網宿：中國互聯網安全報告（2021年）（22頁）.pdf

《網宿：中國互聯網安全報告（2021年）（22頁）.pdf》由會員分享，可在線閱讀，更多相關《網宿：中國互聯網安全報告（2021年）（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、年中國互聯網安全報告2021CHINA INTERNET SECURITY REPORT2021年中國互聯網安全報告解讀前言隨著世界多極化與經濟全球化發展，國際競爭與博弈延伸至網絡空間，面向產業鏈、政府等大規模針對性網絡攻擊頻發，加上疫情的疊加與催化，網絡安全形式越發嚴峻。2021年發生了多起震驚全球的大規模勒索攻擊、數據泄露、供應鏈攻擊事件。如美國最大的保險公司CNA金融遭遇了安全漏洞勒索攻擊，在發生兩周后支付了4000萬美元贖金才恢復文件訪問權限；全球知名社交平臺Facebook、領英等相繼被曝發生涉及數億用戶的大規模數據泄露事件；年末更是爆出了被稱作“核彈級”的Apache Log4j2

2、漏洞，引發全球軟件供應鏈安全災難。網絡安全成為數字時代的重大課題，我國在2021年相繼頒布了一系列網絡安全法律法規，包括數據安全法、關鍵信息基礎設施安全保護條例、網絡產品安全漏洞管理規定、個人信息保護法等，將數據安全上升至國家安全層面，也使企業與組織在數據處理與網絡安全方面，進入了有法可依、有法必依的新時代。網宿科技作為全球領先的信息基礎設施平臺服務提供商和智能邊緣安全領導者，深度關注互聯網安全態勢，并積極探索網絡安全防御技術，不斷提升安全防御能力，自2016年起持續發布中國互聯網安全報告。在本期報告中，網宿將基于2021年間網宿安全平臺監測到的網絡攻擊行為與事件，結合網宿安全實驗室積累的威脅

3、情報技術和自身攻防經驗，為企業提供防御技術、網絡體系、數據安全、合規、安全管理等多方面的信息與建議，應對日益高發的網絡安全威脅。2021年中國互聯網安全報告解讀第一章 本期報告概覽與要點1.1.2021年DDoS攻擊概覽與趨勢 1.2.2021年Web應用攻擊概覽與趨勢 1.3.2021年惡意爬蟲攻擊概覽與趨勢 1.4.2021年API攻擊概覽與趨勢 1.5.2021年主機安全概覽與趨勢第二章 DDoS攻擊數據解讀2.1.DDoS攻擊數量一路走高，而后持續在高位浮動 2.2.近七成DDoS攻擊以游戲、電商行業為目標 2.3.NTP反射放大攻擊異軍突起 第三章 Web應用攻擊數據解讀3.1.We

4、b應用攻擊量同比翻倍增長 3.2.Web攻擊手段呈現多樣化趨勢 3.3.來自境外的攻擊大幅上升 3.4.軟件信息服務業遭受超60億次攻擊第四章 惡意爬蟲攻擊數據解讀4.1.平均每秒發生2688次爬蟲攻擊，攻擊量連年翻倍增長 4.2.惡意爬蟲境外攻擊源比重明顯回升 4.3.惡意爬蟲攻擊行業分布較分散第五章 API攻擊數據解讀5.1.API威脅進入爆發期，攻擊量同比增長超200%5.2.API攻擊手段顯示出多樣化趨勢 5.3.零售業、金融業成為API攻擊重災區第六章 主機安全數據解讀 6.1.容器技術應用大幅度上升 6.2.公網開放端口數量大幅下降，攻擊面收窄 6.3.“核彈”級漏洞Log4j2影

5、響面一騎絕塵 6.4.進程隱匿技術使人工入侵排查變得困難 6.5.超70%的入侵事件利用定時任務實施權限維持 6.6.兼容性強、對系統影響小的Rootkit更受攻擊者青睞第七章 趨勢展望及建議 11112233455567899910111112121313131415151617目錄2021年中國互聯網安全報告解讀第一章 本期報告概覽與要點1本期報告將從攻擊量、攻擊方式、攻擊來源、行業分布等維度對各類攻擊進行詳細解讀。報告中所使用的所有安全數據均來自于網宿安全平臺，與網宿自身的安全業務規模、客戶類型等有一定的關聯。雖然網宿業務自身的調整作為一種客觀存在的變量，會對數據所呈現出的趨勢產生一定的

6、影響，但我們還是可以從這些數據中對于安全趨勢的發展進行相應的解讀，進一步加深對安全攻防態勢的理解，加強對安全攻防趨勢的認識。報告根據2020年和2021年的攻防數據綜合對比，分析了攻擊趨勢并做出判斷。本期報告重點發現了應用層攻擊持續高發的態勢，尤其是針對API業務的攻擊呈爆發式增長；供應鏈漏洞更是顯現出橫掃級別的影響面。2021年網宿安全平臺監測到網絡層、應用層DDoS攻擊事件數量均增長了約60%；DDoS攻擊帶寬峰值顯著上升。傳統重災區游戲行業遭受的網絡層DDoS攻擊數量、攻擊峰值均位列第一。1.1.2021年DDoS攻擊概覽與趨勢2021年，網宿安全平臺共監測并攔截Web應用攻擊229.8

7、2億次，為2020年同期的2.41倍，漲幅驚人。Web應用攻擊方式分布較為分散，非法請求方法、SQL注入是攻擊者使用最多的手段。Web應用攻擊的聚焦度有所分散，除政府機構外，軟件信息服務、房地產、金融等行業也成為了Web攻擊主要目標。1.2.2021年Web應用攻擊概覽與趨勢2021年中國互聯網安全報告解讀22021年，網宿安全平臺共監測并攔截近150億次針對API業務的攻擊，攻擊量已達到2020全年的3倍有余，呈爆發式增長。惡意爬蟲依然是針對API業務最主要的攻擊方式，約占攻擊總量的50%，但同比有所下降，攻擊手段類型“一家獨大”的狀況趨于減弱。零售與金融行業集中了將近七成的API攻擊，分別

8、占比34.99%和31.27%。1.4.2021年API攻擊概覽與趨勢2021年網宿安全平臺探測到，超過60%的企業主機已應用了容器技術，可以預見將產生越來越普遍的容器安全需求。得益于規律性的網絡攻防演練，企業對端口的管理規范度顯著提升，公網開放端口數量大幅下降。攻擊者大量使用了隱藏進程、偽裝惡意定時任務、Rootkit等技術規避異常行為檢測，主機安全威脅隱匿度提升，同時對主機入侵檢測能力提出更高要求。1.5.2021年主機安全概覽與趨勢2021年，網宿安全平臺共監測并攔截了超847.71億次爬蟲攻擊，平均每秒發生2688次攻擊，與2020年相比呈翻倍增長態勢。從攻擊源分布來看，境外攻擊源占比

9、大幅增長，推測與后疫情時代，代購、海淘行業業務恢復有關。軟件信息服務是遭受惡意爬蟲攻擊最嚴重的行業，其次是房地產、交通運輸、零售業。1.3.2021年惡意爬蟲攻擊概覽與趨勢2021年中國互聯網安全報告解讀3第二章 DDoS攻擊數據解讀從月份走勢來看，2021全年網絡層DDoS攻擊數量呈現持續增長態勢，4月-6月增幅最大，之后趨于平穩。2021年，網宿安全平臺日均監測并攔截網絡層DDoS攻擊事件21.55萬次，同比增長62.96%；日均攔截應用層DDoS攻擊請求14.90億次，同比增長61.39%。2.1.DDoS攻擊數量一路走高，而后持續在高位浮動圖2-1 2020/2021年網絡層DDoS攻

10、擊事件月份分布2020年2021年010020030040050060080070090010001月2月3月4月5月6月7月8月9月10月11月12月萬圖2-2 2020/2021年網絡層DDoS攻擊峰值月份分布2020年2021年01002003004005006008007009001月2月3月4月5月6月7月8月9月10月11月12月Gbps2021年中國互聯網安全報告解讀4從DDoS攻擊事件的行業分布來看，游戲業成為2021年受DDoS攻擊最多的行業，占比達到50.53%，遠超其他行業。電子商務以16.25%的百分比占據第二位。兩者遭受的攻擊數量已接近總量的七成。位于第三、第四的則是

11、軟件信息服務（11.09%）和教育行業（6.26%）。2021年DDoS攻擊帶寬峰值出現在6月，達到774.58Gbps，比2020年峰值612.67Gpbs高出26.42%。峰值出現的月份也與往年不同，以往攻擊峰值均出現在1月，而21年月度攻擊峰值則是從2月開始一路上漲，到6月達到最高。值得一提的是，在隨后的2022年1月，網宿平臺迎來了帶寬峰值達到2.09Tbps的超大流量DDoS攻擊并成功防御，攻擊規模創歷史新高。2.2.近七成DDoS攻擊以游戲、電商行業為目標游戲：50.53%電子商務：16.25%軟件信息服務：11.09%教育：6.26%影視及傳媒資訊：3.87%其他：3.17%互聯

12、網金融：3.16%金融：3.64%酒店旅游：1.06%圖2-3 2021全年DDoS攻擊行業分布社交：0.98%圖2-4 2021全年DDoS攻擊峰值Top 10行業0500600100200300400Gbps零售業游戲教育互聯網金融傳媒資訊影視及醫療金融社交軟件信息服務電子商務2021年中國互聯網安全報告解讀5第三章 Web應用攻擊數據解讀作為一種以較低成本即可產生巨大攻擊力的DDoS攻擊類型，反射放大攻擊深受攻擊者青睞。對網宿安全平臺在2021年捕獲到的反射放大攻擊請求進行分析，發現SSDP、NTP、Memcache、DNS和LADP依舊是最為活躍的5種反射攻擊協議。與上一年不同的是，N

13、TP反射放大攻擊異軍突起，反超以往占絕對優勢的SSDP協議，躍升至第一位。NTP是網絡時間協議（Network Time Protocol），攻擊者利用可公開訪問的NTP服務器，以及UDP協議無需前期建連即可發送數據的特點，對目標站點服務器發起大流量攻擊。NTP反射放大攻擊的活躍，表明還有大量配置不當的NTP服務器被暴露在公網上，為黑客所利用。從各行業遭受的攻擊帶寬峰值統計來看，游戲、軟件信息服務、影視及傳媒資訊、電子商務行業位居前四，且游戲行業在攻擊峰值上同樣遠超其他行業，達到508Gbps。受教育行業“雙減”政策影響，2021年在線教育的業務規模和投資雙雙下降，受到的攻擊規模也相應地有所下

14、降。攻擊數量及攻擊峰值的行業分布，共同體現出DDoS攻擊手段向多行業覆蓋的趨勢發展。2021年，網宿安全平臺共監測并攔截Web應用攻擊229.83億次，同比2020年增長141.30%，呈翻倍增長態勢，顯示出此類攻擊的威脅持續增大。3.1.Web應用攻擊量同比翻倍增長2.3.NTP反射放大攻擊異軍突起NTP：29.34%DNS：27.38%SSDP：21.51%Memcached：7.82%LADP：11.73%其他：2.21%圖2-5 2021年反射放大協議攻擊分布2021年中國互聯網安全報告解讀6根據網宿安全平臺所構建的Web攻擊防護體系，針對不同的攻擊手段有不同的防護方式來進行應對，從中

15、也能看出攻擊手段的分布情況。企業數據資產價值上升、Web漏洞高發、當前國際環境下出于政治目的發起的攻擊行為增加，以上種種因素共同推動了Web應用攻擊持續高速增長。從攻擊行為來看，Web應用攻擊的目標以竊取數據為主，隨著2021年數據安全法、個人信息保護法等相關法規的實施，企業或組織若未能建立起有效的網絡安全防線，不僅將面臨數據泄露的經濟風險，還將面臨法律風險。3.2.Web攻擊手段呈現多樣化趨勢圖3-1 2020與2021年Web應用攻擊次數趨勢2020年2021年0501001502002503003504001月2月3月4月5月6月7月8月9月10月11月12月千萬非法請求方法防護：35.

16、00%SQL注入防護：13.33%自定義規則：11.15%訪問控制：7.96%動態IP黑名單：5.49%其他：9.53%暴力破解防護：5.32%XSS跨站防護：5.23%文件上傳防護：3.78%圖3-2 2021全年Web應用攻防手段分布非法下載防護：3.21%2021年中國互聯網安全報告解讀73.3.來自境外的攻擊大幅上升從上圖可見，Web應用攻防手段仍然保持了較為分散的分布態勢。排位前三的分別是非法請求方法防護（35.00%）、SQL注入防護（13.33%）、自定義規則（11.15%）。值得注意的是，本次統計中，業務端自定義規則所占的比重比之前增大不少，說明在Web攻擊防護領域，針對業務自

17、身情況和特定的攻擊方法制定防護規則也是非常有效的手段。越來越多的攻擊流量來源于自動化的掃描器。網宿安全平臺基于對攻擊源的特征分析、行為模式識別、AI離線檢測、威脅情報等多種方式識別Web掃描器行為后，能夠通過非法請求方法防護、訪問控制（7.96%）、動態IP黑名單（5.49%）等方式直接過濾掉大部分掃描器攻擊，有效降低網站被針對性攻擊掃描的威脅，同時降低自動化掃描器對網站的負載壓力。意大利：1.61%中國大陸：68.13%海外地區：31.87%英國：13.42%美國：5.12%日本：4.07%印度：1.96%其他：5.69%圖3-3 2021年Web應用攻擊全球來源分布通過對攻擊IP的地理位置

18、進行統計，發現2021年來自境外的Web應用攻擊IP數量同比2020年暴漲了357.16%，在全球攻擊源中的占比也由2020年的13.30%上升至31.87%，增長了約19個百分點。境外Web攻擊源的大幅上升，推測與日趨緊張的地緣政治局勢有關。68.13%31.87%2021年中國互聯網安全報告解讀8從2021年的攻擊數據來看，軟件信息服務和金融成為Web應用攻擊最多的行業，針對兩者的Web攻擊量達到近112億次，幾乎占了全年的一半。房地產（12.34%）、制造業（10.79%）、零售業（6.28%）分別排列第三、第四和第五位。3.4.軟件信息服務遭受超60億次攻擊軟件信息服務：27.87%金

19、融：21.30%房地產：12.34%制造業：10.79%零售業：6.28%其他：5.36%生活服務：5.26%政府機構：5.20%互聯網金融：3.25%圖3-5 2021全年Web應用攻擊行業分布影視及傳媒資訊：2.36%圖3-4 2021全年來自中國大陸的Web應用攻擊來源分布0.00%2.00%4.00%6.00%8.00%1.00%3.00%5.00%7.00%9.00%西藏青海寧夏海南新疆甘肅內蒙古貴州天津云南吉林黑龍江陜西廣西江西山西福建湖南安徽湖北上海北京遼寧河北河南四川重慶山東廣東浙江江蘇統計攻擊來源在中國大陸的省份分布發現，2021年前15位的省份所占的攻擊源比例超過75%。江

20、蘇、浙江、廣東依然是國內攻擊源分布的前三，分別占比為10.64%、8.62%、7.77%。這三個經濟比較發達的省份由于IT資源發達，近兩年一直占據著國內攻擊來源前三名的位置。2021年中國互聯網安全報告解讀第四章 惡意爬蟲攻擊數據解讀92021年網宿安全平臺共監測并攔截了847.71億次惡意爬蟲攻擊，平均每秒攔截攻擊2688次，攻擊量達到了2020全年的2.36倍。近三年惡意爬蟲攻擊量連年成倍增長，安全威脅日益明顯。4.1.平均每秒發生2688次爬蟲攻擊，攻擊量連年翻倍增長4.2.惡意爬蟲境外攻擊源比重明顯回升韓國：2.13%中國大陸：75.82%海外地區：24.18%美國：4.82%意大利：

21、4.70%日本：3.86%印度：2.35%其他：6.28%圖4-2 2021年惡意爬蟲攻擊全球來源分布圖4-1 2020/2021年惡意爬蟲攻擊數量趨勢2021年2020年0200040006000800010000120001月2月3月4月5月6月7月8月9月10月11月12月百萬75.82%24.18%2021年中國互聯網安全報告解讀10從網宿安全平臺監測并攔截的源IP分布來看，2021年全年的惡意爬蟲攻擊超七成來自于境內。境外攻擊源占比從去年同期的7.08%上升至24.18%。境外攻擊源比重上升，可能與全球新冠疫情趨于穩定，代購、海淘等行業有所恢復有關。海外商家通過爬取競爭對手的商品、價

22、格等信息進行銷售策略分析的需求回升。江蘇、浙江、廣東的惡意爬蟲攻擊分別在境內攻擊源中占比10.64%、8.63%、7.77%，成為來源數量最多的三個省份。整體上看，境內攻擊源分布相較往年同期更加趨于平均，這與各地IDC、網絡、云計算等IT基礎設施建設水平提升，區域間服務器、IP資源差異縮小有一定關系。4.3.惡意爬蟲攻擊行業分布較分散圖4-3 2021全年來自中國大陸的惡意爬蟲攻擊來源分布軟件信息服務：31.88%房地產：12.61%交通運輸：10.24%零售業：8.28%游戲：7.65%其他：8.97%生活服務：6.15%影視及傳媒資訊：5.34%電子商務：4.81%圖4-4 2021全年惡

23、意爬蟲攻擊行業分布互聯網金融：4.06%0.00%2.00%4.00%6.00%8.00%10.00%12.00%西藏青海寧夏海南貴州甘肅內蒙古新疆天津黑龍江陜西云南吉林重慶山西廣西湖南江西福建湖北安徽遼寧河北四川北京河南上海山東廣東浙江江蘇2021年中國互聯網安全報告解讀11惡意爬蟲攻擊的行業分布，呈現出集中度低，“多點開花”的態勢。遭受攻擊最多的是軟件信息服務行業（31.88%），其次是房地產行業（12.61%），交通運輸（10.24%）、零售業（8.28%）、游戲（7.65%）分別排列第三位至第五位。其中，交通運輸行業的排位從2020年的第六，重新回到前三位，體現出疫情對交通運輸業的負面

24、影響逐漸消除，搶票類爬蟲攻擊態勢有所恢復。第五章 API攻擊數據解讀2021年全年，網宿安全平臺共監測并攔截147.98億次針對API業務的攻擊，平均每秒發生攻擊469次，全年攻擊量是2020年的3倍有余，呈爆發式增長。尤其是下半年，攻擊量大幅躍升。數字化轉型的背景下，企業開放的API越來越多，面臨的風險也越來越高，API業務逐漸成為眾多黑客的攻擊目標。5.1.API威脅進入爆發期，攻擊量同比增長超200%圖5-1 2020與2021年API攻擊次數趨勢2020年2021年0501001502002503001月2月3月4月5月6月7月8月9月10月11月12月千萬2021年中國互聯網安全報告

25、解讀12在針對API業務發起的攻擊中，惡意爬蟲依舊是最主要的攻擊方式。在2021年的API攻擊數據中，惡意爬蟲攻擊占整體攻擊數量的49.49%，同比有所下降。排第二、三位的分別是非法請求（37.66%）和暴力破解（7.72%）。其中暴力破解攻擊手段多用于賬戶API，嚴重威脅到個人資產安全。整體來看，針對API業務的攻擊手段類型趨于多樣化。2021年，零售行業成為受API攻擊最多的行業，攻擊量占整體比重的34.99%。金融行業占31.27%，排在第二。零售與金融行業集中了將近七成的API攻擊，體現出這兩個數字化轉型程度較深的行業，在面臨API攻擊時，也首當其沖。交通運輸占比有小幅增長，與疫情較2

26、020年有所緩解帶來的跨區域和跨境客流增長有直接關系。5.3.零售業、金融業成為API攻擊重災區5.2.API攻擊手段顯示出多樣化趨勢惡意BOT：49.49%非法請求：37.66%暴力破解：7.72%SQL注入：2.50%文件上傳：0.88%其他：0.73%遠程文件包含：0.33%跨站腳本：0.28%威脅情報：0.22%圖5-2 2021年API攻擊方式分布第三方組件漏洞：0.18%零售：34.99%金融：31.27%軟件信息服務：6.98%房地產：4.62%政府機構：4.53%其他：6.20%電子商務：3.44%交通運輸：2.91%影視及傳媒資訊：2.72%圖5-3 2021年API攻擊行業

27、分布互聯網金融：2.35%2021年中國互聯網安全報告解讀13第六章 主機安全數據解讀網宿主機安全探針檢測發現，63.88%的企業主機有安裝容器相關軟件，相較于2020年同期的占比40.27%，增長了約24個百分點?？梢灶A見未來容器安全的需求將越來越大。與2020年相比，2021年網宿主機探針采集到的數據顯示，公網開放端口數量大規模下降。公網開放端口數量下降主要源于規律性的網絡攻防演練，有效提升了管理端口的使用規范。在攻防演練結束后，公網開放端口數量依然保持在較低的值，說明攻防演練對企業安全管理及安全意識有較高的提升作用，端口管理也更為常態化，使攻擊面大幅縮減。6.1.超半數企業主機已應用容器

28、技術6.2.公網開放端口數量大幅下降，攻擊面收窄圖6-1 2021年企業主機容安裝情況安裝：63.88%未安裝：36.12%圖6-2 2020與2021全年公網開放端口數量對比160018002000140012001000800600400200022端口80端口443端口3306端口3389端口5432端口6379端口8000端口8080端口8099端口2020年2021年2021年中國互聯網安全報告解讀14針對高危漏洞的入侵依然是以利用應用組件漏洞為主，尤其是與Web應用相關的通用組件漏洞。應用組件漏洞比操作系統漏洞具備更容易獲得的執行環境，比業務漏洞具有更強的通用性。值得注意的是Apa

29、che Log4j2遠程代碼執行漏洞（CVE-2021-44832）影響面巨大。截至2021年12月31日，即本次報告統計周期結束，該漏洞被公布僅半個月時間，引起的入侵事件數量就超過了第2-9名高危漏洞引起的入侵事件數量總和。并且Log4j2漏洞的利用方式還在不斷變形，使得官方發布的升級版本不斷被發現新的繞過方式。該漏洞信息還需持續追蹤，才能準確掌握可能受其影響的資產范圍。通過網宿主機探針的資產采集模塊對受Log4j2遠程代碼執行漏洞影響的中間件所造成的影響面進行分析，發現Log4j2組件在業務應用中被大量使用，影響的主機范圍最廣；Log4j2也常見于Struts2、ElasticSearch

30、、Logstash、Redis、Dubbo、Kafka等流行的中間件，受這些中間件影響的主機合計約占36.13%。6.3.“核彈”級漏洞Log4j2影響面一騎絕塵圖6-3 2021年網宿主機安全平臺捕獲的高危漏洞Top 10Apache Log4j2 遠程代碼執行漏洞Fastjson遠程代碼執行漏洞XStream多個反序列化漏洞Apache Tomcat AJP協議文件讀取與包含漏洞Apache Commons FileUpload反序列化漏洞Apache Shiro遠程代碼執行漏洞Apache Struts2遠程代碼執行漏洞JMX遠程命令執行漏洞Spark遠程代碼執行漏洞Druid遠程代碼執

31、行漏洞圖6-4 2021年受Log4j2漏洞影響的中間件的影響面情況業務應用Apache Struts2ElasticSearchLogstashRedisDubboKafka其他2021年中國互聯網安全報告解讀15從網宿主機探針識別到的異常進程數據中可看出，主機上出現的異常進程大量使用了規避檢測的技術，以達到干擾殺毒軟件檢測及人工入侵排查的目的。規避檢測的手段中，使用最多的是隱藏進程。網宿主機探針在超過50%的入侵事件中均檢測到了此技術。隱藏進程技術可以使應急響應人員無法查看到惡意進程，加大入侵分析的難度。無文件進程、異常啟動方式、鏈接庫感染等行為在入侵事件中的占比在10%30%之間。這些技

32、術能夠規避殺毒軟件的檢測，使殺毒軟件無法獲取到進程文件內容，無法與病毒特征庫進行匹配。6.4.進程隱匿技術使人工入侵排查變得困難圖6-5 2021年進程異常行為檢出率0%10%20%30%40%50%60%70%隱藏進程進程名偽造無文件進程內核進程偽造鏈接庫感染異常啟動方式圖6-6 2021 年權限維持行為檢出率0%10%20%30%40%50%60%70%80%90%定時任務后門賬號開機啟動后門程序守護進程后門密鑰6.5.超70%的入侵事件利用定時任務實施權限維持2021年中國互聯網安全報告解讀16通過對網宿主機探針識別到的惡意行為進行檢測分析，95%的入侵事件中都使用了權限維持攻擊方法。其

33、中通過定時任務維持惡意腳本、程序運行的占比最多，高達78.12%，其次是后門帳號（46.58%）、開機啟動（35.35%）。惡意定時任務通常通過以惡意腳本執行惡意行為的方式來實現，例如執行病毒木馬、惡意指令等。通過使用惡意腳本，攻擊者更容易將惡意定時任務偽裝成合法程序的路徑，以規避檢測。此外，惡意腳本還可以將各種惡意行為封裝到一起，減少定時任務配置量，提高攻擊者的配置效率。Rootkit是隱匿能力最強的惡意軟件，能夠獲得root訪問權限、完全控制目標操作系統及其底層硬件。攻擊者常采用Rootkit技術隱藏自身或指定的文件、進程和網絡連接等信息，達到長期潛伏于目標系統、規避入侵檢測的目的，安全威

34、脅極大。分析網宿主機探針識別到的Rootkit行為，發現進行文件替換的應用級Rootkit占比最高，達70.87%，其次分別為預加載鏈接庫（18.08%）、LKM內核模塊加載（11.05%）。文件替換的方式對系統影響較小、較容易集成到自動化流程中，因此最受攻擊者青睞。常見被替換的可執行文件如ps、top、sshd等，替換后能夠實現進程隱藏、后門等功能。LKM內核Rootkit雖然隱蔽性高、功能強大，能夠靈活地對進程、網絡、Rootkit自身、文件進行隱藏。但其存在內核兼容性問題及破壞系統穩定性的風險，因此使用占比較低。當前，在入侵主機后通過植入挖礦木馬進行牟利，已成為網絡黑產的一種主流操作。這

35、種方式需要穩定的系統以持續獲取利益。因此黑產團隊也逐漸規避會對系統造成破壞的入侵行為，以便在獲得穩定的系統環境的同時，也不易被管理人員發現。6.6.兼容性強、對系統影響小的Rootkit更受攻擊者青睞圖6-7 2021年Rootkit類型分布預加載鏈接庫：18.08%LKM：11.05%文件替換：70.87%2021年中國互聯網安全報告解讀17網絡威脅與攻擊始終在不斷變化。從前述報告中可以看出，2021年的數據所顯示出的攻防態勢相比2020年，呈現出了一些不同的特點?？梢娖髽I在建設網絡安全防御體系時，需要根據攻擊技術發展趨勢隨時調整防護思路和策略，才能對攻擊進行有效防御。一、軟件供應鏈安全風險

36、加劇，企業迫切需要建立有效應對手段網宿安全平臺在本期報告周期內統計到，由席卷全球的Log4j2漏洞所產生的入侵事件已經占到全部主機安全入侵事件總數的近一半，攻擊目標包括依賴該組件的開源軟件及企業內部開發的軟件平臺。作為被大量業務框架使用的開源工具，Apache Log4j2漏洞的危害可以說是“核彈”級。在漏洞曝光不久之后，針對該漏洞的利用行為很快就在網絡上廣泛流傳，引起大規模入侵。至今該漏洞的影響還在發酵，預計負面影響還會長期持續。全球最大的開源組件中央倉提供商Sonatype在2021年軟件供應鏈現狀報告中統計，2021年世界上的軟件供應鏈攻擊增加了650%。Gartner也預測，到2025

37、年，全球45%的企業將遭遇軟件供應鏈攻擊，比2021年增長三倍?，F代企業軟件大部分是混合代碼，由于開源軟件開放共享的特性，很多組織都會利用高質量且免費的開源組件來組成他們的軟件產品。隨著全球產業的數字化升級，企業對于開源軟件的依賴也日益提升，任何一個比較底層的開源組件出現漏洞，都將造成“攻其一點，傷及一片”的廣泛影響。企業該如何有效應對開源軟件供應鏈漏洞帶來的巨大安全風險？網宿安全實驗室建議打組合拳，以綜合手段防護。在漏洞曝光初期，可以通過主機安全產品進行資產采集和漏洞檢測，快速定位軟件漏洞，盡快推進漏洞應用升級；同時結合Web應用防護產品提供的虛擬補丁來攔截針對該漏洞的攻擊利用行為。在應用開

38、發階段，可以使用軟件成分分析(SCA)技術手段，加強應用上線前的安全管控，避免應用帶病上線。二、數據安全上升到國家戰略高度，API數據安全風險突出，亟需強化 綜合防控體系2021上半年報告中所指出的業務安全威脅持續升級現象，在2021全年數據中仍然延續。其中API攻擊的爆發式漲幅尤為引人注目，同比增長超過200%。攻擊者的主要目標是獲取企業數據。API經濟下，API數量井噴。API訪問環境越發開放、通過API流轉的數據價值水漲船高，使得API攻擊趨勢走高。第七章 趨勢展望與建議2021年中國互聯網安全報告解讀18越來越多的企業和組織通過向合作伙伴、客戶開放API，與商業生態共享數據、算法、交易

39、、流程和其他業務功能，以挖掘新的價值源泉，構建新的核心能力。例如銀行業的“開放銀行”戰略，即是以向各行業開放金融服務接口，推動業態變革的典型代表。但開放API也加聚了數據隱私與安全的風險，金融業居高不下的API攻擊量就是直觀體現。然而，企業間普遍存在著高速增長的API業務與較弱的API防控體系之間的錯位，只依靠基于規則的應用漏洞攻擊防護，已經無法應對攻擊者通過濫刷、越權訪問等方式面向正常業務接口或被遺忘的僵尸API發起攻擊，達到批量竊取或篡改數據的目的。加上2021年數據安全法和個人信息保護法的相繼頒布，采取必要措施保障數據安全和個人隱私信息已經成為了企業必須履行的法律義務。網宿安全實驗室建議

40、企業采用能夠自動化發現API、帶有API訪問行為檢測功能，并支持API全生命周期管理的高級API防護產品，以消除僵尸API隱患，防止非授權調用和超額調用，確保數據安全。在此基礎上，網宿安全還建議選用支持WAAP（云Web應用程序和API保護）方案的廠商，結合Web應用程序防火墻、DDoS防護、爬蟲管理能力，形成應對API攻擊、Web應用攻擊等的綜合防護能力。網宿WAAP方案深入洞察用戶場景，基于全球分布式平臺，整合DDoS云清洗、WAF、BotGuard、API安全與管理能力做全棧協同和統一管控，結合業務流分析、AI模型、黑灰產情報、漏洞威脅情報、營銷風控模型，提供用戶視角的先進WAAP服務。

41、三、企業加速轉向零信任，帶動對安全無縫集成和SASE的需求新冠疫情已持續近三年，企業在遠程辦公上、業務上云、攻擊防御等方面的實踐不斷深入，越來越多的企業意識到傳統網絡安全防護邊界在不斷消解，對于當下流行的零信任防護技術一改觀望態度，從以ZTNA（零信任網絡訪問）逐步取代VPN入手，制定戰略和時間規劃表，向新一代網絡安全模型轉變。在安全防護技術更新換代的過程中，對接不同供應商、策略和控制臺的復雜性給企業安全技術實施帶來壓力。企業對供應商進行整合、對策略及控制臺等實現無縫集成將逐漸成為趨勢。Gartner預測，到2024年，30%的企業將采用云交付的SWG(安全Web網關)、CASB（云訪問安全代

42、理）、ZTNA和FWaaS（防火墻服務）功能，而2020年這一比例不到5%。在實現對安全功能的集成后，下一步再完成對廣域網功能的集成，這就達成了SASE（安全訪問服務邊緣）目標，即將廣域網功能與全面的網絡安全功能融為一體。SASE作為備受安全行業關注的下一代網絡安全模型，能夠實現基礎設施、運營和安全團隊以一致和集成的方式提供豐富的網絡和網絡安全服務，支持數字業務轉型、邊緣計算和移動辦公等需求。觀察到這一市場趨勢的網安廠商相繼提速布局SASE領域，嘗試推出相關方案。其競爭力的關鍵就在于，是否能夠更完整、成熟地支持上述各項SASE關鍵組件功能。2021年中國互聯網安全報告解讀19經過近半年的發展，

43、網宿“3+X”能力持續進化：在安全能力方面，繼2021年2月發布ZTNA（零信任網絡訪問）產品網宿安達SecureLink后，網宿進一步升級產品能力，形成“3+1”安全訪問體系，即身份可信、終端可信、行為可信的“3”個可信原則+從加密傳輸、邊緣防護、應用隱身層面打造的“1”套平臺安全能力，確保遠程或本地辦公人員訪問企業資源的全過程安全。而后，網宿在深耕DDoS防護、云WAF、Bot防護能力的基礎上，又針對API業務特性推出API安全與管理產品，提供自動化API發現、API全生命周期管理及持續安全檢測能力，形成管理-保護-分析服務閉環，合上WAAP（云Web應用程序和API保護）能力最后一塊“拼

44、圖”。至此，網宿已完全具備WAAP、ZTNA、FwaaS、DNS安全能力，以及多項成熟的安全專家服務。在 網 絡 和 邊 緣 計 算 能 力 方 面，網 宿 分 布 在 全 球 的 2 8 0 0+邊 緣 節 點 及 節 點 之 間 的 高 速 網 絡（SD-WAN），不僅能夠有效保證終端用戶最后一公里接入體驗及回數據中心（包含云平臺）的體驗，并且發展出了新一代CDN可編程能力，將原本由源站處理的業務邏輯轉移到CDN邊緣節點上，支持用戶“搭積木”式地自有組合各類個性化邊緣業務，從而快速完成新應用或新服務的全球化部署，極大縮短開發周期，進一步降低源站負載。未來，網宿安全將基于持續進化的3大能力，進一步打造開放效應，利用全網海量數據開放云安全威脅信息情報，與上下游安全技術和企業已有安全防御體系結合，形成立體防護，實現一體化SASE安全服務目標，共建網絡安全。作為智能邊緣安全領導者，網宿科技在2021年10月份創新性地提出以“3+X”能力框架落地SASE模型，“3”由安全能力、網絡能力、邊緣計算能力3項組成，“X”則指的是開放平臺。網絡能力：全球POP節點、SD-WAN安全能力：WAAP、ZTNA、FwaaS、DNS安全、安全服務邊緣計算能力：2800+節點、包含邊緣主機、邊緣容器、邊緣函數的能力持續迭代開放網路能力開放邊緣能力開放安全能力開放安全能力接入開放平臺3X