主機地理位置分布如圖 2.8 所示。2021 網絡空間測繪年報026圖 2.8國內騰訊云主機地理分布情況除北上廣等一線城市外，騰訊云活躍主機大部分分布在四川

68、省。主要原因是騰訊云為我國西南區域提供云服務的數據中心設置在四川成都25。騰訊云開放數量前十的端口分別為3389端口、 135端口、 139端口、 80端口、 22端口、 443端口、3306 端口、25 端口、110 端口以及 8888 端口。騰訊云前十開放端口統計信息如圖 2.9 所示。端口暴露數量（個）圖 2.9騰訊云開放數量前十的端口情況我們對約 33 萬個騰訊云服務進行了統計分析。其中數量最多的為 Nginx 服務，其次 分 別 為 Apache 服 務、OpenSSH 服 務、IAS(Immediate Access Storage) 存 儲 服 務、Openresty服務器以及T

69、engine服務。 此外Tornado服務器、 騰訊云對象存儲 （TencentCOS） 、rainloop 郵件服務器等也以一定數量運行在騰訊云上。騰訊云服務統計信息如圖 2.10 所示。027網絡空間重點領域暴露資產分析服務數量（個）服務名稱圖 2.10騰訊云開放數量前六的服務情況2.3.3華為云資產統計分析目前，華為云國內的活躍主機主要集中在北京、廣東、上海、貴州等地。華為云活躍主機地理位置分布如圖 2.11 所示。圖 2.11華為云主機地理信息分布圖華為云活躍主機除北上廣外主要集中在貴州和香港。2021 年九月華為在貴州新成立的數據中心26在測繪數據中是所有體現的。而對于香港，華為云則

70、是為擴展海外業務的企業提供了云服務節點27。華為云開放數量前十的端口分別為 22 端口、80 端口、443 端口、3389 端口、3306 端口、8080端口、 8888端口、 135端口、 21端口以及25端口。 華為云前十開放端口統計信息如圖2.12所示。2021 網絡空間測繪年報028端口暴露數量（個）圖 2.12華為云開放數量前十的端口情況我們對約 23 萬個華為云服務進行了統計分析。其中數量最多的為 Nginx 服務，其次分別為 Apache 服務、云防火墻 CloudWAF、OpenSSH 服務、負載均衡器 ELB(Elastic Load Balance) 以及 IIS 服務器。

71、此外 OBS 存儲服務、華為云接入管理系統 FusionAccess 和微服務管理工具 Istio 等也以一定數量運行在華為云上。華為云服務統計信息如圖 2.13 所示。服務數量（個）服務名稱圖 2.13華為云開放數量前六的服務情況2.3.4小結從主機活躍維度來看，目前國內阿里云存活主機最多、騰訊云次之、華為云第三。主機活躍的數量與云廠商所占市場份額有著較強的關聯關系。029網絡空間重點領域暴露資產分析從端口開放維度來看，三大云廠商開放較多的端口為 80、22、443、3389、135、3306、8888 等端口。由此推測公有云上運行的大部分是基于 HTTP/HTTPS 協議的 Web 服務以

72、及遠程連接服務。最后，服務維度的統計信息一定程度上佐證我們從端口信息中獲得的推論。三大公有云廠商上運行最多的為基于 Nginx、Apache、Tengine、IIS 等框架的 Web 服務以及用于遠程連接的 OpenSSH 服務。此外，阿里云的 OSS 對象存儲服務、騰訊云的 COS 對象存儲服務、華為云的 OBS 存儲桶也以一定數量運行在公有云網絡空間中。與阿里云、騰訊云不同的是，華為云上除了包含大量租戶部署的 Web 服務外，還部署了大量的云防火墻、負載均衡器等功能性服務。2.4工控資產暴露情況分析觀察 2： 國內工控資產暴露數量與工業發展水平成正相關，暴露較多的設備主要集中在我國東北老工

73、業基地和東南沿海工業發達地區，并且工控資產會隨業務和環境的變化呈現動態變化特征。暴露的工控資產使用最多的工控協議是 Modbus，占總數的49.2%。這些資產所屬的廠商以國際著名公司為主，主要包括摩莎、施耐德電氣和西門子等。隨著工廠智能化的提升，企業內部的工業網絡、管理網絡與互聯網逐步打通，導致大量的工控資產在互聯網暴露，這將更易于攻擊者對工控系統發起直接攻擊，給企業帶來嚴重的安全隱患。因此，本節重點對國內的工控資產暴露情況進行研究分析，為后續的安全防護工作提供數據支撐。2.4.1地理分布國內各省市工控資產暴露情況如圖 2.14 所示，臺灣省位居首位，暴露數量占總數約62.9%，達到一半以上，

74、較護航新征程 - 筑牢工業互聯網數字安全屏障28中臺灣省的工控資產暴露數量無明顯的變化。接下來工控資產暴露較多的省市主要集中在我國東北和東南沿海地區，黑龍江省和吉林省作為我國老工業基地，工控資產暴露數量高于其他省市。值得注意的是，較護航新征程 - 筑牢工業互聯網數字安全屏障28中，各省市暴露的工控資產數量都存在上下波動，這主要是由于 IP 會隨業務和環境變化而呈現出動態變化的特征，導致暴露的工控資產也會發生波動。2021 網絡空間測繪年報030暴露數量（個）省份地區圖 2.14工控資產暴露量 TOP10 省市2.4.2協議分布在工控協議方面，依據工業環境，以常用的十個協議 Modbus、MOX

75、A-NPORT、S7、UMAS、ENIP、DNP3、ADS、OMRON、BACNET 和 MELSECQ 進行統計分析，分析結果如圖 2.15 所示，發現使用 Modbus 協議的工控資產暴露量最多，占總數的 49.2%，且數量遠遠領先于排名第二位的 MOXA-NPORT。Modbus 是一種串行通信協議，是施耐德于 1979 年為使用可編程邏輯控制器（PLC）通信而發表，目前已經成為工業領域通信協議的業界標準，用于 PLC、DCS 和智能儀表等工業設備，也是國內工業電子設備之間最常用的通信協議，因此暴露數量最多。其次是 MOXA-NPORT 協議和 S7 協議。工控協議暴露數量（個）圖 2.

76、15工控協議分布031網絡空間重點領域暴露資產分析2.4.3廠商分布國內暴露的工控資產廠商情況如圖 2.16 所示，從圖中可以看出，暴露的工控資產廠商主要以國際著名的工控廠商為主，包括了摩莎、施耐德電氣和西門子等。最多的是摩莎，占比為 23.1%，其次是施耐德電氣和西門子，占比分別為 10.9%、7.1%，三家企業暴露的工控資產占總數的 41.1%。廠商暴露數量（個）圖 2.16廠商分布2.4.4小結通過對全國工控資產最新一輪的監測分析發現， 國內很多地區存在工控資產暴露的情況，尤其是工業大省。工業領域的數據價值高、社會影響較大，使得近年來針對工控系統的勒索事件頻發。而這些暴露在網絡上的工控資

77、產無疑會成為攻擊者的入口，使得攻擊者探測并鎖定攻擊目標變得更加容易，加劇了工控系統的安全風險。2.5安全設備暴露情況分析觀察 3： 2021年國內暴露的安全設備數量共計146,459個， 其中， 暴露數量最多的是防火墻、VPN 和 WAF，并且以國外廠商的設備居多。這些設備主要集中在我國臺灣、香港、北京以及長三角和珠三角等沿海地區。 出口類型方面， 企業專線和數據中心占比較高，分別占 49.21% 和 43.43%。2021 網絡空間測繪年報032安全設備作為網絡基礎設施，承擔著維護網絡安全的重要責任。但是近年來很多廠商的安全設備被曝出存在安全漏洞，如果不及時修復，將會成為攻擊者的跳板，對網絡

78、發起進一步的滲透。因此，有必要對暴露在互聯網上的安全設備進行研究分析，實時掌握這些資產的安全情況，避免成為攻擊者入侵內網的入口。2.5.1類型分布經統計，2021 年國內有 146,459 個安全設備暴露在互聯網上，類型分布如圖 2.17 所示。防火墻是使用范圍最廣泛的安全設備，作為網絡安全中的第一道防線，用于保護本地網絡免受不可預測、潛在的入侵，同時暴露數量也是最多的，占比高達 41.0%，其次是 VPN 和WAF，分別占比 31.4% 和 26.1%。設備類型暴露數量（個）圖 2.17安全設備類型2.5.2廠商分布暴露在互聯網上的安全設備廠商情況如圖 2.18 所示，暴露數量最多的是網絡安

79、全設備提供商 Fortinet 的產品，主要是防火墻和 VPN 等。其次是 S1 廠商和 T 廠商的產品，主要包括防火墻和 WAF 等。033網絡空間重點領域暴露資產分析廠商暴露數量（個）圖 2.18廠商分布2.5.3地理分布暴露在互聯網上的安全設備數量前三的是臺灣、香港和廣東，占比分別為 20.6%、14.6%和 10.6%，占總暴露數量的 45.8%。其次是分布在長三角和珠三角沿海地區的一些省市，暴露的安全設備數量也比較多，如圖 2.19 所示。暴露數量（個）省份地區圖 2.19地理分布2021 網絡空間測繪年報0342.5.4出口類型分布暴露的安全設備出口類型情況如圖 2.20 所示，企

80、業專線和數據中心占比較高，分別占49.21% 和 43.43%。在全球化成為大趨勢的背景下，越來越多的企業構建專線網絡、建立數據中心，暴露的資產給企業的專線網絡和數據中心帶來安全風險。圖 2.20出口類型分布2.5.5小結安全設備作為保障網絡安全的基礎設施，大量部署在互聯網中。其中，防火墻、VPN 等作為保護用戶內部網絡的重要安全屏障，更是必不可少的，監測發現這些設備大量接入互聯網。它們作為重要的網絡節點，一旦被攻擊者利用，后果將不堪設想，因此，安全設備自身的安全風險不容忽視。2.6數據庫暴露情況分析觀察 4： 2021 年全國暴露在互聯網上的常用數據庫資產已超過 50 萬個，其中，MySQL

81、 暴露數量突破 47 萬個，占比高達 92.9%, 并且仍有大量用戶在使用已經停止更新的數據庫版本，存在巨大的安全隱患。地理分布上，由于越來越多的企業將業務拓展到了國外，選擇將服務部署在香港，導致香港成為國內數據庫暴露數量最多的地區，接下來是北京和東南沿海經濟發達地區。035網絡空間重點領域暴露資產分析數據庫作為網絡空間數據承載的基礎設施，存儲著網絡空間活動過程中的各類數據，涉及個人隱私和國家安全，這些數據被泄露將會造成嚴重的損失和影響。隨著網絡空間數據規模的擴大，數據庫發生數據泄露的風險逐年增加，在線數據庫泄露事件屢創新高。泄露的原因之一是直接接入互聯網的數據庫存在安全性差的問題，這些暴露在

82、互聯網上的數據庫很容易被攻擊者發現，增加網絡攻擊面。本節將對全網數據庫資產暴露情況進行分析，統計暴露在互聯網的數據庫數量、類型、地理分布，以及結合數據庫版本觀察已經停更但仍在被使用的數據庫情況。2.6.1類型分布 國內暴露在互聯網上的數據庫資產類型分布如圖 2.21 所示，MySQL 數據庫暴露在互聯網的數量最多，高達 477,256 個，遠遠超過其他類型數據庫暴露數量總和，這主要是由于 MySQL 具有開源、高效和便捷的特性，被企業和個人廣泛使用。其次是 Oracle 和Elasticsearch 數據庫，暴露的數量分別為 21,361 個和 9,113 個。數據庫類型暴露數量（個）圖 2.

83、21數據庫資產類型分布2.6.2地理分布國內各省市暴露在互聯網的數據庫資產情況如圖 2.22 所示，香港特別行政區排名第一，暴露的數據庫數量占總數的 48.6%，其次是北京市（11.7%）和浙江?。?.6%）暴露在互聯網的數據庫資產較多。從整體分布來看，東部沿海地區暴露在互聯網的數據庫數量高于內陸城市。2021 網絡空間測繪年報036暴露數量（個）省份地區圖 2.22地理分布 TOP10 省市2.6.3版本分布1. MySQL通過分析發現， 仍有大量用戶在使用已經停止更新的數據庫版本， 這無疑會帶來安全風險，更容易遭受黑客的攻擊。暴露在互聯網的 MySQL 數據庫中，大約 45.6% 的官方已

84、停止更新的 MySQL 仍在被使用，數量 TOP3 的分別是版本 5.6（41,905 個）和版本 5.5（32,497 個），版本 5.1（10,750 個）如圖 2.23 所示。暴露數量（個）數據庫版本號圖 2.23MySQL 數據庫版本分布037網絡空間重點領域暴露資產分析表 2.1 為 MySQL 數據庫版本的發布時間和停止更新時間，從表中可以看出，版本 5.1、5.5 和 5.6 都已經停止更新，版本 5.1 停止更新的時間更是長達 8 年，但是仍在被大量用戶使用。表 2.1MySQL 數據版本發布和停更時間數據庫版本發布時間 停更時間MySQL 5.12008/122013/12M

85、ySQL 5.52010/122018/12MySQL 5.62013/022021/02MySQL 5.72015/102023/10MySQL 8.02018/042026/042. Elasticsearch暴露在互聯網的 Elasticsearch 數據庫中，暴露數量 TOP3 的分別是：版本 7.6（991 個）、版本 7.4（704 個）和版本 6.8（630 個），其中版本 7.6 和 7.4 是官方已經停止更新版本，如圖 2.24 所示。暴露數量（個）數據庫版本號圖 2.24暴露 Elasticsearch 數據庫版本號分布 TOP10表 2.2 展示 Elasticsearc

86、h 數據庫暴露數量最多的版本號和對應停止更新時間，發現在Elasticsearch 版本 TOP10 中，仍有 67.9% 官方已停止更新的 Elasticsearch 版本在被使用，例如版本 5.6 暴露數量 530 個，官方已停止更新將近兩年。2021 網絡空間測繪年報038表 2.2Elasticsearch 數據庫版本停更時間數據庫版本停更時間Elasticsearch 5.62019/03Elasticsearch 6.42020/02Elasticsearch 6.82022/02Elasticsearch 7.12020/11Elasticsearch 7.42021/04Ela

87、sticsearch 7.62021/08Elasticsearch 7.92022/02Elasticsearch 7.122022/09Elasticsearch 7.132022/12Elasticsearch 7.142023/022.6.4小結基于全網空間掃描結果，發現大量數據庫暴露在互聯網上，并且仍有大量用戶在使用已經停止更新的數據庫版本，這些數據庫存在嚴重的安全風險，一旦被黑客攻陷，將導致用戶的數據和個人隱私泄露，帶來不可估量的危害。因此，除非特別需求，否則企業應及時關閉這些暴露在互聯網上的數據庫服務，避免被攻擊者入侵和攻擊。2.7智慧平臺資產暴露情況分析觀察 5： 我們發現全國

88、暴露在互聯網上的智慧平臺資產已超過3000個， 包括校園、 水利、 醫療、交通、養老、物流、車聯網、農業相關領域，其中智慧校園平臺數量最多。隨著數字化轉型的穩步推行進，未來將會有更多領域和數量的智慧服務平臺出現在互聯網上，安全和數字化需要同步建設。2.7.1介紹智慧平臺是指利用各種信息技術或創新意念，集成城市與農村的組成系統和服務，以提升資源運用的效率，優化管理和服務，以及改善民眾生活質量。智慧平臺的應用體系為智慧物流體系、 智慧制造體系、 智慧貿易體系、 智慧能源應用體系、 智慧公共服務、 智慧管理體系、智慧交通體系、智慧健康保障體系、智慧安居服務體系、智慧文化服務體系?；趹皿w系039網

89、絡空間重點領域暴露資產分析與資產詳情，本節重點關注以下領域：智慧校園、智慧水利、智慧醫療、智慧養老、智慧物流、智慧交通、智慧農業、車聯網。2.7.2類型分布情況分析國內各類型的智慧平臺暴露資產類型分布情況如圖 2.25 所示。如智慧校園，該智慧領域的暴露資產數量共計 975 個。通過觀察統計數據，智慧校園、智慧水利、智慧醫療領域的暴露資產較多，而智慧農業和車聯網領域暴露資產相對較少。隨著智慧平臺數字化技術的應用，各類資產也將呈現增長的趨勢，這也意味著智慧平臺的風險暴露面會隨之增長，并更趨復雜化，再加上網絡攻擊技術的持續演進，智慧平臺的網絡安全將面臨更加嚴重的壓力。暴露數量（個）智慧平臺類型圖

90、2.25智慧平臺暴露資產類型分布2.7.3地理位置分布情況分析各類型的智慧平臺暴露資產地理位置分布情況如圖 2.26 所示。其中北京市、廣東省、浙江省分別有 407 個、279 個、234 個暴露資產，位于前三位。人口相對較多的山東省、四川省、河南省分別有 94 個、75 個、43 個暴露資產，同樣位于前列。2020 年 GDP 總值位于國內前10 的江蘇省、浙江省、湖北省、上海市也均位于前列。2021 網絡空間測繪年報040地區名稱暴露數量（個）圖 2.26智慧平臺暴露資產地理位置分布2.7.4小結新型智慧平臺極大地依賴物聯網、云計算、 大數據、人工智能等新技術的使用，安全問題比數字城市時代

91、更為嚴峻，需要建立健全信息網絡安全保障機制與技術體系，保證新型智慧平臺的安全穩定運行。2.8蜜罐資產暴露情況分析蜜罐作為一種主動防御的網絡系統，本身也屬于安全設備的一個種類，但進行網絡空間測繪時，蜜罐混雜在大量的資源之中，模擬其他資源設備，影響測繪結果的準確度。此外，蜜罐也會混淆資產指紋，影響資產識別的準確率。因此，對蜜罐的識別是網絡空間測繪的一個重要環節。2.8.1蜜罐類型特征分析根據所模擬的服務類型，蜜罐可以分為 Web 蜜罐，數據庫蜜罐，服務器蜜罐，工控設備蜜罐以及混合蜜罐五種類型。我們調研了 GitHub 之中出現的不同類開源蜜罐以及觀察數據得到的非開源蜜罐，通過測繪我們發現 2964

92、 個國內發現國內存活蜜罐服務，涉及到的蜜罐類型以及分布情況如圖所示。041網絡空間重點領域暴露資產分析蜜罐類型暴露數量（個）圖 2.27部分常見蜜罐暴露情況這些蜜罐的指紋主要包含在服務器類型（Server），網站標題 (Title)，靜態文件鏈接以及網頁 HTML 之中。蜜罐為了模仿更多的服務類型，Header 部分會有多個 Server 字段，比如 GPON 蜜罐的請求頭的“Server”字段之中含有 9 個服務器類型。分布在網頁標題之中的蜜罐指紋往往無法唯一確定是否為某種蜜罐，蜜罐的部署者會更改其中的部分描述，因此需要結合其他指紋進行判斷。分布在靜態文件鏈接之中指紋能夠較為準確地確定蜜罐的

93、類型，大多數的部署者都不會改變蜜罐的文件結構，因此特征文件的 URI 具有非常強的標識性。網頁主體之中包含的指紋通常為隱藏的 input 組件，固定文本描述或者為含有大量設備指紋信息的注釋段落。2.8.2蜜罐混淆資產情況分析我們通過對蜜罐資源的指紋進行分析來探討蜜罐都偽裝了哪些服務。雖然大多數蜜罐都布置在公有云上面，但是它們模擬的設備卻是多種多樣的，包括攝像頭、路由器、防火墻、API 網關、打印機等。蜜罐通過在服務器類型，標題或者網頁主體中增加特定設備的指紋來模擬相關設備，如 GPON 蜜罐的標題是“GPON Home Gateway”，該類蜜罐偽裝成為GPON路由器的管理界面， 引誘攻擊者對

94、其發起攻擊。 而Gloss蜜罐則偽裝成為一個博客界面，擁有“Blog”標題以及一個可以用于評價的輸入框。我們發現大多數的蜜罐都會偽裝成為登錄界面，因為登陸界面往往是一個 Web 系統的入口，實現簡單，不涉及具體的業務信息且無需前置驗證信息。此外登陸界面也涉及許多常見的攻擊方式，如弱口令爆破等。通過對比蜜2021 網絡空間測繪年報042罐登錄頁面與正常登陸頁面之間的差異，蜜罐登錄頁面具有如下特點：首先，蜜罐登陸頁面之中往往含有隱藏的 input 模塊；其次，蜜罐頁面的表單提交請求的地址通常是發起請求的網址；蜜罐頁面使用瀏覽器打開的時候往往會出現組件缺失或錯位的情況。此外，有部分蜜罐會將多種不同設

95、備的指紋信息包含在自身的偽裝網頁之中，以此吸引更多針對自身的攻擊行為。2.8.3蜜罐地址出口類型分布我們對不同類型蜜罐的出口類型進行統計，其結果在圖 2.28 之中詳細闡述。從該圖可以看出，有 75.70% 的蜜罐部署在數據中心，4.46% 的蜜罐部署在企業專線，0.79% 的蜜罐部署在學校網絡，0.52% 的蜜罐部署在其他地址類型，企業專線種部署數目最多的三類蜜罐從高到低為 Django Admin Honeypot，Shockpot 和 Cowrie。蜜罐的部署地址出口類型也是識別方法之一。圖 2.28蜜罐出口類型分布統計2.8.4小結在本節，我們對互聯網之中的蜜罐種類、特征、混淆情況進行

96、了分析。首先利用調研設計了相關的指紋， 識別出10種開源蜜罐與4種非開源蜜罐。 這些蜜罐模擬了登陸頁面， 路由器，攝像頭，打印機等多種設備類型。它們的開放端口數目通常遠超正常設備，以此吸引更多的攻擊者。此外，大多數蜜罐都會部署在公有云，這是識別蜜罐的特征之一。對蜜罐服務的有效識別，可以增加資產識別的準確率，需要持續關注。043網絡空間重點領域暴露資產分析2.9小結本章介紹了國內的物聯網、公有云、數據庫、工業控制系統、安全設備、智慧平臺以及蜜罐資產的暴露情況，我們需要關注的領域肯定不僅僅這些，其他的領域資產我們會持續關注。網絡安全風險評估始于資產識別，互聯網上資產暴露面的梳理是第一步，也是最重要

97、的一步。第三章將繼續介紹網絡空間中的一些專題風險分析。03網絡空間風險專題分析045網絡空間風險專題分析本章介紹網絡空間一些領域資產風險的專題研究。首先對物聯網的漏洞披露和利用情況進行分析，然后介紹工業互聯網漏洞趨勢和風險分析，最后對公有云上的云原生組件、協議以及應用的風險分析。3.1物聯網風險分析觀點 7： 相比 2020 年，2021 年 NVD 公布的物聯網相關漏洞沒有明顯的變化趨勢，相關漏洞仍具有攻擊復雜度低、危害評級高的特點。而知名漏洞利用平臺 Exploit-DB 近 5年收錄的漏洞利用總量及物聯網相關漏洞利用數量均呈下降趨勢，但該平臺收錄的漏洞以命令執行和信息泄露為主，危害程度高

98、，各方仍應提高警惕。本節將對物聯網脆弱性進行分析。首先，我們分析了物聯網相關漏洞的各個年度的披露情況；之后，我們從公開站點獲取、蜜網捕獲和現網數據三個角度分別對物聯網漏洞利用情況進行了分析，以期使讀者對物聯網漏洞及其利用情況有一個全面的了解。3.1.1物聯網漏洞披露統計為觀察歷年披露的物聯網相關漏洞數量變化趨勢，我們統計了 2002 年至 2021 年 10 月，NVD29平臺公布的漏洞總量以及物聯網漏洞數量變化情況，如圖 3.1 所示?？梢钥闯雎┒纯偭砍室欢ǖ纳仙厔?，但針對物聯網設備的漏洞，沒有明顯的增長趨勢，維持在每年 2000個漏洞的范圍之內（2021 年由于僅統計了前 10 個月的數

99、據，故數量偏少）。另外從物聯網漏洞占漏洞總量的百分比來看，除 2006 年和 2007 年外，物聯網漏洞數量通常占漏洞總量的10%-15%，沒有明顯變化趨勢。圖 3.12002 年至 2021 年（10 月）NVD 漏洞數量變化趨勢2021 網絡空間測繪年報0462020 年 1 月至 11 月，NVD 平臺共披露漏洞 12805 個，其中物聯網相關漏洞 1541 個，占比 12.03%。2019 年同期，NVD 平臺共披露漏洞 7821 個，其中物聯網相關漏洞 1105 個，占比 14.13%。截至 2020 年 11 月底，NVD 平臺上公布的物聯網相關漏洞數量超過去年同期，有望創歷史新高

100、。從攻擊復雜度的角度分析，2021 年 1 月至 10 月及 2020 年同期，NVD 披露的物聯網相關漏洞攻擊復雜度分布如圖 3.2 所示。與 2020 年相同的攻擊復雜度占比，說明 2021 年 NVD收錄的物聯網相關的漏洞仍具有利用難度低的特點，沒有明顯變化。 圖 3.22021 及 2020 年 NVD 物聯網相關漏洞攻擊復雜度（左為 2021 年）從漏洞 CVSS 3 評級的角度分析，2021 年 1 月至 10 月及 2020 年同期，NVD 公布的物聯網相關漏洞評級分布如圖3.3 所示。 與2020年相比， 2021年漏洞評級沒有明顯的變化趨勢，各類占比分別為嚴重 13%，高危占

101、比 48%，中危占比 38%，低危占比 1%。 圖 3.32021 及 2020 年 NVD 物聯網相關漏洞 CVSS 3 評級分布（左為 2021 年）047網絡空間風險專題分析最后，從各個維度來看，NVD 收錄的物聯網相關漏洞 2021 年與 2020 年相比沒有明顯變化趨勢，仍具有攻擊復雜度低，危害評級高的特點。對攻擊者而言攻擊成本低，收益高，極有可能被用作感染僵尸主機使用；而對防守者而言，則面臨巨大的挑戰。3.1.2物聯網漏洞的利用情況為觀察歷年披露的物聯網利用數量變化趨勢，我們統計了 2017 年至 2021 年 10 月，Exploit-DB 平臺30公布的漏洞利用總量以及物聯網漏

102、洞數量變化情況，如圖 3.4 所示?？梢钥闯雎┒纯偭考拔锫摼W漏洞利用數量均呈一定的下降趨勢，但針對物聯網相關漏洞利用占比，沒有明顯的變化趨勢，維持在 10%-16% 的范圍內波動。圖 3.4近五年 Exploit-DB 收錄漏洞利用變化情況2021 年 1 月至 10 月，知名漏洞利用平臺 Exploit-DB 共披露了物聯網相關漏洞 113 個，2021 及 2020 年 Exploit-DB 披露的物聯網相關漏洞利用類型分布如圖 3.5 所示。與 2020 年相比，占比較大的仍然為命令執行和信息泄露，值得注意的是，2021 年命令執行類的漏洞利用占比有一定提升?？梢钥闯?Exploit-D

103、B 收錄的漏洞利用以命令執行、信息泄露等危險程度較高的漏洞利用為主，各方應提高警惕。2021 網絡空間測繪年報048 圖 3.52021 年及 2020 年 Exploit-DB 物聯網相關漏洞類型分布（左為 2021 年）從各廠商被收錄的漏洞利用來看，2021 及 2020 年 Exploit-DB 收錄所有廠商漏洞利用占比如圖 3.6 所示。Exploit-DB 收錄各廠商的漏洞利用沒有明顯的偏好，2021 相比 2020 廠商存在一定的變化。但值得注意的是，WordPress 無論 2021 年還是 2020 年，占比均為最高，且 2021 年有較大的提高。 圖 3.62021 及 20

104、20 年 Exploit-DB 收錄所有廠商漏洞利用占比（左為 2021 年）從 Exploit-DB 收錄各物聯網廠商漏洞利用的占比情況來看，Exploit-DB 對廠商沒有特別偏好的現象更為明顯， 2021及2020年Exploit-DB收錄的物聯網廠商漏洞利用占比如圖3.7 所示。2021 年出現的物聯網廠商與 2020 年幾乎完全不一樣，這也說明了物聯網廠商眾多，物聯網設備存在的漏洞利用碎片化嚴重。049網絡空間風險專題分析 圖 3.72021 及 2020 年 Exploit-DB 收錄物聯網廠商漏洞利用占比（左為 2021 年）事實上，不僅安全廠商關注 Exploit-DB 新公開

105、的物聯網漏洞，攻擊者同樣非常關注新出現的漏洞利用，且對部分漏洞利用跟進速度非?？?。2021 及 2020 年 Exploit-DB 收錄的物聯網相關漏洞利用命中情況如圖 3.8 所示。2021 年 1 月至 10 月，在 Exploit-DB 披露的 82 個物聯網相關漏洞利用中，有 25 個被綠盟威脅捕獲系統捕獲，占比約 30%。 圖 3.82021 及 2020 年 Exploit-DB 物聯網相關漏洞利用命中情況（左為 2021 年）2021 年，Exploit-DB 漏洞披露日期、首次捕獲日期以及間隔天數如表 3.1 所示。從Exploit-DB 披露漏洞利用到被攻擊者首次利用，最短僅

106、需 1 天，最長為 221 天。值得注意的是，2021 年出現了較多的攻擊首次捕獲日期早于 Exploit-DB 相關漏洞利用收錄日期的情況，其中最長達 284 天，去年同期僅有個別漏洞利用首次捕獲日期早于 Exploit-DB 的收錄日期。說明 Exploit-DB 的收錄已經出現一定的遲滯，研究人員需要擴展信息來源以應對日益復雜的攻擊態勢，僅依賴單一來源在與攻擊方對抗的過程中將處于落后。2021 網絡空間測繪年報050表 3.1攻擊者利用 Exploit-DB 物聯網相關漏洞的時間間隔Exploit-DB 編號披露日期首次捕獲日期日期間隔（天）504222021/10/182021/1/7

107、-284503402021/9/282021/1/12-259502542021/9/22021/1/19-226501622021/7/292021/1/21-189500692021/6/282021/2/2-146499262021/6/22021/2/4-118497302021/3/312021/2/20-39494992021/1/292021/1/27-2499552021/6/72021/6/81502952021/9/152021/9/161497822021/4/212021/4/265503392021/9/282021/10/35497382021/4/22021/4/

108、75497642021/4/142021/4/239502112021/8/172021/8/3114502062021/8/162021/8/3115500992021/7/62021/7/2620502772021/9/132021/10/320502852021/9/132021/10/320501462021/7/212021/8/3141501602021/7/282021/9/1448500982021/7/62021/9/258494552021/1/222021/6/18147494572021/1/222021/8/31221494562021/1/222021/8/3122

109、13.1.3小結相比 2020 年，2021 年 NVD 公布的物聯網相關漏洞沒有明顯的變化趨勢，相關漏洞仍具有攻擊復雜度低、危害評級高的特點。而知名漏洞利用平臺 Exploit-DB 近 5 年收錄的漏洞利用總量及物聯網相關漏洞利用數量均呈下降趨勢，但該平臺收錄的漏洞以命令執行和信息泄露為主，危害程度高，各方仍應提高警惕。攻擊者對于物聯網漏洞的利用，已經從去年對051網絡空間風險專題分析Exploit-DB 平臺的快速跟進，升級到多信息來源的快速跟進上。2021 年 Exploit-DB 披露的82個物聯網相關漏洞利用中， 有25個被綠盟威脅捕獲系統捕獲， 占比約30%， 值得注意的是，20

110、21 年出現了首次捕獲日期早于 Exploit-DB 收錄日期 284 天的情況，去年同期僅有個別漏洞利用首次捕獲日期早于 Exploit-DB 的收錄日期?？梢?，Exploit-DB 的收錄已經出現一定的遲滯，研究人員需要擴展信息來源以應對日益復雜的攻擊態勢，僅依賴單一信息來源在與攻擊方對抗的過程中將處于落后。3.2云上風險分析觀點 8： 云上服務、資產數量巨大、類型眾多，不同服務及資產暴露的攻擊面均不相同，相應的安全成熟度也有較大差異，云上安全態勢較為復雜。盡管諸如對象存儲服務等公有云服務已經設置了多種提示和警告措施， 云上數據泄露事件依然每年都在發生。云原生服務中， 容器相關組件 （如Docker） 由于落地時間較長， 脆弱性暴露情況較少，但其他云原生組件卻不容樂觀。此外，云上常見物聯網協議或服務（如 MQTT）普遍存在未授權訪問風險，較為嚴重。近年來，伴隨著企業上云的步伐不斷加快，云上風險和安全事件也層出不窮。只有在對云上風險有充足的認識和評估的基礎上，才能夠安全上云、確保業務在云上持續安全運行。本節，我們從以對象存儲為代表的公有云服務、云原生服務組件和以 MQTT 為代表的云上物聯網類協議三個角度出發，對云上風險進行梳理分析。3.2.1公有云服務風險分析