1月17日,安恒信息联合中科院计算所和赛迪,发布了三方共同策划编纂的《2017年度网络空间安全报告》。
报告发布
据安恒信息副总裁杨勃介绍,这已是安恒连续第三年发布网络空间安全报告。通过对网络安全态势和典型攻击行为的多维度分析,该报告旨在帮助安全从业者更新对安全态势,以及大数据安全分析等新技术的认知,以应对日趋复杂的网络安全威胁。
那么,这次的年度安全报告又有哪些重量级内容?
1. 利用大数据分析技术打击涉众风险型网络经济犯罪
涉众风险型经济犯罪是指非法吸收公众存款、集资诈骗、传销、非法销售未上市公司股票等犯罪活动。此类犯罪具有涉及地域广、涉案人数多(老年人和大学生的参与正逐渐增多,无业闲散人员占大比例)、涉案资金金额巨大(“善心汇”案件涉案金额达22亿元)等特征,严重扰乱互联网金融市场秩序,严重损害了社会公众利益,极易造成行业性甚至区域性风险。
近年来,传统的犯罪活动日渐趋向于网络化。而传统的犯罪活动尤其是经济犯罪活动一旦披上了网络化的外衣,往往存在发展速度极快、作案手法隐蔽性强,作案范围跨区域、跨境化的特点。传统的案件侦察方式需要耗费大量的时间、人力来完成线索收集排查、证据固定等工作,在对以互联网为经营、传播载体的网络经济犯罪打击方面,无论是监测发现、证据提取,还是案件数据分析,都面临不同程度的困难和挑战。
此次在报告中新加入的涉网涉众风险型网络经济犯罪,就以网络传销为例,列举了高新科技、商品加盟、消费返利、虚拟货币、理财众筹、金融互助等常见犯罪模式,并提出“基于涉传目标的典型特点进行数据建模,充分利用大数据、机器学习等技术,通过对涉传目标的多维度自动化研判,深度挖掘藏于互联网中的涉传目标”的思路,以及对网络经济犯罪“打早打小”的处置方针。
但是目前,国内在利用大数据分析技术辅助犯罪调查方面的研究还处于起步阶段,只有很少量的公司投入零星的资源,且少有成功案例。除了资源投入严重不足的原因以外,业界“重视工具平台,轻视数据利用思路,缺少行业用户与厂商之间深入沟通合作”的认识误区也是一个主要原因。
2017年3月,由安恒自主研发“风险型经济犯罪互联网监测研判平台”正式上线试运行。结合互联网、第三方和公安内网数据,对情报线索进行自动化收集、筛选,并基于涉案网站的特点对目标系统进行初步和二次研判。经多次研判以及线索分类后,协助相关部门进行核查打击。
据悉,该平台在今年配合公安捣毁了一个从上线到侦破历时仅5个月的网络传销犯罪团伙,抓获犯罪嫌疑人9人,涉案金额达6000余万元。
2. Web应用安全:威胁已延伸到区县和乡镇级
安恒是国内最早提供Web应用安全防护的厂商,这部分技术也一直是安恒的强项。根据安恒风暴中心对全国重要站点的安全监测数据,2017年黑客对Web服务器发起攻击主要手段,更多的是通过SQL注入、协议违规、跨站脚本等方式进行精确攻击;缺失报头、扫描工具等无脑攻击越来越少。而在所有攻击行为中,使用自动化工具(包括扫描、应用层CC攻击、恶意user-agent)的,仅占到攻击总数的9%。
从行业角度来看,攻击目标较为集中的是教育行业和政府,分别为43%和30%。
教育行业因其站点多、分布广、建设分散、缺乏管理等特点,通常被攻击者用来获取敏感信息、挂暗链(在源代码中植入非法链接)/黑页(被上传非法页面),且在2017年子域名受攻击比重远大于主域名。而政府网站,则更多的是出于政治目的。
报告归纳了全国重要站点的4个基础安全问题:
(注:抽样针对教育和政务站点)
- 无人监管的僵尸网站增大被黑概率
僵尸网站,指的是因内容长期未更新或无人维护,已经无法对外提供有价值服务的的站点。此类站点多发生于多级域名,并使用老旧的IIS服务器。
- DNS劫持成为攻击常态
通过DNS劫持,修改域名的解析结果,可以实现对特定网址的访问禁止或访问虚假站点。以政府网站为例,风暴中心检测到有3093个国内的政务网站主域名被解析到海外,涉及46个国家,尤其以美国数量较多,远超之后的日本、印尼等国家。同时可以看到,电子政务发展较快的东部沿海地区,DNS劫持现象较为普遍。
除此以外,通过对问题站点whois信息的统计分析发现,以聚名网为代表,抢注和私自注册政府域名,并跳转到博彩页面的问题,也较为严重。
- 傀儡机被作为DDoS攻击发起工具
风暴中心在2017年对捕捉到的恶意IP进行反查分析时发现,有1117个IP作为DDoS攻击介质,对外提供Web服务,攻击对象多为政府、教育类网站。
- 政府网站“一标两备”信息缺失
2017年5月的《政府网站发展指引》要求政府单位开办网站前需提交加挂党政机关网上标识,以及ICP备案和公安网备案的申请,但大量站点存在逃避监管、非法部署,没有任何备案信息。据风暴中心统计,截止到2017年12月,仍有1203个站点未进行ICP备案,占整体网站的1.83%;而公安备案率仅为13.40%,56867个站点公安未备案。
安全事件方面,根据风暴中心向监管单位报送的安全事件中,报告将安全事件的特点抽象概括为下面三类:
- 以宣传政治色彩为目的的“反共”事件
黑客通过网站漏洞、预先植入后门等手段,控制网站服务器,继而持续篡改中国境内政府和重要信息系统部门、企事业单位网站,发布反动言论。攻击成功后,受影响网站页面会被贴上极具政治煽动性和攻击性的标语,同时攻击者会在谷歌地图标记被攻陷网站的名称和事件,通过网络媒介展示和传播以扩大影响。
2017年1月份以来,风暴中心已发现118起反共黑客入侵事件,并呈现“后台管理等业务管理系统漏洞多”、“越来越多的教育系统受黑客攻击”、“未备案站点更受黑客青睐”等特点。
- 黑灰产为幕后推手的黑帽SEO事件
通过违反搜索引擎质量规范的优化方法,提高在检索中的排名,进行非法牟利,便是黑帽SEO。在中国庞大的网民规模上,流量成为了黑帽SEO最觊觎的目标,并已成为黑灰产渗透各行业站点的主要敛财手段。
2017年,风暴中心共上报了1080起相关入侵事件。目前,黑帽SEO入侵的主要手段是黑页和暗链,但由于暗链隐蔽性较差,所以黑客越来越倾向于选择植入黑页的方式。在受影响范围方面,政务站点中的政府门户网站较为严重,有159个站点受到波及。而在被黑人民政府官网中,受影响最大的,已达到区县和乡镇级。除此以外,报社、广播电视台、新闻类网站,以及重点企业,都受到影响。
- 仿冒政务站点
除了金融、电子商务类网站,政务站点以受到钓鱼威胁的青睐。通过仿冒政务网站,攻击者可以实现后门植入、传播木马等攻击行为,并获取敏感信息。
3. 大数据分析技术:与信息安全的结合与实践
近年来,大数据分析技术与安全的结合,已经诞生了许多优秀应用。通过将大数据分析技术引入安全领域,我们可以更好地解决海量异构数据的采集、存储,并借助深度学习和数据挖掘算法,更加主动、弹性地应对复杂多变的网络安全威胁,并形成全局化的态势感知能力。
报告中,介绍了安恒AiLPHA大数据智能安全平台在APT威胁预警与攻击取证、内网恶意主机和恶意进程检测、潜伏性数据窃取检测等方面的实践,并给出了大数据安全分析平台的功能架构(如下图所示):
在大数据安全分析的未来发展趋势方面,报告认为,未来大数据安全分析将是极为重要的安全技术支撑,大数据分析技术的发展也将持续推动安全分析的情境感知化与智能化。同时,结合诸如持续学习、预测分析、情境感知和自适应等技术,我们将有更强的安全威胁检测和发现能力,更自信地应对复杂多变的威胁态势。
