《《网络安全研究报告》PPT演示文稿》由会员分享,可在线阅读,更多相关《《网络安全研究报告》PPT演示文稿(40页珍藏版)》请在金锄头文库上搜索。
1、2012中国互联网 安全研究报告,翟光群 ,总体情况,由于免费安全软件的快速推广,截至2012年上半年,国内电脑安全软件的普及率已经达到96.5%,绝大多数的个人电脑都能得到可靠的安全保障。个人电脑的病毒感染率大幅下降,单个病毒的大规模感染事件已经绝迹,黑客针对个人电脑发动攻击变得越来越困难。 一些新型的互联网安全问题开始逐渐凸显:钓鱼欺诈取代网页挂马攻击,成为个人电脑安全的首要威胁;超过7成的国内网站存在高危漏洞,政府、高校等正规网站安全性尤其薄弱;另外,针对高科技企业的APT攻击(高级持续性威胁)显著增多,更具商业价值的企业机密数据成为黑客攻击目标。,新增木马逐月减少,根据360云安全数据
2、中心统计,去年1至6月,国内日均约2835.3万台电脑遭到木马病毒等恶意程序攻击。与此同时,木马病毒攻击的成功率有着显著降低,一般在千分之五以内。 根据360用户调查显示,电脑中毒的主要原因是用户在木马病毒诱导性提示下关闭了安全软件的防护功能,集中在游戏外挂和诱惑视频播放器使用人群上,中国互联网用户因此被分为两大群体:大部分网民几乎与木马病毒隔离,很少遇到木马病毒攻击;另外一部分人群则频繁冒险中毒、杀毒。,钓鱼网站威胁加剧,2012年上半年,360安全卫士共截获新增钓鱼网站350149家(以host计算),已经达到去年全年截获新增钓鱼网站总量的75%,拦截钓鱼网站访问量更是高达21.7亿次,比
3、去年全年拦截量还高2000万。,钓鱼网站,从钓鱼网站的类型分布上来看,虚假购物仍然以41.53%的比例蝉联钓鱼网站排名的榜首,紧随其后的是虚假中奖和模仿登录类钓鱼网站。排名前三的钓鱼网站占到钓鱼网站总量的74.09%。值得一提的是,去年排名靠前的各种博彩类钓鱼网站的排名明显下降,而模仿登录类钓鱼网站比例却大幅上升,排名也大幅提前。,信息安全变化趋势,一、从经常杀毒到很少中毒6年前正是恶意软件、木马病毒集中爆发的时期。不仅规规矩矩上网的电脑会频繁中毒,例如动辄出现倒数60秒关机的蠕虫感染,不上网的电脑也时常被U盘病毒骚扰。时至今日,免费安全软件已经能够实现对各种盗号和入侵攻击的有效防护,除了经常
4、使用不良外挂、诱惑视频播放器的高危人群,普通用户如果没有在恶意诱导下关闭安全软件,基本不会担心电脑被木马病毒入侵。与此同时,经常给电脑体检、打补丁,以及对系统进行清理优化成为网民普遍接受的电脑使用习惯。,信息安全变化趋势,二、超级病毒已经绝迹2006年之前,冲击波、熊猫烧香等蠕虫病毒席卷全国。这种在今天看来只要打好补丁就能轻易防范的病毒,却在当时造成了极大的影响和危害,其主要原因就在于安全软件的普及程度很低,大量电脑处于状态。而随着云查杀技术的出现,使得木马病毒的平均传播范围已经从动辄成千上万,缩小到20台左右。如熊猫烧香、机器狗、犇牛等感染量过百万的超级木马病毒已几乎绝迹。,信息安全变化趋势
5、,三、重装电脑频率降低 360推出之前,木马病毒、流氓插件等恶意程序争相霸占用户电脑,劫持系统和浏览器,不仅严重拖慢电脑速度,更是对用户帐号和隐私数据造成极大风险,普通网民对此却束手无策,只能每隔几个月就重装一次电脑。在免费安全高度普及的今天,安全软件不仅可以拦截木马病毒,还提供如清理垃圾、优化加速和修复注册表等电脑“保健”功能,电脑的健康运行周期大大延长,根据360的用户调查统计,用户重装系统的平均周期已经从六年前的2-3个月,大幅延长到如今的22个月以上,现阶段网络安全的主要威胁,(1)钓鱼欺诈成为网络安全首害挂马和钓鱼是恶意网站攻击用户的两大手段。由于以往用户电脑很少打补丁,也很少有网民
6、购买收费杀毒产品防范0day漏洞,木马能轻易通过浏览器自动下载到用户电脑中实施攻击,挂马网页因此一度疯狂泛滥,人们耳熟能详的AV终结者、熊猫烧香、机器狗、磁碟机、犇牛等顽固病毒主要是通过挂马网页传播。不过,随着免费安全的不断普及,挂马攻击变得越来越困难。而钓鱼网站,只要不携带恶意代码,而只是模仿套用正规网站的模板,一般难以被传统杀毒引擎识别。从最近两年的统计来看,钓鱼欺诈已经从网络犯罪的配角变成主角,成为恶意网站攻击个人用户的主要手段。,现阶段网络安全的主要威胁,(2)网站拖库成为黑客主流盗号手段由于个人电脑的防护越来越严密,很多黑客转向攻击网站,直接窃取网站数据库获取用户密码(拖库)。与个人
7、电脑相比,网站系统要庞大得多,存在安全漏洞的可能性也更大。加之很多网站程序员缺少安全编程的经验,致使高危的安全漏洞在网站系统中普遍存在。根据360网站安全测试平台()的统计,超过75%的国内网站带有高危漏洞。去年下半年多起大网站泄密事件的集中爆发,使网站安全问题进入公众视野。2012年上半年,网站拖库问题还在持续发酵。,超七成网站存在高危漏洞,WebScan对现有用户的安全评级的分析结果统计。从图中可以看出,能够达到安全和警告这两个相对比较可靠级别的网站,占比仅为7%左右,而达到高危或超高危程度的网站却超过了75%。也就是说,中国的网站环境正处于极度不安全的发展状态。,现阶段网络安全的主要威胁
8、,(3)APT攻击日渐增多,并呈现诸多新特点APT是指高级持续性攻击,是针对特定组织的多方位的攻击。由于针对普通用户和操作系统的一般性攻击成本越来越高,相应产出的黑客利益也比较低,因此,有针对性的攻击某些价值较高的企业甚至基础工业设施,成为黑客新的主攻目标。火焰病毒、暴雷漏洞以及之前的震网病毒,都是APT攻击的典型案例。,移动互联网恶意程序,2011 年移动互联网迅速发展,手机网民数量不断增长,移动互联网恶意程序数量和感染规模也在不断提高。恶意程序已经严重威胁到用户的切身利益和移动互联网的健康发展。工业和信息化部于 2011年11月出台移动互联网恶意程序监测与处置机制,进一步加强移动互联网安全
9、监管工作。CNCERT持续对移动互联网进行安全监测,根据监测结果,2011 年国内移动互联网安全事件数量呈现增长趋势。,移动互联网恶意程序,移动互联网恶意程序是指运行在包括智能手机在内的具有移动通信功能的移动终端上,存在窃听用户电话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。移动互联网恶意程序的内涵比手机病毒广的多,如手机吸费软件不属于手机病毒,但属于移动互联网恶意程序。,APT攻击及其防御,高级持续性威胁,高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府
10、)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 APT全称:Advanced Persistent Threat APT简述: APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失。,案例一、,Google极光攻击:2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终获成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,并且造成各种系统的数据被窃取。,Google极光
11、攻击过程,1.搜集Google员工在Facebook、Twitter等社交网站上发布的信息; 2.利用动态DNS供应商建立托管伪造照片网站的Web服务器,Google员工收到来自信任的人发来的网络链接并且点击,含有shellcode的JavaScript造成IE浏览器溢出,远程下载并运行程序; 3.通过SSL安全隧道与受害人机器建立连接,持续监听并最终获得该雇员访问Google服务器的帐号密码等信息; 4.使用该雇员的凭证成功渗透进入Google邮件服务器,进而不断获取特定Gmail账户的邮件内容信息。,案例二、,RSA SecurID窃取攻击: 2011年3月,EMC公司下属的RSA公司遭受
12、入侵,公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe 的0day漏洞植入臭名昭著的Poison Ivy远端控制工具控制感染客户端,并利用僵尸网络的命令控制服务器在感染客户端下载指令进行攻击任务。,RSA SecurID窃取攻击过程,1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011 Recruitment plan.xls”; 2.在拿到SecurID信息后,攻击者开始对使用SecurID的公司展开进一步攻击。 3.其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的 Adobe Flash的0day漏洞(CVE-2011-0609)命中; 4
13、.该员工电脑被植入木马,开始从BotNet的C 2) 攻击者也经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,邮件内容分析也难以奏效; 3) 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;,APT攻击特征,4) 初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击; 5) 在攻击者控制受害机器的过程中,往
14、往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力; 6) 攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;,APT攻击特征,7) 还有的企业部署了内网审计系统,日志分析系统,甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部入侵的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从攻击行为的角度进行整合,发现攻击路径。 8)受害人的防范意识还需要进
15、一步提高。攻击者往往不是直接攻击最终目标人,而是透过攻击外围人员层层渗透。例如先攻击HR的人,或者首轮受害人的网络好友,再以HR受害人的身份去欺骗(攻击)某个接近最终目标人的过渡目标,再透过过渡目标人去攻击最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。,APT攻击特征,APT攻击往往是通过多个步骤,多个间接目标和多种辅助手段最终实现对特定目标的攻击,经常结合各种社会工程学手段 APT攻击是一种比较专业的互联网间谍行为,攻击者往往带有商业、军事或政治目的,而被攻击的目标,也大多为商业企业,军事机构或各国政府。某些APT攻击会持续数年,直到被发现时才终止。 综合分析以上典型
16、的APT攻击,可以发现对内网终端进行隐蔽性的未知恶意程序和僵尸网络感染,后门木马植入和0 day 漏洞利用是APT获得成功的关键,APT攻击的普遍性,任何规模的公司,只要员工可以访问网站、使用电子邮件(尤其是HTML邮件)、传输文件等,就有可能受到APT威胁,这些活动可以被利用来传输APT组件,例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击,例如通过内部接入被感染的可移动驱动器(U盘、闪存卡)、其他地方被感染的笔记本电脑等。,APT对传统检测技术形成的挑战,正如其名称所体现出来的含义,APT为传统检测技术带来了两大难题: A(Advanced)难题:即高级入侵手段带来的难题。相比传统攻击手法,APT攻击具有单点隐蔽能力强、攻击空间路径不确定、攻击渠道不确定等特点,使得传统的基于特征匹配的边界防御技术难以施效。 P(Persistent)难题:即持续性攻击带来的难题。典型的APT在攻击时间上具有长持续性,一旦入侵成功则长期潜伏,寻找合适的机会外传敏感信息,而在单个时间点上却无明显异常,使得基于单个时间点的
