安恒信息發布2014年互聯網安全年報
責編:admin |2015-01-14 17:26:151月14日消息,今日,安恒信息正式對外發布了其2014年互聯網安全年報,對2014年整個互聯網安全行業的國內外熱點安全事件、安全漏洞、安全威脅變化以及APT攻擊做了全面的分析。以下是報告的全文:
一、2014年互聯網安全狀況總結
2014年2月27日,中央成立了網絡安全和信息化領導小組,習總書記任組長,并發表重要講話,強調“沒有網絡安全,就沒有國家安全;沒有信息化,就沒有現代化。” 顯示出最高層保障網絡安全、維護國家利益、推送信息化發展的決心。網絡安全和信息化建設已經上升為國家重大戰略。同時,習主席第一次系統、完整地提出了中國的互聯網治理觀。通過一系列舉措加快國內網絡空間法治化進程,并且通過巴西會議、首屆世界互聯網大會、中美互聯網對話等面向全球發出聲音。
2014年,也是中國互聯網歷史上有特別意義的一年。既是中國互聯網20周年的日子,也是全球網民數量突破30億的一年。中國移動互聯網用戶第一次超過PC用戶,中國互聯網第一次誕生出3000億美元的互聯網巨頭。展現網絡大國邁向網絡強國的良好態勢。
然而,2014年互聯網上大大小小的個人信息泄露事件頻發,信息安全問題比以往任何一個年份都更為突出。從2014年春運第一天12306爆用戶信息泄露漏洞,中間最嚴重的是泄露了130萬考研信息,到年底12月25日12306用戶數據遭泄露,賬號密碼身份證信息被售賣。不論是通過不安全的第三方平臺還是繼續遭受2012年年底的“泄密門”事件持續影響,過去的2014年都是數據泄密的高發持續增長期,使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,而這里面三分之二的數據泄露都與漏洞或失竊密碼有關。網民的郵箱、微博、游戲、網上支付、購物等賬號信息成為網絡犯罪分子眼中的“搖錢樹”,個人信息倒賣產業鏈已形成規模。
同時,2014年也是多個互聯網嚴重漏洞集中爆發的一年,如OpenSSL的心臟出血(Heartbleed)漏洞、OpenSSL 3.0的貴賓犬漏洞、Bash Shellshock破殼、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux內核漏洞、Synaptics觸摸板驅動漏洞、USBbad等重大漏洞先后曝光,受影響的網站、操作系統、硬件設備范圍之廣、之深,聞所未聞。
2014年我們所知的所有網絡攻擊,實際上還只是冰山一角,未來的網絡空間將出現更多錯綜復雜、有組織性甚至是由敵對國家發起的網絡襲擊。APT攻擊事件目前趨于爆發式增長,有些黑客秘密潛入重要系統竊取重要情報,而且這些網絡間諜行動往往針對國家重要的基礎設施和單位進行,包括能源、電力、金融、國防等;有些則屬于商業黑客犯罪團伙入侵企業網絡,搜集一切有商業價值的信息。
安恒信息盤點了2014年發生在全球的熱點互聯網信息安全事件,以及全年互聯網網絡漏洞與網站安全分析整理,希望能給我們的國家、機構、組織、企業,還有人民帶來安全意識的啟發,敲響網絡信息安全的警鐘。[page]2014國內互聯網安全十大熱點事件[/page]
1、2014國內互聯網安全十大熱點事件
No.1:維護網絡安全首次列入政府工作報告
2014年2月27日,中央網絡安全和信息化領導小組宣告成立,在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長,李克強、劉云山任副組長,再次體現了中國最高層全面深化改革、加強頂層設計的意志,顯示出保障網絡安全、維護國家利益、推動信息化發展的決心。而3月6日播出的央視晚間新聞《據說兩會》欄目,向全國觀眾介紹了當前我國所處的網絡安全形勢,首次將維護網絡安全列為國家安全和發展的重大戰略問題之一。
No.2:2014世界互聯網大會
以“互聯互通 共享共治”為主題的首屆世界互聯網大會于2014年11月19日至11月21日在浙江烏鎮舉辦。國家互聯網信息辦公室主任魯煒在30日國務院新聞辦舉行的發布會上表示,舉辦世界互聯網大會,旨在搭建中國與世界互聯互通的國際平臺和國際互聯網共享共治的中國平臺。世界互聯網大會也將永久會址確定在烏鎮,打造網絡空間的“烏鎮峰會”。
此次大會是我國舉辦的規模最大、層次最高的互聯網大會,據了解,有來自100個國家和地區的1000多位政要、企業巨頭、專家學者等參加。
中方呼吁國際社會齊心協力,攜手建立多邊、民主、透明的國際互聯網治理體系,共同構建和平、安全、開放、合作的網絡空間,并提出九點倡議,具體包括:促進網絡空間互聯互通、尊重各國網絡主權、共同維護網絡安全、聯合開展網絡反恐、推動網絡技術發展、大力發展互聯網經濟、廣泛傳播正能量、關愛青少年健康成長以及推動網絡空間共享共治。
與此同時,安恒信息協助本次大會安全保障部門全面參與了世界互聯網大會網絡安全技術支撐工作,在安恒信息的風暴中心,技術人員7*24小時對世界互聯網大會的網站進行實時監測,大會主會場的網絡安全保障工作也閃現著安恒專家團隊的身影。同時,作為大會新聞官網唯一網絡安全支持保障單位,安恒信息也派出了最強陣容的專家團隊駐場支持。據安恒信息世界互聯網大會網絡安全技術保障團隊統計,截止到2014年11月21日13:00世界互聯網大會結束,部署在世界互聯網大會新聞官網中的WAF防護系統共防護了277531次嚴重攻擊,大部分為SQL注入攻擊、跨站腳本、WEB組件漏洞攻擊和少量CC攻擊。
No.3:2014首屆國家網絡安全周
2014年11月24日,以“共建網絡安全,共享網絡文明”為主題的首屆國家網絡安全宣傳周啟動儀式在北京中華世紀壇舉行。此后,國家網絡安全宣傳周將于每年11月最后一周舉行。
首屆國家網絡安全宣傳周是我國第一次舉辦全國范圍的網絡安全主題宣傳活動,不僅國家有關職能部門共同參與主辦,各省、自治區、直轄市也將同期舉辦相關主題活動,在全國掀起網絡安全宣傳的高潮。
活動圍繞金融、電信、電子政務、電子商務等重點領域和行業網絡中社會公眾關注的安全熱點問題展開,舉辦網絡安全體驗展等系列主題宣傳活動,營造網絡安全人人有責、人人參與的良好氛。
No.4:2014年春運第一天12306爆用戶信息泄露漏洞
2014年鐵路春運售票第一天,在經歷了1小時宕機之后,12306鐵路客戶服務中心網站再次爆發用戶賬號串號問題,大量用戶身份證等信息遭泄露。下午15時左右,有網友爆料稱12306出現“串號”情況,登錄網站購票卻出現其他客戶信息,疑似信息遭泄露。網友們反映,登錄自己賬號后,“我的12306”下拉菜單中的“常用聯系人”中,顯示的是其他用戶的訂票信息,包括姓名、身份證號碼、手機號等信息。下午17時34分,新版12306網站出現泄露大量用戶資料的漏洞,危害等級為高。
No.5:支付寶前員工被曝販賣20G用戶資料
此則消息引發了用戶對于信息安全問題的關注,也令網絡信息販賣產業鏈浮現。一條價值較高的用戶信息甚至可以被賣至數十元。此次支付寶信息泄露中,超過20G的海量用戶信息,被支付寶員工在后臺下載并有償出售給電商公司、數據公司。
一二線電商企業本身有完善的用戶數據庫,需要進行嚴格的數據監控,防止數據泄露至黑色交易鏈。此類信息販賣產業,有的甚至采取公司的運作方式,從互聯網上購買個人或單位信息,轉賣他人獲利;通過網上購買公民戶籍、住房、車輛等個人信息為他人提供婚戀、追債、手機定位等服務項目并從中獲利;通過網上購買信息推銷產品;利用自身特殊身份盜竊、騙取公民、企業信息轉賣獲利。
No.6:DNS癱瘓致全國三分之二網站故障
2014年1月21日下午3時20分左右,全國DNS域名解析系統出現了大范圍的訪問故障,包括DNSPod在內的多家域名解析服務提供商予以確認,此次事故波及全國,有近三分之二的網站不同程度的出現了不同地區、不同網絡環境下的訪問故障,其中百度、新浪等知名網站也受到了影響。據了解,在此次故障中,多數網站被解析到了65.49.2.178這一IP地址,由于錯誤的解析,多數網站出現了訪問故障,對普通網民而言,最直接的表現就是很多網站打不開了。下午4時許,匿名者黑客團體宣布對在3時31分發生的DNS癱瘓負責。
這次DNS癱瘓除了給網民帶來負面體驗外,也普及了根服務器的概念:根服務器是是互聯網域名解析系統(DNS)中最高級別的域名服務器,目前全世界只有13臺,其中10臺在美國,另外3臺位于英國、瑞典和日本。這給我們敲響了警鐘,泱泱網民大國只有根服務器的租用權是相當危險的。
No.7:“2000萬開房信息泄露案”開審
2014年2月14日上午,“2000萬開房信息泄露事件”首例訴訟在浦東法院第一次開庭審理。原告王金龍起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驛站網絡有限公司,并要求賠償20萬元。
王金龍通過分析,完成了《上海市民信息泄露情況分析報告》,上海有86萬受害人,居全國首位。
王金龍舉例說,根據被泄露的詳盡個人信息,不法分子可能篩選出18—35歲女性,進行化妝品、母嬰產品等定向電話騷擾。更可怕的是,一旦破譯郵箱密碼,還可能獲取受害人的微博、微信賬號,向好友行騙。甚至能入侵支付寶等其他關聯賬戶,直接威脅資金安全。
實名認證的新浪微博賬戶@股社區發布了一個名為“查開房”的網址。只需輸入姓名或身份證號,即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。
No.8:攜程支付出現漏洞 導致大量用戶信用卡信息泄露
漏洞報告平臺烏云網2014年3月22日披露了攜程網安全漏洞信息,漏洞發現者稱由于攜程開啟了用戶支付服務接口的調試功能,支付過程中的調試信息可被任意駭客讀取。
在烏云披露該信息后,攜程官方表示,兩個小時內修復該問題。
該漏洞發現者稱,由于該漏洞存在,攜程安全支付日志可遍歷下載,導致大量用戶銀行卡信息泄露,包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin等。所謂遍歷(Traversal),是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問。訪問結點所做的操作依賴于具體的應用問題。
攜程表示,可能受影響用戶為3月21日與3月22日的部分交易客戶,目前并沒有因該漏洞的影響而造成相應財產損失的情況發現。
No.9:全國碩士考試報名信息遭泄露 1萬5買130萬用戶數據
某漏洞平臺報道《國內考研130W報名信息泄漏事件》并表示該漏洞導致泄露的信息正在被黑產利用。出售的用戶信息截止到2014年11月份的130萬考研用戶,而且數據已經被多次轉賣,經過與賣家了解,數據泄漏了考研用戶的姓名、手機、座機、身份證、住址、郵編、學校、專業等敏感數據。
No.10:年底12306超十萬條數據泄露
2014年12月25日,當人們還沉浸在圣誕的喜悅中,烏云漏洞平臺率先爆出大量12306用戶數據泄露,有公安部門介入調查,根據烏云漏洞平臺披露的信息,目前已知公開傳播的數據涉及用戶數為131653條,尚不清楚是否有更多用戶數據被泄露。隨后12306通過微信等多個渠道表示,“泄露信息全部含有用戶明文密碼。我網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。”
鐵路公安機關于當日晚,將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人抓獲。經查,嫌疑人蔣某某、施某某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息,嘗試登陸網站進行“撞庫”,非法獲取用戶的其他信息,并謀取非法利益。
安恒信息安全研究院對此次泄露事件進行了不同角度的解析,撞庫是利用其他泄漏的數據庫用戶密碼信息,對另外一個網站進行密碼的碰撞。如果要將6000萬條的數據跑完,每秒嘗試10次需要兩個多月時間才能完成(除非12306完全沒有請求數據限制,或者攻擊者利用了分布式的方式),也有可能只跑了一部分數據,真正能撞到的數據還有更多。
另外一個問題就是驗證碼,12306的PC端的驗證碼比較難識別,但登陸接口并非只有一個,手機APP也存在登陸接口,經過測試也沒有驗證碼。密碼只是md5進行了一次hash,這個接口登陸也不需要進行短信驗證。所以很容易利用這個接口進行撞庫攻擊。如果是撞庫,這是否也暴露出了12306對此類新型攻擊手段的防范意識與手段有待加強呢?
還有一個可能是數據庫信息之前已經泄漏了一部分,這次只是對密文密碼的碰撞所得,這樣12306日志中就監測不到相關的攻擊,目前公布的情況似乎不是這類,但是否真存在其他的地下數據庫就不得而知了。查看一下Web服務器的訪問日志應該就可以很容易確定,但在目前12306多子站安全問題頻發以及該站對撞庫攻擊應對不力的現狀來看,到底會不會存在更嚴重的數據泄露事件,還有待進一步觀察。[page]2014國際互聯網安全十大熱點事件[/page]
2、2014國際互聯網安全十大熱點事件
No.1:Windows XP停服
服役13年的微軟Windows XP系統于2014年4月8日正式“退休”。盡管這之后XP系統仍可以繼續使用,但微軟不再提供官方服務支持。對于中國數以億計的XP用戶來說,一方面是對已經使用了13年的操作系統依依不舍,一方面也對即將面臨的安全風險顧慮重重。微軟官方對此的解釋是由于系統運行周期較長,加上技術條件的落后,已經無法抵御網絡黑客和病毒的攻擊,運行環境方面存在很大的漏洞。
No.2:土耳其石油管道事件
就網絡黑客而言,入侵某一跨國企業的電腦系統是一回事,而通過入侵某一國家的民用基礎設施并引起爆炸則就完全是另一回事了,而最早發生于2008年的土耳其石油管道爆炸事件就是其中之一,這是一次具有分水嶺意義的事件。
美國《星條旗報》網站在2014年12月12日發表題為《俄羅斯和格魯吉亞戰爭僅僅幾天前,神秘的石油管道爆炸開啟了新的網絡戰時代》的文章:土耳其境內的巴庫-第比利斯-埃爾祖魯姆(Baku-Tbilisi-Erzurum)石油管道從打造之初就將安全性放在了首要位置,但這一管道的建設卻依舊沒能抵擋住來自黑客的數字戰爭。據悉,當時黑客首先入侵了該石油管理部門的網絡系統,然后安裝了一個惡意軟件,并關閉了警報、切斷了通信聯系、給管道內的原油大幅增壓。由于管道內壓力的不斷增大,該石油管道最終發生了爆炸,爆炸的火焰高度甚至高達150英尺。
對此,專門研究美國安全政策的雷維隆(Derek Reveron)博士就認為,土耳其這一事件的披露讓美國政府深感憂心,因為全美境內有著長達數千英里的原油、天然氣管道線。
No.3:伊朗黑客瞄準航空公司系統
國外知名安全機構指出,雖然來自俄羅斯的黑客動態一直都占據著科技媒體的頭條位置,但近年來來自伊朗的黑客們大有后來居上的勢頭。
這家安全機構透露稱,持續兩年的調查發現來自伊朗的黑客曾成功入侵了包括韓國、阿聯酋、巴基斯坦在內多個商業航空公司的安全系統。根據公布的這份長達86頁的報告顯示,在過去2年時間里,伊朗黑客已經直接攻擊、滲透全球多個國家的政府機關、企業和重要基礎設施的網絡,受害國家包括美國、中國、英國、德國、加拿大以及土耳其、沙特阿拉伯等16個國家。
同時,這些黑客的攻擊目標還包括了旅客的護照照片以及機場員工卡等機密內容,而這些內容的泄露將有可能幫助不法之徒輕松通過機場的安檢程序。
No.4:英國央行雇傭黑客
在IT界,大型組織常常雇傭電腦黑客已經是一個眾所周知的“秘密”了。這些特殊黑客的工作,就是對系統進行調校,以盡可能地確保公司的安全。然而,盡管這或許已經是一個常識性的東西,但卻并沒有多少公司公開談論雇傭黑客的事情。畢竟討論安全協定可以看作是有風險的。
所以2014年4月,當英國央行(Bank of England)宣布雇傭黑客來幫助其對二十多個主要銀行進行防御測試時,立刻引起了軒然大波。然而,此舉還是得到了網絡安全專業人士的認可。有人認為,英國走在了網絡保護的前沿,能夠對消費者、企業和經濟起到正面的影響作用。
No.5:愛德華·斯諾登警示社交媒體監聽
2014年,通過一名叫做愛德華·斯諾登的人持續不斷地向世人首次揭露美國國家安全局、英國國家通信總局(GCHQ)以及其他政府的監聽計劃,表明需要關注監聽的不僅僅是那些大企業。
在政府持續成為曝光主要焦點的同時,斯諾登又爆出了使用云服務、搜索引擎和社交媒體的有關風險,暗示谷歌和臉譜都與政府勾結進行監聽和提供“危險”服務。2014年7月,斯諾登又指責Dropbox公司“對隱私懷有敵意”,并是美國政府棱鏡窺探計劃的走狗。
由人民出版社出版的《美國是如何監視中國的-美國全球監聽行動紀錄》中披露,中國國內網絡安全權威技術部門檢測發現,美國思科公司的路由器存在嚴重的預置式“后門”。受到美國國安局信息監視項目-"棱鏡"監控的主要有10類信息:電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網絡資料的細節。通過棱鏡項目,國安局甚至可以實時監控一個人正在進行的網絡搜索內容。
No.6:美國通過互聯網監聽從事工業間諜活動
美國國家安全局監聽計劃的揭露給2014年的整個IT界和各國政府都蒙上了一層陰影。可以說,2014年1月愛德華·斯諾登聲稱的以民主堡壘自居的美國通過互聯網監聽從事工業間諜活動是最令人不寒而栗的事件之一。
斯諾登稱,美國的工業間諜活動所針對的不僅僅只是限于“國家安全問題”,而且還包括任何可能對美國有價值的工程和技術資料。他以德國工業巨頭西門子為例說:“如果西門子的信息符合美國的國家利益,即使這些信息與美國的國家安全沒有半毛錢關系,他們照樣還是會拿取這些信息。”
和今年的其他安全事件一樣,斯諾登的言論毫無疑問地引起了很多關于將敏感信息存儲在云端是否符合其背后邏輯的質疑。
No.7:摩根大通受攻擊波及多數美國人
網絡對摩根大通的攻擊最早發生在2014年8月,導致聯邦調查局開始調查俄羅斯政府與摩根大通被攻擊之間的關聯。然而,不管是誰發起的攻擊,事件造成了7600萬個人賬戶和700萬小企業賬戶的戶名、地址、電話和電子郵件被泄露的嚴重后果。
人們一般認為,被攻破的都是些安全措施薄弱的公司,然而眾所周知的是,摩根大通在安全保護領域有著非常完善的安全規劃并不惜投入巨資。摩根大通事件以慘痛的教訓向世界做出警示,沒有人是絕對安全的。
No.8:“攻擊世界杯行動”
四年一度的世界杯可謂讓巴西的黃綠色染遍了全球,但并非所有人都高興。2014年6月,一個名為“Anonymous巴西”的黑客組織,制定了一個名為“攻擊世界杯行動”的計劃,進行了大量拒絕服務攻擊,導致世界杯相關網站無法正常使用。該組織也是全球松散的黑客組織“Anonymous”的一部分。
在推特發布的一條信息中,上述黑客組織宣布,自從巴西世界杯開幕以來,他們已經實施了一百多次網絡攻擊,被攻擊的網站對象隸屬于巴西情報機構、世界杯贊助商現代公司巴西分公司,巴西足球協會,巴西司法部,圣保羅軍事警察機構,巴西銀行,以及Africa.com.br網站。本次攻擊行動的主要目的是對巴西的貧困現象、腐敗和警方暴力表示抗議。
No.9:蘋果iCloud安全漏洞泄漏名人裸照
蘋果公司一向以其自身設備和服務的安全而自豪,但2014年8月,隨著其iCloud服務被攻破,許多的名人信息被泄露,這個iPhone和iPad制造商也被狠狠地打了臉。事件造成數百張家喻戶曉的名人私密照片被盜,其中包括主演影片《饑餓游戲》(The Hunger Games)的明星詹妮弗·勞倫斯(Jennifer Lawrence)的裸照,蘋果公司只好加緊解決其iCloud服務的安全問題。
在這么多的企業和個人越來越愿意相信云服務的背景下,該事件向我們敲響了警鐘,那就是在云服務上存儲敏感文件可能并不像我們想象的那樣安全。將敏感資料放在云端,就要對這樣的潛在后果有所警醒。很多人可能還不知道,智能手機通常都會自動備份文件到云服務器。今天的設備都非常熱衷于將數據推送至各自的云服務器上,人們應該小心敏感資料不會自動上傳到網上或者其他配對的設備上。
No.10:索尼影業被黑
2014年11月份,索尼影視娛樂受到黑客攻擊,導致公司系統被迫關閉。這是安全聲譽欠佳的索尼繼一連串針對其PlayStation(PS)網絡的攻擊后,受到的又一次打擊。攻擊造成從包括個人信息和名人電子郵件在內的員工詳細信息到未發布的影片都被公之于眾。
美國聯邦調查局聲稱背后黑手是朝鮮,總統奧巴馬也二次發聲要打擊網絡攻擊行為。朝鮮當局呼吁成立朝美聯合調查組,并威脅如果未遂其愿的話可能導致“嚴重后果”。此事已經上升到國家政治層面。[page]2014互聯網網絡漏洞簡析[/page]
3、2014互聯網網絡漏洞簡析
根據中國國家信息安全漏洞庫統計,2014年全年互聯網新增各類網絡漏洞9118個,其中第一季度新增安全漏洞2018個;第二季度安全漏洞1910個;第三季度安全漏洞2537個;第四季度安全漏洞2653個。
從漏洞嚴重程度來看,高危漏洞占全年漏洞總數的比例為26.03%(2373);中危漏洞占全年漏洞總數的比例為65.92%(6011);低危漏洞占全年漏洞總數的比例為8.05%(734)。
No.1:漏洞頻發:關注最常被反復利用的漏洞
2014年,不論是安全研究人員、白帽子還是攻擊者大都集中在證明通過他們的努力“研究”,讓常見的可以被反復利用的漏洞或“薄弱環節”,成為擊潰我們“脆弱的互聯網”有力武器。每當互聯網發布一份新的漏洞報告時,受影響的廠商、安全從業人員和媒體往往更關注零天漏洞,此類重大新聞似乎更迫切地需要他們作出反應。然而,我們更應優先考慮的,是投入時間和資金,修補網絡攻擊者最常利用的那一小部分漏洞。其他漏洞可以通過更常規的流程進行管理。
如在心臟流血漏洞首次被公諸于眾的時候,信息安全專家曾表示,全球約有61.5268萬臺服務器存在心臟流血漏洞。一個月后,發現只有31.8239萬臺服務器存在這種漏洞,這就是說已有一半的服務器修復了這個漏洞。但是,信息安全專家在2014年6月份公布的研究結果仍然令人感到擔憂,它顯示至今仍有30.9197萬臺服務器存在這個漏洞。自從心臟流血漏洞公布以來,OpenSSL 項目已報告了在 OpenSSL 軟件中發現的其他幾個缺陷,其中一些缺陷“可能允許攻擊者創建拒絕服務條件或(在某些情況下)遠程代碼執行。”其中一些缺陷長期被人們忽視:例如,一位日本安全研究人員發現的 CCS 注入漏洞在OpenSSL 軟件中存在時間長達16 年,該安全漏洞允許攻擊者截獲并解密在互聯網中傳輸的加密數據。
根據統計,2014年全年互聯網新增各類網絡漏洞中,由常見且被反復利用的漏洞所引發的威脅中,未授權的信息泄露占比例52.64%,管理員訪問權限獲取占比20.23%。
No.2:OpenSSL爆“心臟出血”漏洞
2014年4月8日,來自Codenomicon和谷歌安全部門的研究人員,發現OpenSSL的源代碼中存在一個漏洞,可以讓攻擊者獲得服務器上64K內存中的數據內容。該漏洞在國內被譯為“OpenSSL心臟出血漏洞”,因其破壞性之大和影響的范圍之廣,堪稱網絡安全里程碑事件。
密歇根大學的一個安全研究團隊利用開源網絡掃描工具ZMap搜索存在Heartbleed漏洞的網站。研究人員完整掃描了地址空間,截至2014年4月10日2:00 PM,Alexa排名前百萬的網站中有32%支持SSL,在支持HTTPS的網站中,9%存在漏洞,31.9%安全的支持OpenSSL TLS Heartbeat Extension, 59%不支持HeartbeatExtension(不存在心臟出血漏洞),也就是在漏洞爆發的時候全球前一百萬的網站中,有40.9%的網站中招。全球第一個被攻擊通告的案例加拿大稅務局確認Heartbleed導致了900個納稅人的社會保障號被盜,這900個納稅人的社保號被攻擊者在系統中完全刪除了。
No.3:Linux“Bash”破殼漏洞大爆發
2014年9月25日,國外安全專家發現Linux系統中一個頻繁使用的片段“Bash”存在漏洞,影響目前主流的Linux系統。利用該漏洞,黑客可以遠程竊取服務器上的信息,并進一步控制服務器。
“Bash”漏洞(Shellshock)是繼今年四月的“心臟流血”漏洞之后,業界發現的首個重大互聯網威脅。由于后者所影響的OpenSSL加密軟件被用在全球大約三分之二的網絡服務器中,因此影響范圍十分廣泛。
最新的這項漏洞的威脅程度之所以堪比“心臟流血”,一定程度上是因為Shellshock所影響的Bash軟件,同樣被廣泛應用與各類網絡服務器以及其他電腦設備。
但安全專家表示,由于并非所有運行Bash的電腦都存在漏洞,所以受影響的系統數量或許不及“心臟流血”。不過,Shellshock本身的破壞力卻更大,因為黑客可以借此完全控制被感染的機器,不僅能破壞數據,甚至會關閉網絡,或對網站發起攻擊。
與之相比,“心臟流血”漏洞只會導致數據泄漏。
No.4:Struts2漏洞頻出 禍根是Apache底層代碼不嚴謹
Apache Struts2的遠程代碼執行漏洞風暴影響剛剛散去,2014年4月23日晚,國外安全人員研究發現Apache公司提供的升級版本并未完全修復漏洞,Apache Struts2在處理CVE-2014-0094的漏洞補丁中存在缺陷,會被輕易繞過,可導致任意命令執行。Struts2上次遠程代碼執行漏洞,是由于黑客通過ParametersInterceptor接口可以操控服務器運行環境中的一些對象,因此補丁中禁用了此接口,但是由于防護規則不完善,導致安全機制仍可被攻擊者繞過。建設銀行、工商銀行、中國銀行、淘寶、京東、中國移動官網等都采用Struts2框架,此漏洞對上述網站服務器構成了拒絕服務和遠程控制的威脅。
攻擊者利用此漏洞,可以遠程對目標服務器執行任意系統命令,輕則可竊取網站數據信息,重則可取得網站服務器控制權,從而造成信息泄露并給網站運行帶來嚴重的安全威脅。特別是政府、公安、交通、金融和運營商等尤其需要重視該漏洞,這些單位和機構的敏感信息泄漏有可能對國家造成沉重的打擊,甚至會違反相關的法律規定。在最近幾年APT攻擊橫行的時期,黑客早已不再以掛黑頁炫耀為目的,攻擊者可能通過該漏洞作為突破口滲透進入其內部網絡并長期蟄伏,不斷收集各種信息,直到收集到重要情報。[page]2014互聯網網站安全簡析[/page]
4、2014互聯網網站安全簡析
2011年12月21日,國內最大的開發者社區CSDN數據庫被黑客攻擊,以致600萬用戶資料外泄,由此拉開了我國互聯網史上最大規模信息泄露事件序幕。2014年網站泄密事件依然不斷升級、不斷發生,每天都有新的大型知名網站的用戶信息外泄,據不完全統計已有超過上億互聯網用戶資料泄露,絕大部分信息均為有效數據。網站泄密事故發生主要原因在于網站存在漏洞,從而遭到黑客入侵“拖庫”。這些網站設計時是允許任何人、從任何地方登陸進入訪問,因而也成為了通往隱藏在深處的重要數據的橋梁。通過安恒信息風暴中心網站安全監測平臺的統計,目前國內存在高危漏洞的網站約占 35 %,中危漏洞的網站約占 45%,低危漏洞的網站約占 62%,而相對比較安全的網站只有 23%。
目前國內網站存在最多的高危風險的漏洞包括了sql注入、跨站腳本攻擊、網站弱口令等漏洞;中危風險的漏洞是備份文件、目錄遍歷漏洞;低危風險的漏洞是trace等漏洞。
攻擊者在實際操作中往往會先開始尋找目標網站的薄弱環節,如開源的代碼、廢棄的舊網站、開發人員的錯誤、盲目信任的用戶。攻擊者都在竭力尋找這些薄弱環節,并最大限度地加以利用。通常攻擊者不用花費多少時間和精力就能找到這些薄弱環節,并利用多個不同類型的漏洞對網站進行攻擊,包括運用社會工程學手段、目錄遍歷、網站弱口令破解等方式,達到其入侵和滲透目的。
(1)、電子政務:網站安全任重道遠
根據安恒信息在2014年電子政務網站安全隨機檢查中,對國家部委、中央企業以及10個省市的重點政府網站進行安全檢查工作,檢查網站總數為5023個,發現675個網站存在安全漏洞,占被抽查網站總數的11.10%,存在高危漏洞的網站有366個,占3.12%;中危漏洞的網站有2572個,占21.95%;低危漏洞數量有8778個,占74.92%。如下圖所示:
▲全國政府網站安全抽查網站安全狀況
▲全國政府網站安全抽查漏洞等級分布情況
(2)、網站篡改:仍以網絡暗鏈為主要攻擊手段
在眾多的網絡攻擊方式中,網頁篡改是比較淺層的攻擊手段,而我國相對滯后的網站建設卻使之成為攻擊網站的主要技術手段之一。
依照攻擊方式,網頁篡改可以分成顯式篡改和隱式篡改。通過顯式網頁篡改,黑客可炫耀自己的技術和技巧,或達到聲明自己主張的目的;隱式篡改則一般是在被攻擊網站的網頁中植入暗鏈,這些暗鏈往往被鏈接到色情、詐騙等非法信息,可幫助黑客謀取非法經濟利益。為了篡改網頁,黑客一般需提前知曉網站的漏洞,提前在網頁中植入后門,并最終獲取網站的控制權。
2014年,網絡暗鏈在安恒信息風暴中心互聯網大數據監控平臺的網頁篡改中居于領先位置。所謂暗鏈攻擊,是指黑客通過隱形篡改技術在被攻擊網站的網頁植入暗鏈,這些暗鏈往往被非法鏈接到色情、詐騙、甚至反動信息。
2014年,安恒信息風暴中心網站安全監測平臺發現國內被篡改的網頁數量為134346個。國內被篡改網頁的月度統計情況如下圖所示,統計包含網站被植入暗鏈的情況:
2014年我國境內被植入暗鏈網站按地域類型前十位分布情況如下圖示,篡改頁面總量達到99017個,其中北京、廣州、江蘇三省市被篡改頁面居全國前三。
(3)、網站漏洞:SQL注入仍是網站安全頭號威脅
為了篡改網頁植入暗鏈盜取數據,黑客一般需提前知曉網站的漏洞,提前在網頁中植入后門,并最終獲取網站的控制權。作為現在互聯網Web應用系統最經常被利用且影響最嚴重的漏洞,SQL注入漏洞和XSS跨站腳本漏洞仍然是年互聯網安全威脅的重要攻擊方式,WebDev和Strurs2漏洞威脅依然存在于較多的政府網站與商業網站。
2014年我國境內被SQL注入漏洞攻擊網站按地域類型分布排名前十位的省份如下圖所示。
2014年我國境內被XSS跨站腳本漏洞攻擊網站按地域類型分布排名前十位的省份如下圖所示。
2014年我國境內被WebDev漏洞攻擊網站按地域類型分布排名前十位的省份如下圖所示。
2014年我國境內被WebDev漏洞攻擊網站按地域類型分布排名前十位的省份如下圖所示。
[page]網絡安全形勢分析[/page]
二、網絡安全形勢分析
1、網絡空間安全威脅階段和當前形勢
隨著互聯網和信息技術的發展趨勢,存在信息網絡當中的“安全”成為關乎國家安全的重要問題,國際上信息科技發達國家進入了網絡空間的戰略集中部署階段,網絡安全的邊界概念被模糊化,各種安全威脅不斷被放大和演變,網絡的安全形勢日益復雜嚴峻。
▎各國加速網絡安全戰略部署
美國從90年代后期開始注重關鍵基礎設施來自網絡空間的威脅,并先后制定出成熟的國家網絡空間安全戰略,主要戰略性文件包括《網絡空間安全國家戰略》、《網絡空間國際戰略》和《網絡空間行動戰略》。
在美國的示范效應作用下,先后有50多個國家制定并公布了國家安全戰略。歐盟委員會在2014年2月公報中強調網絡空間治理中的政府作用;習近平在巴西會議上第一次提出信息主權,明確“信息主權不容侵犯”的互聯網信息安全觀。日美第二次網絡安全綜合對話結束,兩國在網絡防御領域的合作將進一步強化;中日韓建立網絡安全事務磋商機制并舉行了第一次會議,探討共同打擊網絡犯罪和網絡恐怖主義,在互聯網應急響應方面的建立合作。
▎網絡安全威脅隱患不容忽視
木馬病毒、釣魚詐騙、僵尸網絡、分布式拒絕攻擊(DDOS攻擊)、高級持續威脅攻擊(APT攻擊)等成為當今網絡主流的攻擊方式,并呈現愈演愈烈的趨勢。云端惡意代碼樣本已從2005年的40萬種增長至目前的60億種,全球惡意代碼樣本數目正以每天可獲取300萬個的速度增長,繼“震網”和“棱鏡門”事件之后,網絡基礎設施又遇全球性高危漏洞侵擾,“心臟出血”漏洞威脅我國境內約3.3萬網站服務器,Bash漏洞影響范圍遍及全球約5億臺服務器及其他網絡設備,基礎通信網絡和金融、工控等重要信息系統安全面臨嚴峻挑戰。
▎解析Blackhat 2014峰會,展望未來安全趨勢
Blackhat 2014峰會解密了無線、物聯網、移動終端、操作系統、大數據等十大領域的安全漏洞,頂級黑客在演示活動中施展破解大法,也凸顯現實世界安全風險之大。比如,號稱最安全的安卓智能手機在5分鐘內就被破解;澳洲黑客無需任何硬件;僅利用無線技術就在短時間內破解汽車系統。還有專家在會上指出,全球有超過20億個移動設備安裝了含有漏洞的遠端管理程序,而黑客能借此獲得權限,在移動設備上安裝惡意程序或存取機密信息。
黑客技術不斷創新,針對受眾的攻擊面迅速擴大,攻擊技術更加智能、隱蔽,信息安全議題的受關注程度前所未有,可以說–安全隱患無處不在!
隨著互聯網和移動互聯技術在全球迅速普及,人們工作生活的方方面面被“一網打盡”,但網絡環境日趨復雜,面對高速增長的數據信息量、移動應用端的普及,以及病毒和黑客不斷變化的入侵方式,預計未來的信息安全重點將聚集在云安全、物聯網、移動終端、數據存儲安全方面。
2、我國網絡空間安全現狀
我國信息網絡蓬勃發展,互聯網絡規模不斷擴大,應用水平不斷提高,網絡應用形勢呈現多樣化,成為推動社會進步和經濟發展的巨大動力。伴隨著信息網絡快速增長的步伐,也出現了不少迫切需要解決的問題,尤其是當前網絡立法系統性不強、及時性不夠和立法規格不高,物聯網、云計算、大數據等新技術新應用、數據和用戶信息泄露等的網絡安全問題日益突出。
CNCERT監測數據和通信行業報送信息,我國互聯網仍然存在較多網絡攻擊和安全威脅,不僅影響廣大網民利益,妨礙行業健康發展,甚至對社會經濟和國家安全造成威脅和挑戰。
▎政府網站成為信息安全威脅的重災區
地方政府網站是黑客攻擊的“重災區”, 2014年我國境內被篡改和被植入后門的政府網站中,超過90%是省市級以下的地方政府網站。我國政府網站頻繁遭受黑客組織攻擊。
▎網絡設備成黑客入侵后門
國家互聯網應急安全中心指出部分路由器廠商的產品留有“后門”,這些“后門”一旦被黑客利用,用戶的信息和財產安全將受到威脅。本來這些“后門”是在路由器出廠時為了以后廠家調試和檢測使用,而黑客一旦發現并侵入該“后門”后,可以直接對路由器進行遠程控制,劫持用戶路由器。越來越多與人們生活密切相關的信息匯聚到網絡,存在嚴重泄露風險,可能給傳統社會的信任機制帶來挑戰。
▎有組織攻擊頻發,我國面臨大量境外攻擊威脅
國家級有組織網絡攻擊頻發,我國部分重要網絡信息系統遭受滲透入侵, CNCERT 監測發現境內 1.5 萬臺主機被 APT 木馬控制。境內1090多萬臺主機被境外控制服務器控制,主要分布在美國、韓國和中國香港,其中美國占 30.2%,控制主機數量占被境外控制主機總數的 41.1%。
▎移動互聯網環境有所惡化
僅2014上半年,新增移動互聯網惡意程序就超過36.7萬,移動惡意程序99%以上針對安卓平臺,惡意扣費類程序占到62%以上,超過300家應用商店存在移動惡意程序。手機應用商店、論壇、下載站點、經銷商等生態系統上游環節污染,下游用戶感染速度加快。
3、移動互聯網的安全現狀
據中國互聯網絡信息中心(CNNIC)的第34次互聯網報告顯示,截至2014年6月,我國手機網民規模達5.27億,較2013年底增加2699萬人,網民中使用手機上網的人群占比進一步提升,由2013年的81.0%提升至83.4%,手機網民規模首次超越傳統PC網民規模。移動上網設備以其快捷、方便的特點成為了人們生活中不可或缺的一部分。移動應用App取代瀏覽器成為人們上網的最主要入口;2014年,中國移動互聯網用戶平均每天啟動App的時長達116分鐘,接近2小時,移動互聯網用戶的App使用呈現高集中度,經常使用1-5個的App占比最大,接近一半。但移動設備的安全問題也越來越成為關注的焦點。2014年中國計算機網絡安全年會發布的《2013中國移動互聯網環境治理報告》顯示:2013年,中國移動互聯網網絡安全狀況整體評價等級為“危”,是五級網絡安全狀況中的最危險級別!隨著App的快速增加,惡意程序也呈井噴式增長。2013年,我國境內感染移動互聯網惡意程序的用戶數量超過609萬。
2014年,國家互聯網應急中心在2014中國互聯網大會上發布了《2014年上半年移動互聯網環境治理報告》中發布的新數據,更是引起了人們的注意:新增移動互聯網惡意程序超過36.7萬,移動惡意程序99%以上針對安卓平臺,惡意扣費類程序占到62%以上,超過300家應用商店存在移動惡意程序……
釣魚、病毒植入、非法竊取信息、盜版、篡改版,涉嫌采集用戶包括聯系人、通話記錄、手機位置、手機識別碼等隱私信息的產品,可以說充斥著整個市場。惡意應用大量泛濫,到2014年底惡意App數量將突破300萬;手機應用商店、論壇、下載站點是傳播移動互聯網惡意程序的主要來源。
綜上所述,為凈化移動互聯網的應用環境,構建移動應用(APP)自身的立體防護體系,將是移動互聯網網絡信息安全的源頭和重中之重。
[page]2014網絡安全熱點問題[/page]
三、2014網絡安全熱點問題
1、威脅由網絡層轉向應用層
如今,許多行業用戶將大量有價值的客戶數據存儲于在線數據庫,通過網絡應用與外界交互。不論是電子政務、通信、金融、電子商務抑或是小小的個人博客,基于Web和數據庫的應用系統已經逐漸成為主流。在我們享受這些信息系統帶來便利的同時,也必須正視其帶來的安全和威脅:
(1)隨著Web應用系統不斷地建設及陸續投入運行,這些Web應用程序所帶來的安全漏洞越來越多;
(2)使用者安全意識的培養跟不上Web應用的普及速度,加上Web應用本身的粗放式特點,使攻擊成為了簡單的事情;
(3)目前基于Web的各種應用直接承載有各類虛擬資產,而這類虛擬資產可以方便的轉換為現實經濟價值。很顯然,此類應用系統將會成為以經濟利益為驅動的攻擊首選;
(4)隨著技術的不斷提高,攻擊工具日益專業化、易用化、攻擊方法也越來越復雜、隱蔽,防護難度較大、導致各類攻擊者活動越來越猖獗;
然而與之形成鮮明對比的卻是:原有安全解決方案無一例外的把重點放在網絡層,致使當應用層攻擊(如:SQL注入攻擊、跨站腳本攻擊、惡意代碼等等)發生時,傳統的網絡層安全設備,如防火墻、IDS/IPS等形同虛設,根本無能為力。根據Gartner的報告,目前網絡中常見的攻擊已經由傳統的系統漏洞攻擊逐漸發展演變為對應用自身弱點的攻擊,其中最常見的攻擊技術就是針對Web應用的SQL注入和釣魚攻擊。據安恒信息風暴中心的統計顯示,國內網站安全性令人擔憂:65.5%的網站存在安全漏洞,其中,29.2%的網站存在高危安全漏洞;8.7%的網站遭到篡改,33.7%的網站被植入了后門。平均每天有 3500 多家網站遭到 35 萬次的各類漏洞攻擊;每天有超過 600 余家網站遭到 1180 多萬次的流量攻擊。政府網站是漏洞攻擊的首要目標,而企業網站則是流量攻擊的首要目標。跨站腳本漏洞和 SQL 注入漏洞這兩類高危安全漏洞仍然是占比最高的網站安全漏洞, 二者之和超過網站所有漏洞檢出總次數的一半。
2、網絡攻擊趨勢變化
當前攻擊者也由過去的單兵作戰,無目的的攻擊轉為有目的、有針對性的攻擊,并且形成一整套以攻擊者為中心的“傳、攻、銷”的經濟產業鏈。境外情報機構、企業公司和犯罪團伙都愿意付錢買下有關安全漏洞——以及如何加以利用——的信息。各種信息網絡犯罪每天充斥在我們生活當中,信息網絡犯罪已經達到了一個前所未有的高度,違法犯罪類型和形式趨于多樣化、隱蔽化、復雜化。那么如今的信息網絡犯罪攻擊技術已經達到什么樣的程度了呢?
(1)Web應用安全與數據泄漏
從2014年春運第一天12306爆用戶信息泄露漏洞,年中最嚴重的是泄露了130萬考研信息,到年底12月25日12306用戶數據遭泄露,賬號密碼身份證信息被售賣。不論是通過不安全的第三方平臺還是繼續遭受2012年年底的“泄密門”時間持續影響,過去的2014年都是數據泄密的高發持續增長期,使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,而這里面三分之二的數據泄露都與漏洞或失竊密碼有關。
攻擊者的目標明確、趨利化特點明顯,針對不同Web應用網站所采用的攻擊手段不同,攻擊者入侵一個目標站點的時候,首先會看該站點是否存在利益價值。目前攻擊者的商業攻擊主要針對在線購物網站、社交網站、網絡游戲、大型論壇、慈善機構、電子政務、金融證券網站等網站。比如攻擊者可以通過入侵缺乏防護措施的政府網站掛“黑鏈”,因為政府網站在搜索引擎中占據的權重較高,攻擊者可以通過植入腳本木馬進行網頁篡改,將自己指定的網站或代碼插入到政府網站的正常頁面中,從而提供其在搜索引擎中的排名靠前并盈利。
現在的大型網站一般都使用第三方開發公司的商業網站管理內容系統,雖然一般情況下這些商業網站每年也會聘請安全服務機構進行安全風險評估,部署大量安全產品,但是狡猾的攻擊者會繞道先攻擊網站的開發商,獲取到商業網站管理系統的源碼,然后進行分析挖掘漏洞,再轉回頭攻擊之前的目標商業網站。同時攻擊者會利用挖掘到的商業漏洞攻擊其他商業網站或者出售該漏洞。
攻擊者們通過入侵各個站點,把這些站點的用戶數據庫整體下載下來,這個叫做“拖庫”;然后再把這些數據庫里的個人信息拿來進行網絡詐騙或者層層出售,這個叫做“洗庫”;最后攻擊者們通過某些渠道相互共享出來,找到各自用戶信息的共同點和關聯之處,取得完整用戶的完整個人信息,再用這些信息進一步去嘗試其他攻擊目標網站或者個人,這個叫做“撞庫”,最后偷取用戶游戲賬號、銀行賬號、證券交易賬號、密碼等,竊取用戶的私有財產。
(2)0day攻擊
根據路透社的報告,在一個蓬勃發展的由攻擊者和安全公司開發和銷售入侵工具的灰色市場,美國政府是“0day”漏洞最大的買家。路透社稱,“私營公司雇傭了專業技術人員和開發人員來發現漏洞,開發利用漏洞的代碼,之后拿到市場上去賣。這些0day漏洞起價5萬美金。影響漏洞價格的因素包括漏洞所利用的商業系統的裝機量以及漏洞能在多長時間內不被公開。
挖掘軟件漏洞,在網絡安全中是一個古老的技藝,世界上第一個蠕蟲病毒“莫里斯蠕蟲”就是病毒制造者莫里斯通過挖到的UNIX漏洞進行傳播的。現在越來越多的破解者和攻擊者們,已經把目光從率先發布漏洞信息的榮譽感轉變到利用這些漏洞而得到的經濟利益上,互聯網到處充斥著數以萬計的充滿入侵激情的腳本小子,更不用說那些以竊取信息為職業的商業間諜和情報人員了。于是,0day有了市場。
國外很早就有了0day的網上交易,攻擊者們通過網上報價出售手中未公開的漏洞信息,幾年前,攻擊者通常會將漏洞信息出售給微軟和蘋果等公司,然后由它們去修復。由于政府機構愿意付出更高的價格購買0day漏洞,迫使微軟提高價格至最高15萬美元。有兩位意大利攻擊者,他們將找到的0day漏洞細節出售給美國政府的安全機構如NSA及其對手伊朗革命衛隊。
同時,攻擊者也會利用白帽攻擊者和專業安全研究人員分享的研究成果,并通過分析的代碼或者測試程序改制成惡意軟件。
當今的互聯網,病毒、蠕蟲、僵尸網絡、間諜軟件、DDoS猶如洪水般泛濫,所有的這一切都或多或少地從0day走過,但不管怎樣,0day帶來的潛在經濟利益不可抹殺,而其將來對信息安全的影響以及危害也絕不能輕視。
(3)網絡攻擊工具逐漸齊全
Metasploit是一個免費的、可下載的框架,通過它可以很容易地獲取、開發并對計算機軟件漏洞實施攻擊。它本身附帶數百個已知軟件漏洞的專業級漏洞攻擊工具。當H.D. Moore在發布Metasploit時,它的發布在安全界引發了強烈的地震,甚至有人把它形容成“可以黑掉整個星球”。仿佛一夜之間,任何人都可以成為攻擊者,每個人都可以使用攻擊工具來攻擊那些未打過補丁或者剛剛打過補丁的漏洞。軟件廠商再也不能推遲發布針對已公布漏洞的補丁了,這是因為Metasploit團隊一直都在努力開發各種攻擊工具,并將它們貢獻給所有Metasploit用戶。
經驗豐富的攻擊者一般都喜歡使用一些網絡攻擊工具來提升自己的攻擊效率,而這些工具的使用,只需要非常少的技術,另外,開發人員通常將這些工具做為合法的滲透測試工具在攻擊者論壇或他們的網站上免費提供。通過最近幾年網絡安全技術的快速發展,網絡攻擊工具也有了新的發展趨勢。
比如現在攻擊工具的自動化水平不斷提高。以前,安全漏洞只在廣泛的掃描完成后才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分,從而加快了攻擊的傳播速度。在2000年之前,攻擊工具需要人來發動新一輪攻擊。現在,攻擊工具可以自己發動新一輪攻擊,比如震網病毒主要利用Windows系統漏洞實施攻擊和傳播,具有極強的復制能力和明確的攻擊目標,一旦成功感染系統就會自動傳播給其他與之相連的電腦,最后造成大量網絡流量的連鎖效應,導致整個網絡系統癱瘓。
攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比,攻擊工具的特征更難發現,更難利用特征進行檢測。
攻擊工具具有三個特點:反偵破,攻擊者采用隱蔽攻擊工具特性的技術,這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多;動態行為,早期的攻擊工具是以單一確定的順序執行攻擊步驟,今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理,來變化它們的模式和行為;攻擊工具的成熟性,與早期的攻擊工具不同,目前攻擊工具可以通過升級或更換工具的一部分迅速變化,發動迅速變化的攻擊,且在每一次攻擊中會出現多種不同形態的攻擊工具。此外,攻擊工具越來越普遍地被開發為可在多種操作系統平臺上執行。
(4)APT攻擊
高級持續性威脅(Advanced Persistent Threat,APT),威脅著企業的數據安全。APT是攻擊者以竊取核心資料為目的,針對客戶所發動的網絡攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃,并具備高度的隱蔽性。APT的攻擊手法,在于隱匿自己,針對特定對象,長期、有計劃和有組織地竊取數據,這種發生在數字空間的偷竊資料、搜集情報的行為,就是一種“網絡間諜”的行為。
APT入侵客戶的途徑多種多樣,主要包括以下幾個方面。
——以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。
——社會工程學的惡意郵件是許多APT攻擊成功的關鍵因素之一,隨著社會工程學攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。攻擊者剛一開始,就是針對某些特定員工發送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
——利用防火墻、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。
總之,高級持續性威脅(APT)正在通過一切方式,繞過基于代碼的傳統安全方案(如防病毒軟件、防火墻、IPS等),并更長時間地潛伏在系統中,讓傳統防御體系難以偵測。
(5)移動互聯網安全
為什么很多單位開會的時候不允許帶手機?因為手機有可能變成竊聽器。如果你手里拿著的是一部已經感染了惡意代碼的智能手機,那么你接聽和撥打的所有電話,都將被惡意代碼控制者掌控,而作為普通手機用戶的你,完全看不出任何端倪。
如今,人們的信息交流開始越來越多地由PC轉向手機,然而,隨著移動互聯網的快速發展,固定互聯網上原有的惡意程序傳播、遠程控制、網絡攻擊、垃圾郵件等網絡安全威脅也快速地向移動互聯網蔓延。這些惡意程序往往在用戶不知情的情況下竊取用戶個人信息,誘騙用戶上當受騙,造成用戶的經濟損失。移動互聯網已經被各種病毒、木馬、惡意代碼等攻擊行為全面侵襲——手機上的木馬可以控制調取通訊錄、短信,可以對通話進行錄音,然后把錄音傳到控制端去,還可以偽造朋友給機主發短信,或者偽造機主身份給朋友發短信……
因此,對移動互聯網惡意程序進行有效的防范和控制,不斷提高移動智能終端的安全能力,關系到我國移動互聯網的健康發展和對廣大移動互聯網終端用戶合法權益的保護。
(6)智慧城市面臨的新型信息安全威脅
智慧城市是一項甚為復雜的大型系統工程,隨著三網融合、兩化融合的深入推進,物聯網、云計算、大數