英特尔处理器曝出漏洞,代码托管网站GitHub遭遇大规模DDoS攻击,Facebook超5000万用户信息遭泄露……2018年网络安全领域依旧波诡云谲。近日,国家互联网应急中心(CNCERT)发布了《2018年中国互联网网络安全报告》,这份报告显示,我国网络安全应急响应能力不断提升,恶意程序感染、网页篡改、网站后门等传统的安全问题得到有效控制,全年未发生大规模病毒爆发、网络瘫痪等重大事件。但网络无国界,关键信息基础设施、云平台等新兴技术领域面临的安全风险仍较为突出,APT攻击、数据泄露等安全风险仍然存在。
基础设施:价值越高风险越大
当前,应用广泛的基础软硬件安全漏洞不断被披露,具有特殊目的的黑客组织不断对我国关键信息基础设施实施网络攻击,我国关键信息基础设施面临的安全风险不断加大。2018年,APT攻击活动持续活跃,我国多个重要行业遭受攻击。随着关键信息基础设施承载的信息价值越来越高,针对国家关键信息基础设施的网络攻击将会愈演愈烈。
这份报告提醒,医疗、传媒、电信等国家服务性行业正面临越来越多的APT攻击风险。APT攻击组织采用的攻击手法主要有鱼叉邮件攻击、水坑攻击、网络流量劫持或中间人攻击等,其频繁利用公开或开源的攻击框架和工具,并综合利用多种技术以实现攻击,或规避与历史攻击手法的重合。
针对特定工业系统的攻击越来越多,并多与传统攻击手段结合, 针对国家工业控制系统的攻击日益呈现出定向性特点。例如恶意软件Trisis利用施耐德Triconex安全仪表控制系统零日漏洞,攻击了中东某石油天然气工厂,致其停运;恶意软件Grey Energy主要针对运行数据采集与监视控制系统软件和服务器的工业控制系统工作站。抽样监测发现,2018年我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数显着提高,虽未发生重大安全事件,但需提高警惕,引起重视。
目前,我国5G、IPv6规模部署和试用工作正在逐步推进,关于5G、IPv6自身的安全问题以及衍生的安全问题值得关注。5G技术的应用代表着增强的移动宽带、海量的机器通信、超高可靠及低时延的通信,与IPv6技术应用共同发展,将真正实现万物互联,互联网上承载的信息将更为丰富,物联网将大规模发展。但重要数据泄露、物联网设备安全问题目前尚未得到有效解决,物联网设备被大规模利用发起网络攻击的问题将更加突出。
云服务:承载越多责任越重
近年来,云作为互联网基础设施在我国迅速发展,越来越多的业务场景逐步向云端迁移。在当前云服务使用过程中,云服务商和云用户对云的安全性(即避免危害云的网络攻击)和可控性(即避免利用云发起网络攻击)关注较少。
对危害云的网络攻击事件进行分析可以发现,针对云的DDoS攻击、后门攻击、网页篡改、木马或僵尸网络感染等是高危事件。数据显示,2018年11月至12月,20家境内云遭受DDoS攻击次数占境内目标被攻击次数的69.2%;被植入后门的数量占境内被植入后门数量的51.6%;被篡改网页占境内被篡改网页的58.3%;受木马或僵尸网络控制的IP地址数占境内全部受木马或僵尸网络控制的IP地址数的1.3%。
虽然境内云IP地址感染木马或僵尸网络的概率较低,但是,在网络攻击事件中境内云成为攻击的重灾区,其被攻击事件占境内被攻击事件的比例相对较高。一方面,因为云上承载业务和数据越来越多、越来越重要,使得针对云的攻击日益增多;另一方面,相比传统企业,云用户对网络安全防护重视不够。
利用云发起网络攻击的事件主要包括利用云发起或参与的DDoS攻击、植入网站后门、网页挂马、控制木马或僵尸程序等高危事件。数据显示,2018年11月至12月,黑客利用20家境内云IP地址参与了80.1%的针对境内目标的DDoS攻击;对外植入网站后门数占境内IP地址对外植入网站后门数的39.4%;承载恶意代码种类占境内网站承载恶意代码种类的53.7%;木马或僵尸网络控制端IP地址控制的肉鸡IP地址数占境内控制端IP地址控制的肉鸡IP地址数的59%。
越来越多的黑客利用云主机作为跳板机或控制端进行网络攻击,一方面是因为云服务使用具有便捷性、可靠性、低成本、高带宽、高性能等特点,另一方面是因为云网络流量复杂,便于黑客隐藏真实身份。因此,云服务商和云用户应加大对网络安全的重视和投入,分工协作构建网络安全纵深检测防御体系,保障云的安全性和可控性。
数据:规模越大影响越深
2018年3月,Facebook公司被爆出大规模数据泄露。2018年5月25日,欧盟颁布“史上最严”的个人数据保护条例《通用数据保护条例》(GDPR),提出重点保护的是自然人的“个人数据”,例如姓名、地址、电子邮件地址、电话号码等。该条例实施三天后,Facebook和谷歌等美国企业成为第一批被告,这不仅给业界敲响了警钟,也督促更多企业投入精力保护数据尤其是个人隐私数据的安全。
对此,国家互联网应急中心副主任兼总工程师云晓春表示,数据安全是一个全新的领域,近些年数据安全事件的积累也暴露出数据安全保障的问题,他建议应在以下三个领域提升应对能力。
一是数据滥用和泄露问题。我国目前正在持续推进建立和完善数据安全管理制度,但仍面临数据运营者难以掌握、数据安全事件难以预警、数据安全隐患难以评估的难点。对此,CNCERT提出了几个关键技术:全网探测和网络空间测绘能解决数据运营者难以发现和掌握的问题,失窃密检测能解决数据安全事件预警的问题,数据安全保障评估能发现和挖掘设备的数据安全隐患和漏洞,解决因漏洞引起的数据泄露问题。
二是人工智能带来的数据安全隐患。首先要掌握大数据运营者的大规模数据动向,及时发现大数据收集者,从多维度对其进行行为刻画,智能分析其行为线索。其次要根据行为线索圈定大数据恶意营销对象,对潜在的恶意营销行为进行预警和及时制止。
三是重要数据跨境流动问题。数据出境管理面临三个问题,一是缺乏重要数据分类和识别的指导方法,二是数据的违规流转行为难以发现,三是数据出境的安全态势没有体系进行分析评估。对此,CNCERT构建了出境安全态势分析的方法体系,开展了生物、医疗和个人信息等行业的数据出境安全管理示范。