何能強:2016中國網絡安全態勢
責編:mhshi |2017-06-15 11:10:09何能強:非常感謝中國網絡安全大會的邀請,我們每年也會主辦中國網絡安全的年會,今年是在5月份,在我們山東的青島,參會人數也超過1千人,在這里也祝賀中國網絡安全大會今年能夠成功舉辦,并且越辦越好。今天我的報告是2016年我國互聯網網絡安全態勢。
首先簡單一下2016年中國互聯網網絡安全的態勢,2016年網絡發展比較態勢,網絡安全態勢總體平穩,法制化進程邁出了實際的步伐,面臨的網絡安全形勢依然十分嚴峻。去年可以看到,中國互聯網的網民達到了7.3億,手機的網民達到了6.95億,注冊域名的總數0.42億,網站482個。去年發布了“十三五”的綱要,明確提出了實施網絡強國的安全戰略,要求加速發展建設數字中國,推動信息技術和設備發展深度的融合,同時加強信息化經濟發展的建設。去年我們知道,習總書記召開了網信工作的座談會,同時也發布了“十三五”的國家網絡安全空間戰略。從這里我們可以看出來,法制化的進程在2016年邁出了實質性的步伐。總體看來,我國2016年互聯網的安全態勢總體平穩,沒有出現重大的網絡安全的事件,我們也可以看出來,網絡形勢不容樂觀。一方面2016年是“十三五”的開局之年,網絡空間的發展大幅發展,另外一方面,也存在著很多網絡安全方面的問題,信息技術的創新和發展,伴隨著新型的網絡安全的威脅,同時網絡與互聯網傳統行業的深度融合,也使得原來相對封閉的傳統行業暴露在互聯網的空間之內,面臨很多互聯網安全的問題,所以導致攻擊事件的層出不窮。
接下來介紹一下網絡安全的監測事件。木馬和僵尸網絡的情況,去年國內大概有9.7萬個木馬和僵尸網絡的控制服務器控制了全國1699萬臺的主機,控制服務器在2016年下降了8%,近5年來我們可以看到這個趨勢是一個總體平穩向好的發展趨勢。去年我們發現了控制規模在10萬臺以上的控制端有52個,控制規模在5萬臺以上的控制服務器有84個,在2萬臺規模以上的控制服務器有174個,1千臺以上的總共加起來有1318個。這里面我們會根據控制規模的大小去關停這些控制僵尸網絡的主控服務器,去年我們就關閉了1011個控制規模較大的這種僵尸網絡。從這里面我們看出來,僵尸網絡這些控制服務器的地域分布,最多是在廣東,再一個是在江蘇,還有是在山東。可以看出來,這些僵尸網絡的控制服務器主要集中在東南沿海和經濟較為發達的這些地區。
這是我們去年處置的一個比較大型的僵尸網絡叫GillGates僵尸網絡。從這張圖我們可以看出來,我們內部管這張圖叫花團錦簇,名字比較好聽,這里面每一個團是一個小型的僵尸網絡。中間的黑點代表的是這個小型僵尸網絡的主控節點。從這里面我們看到,總體上來說是一些小型的僵尸網絡,構建成了一個大的僵尸網絡,其中每個小團里面的黑點是每個小型僵尸網絡的主控節點。這是我們監測到的一個大概的情況,我們對BillGates這個僵尸網絡進行了處置。這是處置后的一個結果,我們看到跟原來的僵尸網絡對比可以看出來很多的這種小型的僵尸網絡已經被打掉了,但是還會出現一些新的小的僵尸網絡,這也是對我們未來的工作提出了更高的要求。
我們來關注移動惡意程序的數據。去年我們通過自主監測和樣本交換一共拿到了205萬個惡意程序的樣本,2015年增長了39% ?。其中相關的惡意程序的下載連接有67萬余條,是2015年的1.2倍。這些鏈接被網民在了1.24億次,增長了48%。下面這張圖是我們發現的惡意程序的數量增長趨勢。
去年通過偽基站發送短信,以相冊名義來誘騙用戶下載的惡意程序是特別多的,去年一共發現了有4.7萬個惡意程序的樣本,感染用戶超過100多萬,傳播惡意程序的域名有6045個。這些惡意程序主要是用來竊取用戶的短信和通訊錄。通過這些惡意程序,總共泄漏用戶的短信通訊錄的郵件有222萬封。利用這些用戶的短信和通訊錄的信息,黑產的從業人員就可以對這些受害者進行畫像,可以根據他收到的短信,就知道他登記了哪些銀行卡,平時跟哪些人聯系,親戚有什么,是不是有小孩,有小孩的話,是不是可以再通過這種成績單、體檢,類似于各式各樣的這種社會工程學的攻擊去攻擊這些受害者。
面對這些惡意程序,我們會通知應用商店下架。這是2016年我們通知各個平臺下架惡意程序的排名情況,我們發現的惡意程序最多是存在一個網盤,就是云平臺上,叫七牛的這樣一個網站。接下來像百度、安智、阿里云和斯凱網絡,有的是應用商店,有的是一些平臺,還有的是廣告平臺。從這里我們可以看到,去年總共有141家的網站存在傳播惡意App的情況。雖然我們通知下架的數量較2015年下降了47.8%,只有8910個。但是這里通過這種非正規應用商店的渠道傳播惡意程序的現象越來越嚴重,這也說明目前黑產從業者可能覺得應用商店去發布惡意程序的難度比較大,所以把目光轉移到了像云盤、廣告平臺這種檢測相對不那么嚴格的渠道去發布惡意程序。
拒絕服務攻擊,它的來源我們在2016年主要看到是有4個方面,一個是傳統的這種PC,還有這種服務器的僵尸網絡,還有就是剛才微軟和騰訊提到的物聯網的新興智能設備的僵尸網絡,還有就是偽造源地址的DDoS攻擊,還有域名放大的攻擊。2016年我們發現1G以上的DDoS攻擊事件有452起,較2015年下降了60%。去年也發生了多起500G以上的攻擊事件,我們通過溯源來看,67%的攻擊事件大多數面向于這種游戲、賭博網站的黑產的DDoS攻擊。右邊這張圖顯示的是去年第一季度到第四季度我們監測的DDoS攻擊事件的趨勢圖,可以看到年底第四季度DDoS攻擊的事件較第一季度增長了2.1倍,可能從一個側面反映出來,一個年度內DDoS攻擊產業鏈的一個頻繁活躍的程度。
這里面主要介紹一下DDoS攻擊三種類型的發展趨勢。紅色的圖代表的是真實源地址的DDoS攻擊,黃色的是偽造地址的DDoS攻擊,藍色的是代表的反射放大的DDoS數量的變化。從這里面我們可以首先看到,黃色的圖是在近三年逐漸減少,因為隨著運營商對這種偽造源地址的檢測,基于偽造原的DDoS攻擊的數量逐年下降。同時在這個階段里面,真實源地址攻擊的數量相對有一個高峰,這是因為它可能還沒有找到一個替代偽造源地址攻擊的一個很好的方式。但是隨后大家都發現,通過域名反射、放大的DDoS攻擊,它也可以達到防止去溯源的目的。所以在后面的發展過程中我們可以發現,通過域名解析反射放大的域名攻擊逐漸增多,也說明黑產的從業人員逐漸的從真實源地址攻擊的方法轉移到反射、放大的DDoS攻擊這種形式上去。
去年有一起阿里云被攻擊的事件,阿里云可能在峰會之前就遭受了黑客的攻擊,具體的時間是去年的7月30日,遭受了600G攻擊的流量,當時阿里云通過自身的力量,剛才也說了,安全現在不光是一家公司自己的事情,可能涉及到多個組織,多個單位,可能一個人沒有辦法解決所有的事情,所以我們必須聯合起來。去年阿里云找到了我們,幫忙他們一塊去追溯攻擊者。最后我們幫他們進行了DDoS的溯源,解決了攻擊的問題。
這里還有一起虛假源地址攻擊的事件。就是去年我們發現,DDoS的攻擊流量主要來自于,某一個省占到16%,集中在兩個路由器上面,我們通知運營商去核查,說這個路由器上面其實沒有做偽造源的檢查,有很多源地址的攻擊,所以我們協調運營商對兩個路由器進行整改,最后把兩個偽造源地址的攻擊流量降到了1.6%。這是安全漏洞方面的,去年我們運營的國家漏洞信息共享平臺收錄了10822個漏洞,較2015年增長了33.9%。從這張圖當中可以看到,安全的漏洞也是逐年增長的。這是我們運營的四個重要的行業庫。這是去年鬧的沸沸揚揚的蘋果的三叉戟漏洞,利用短信的漏洞,阿聯酋的異議人士遭受了攻擊,這個人比較敏感,他收到這條短信之后找安全公司做檢測,然后發現了,這個三叉戟漏洞才被曝光出來。
網頁仿冒的事件,去年我們監測到了17.8萬釣魚網站,其中在2萬個IP之上,85%的服務器位于境外,我們去年總共處置了8萬多個釣魚網站。這里面有一個有趣的現象,就是這些釣魚網站其實都是掌控在一小部分黑客黑產從業人員身上,因為我們從域名解析的地址可以看到,一個IP上面可能承載著很多釣魚網站。一方面說明這個釣魚網站是一個產業化的現象,另外一方面說明這些黑產從業者手上的資源很有限,不可能說一個釣魚網站放到一個IP地址上,所以往往擁有了有限的服務器,把所有的釣魚網站分布在自己有限的服務器上,所以出現了多個釣魚網站在一個服務器上的現象。
下面是這個網站后門的數據。去年我們發現了境內被植入后門的網站有8.2萬個,較2015年增長了9.3%,涉及到的IP地址有4萬個,48.9%位于境外,對我國的6.8萬個網站植入了后門。
網頁篡改的數據,我們發現2015年境內被篡改的網站1.7萬個,較2015年下降了31.7%,其中這里面有467個是政府網站,較2015年下降了47.9%。從這里面我們也可以看出來,通過植入暗鏈是網絡篡改重要的攻擊方式。我們可以看出來,政府網站雖然說防護水平得到了提高,去年我們發現有121起網頁后門事件和157起高危木馬,也說明了政府在做網絡安全方面的工作還有待加強。
下面簡要介紹七個方面的問題:
一是域名系統的問題。去年我們發現了32起針對域名系統的攻擊事件,但是沒有造成太大的影響,沒有出現之前.CN域名被攻擊,導致中國互聯網癱瘓的現象,也說明我們現在對于域名系統的防護在增強。去年在美國東海岸,域名服務機構Dyn公司遭受了DDoS攻擊,導致美國東海岸網絡癱瘓,所以說明域名系統還是相對薄弱的環節,我們需要增強對域名系統的防護。
二是工控系統。去年3月、8月、12月分別出現了很多針對工業控制系統的攻擊事件,3月在美國水壩的防洪系統遭受攻擊。8月卡巴斯基暴出來“食尸鬼”的網絡攻擊活動,去年12月烏克蘭電網遭受攻擊,跟2015年12月遭受攻擊是同一波人干的。這是我們去年發現的一個工控漏洞的情況,去年我們發現了暴露在互聯網上的工控設備有2504臺,遭受了境外1610個IP地址88萬次的掃描攻擊。
三是APT問題。去年國內的企業跟蹤了43個APT組織,其中有36個是對我國的實施攻擊。像“白象行動”等,降低了技術門檻,也加大了安全部門溯源的難度。去年比較著名的就是影子經紀人曝光了美國方程式組織的一個攻擊現象,這里面暴露了大量的針對主流防火墻的漏洞。針對這個事件,我們2016年8月公布了這些漏洞備用代碼,2015年公布了被這些漏洞控制的國內的一些IP域名和數據,其中涉及中國的9所高校,12家重要信息系統和2個政府的信息中心。同時我們也可以看到,2016年像希拉里郵件門,還有世界反興奮劑組織,也是變成了越來越常態化,有國家背景的這種網絡安全的攻擊變得越來越多。
四是智能聯網設備的安全問題。剛才提到了,去年影響比較大的斷網事件,一個是美國的斷網,還有一個是德國電信的斷網,涉及到兩個物聯網的僵尸網絡,一個是Mirai,還有一個是Gafgyt僵尸網絡。
五是數據泄漏,我們列舉了去年發生的數據泄漏的事件,影響最大的就是雅虎15億賬號泄漏,還有Linkin1.17億用戶賬戶的泄漏,還有MongoDB自己的數據庫漏洞,5800萬商業用戶的信息被泄漏。從這里面我們看到,目前的這種信息泄漏的問題屢見不鮮。去年的徐玉玉的事件,黑產可以對每個人做用戶畫像,我們打的每一個電話之前,他其實對于我個人的狀況已經有了一定的分析,我叫什么,有哪些銀行卡,家住哪里,我有哪些朋友他可能都了如指掌。所以我們在接到每一個陌生電話的時候都要提高警惕。
六是移動安全。我們發現去年的惡意扣費,鎖屏勒索,誘騙欺詐直接獲利的惡意程序比2015年增長了3倍,占總數的59.6%,說明移動互聯網的黑死產業鏈趨向成熟,主要分為制作、傳播、套利三個環節。
七是去年勒索軟件也開始流行,今年5月份WannaCry的事件也是勒索軟件的事情推向了高峰。原來是針對個人用戶的勒索軟件發展得很快,但是逐漸勒索軟件向企業用戶的目標轉移。去年我們全年捕獲的PC端的勒索軟件樣本有1.9萬個。
2017年我們推測的幾個熱點。首先就是網絡空間依法治理的脈絡更為清晰,6月1日我們的網絡安全法出臺,里面規定對這些網絡空間的主權,各個主體的安全義務,跨界數據的保護,關鍵信息基礎設施等保的制度已經出臺了,但是相關配套的解讀還有待加強。所以我覺得2017年各部委在出臺網絡安全法的解讀和宣傳的工作上,肯定會繼續加強,我們可以期待各部門對這個《網絡安全法》的落地和解讀。
利用物聯網智能設備的攻擊事件將增多。去年我們發現物聯網的漏洞有1117個,利用這些漏洞進行攻擊去構建物聯網的僵尸網絡的可能性也會變得越來越大。所以我們預測,今年利用物聯網的設備來進行攻擊的事件將增多。現在傳統行業在走向互聯網+,傳統行業跟互聯網的融合越來越緊密,互聯網+、中國制造2015這些戰略逐步推進。使得我們相對封閉的傳統行業的設備逐漸的暴露在互聯網上,面臨著互聯網上這種公開的威脅。我們有理由預測,今年可能會出現這種工業互聯網、互聯網醫療、互聯網金融這些平臺遭受攻擊的事件。
關于個人用戶信息保護,現在我們個人信息泄漏的現象越來越嚴重。我們就推測,今年國家會出臺相關的保護措施。其實4月份網信辦已經出臺了跨境數據的保護,也印證了我們之前的預測。所以未來我們覺得這種個人信息保護的方面,國家和政府會出臺更多的保護策略。
網絡安全威脅信息共享的工作會更加受到大家的關注,簡單來說,2013年Gartner把威脅情報的概念推出來之后,安全領域對威脅情報的定義相當于熱捧,大家紛紛開展威脅情報的工作。去年國內的烽火臺威脅情報聯盟也做得非常好,所以我們覺得2017年網絡安全威脅情報共享的工作還會繼續發展,繼續推進,會受到各方的關注。
有國家背景的網絡爭端的攻擊事件也會繼續升溫,最近影子經紀人每個月都曝光大家熱議的漏洞、攻擊事件,還有一些數據。上個月影子經紀人來報出來關于幾個國家的核潛艇,關于航天計劃的關鍵數據。從這里面我們可以看出來,有國家背景的網絡爭端事件也會繼續升溫。最后一個熱點方向我們覺得是基于人工智能的網絡安全技術的研究會全面鋪開,目前我們可以發現,大量的網絡安全事件層出不窮,但是我們網絡安全的人才相對緊缺。這么多的網絡安全問題怎么解決?還是要靠我們網絡安全的人才來解決。現在由于人才的緊缺,我們勢必需要基于大數據加機器學習和人工智能的方式去訓練機器來短期替代這種人才短缺帶來的困難。未來我們也覺得,像這種未知威脅檢測、網絡行為分析、網絡安全的預警有一些其實已經非常成熟的機械化的工作,完全可以由機器來替代。像機器學習、人工智能這種解決問題的技術會在未來有更大的發展。我們也會持續關注像人工智能和機器學習在這方面的技術,來解決我們的工程問題。
以上就是我的報告,謝謝大家!