启明星辰发布《2020~2021网络安全态势观察报告》

2020年是惊心动魄、瞬息万变的一年，“新冠疫情”重塑世界政治经济新格局，国际形势日趋复杂多变，不确定因素越来越多。2021年是砥砺前行、豪情万丈的一年，“十四五”规划纲要明确了未来的发展方向，建党百年引领奋进的中国迈上新征程。

 

面对新形势、新征程，我们将迎接新的数字时代。数字化转型会整体驱动生产方式、生活方式和治理方式的变革，尤其是数据要素潜能激活后，数字经济、数字社会、数字政府将进一步提高人民群众的基本福祉。

 

与此同时，数字化转型也面临着严峻复杂的安全挑战，对关键基础设施、重要数据和公民隐私等构成现实威胁。尤其是近年来频发的一系列威胁数据安全的事件，已经成为人们心中挥之不去的阴霾。

 

随着数据价值的不断凸显，以及地下网络犯罪产业链的日渐成型，针对数据安全的威胁强度不断攀升，并呈现出一些新特点:从威胁目标上看，攻击重点从网络和系统迁移到业务和数据，勒索软件和应用攻击事件层出不穷;从威胁方式上看，攻击者从简单工具利用进化到复杂攻击武器的运用，甚至通过供应链和物联部件等迂回攻击扩大范围;从威胁技术上看，新型攻击手段花样翻新，ODay利用、潜伏逃逸等技术应用越来越频繁，攻击工具的自动化、智能化趋势十分明显。

 

站在新起点，面对复杂严峻的安全态势，我们理应对过去一年多的网络安全状况进行全面总结、思考和展望。为此，启明星辰集团发布《2020~2021网络安全态势观察报告》，以观察者视角剖析2020年全年至2021年上半年网络安全形势及其变化，得出以下十三大网络安全发展态势，希望以此为各行业以及相关企事业单位提供网络安全战略和决策的参考。

 

 

习近平总书记指出:安全是发展的前提，发展是安全的保障。这表明在塑造数字化发展这个新“动力系统”的同时，也要注重实现网络和数据安全“制动系统”。唯有如此，才能形成健康、良性、高质量的数字化发展新格局。

 

近几年，我国网络安全法制化建设稳步推进。网络安全法、数据安全法、网络安全审查办法、个人信息保护法、网络产品安全漏洞管理规定等一系列法律法规的制定和实施构建起了网络安全强国的牢固基石。同时，数据安全保障工作也已取得显著成效。隐私计算、区块链、数据令牌化、数字水印、同态加密等技术的不断发展和演进为数据安全提供了有力保障。

 

《报告》指出，随着相关法律法规的不断落地以及相关技术的不断成熟，我国网络安全治理能力和数据安全保障水平将会不断迈上新的台阶。

 

 

过去一年多，以 ATT&CK 为代表的威胁框架热度不减，并逐渐进入“攻防兼备”的新阶段。

 

2020 年 1 月 7 日，MITRE 发布 ATT&CK For ICS 知识库。ATT&CK For ICS 首次成功描绘了针对工控系统的攻击所涉及的技术，为关键信息基础设施和其他使用工业控制系统的组织评估网络风险提供了重要参考。 

 

2020 年 10 月，MITRE 发布 ATT&CK v8 版本，将 PRE-ATT&CK 替代为新的侦察和资源开发两个战术，较上一版本更加完整地描绘了攻击者针对传统 IT 系统的攻击过程。 

 

2021 年 4 月，MITRE 发布 ATT&CK v9 版本，新增了 ATT&CK for Containers，首次描绘出针对 Kubernetes 和 Docker 的攻击技术。

 

2020 年 8 月，MITRE 发布了用于主动防御的实战型指导框架：MITRE Shield。MITRE Shield提供了针对 ATT&CK 攻击技术对应防御技术的映射，防御者可以利用 ATT&CK 威胁框架分析攻击者的技战术，同时利用 Shield 知识库部署网络防御设施。

 

2021 年 6 月，NSA 协助 MITRE 发布了 D3FEND 框架，D3FEND 作为 ATT&CK 的重要补充提供了对抗常见攻击技术的方法模型，并将每一项防御技术与 ATT&CK 模型中的攻击技术相对应。

 

以 ATT&CK 为代表的攻击框架和以 Shield、D3FEND 为代表的防御框架的出现，为网络安全行业作出了重大贡献。未来，以它们为代表的攻防框架将逐渐成为网络安全行业的风向标。

 

 

随着 RaaS（勒索软件即服务）、MaaS（恶意软件即服务）等模式的发展，网络犯罪产业链逐渐成型。网络犯罪过程中的任何环节都能找到相应的服务，网络犯罪团伙俨然已经成为一个协作有序、相互匿名的项目团队。在日益成熟的网络犯罪产业链下，地下黑产技术“深度融合”。

 

网络犯罪产业链
 

 

过去一年多，平均每 11 秒就有一家企业成为勒索病毒攻击的目标，勒索攻击或在 2020年造成高达数千亿美元的损失。据不完全统计，2020 年全球勒索攻击次数较 2019 年同比增长了 150%以上，每次勒索的平均赎金达到了 31 万美元；2021 年“勒索攻击产业”年收入将达到数千亿美元。勒索软件的威胁堪比“911”事件后全球恐怖主义所面临的挑战，并逐渐成为全球公敌。

 

在“RaaS（勒索软件即服务）”、“APT 化”攻击模式以及“Big Game Hunting（大型狩猎游戏）”盛行的大背景下，勒索攻击的参与者越来越多，勒索攻击的事后追查越来越困难，勒索入侵的过程越来越复杂，勒索攻击的目标越来越有针对性。

 

同时，勒索攻击者已经普遍不满足于依靠单一勒索方式达到目的，而是采取泄露攻击目标重要数据，对攻击目标发动 DDoS 攻击甚至威胁与受害企业相关的客户等“多重勒索”方式达成最终的目的。

 

此外，以往勒索攻击主要针对传统 IT 系统，近年来随着云计算、物联网、移动互联网等技术的快速发展，勒索已经逐渐瞄准云上资源、IoT 设备、工控系统以及移动终端设备，这类本来自身安全性就较薄弱的系统在面对勒索攻击时更加不堪一击，轻则造成企业生产停滞，重则危害社会乃至国家安全。

 

未来，除了针对价值目标的“APT 化”勒索攻击外，类似 DarkSide 组织以摧毁重要基础设施为目的的高级勒索攻击将会屡见不鲜，勒索攻击将成为危害网络安全的首要威胁。

 

 

 

作为最隐蔽和有效的攻击方式之一，供应链攻击在过去一年多受到攻击者的青睐。 

 

根据 ATT&CK 框架对供应链攻击的分类，供应链攻击一般分为软件供应链攻击、硬件供应链攻击和软件开发工具或依赖库供应链攻击三种形式： 

 

软件供应链攻击案例最为广泛，主要是通过在软件开发阶段修改源代码，分发阶段替换为恶意软件等方式进行攻击。2020 年底，网络安全管理软件供应商 SolarWinds 遭遇国家级APT 团伙供应链攻击，就是典型的软件供应链攻击，本次攻击导致包括美国关键基础设施、军队、政府在内的 18000 多家客户全部受到影响。无独有偶，2021 年年中，Revil 黑客组织通过 Kaseya 旗下产品 KASEYA VSA 的漏洞发起供应链攻击，多达 200 余家客户受到影响。 

 

硬件供应链攻击是通过替换、植入、修改等方式在硬件产品送达消费者之前的整个环节中进行攻击。相较于软件供应链攻击，硬件供应链攻击更加难以发现，攻击成本也相对更高。2015 年披露的方程式组织武器库中就包含数十种常见品牌的硬盘固件重编程的恶意模块。 

 

通过篡改软件开发工具以及使用广泛的开源项目是供应链攻击的第三种方式，也被称为“下一代供应链攻击”。Sonatype 发布的《2020 年软件供应链状况》报告中指出，过去 12 个月共发生了 929 次针对开源软件的供应链攻击。相比之下，过去五年的总和才仅有 200 余起。

 

供应链攻击具有极端隐蔽、检测困难、攻击面广泛、攻击成本低回报高等特点。《报告》预测，未来供应链攻击事件会逐渐增长甚至暴发，国家级背景的攻击组织主导的供应链攻击事件将会屡见不鲜。由于我国大部分信息化系统的软硬件核心技术对欧美的依赖程度仍比较高，因此供应链安全将是未来面临的重要挑战。

 

 

在“Living off the land”热度不减的同时，攻击性安全工具（Offensive Security Tools，简称 OST）越来越受到攻击者的关注。“Living off the land”通常指攻击者使用目标主机上已安装的工具或功能进行攻击的方式，被利用的工具通常叫做“LOLBin”。在真实攻击中，LOLBin一般以操作系统自带的具有一定功能（如网络访问，命令执行等）的系统文件为主。

 

虽然“Living off the land”可以最大限度地避免攻击被发现的可能，但仅利用系统提供的有限功能“拼凑”出整个攻击过程并非易事，攻击性安全工具便进入了攻击者的视野。攻击性安全工具是指在不利用软件自身缺陷或漏洞的情况下，以合法身份实施入侵或规避安全防御机制的软件代码库。攻击性安全工具一般由信息安全专业人士开发，目的是促进网络安全相关技术的发展。通俗地讲，攻击性安全工具就是开源代码共享网站可以下载到的渗透工具或者较为知名的商业渗透攻击套件的集合。

 

在详细报告中，《报告》还基于ATT&CK框架总结了近年来在各个攻击阶段较为常用的LOLBins以及攻击性安全工具。

 

 

与普遍“APT”化的勒索攻击不同，为了获得更多的计算资源，挖矿攻击仍然以不断扩大感染面为主要目标。 

 

过去一年多，随着以比特币为代表的数字加密货币的暴涨，挖矿木马也随之更加活跃。甚至一些知名 APT 组织也加入挖矿阵营。在这一年里，老的挖矿木马持续活跃，如永恒之蓝下载器木马以及 H2Miner 挖矿家族都在不断扩充漏洞攻击武器库；新的挖矿木马层出不穷，如 PGMiner、KingMiner 等新挖矿木马。 

 

除了使用弱口令爆破、常见的漏洞利用外，挖矿攻击逐渐瞄准容器等云上资源。Docker容器作为一种有效的软件应用程序打包方式，在过去几年越来越受欢迎，Docker 容器在各个公有云大量部署运行。这些容器由于天生具有计算资源丰富、难以监控等原因成为黑客垂涎的目标。一方面，黑客通过在 Docker Hub 发布带有挖矿木马的恶意镜像进行攻击；另一方面，黑客通过 Docker 的未授权访问漏洞或使用者在认证上的不安全设置入侵 Docker 容器并进行感染。

 

 

近年来，Web 攻击工具呈现逐渐自动化、加密化的趋势。以冰蝎、哥斯拉为代表的新型Webshell 管理工具正逐渐往流量加密的趋势发展。传统的以特征串匹配为基础的流量检测手段已逐渐失效，以流量行为特征、机器学习、威胁狩猎为基础的检测方式正逐渐走上舞台。

 

以 Goby、Xray 为代表的漏扫工具方兴未艾，它们普遍都集成了各类系统及应用的漏洞 EXP，并且支持自定义 EXP，通过丰富漏洞 EXP 资源库方便使用者快速获取权限。再配合各脚本、工具间实现高效联动，提升了漏洞的探测能力与利用效率。这些漏扫工具功能越来越强大，使用越来越方便，即使是入门级的新手也能依靠这些工具自动化完成大部分渗透工作。

 

此外，仍有不少 0day 漏洞被曝光，这其中大部分都是办公系统及安全设备本身的漏洞。这类漏洞具有覆盖范围广、危害大，利用难度较低的特点。由于 OA 系统通常位于 DMZ 区或内网，安全设备通常位于内网，加之国内部分企业网络环境相对复杂，访问控制策略不规范，时常会有内外网或 DMZ 区互通的现象出现。此时 OA 系统或办公设备的漏洞就会成为攻击者的绝佳入口，攻击者可利用 OA 系统挂马或当作跳板直达核心办公网，甚至利用安全设备漏洞直接关闭告警信息让攻击者畅通无阻。

 

 

传统的 IoT 僵尸网络由连接到命令与控制（C&C）服务器的众多受感染设备（Bot）组成，犯罪分子使用 C&C 服务器控制着整个僵尸网络。这意味着只要关闭 C&C 服务器，就会使僵尸网络无法工作。但是过去一年多，越来越多的僵尸网络引入了 P2P 和 Tor 网络技术，这使得僵尸网络变得越来越隐蔽，更加难以关闭。

 

由于 IoT 类设备一般无重要数据存储，所以勒索软件一直以 PC、服务器等 IT 类资产为目标。近年来随着 NAS 设备的普及，勒索软件已开始瞄准 IoT 设备进行攻击。《报告》预测，未来会有更多的勒索软件以 IoT 设备为目标进行攻击。由于附加在 IoT 设备上的安全能力普遍偏弱，其危害将会明显大于 Windows/Linux 系统下的勒索攻击。

 

 

 

2020 年 4 月 20 日，国家发展改革委正式明确了“新基建”的范围，将区块链技术作为新技术基础设施纳入“新基建”。区块链技术基于独特的链式结构、哈希值、时间戳和共识机制等要素，保证了链上数据很难直接篡改和伪造数据，区块链技术成为了新基建中各类基础设施建设的底层技术。 

 

同时，区块链技术发展持续面临安全风险和挑战。区块链基础设施不仅面临着传统机制安全风险，还面临区块链核心机制带来的新型安全风险。传统机制的安全风险包括节点设备安全风险和传统网络安全风险。区块链核心机制安全风险包括数据存储安全风险、密码机制安全风险、共识机制安全风险以及智能合约安全风险等。

 

随着区块链技术的应用越来越广泛，区块链相关的安全问题也愈发增多。据国家区块链漏洞库不完全统计显示，2020 年度区块链领域发生的安全事件包括交易平台安全事件、DeFi项目安全事件、钱包安全事件等共 500 多起。

 

 

网络攻防对抗一直处于激烈的拉锯战之中，例如网络追踪溯源技术和网络隐蔽防溯源技术。网络追踪溯源技术通过对蜜罐、蜜网等网络诱骗技术的研究，深入分析各类攻击行为特征，深入了解网络攻击手段、攻击方法和攻击目标等，为攻击溯源和调查取证提供依据，实现网络攻击行为的快速跟踪溯源、精确定位。网络隐蔽防溯源技术则针锋相对，利用多级跳转、加密传输、反追踪、专线专用等技术手段，实现匿名安全的互联网接入。

 

 

 

漏洞是网络安全最重要的命门，不法网络攻击者不断在硬件、软件、协议的具体实现或系统安全策略上寻找存在的缺陷，从而能够在未授权的情况下访问或破坏系统。漏洞一旦被利用后果不堪设想，它能直接突破未授权的系统，进而在系统中进行拓展和控守。因此，漏洞研究与挖掘能力成为守护网络安全命门的关键武器。其发展趋势主要包括以下几个方面： 

 

1、专业化定制化漏洞挖掘需求强烈 
 

随着用户对采取高强度安全防护措施的目标网络侦察和了解的深入，网络攻防技术呈现出细分化和专业化的趋势，面向用户需求的定制化漏洞挖掘项目也越来越多。大而全的漏洞扫描设备被认为是安全防御和检测的基本形态，大多用来初步检测和发现安全漏洞，客观评估网络风险等级，而针对性的定制化漏洞挖掘和网络漏洞突破解决方案更受用户欢迎。 

 

2、自动化渗透测试平台更紧密结合实战型漏洞 
 

自动化渗透测试是目前比较热门的网络攻防领域，主要是利用了众多的已公开或未公开漏洞对目标资产和系统进行自动化检测，发现并利用这些弱点，从而降低人工检测强度，辅助渗透测试人员后渗透。很多自动化渗透测试平台局限于通过技术手段提供覆盖子域名探测、域名解析、端口、服务、Web 页面路径等网络资产探测、突破和利用，离实战化还有一定距离。而实战型漏洞拓展到网络渗透测试活动中遇到的各种安全防护系统、设备以及通信链路，这些漏洞不仅仅局限于 Web 跨站、数据库撞库等常见授权渗透测试场景，因此，实战型漏洞发现和自动化渗透测试平台是网络攻防对抗领域未来发展的重要方向。 

 

3、政府、企业和院校加强漏洞挖掘人才培养 
 

“网络空间的竞争，归根到底是人才的竞争”，如何培养高素质的网络安全队伍，引发网络安全行业乃至国家的高度关注。近年来，政府、企业和院校加强漏洞挖掘人才培养力度，以赛促学、以赛代练的漏洞挖掘大赛此起彼伏，例如“天府杯”、GeekPwn“极棒”、各种 CTF、“红帽杯”等等。从目前来看，国内的安全人才（尤其是漏洞挖掘人才）缺口高达百万，现有高校一年能够输出的信息安全专业毕业生只有不到 3 万人，即便再加上社会培训机构培养的人才，一年也超不过十万人，很难在短期内满足大量用户对安全人才的需求。虽然政府积极推动网络安全教育和人才培养，高校设立安全一级学科输出相关人才，企业等举办安全赛事选培相关人才。但是，总体增速仍然比不上网络发展，只要有新技术就会带来新网络安全的问题，对人才的需求也将会越来越大。 

 

《报告》指出，在《网络产品安全漏洞管理规定》等法律法规的规范下，针对漏洞这一网络安全命门的研究会更加深入，并进一步合规化、法制化，成为增强网络安全防护能力的重要法宝。

 

 

近年来，网络空间靶场逐渐定义为支撑网络安全战略建设的重要基础设施，是取得国家网络空间安全主导权的关键领域，事关国家和人民安全，网络空间靶场建设正在成为世界各国抢先布局的网络作战新高地。

 

通过网络空间靶场的建设构建可控、逼真的仿真环境及培训、演练、测试等各类场景，可用于完成人才培养、竞赛考核、实战演练、应急演练、系统测试、技术研究、效能评估等任务。

 

 

完整报告地址：https://www.venustech.com.cn/u/cms/www/202108/181454025drp.pdf