2018年 中国政企机构网络安全形势 分析报告 奇安信威胁情报中心 2019年4月13日 摘 要 终端安全  2018年，奇安信公有云监测数据显示国内大中型政企机 构遭到勒索、蠕虫和漏洞攻击 207961次，其中，蠕虫病毒攻击数量最多，共 170173次，其次是漏洞利用攻击 30938 次，勒索软件攻击 6850次。从感染病毒的角度来看，共有 3762家政企机构感染了病 毒。 其中遭遇蠕虫攻击感染最多， 共有 3253家政企机构， 其次是漏洞利用攻击， 有 1591 家政企机构，还有 397家感染了勒索病毒。  2018年，国内大中型政企机 构遭到网络蠕虫病毒攻击 170173次。其中，遭到蠕虫病毒 攻击最多的关键行业是医疗卫生行业，达 48966次。从感染病毒的角度来看，政府部门 是遭蠕虫攻击感染病毒最多的行业部门，有 828家单位感染。  2018年，针对国内大中型政企机构遭到漏洞利用攻击（不含蠕虫病毒、勒索软件和挖 矿木马攻击） 30938次， 在关键行业中， 能源行业遭受漏洞利用攻击最为频繁， 多达 4611 次。从感染病毒的角度来看，政府部门是遭漏洞利用攻击而感染病毒最多的行业部门， 有449家单位感染。  2018年，国内大中型政企机构终端设备（含服务器）遭到勒索软件攻击 6850次，在关 键行业中，金融机构遭受勒索软件攻击的次数最多，达 2180次。从感染病毒的角度来 看，政府部门是感染勒索病毒最多的行业部门，有 83家单位感染。在感染勒索病毒的 政企单位中， 34.0%感染了 GlobeImposter ，22.0%感染了 GandCrab ，17.6%感染了 Crysis， 10.1%感染了 Satan，仍然有 7.5%单位感染 WannaCry 。 网站安全  2018年，奇安信网站安全检测平台共扫描检测网站 149.2万个（年度去重），存在漏洞 的网站 110.3万个（月度去重），占比为 73.9%，共扫描出漏洞 1230.4万次。其中，共 扫出存在高危漏洞的网站 23.1万个，占扫描网站总数的 15.5%，共扫描出 217.0万次高 危漏洞。  2018年全年，奇安信网站卫士共 为76.1万个网站（月度去重） 拦截各类网站漏洞攻击 32.6亿次，平均每天拦截 漏洞攻击 945.8万次。  2018年，补天平台 SRC共收录各类网站安全漏洞 21238个，共涉及 11227个网站。高 危漏洞占比为 29.7%，中危漏洞占比为 40.8%，低危漏洞占比为 29.5%。  补天平台收录的网站漏洞中，政府机构及事业单位网站的漏洞数量是最多的，占比为 19.0%；其次，教育培训网站漏洞为 18.3%，互联网行业为 11.5%。从高危漏洞网站来 看，金融行业的网站高危漏洞占比最多，均为 50.6%。  2018年，奇安信威胁情报中心在全球范围内共监测发现扫描源 IP 1400万个，累积监测 到扫描事件约 3.93亿次。全球平均每日活跃的扫描源 IP大约有 13.3万个，对应的日均 扫描事件约 107.6万起。  2018年，奇安信威胁情报中心监测到 626.2万个 IP在过去一年曾遭到过 1064.3万次 DDoS攻击，平均每天监测到 DDoS攻击 2.9万次。 工业互联网安全  从2011年-2015年， CNVD收录的工控系统漏洞数量， 呈现了一个持续的稳中有降的 态势。但在 2015年底至 2016年初的乌克兰大停电事件之后，工控系统漏洞的发现再次 进入高速增长期： 2016年191个； 2017年351个；而到了 2018年，增长到了 442个。  在2018年四大漏洞平台收录的工业控 制系统漏洞中，漏洞成因多样化特征明显，技术 类型多达 30种以上。其中，拒绝服务漏洞（ 103）、缓冲区溢出漏洞（ 54）和访问控制 漏洞 (32)数量最多，最为常见。从危险等级 看，高危漏洞占比 53.6%，中危漏洞占比为 36.4%。  从漏洞涉及到的行业来看，制造业占比最高，涉及的相关漏洞数量占比达到 30.6%，其 次是能源行业涉及的相关 漏洞数量占比 23.9%。 信息泄露  2018年1-10月，补天平台共收录可导致百万条以上数据泄露的网站漏洞 280个，约占 补天平台全年漏洞收录总数（ 18200个）的 1.5%，涉及网站 129个，共可造成 86.5亿 条数据泄露。  从可导致数据泄露的网站漏洞技术类型来看，命令执行占比最高，为 81.1%。其次为代 码执行和弱口令，占比分别为 7.9%和7.1%。  2018年1-11月，奇安信安服团队共为全国多家大中型政企机构，提供了 717次网络安 全应急响应服务，其中，涉及到数据泄露事件共 130次，占应急响应处置事件总数的 18.1%。  政企机构对网络攻击的重视程度、发现能力和主动响应的能力正在显著上升。 95.5%的 数据泄露事件是企业自行发现的 。  2018年， 抽样收集的 206起全球政企机构重大数据泄漏事件中， 13.1%为生活服务行业， 12.1%为IT信息技术， 11.7%为互联网行业。从泄露数据的原因来看， 49%的事件是由 于外部攻击导致的。从泄露的数据规模分布来看， 47.1%的事件泄露的数据规模在 100 万条以上。值的注意的是， 7.1%的事件泄露规模在 1亿条以上。  2018年， 抽样收集的 1000条暗网中关于数据交易的行业来看， 金融行业占比为 23.1%； 互联网行业占比为 16.3%；数据交易的规模来看， 10万条以上的数据占到了 46.0%；10 万至 100万条的数据占到了 23.4%；100万至 500万条的数据占到了 11.0%；500万至 1000万条的数据占到了 3.6%；1000万至 5000万条的数据占到了 8.6%；5000万到 1亿 条的数据占比为 1.4%；1亿条以上的数据，占比为 5.8%。 APT攻击  奇安信威胁情报中心在 2018年监测到的高级持续性威胁相关公开报告总共 478篇，其 中下半年报告披露的频次和 数量明显高于上半年。  2018年全球公开披露的 APT分析报告中， 被攻击目标涉及最多的 5个行业领域分别是： 军队与国防 （ 17.1%） 、 政府 （ 16.0%） 、 金融 （ 15.5%） 、 外交 （ 11.6%） 、 能源 （ 10.5%）。  在2018年，APT攻击活动几乎覆盖 全球绝大部分地区的国家和区域。 其中， 针对韩国、 中东、美国、俄罗斯、巴基斯坦等地区的 APT活动最为活跃，也被披露的最多。 应急响应事件  2018年，奇安信安服团队为全国各地多家大中型政企机构，提供了网络安全应急响应 服务，参与和协助处置各类网络安全应急响应事件 717次。  2017年和 2018年的统计数据显示，近九成的攻击事件都是政企机构自行发现并请求援 助的。 2017年6月《网络安全法》的实施后，大中型政企机构对安全事件的应急响应 重视程度大幅提高，尽早发现，尽早处置，自行响应渐成主流。  从大中型政企机构网络安全事件中的失陷区域来看， 25.3%为网站； 18.7%为内部服务 器、数据库； 17.5%为办公终端。  目前网络安全事件对机构的最常见影响有以下三类： 生产效率低下、数据丢失和破坏性 攻击。统计显示， 20%的安全事件导致了生产效率下降， 13%的事件导致数据丢失， 10% 的安全事 件对政企机构的系统造成了破坏  在2018年，奇安信安服团队现场处置的网络安全应急响应事件中，有 223个网络安全 事件背后有明显的黑产活动的影子， 189个安全事件属于敲诈勒索事件。 关键词： 终端、蠕虫、勒索、 网站安全、工业互联网、信息泄露、 漏洞、 APT、应急响应 目 录 第一章 终端安全 ................................ ................................ ................................ ............ 1 一、 攻击概况 ................................ ................................ ................................ ........................... 1 二、 蠕虫病毒攻击 ................................ ................................ ................................ .................... 3 三、 漏洞利用攻击 ................................ ................................ ................................ .................... 4 四、 勒索软件攻击 ................................ ................................ ......................