2020年网络安全威胁信息研究报告2021.pdf

《2020年网络安全威胁信息研究报告2021.pdf》由会员分享，可在线阅读，更多相关《2020年网络安全威胁信息研究报告2021.pdf（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2020 年网络安全威胁信息年网络安全威胁信息研究报告研究报告（2021 年）年）中国信息通信研究院安全研究所中国信息通信研究院安全研究所北京微步在线科技有限公司北京微步在线科技有限公司20212021 年年 1 12 2 月月版权声明版权声明本报告版权属于中国信息通信研究院和北京微步在线科技有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院和北京微步在线科技有限公司”。违反上述声明者，编者将追究其相关法律责任。本报告版权属于中国信息通信研究院和北京微步在线科技有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注

2、明“来源：中国信息通信研究院和北京微步在线科技有限公司”。违反上述声明者，编者将追究其相关法律责任。前言前言2021 年 3 月 12 日，中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要 正式发布，明确提出将“加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”作为发展规划之一，对国家网络空间安全提出了更高的发展要求。网络安全威胁信息作为发现网络威胁、抵御网络攻击的重要依托，助力信息安全防御手段向主动化、自动化、精准化转型，对于维护国家网络空间安全、建设数字中国具有重要意义。2020 年新冠肺炎疫

3、情爆发后，线上办公的广泛普及加剧了信息传递对网络的依赖，催生了愈加频繁的网络攻击行为。网络攻击的产业化发展趋势使得攻击工具和手法变得愈加复杂多样，传统的防火墙、入侵检测技术、恶意代码扫描、网络监控等被动防御手段显得捉襟见肘疲于应付。面对日益严峻的网络空间安全威胁，研究网络安全威胁信息有助于企业更好“知己”“知彼”，了解自身的网络安全脆弱点，掌握已知、未知的网络安全风险点，不断提升自身在实战中的检测与响应能力，筑牢网络安全防御城墙。本报告从定义内涵、应用价值、标准化进展、政策和产业支撑等多个方面阐述了网络安全威胁信息的概念和发展现状。结合 2020年全球网络安全威胁信息，从网络环境安全现状、常见

4、网络攻击手法、受攻击行业和地域分布、国内较严重网络威胁及攻击事件等多维度系统性分析了 2020 年国内外网络安全形势。阶段性梳理了网络安全威胁信息在国内重点行业的典型应用案例。最后，围绕发展中存在的标准化落地不足、共享机制缺失、产业成熟度较低等诸多问题进行了探索性思考，结合产业现状提出了针对性的意见和建议。对于本报告中的局限与不足，恳请各方同仁批评指正。目录目录一、网络安全威胁信息概念及现状.1(一)网络安全威胁信息的概念.1(二)网络安全威胁信息能力层级模型.5(三)网络安全威胁信息的应用价值.7(四)网络安全威胁信息领域发展现状.10二、2020 年国内外网络安全威胁信息分析.14(一)2

5、020 年国内外网络威胁情况概览.15(二)2020 年国内外网络攻击手法概览.17(三)2020 年国内外网络受攻击情况分析.28(四)2020 年国内较严重网络威胁盘点.32三、网络安全威胁信息典型应用实践.34(一)电子信息制造商实践案例.35(二)基础电信企业实践案例.36(三)网络视频平台实践案例.37(四)云计算服务商实践案例.38四、网络安全威胁信息应用建议.40(一)推进标准体系建设 完善行业共享机制.40(二)坚持效果评估导向 构建联动协同业态.41(三)强化主体责任意识 筑牢安全防御体系.42(四)完善从业培训机制 提高人才培养水平.43图 目 录图 目 录图 1 威胁信息

6、能力层级模型.6图 2 网络安全威胁信息表达模型示意图.12图 3 近年已通报的 CVE 漏洞数量.24图 4 国内各行业受攻击情况占比.29图 5 2020 年国内失陷主机最多省份.30图 6 2020 年国内失陷主机最多城市.31图 7 综合危害程度最强的 20 种高级威胁.33图 8 应急响应维度占比分析.34图 9 电子信息制造商威胁信息管理部署.36图 10 基础电信企业威胁信息管理部署.37图 11 网络视频平台威胁信息管理部署.38图 12 云计算服务商威胁信息管理部署.40表 目 录表 目 录表 1 攻击者攻击活动平台分布.26表 2 国外网络攻击受害行业分析与对比.28202

7、0 年网络安全威胁信息研究报告（2021 年）1一、网络安全威胁信息概念及现状本章详细阐述了网络安全威胁信息的定义内涵、层级模型和应用价值，并从国内政策导向、产业支撑情况和标准化进展等方面对网络安全威胁信息的发展现状展开说明。(一一)网络安全威胁信息的概念网络安全威胁信息的概念近年来，威胁信息逐渐成为网络安全行业的关注焦点，受到业界广泛讨论，如今已成为守护网络安全的重要手段。本节将从网络安全威胁信息的概念、意义和研发过程着手，对其技术理念、网络安全防护优势和研发工作特征展开介绍。1.网络安全威胁信息的定义与内涵综合国内外相关研究，我们归纳分析了多方定义后认为，网络安全威胁信息的核心内涵如下：第

8、一第一，网络安全威胁信息来源于对既往网络安全威胁的研究、归纳、总结，并作用于已知网络威胁或即将出现的未知网络威胁；第二第二，网络安全威胁信息的价值是为受相关网络威胁影响的企业或对象提供可机读或人读的战术战略数据并辅助其决策，因此网络安全威胁信息需要包含背景、机制、指标等能够辅助决策的各项内容。网络安全威胁信息的研究对象是“威胁”，包含已知的和即将出现的未知网络威胁，其内容既包括单一的木马样本、远控域名、攻击IP 等基础数据，也包括安全事件、攻击团伙等概括性数据。“信息”是研究的结果，通过研究网络威胁的背景、机制、指标等内容，生产2020 年网络安全威胁信息研究报告（2021 年）2出能够作用于

9、该威胁的战术或战略数据，这些战术或战略数据就是“信息”。根据从简单到复杂的逻辑，“信息”可分为单一失陷指标、资产特征、时间画像、团伙画像、攻击者身份等不同的层次。简而言之，网络安全威胁信息是为研究网络威胁而提取出的，用于发现威胁、认识威胁、追踪威胁的数据。2.威胁信息的网络安全防护优势随着网络攻击技术的更新迭代，政府部门、企事业单位、社会组织等机构面临的网络威胁和挑战也愈加严峻。从传统的僵木蠕到勒索与虚拟币挖矿（Bitcoin Mining），从传统的漏洞利用套件（Exploit Kit）到供应链攻击，从传统的反检测到无文件攻击，攻击者的工具和手法愈发复杂多变、角度刁钻、难以检测。现有的杀毒软

10、件、防火墙、网站应用级入侵防御系统（Web Application Firewall，WAF）等传统防护手段多为被动防御，仅根据已有策略在攻击发生时拦截攻击、阻止攻击生效并进行后续的恢复工作，对于策略之外的攻击则缺乏有力的检测和抵御手段。如何有效检测未知的网络威胁成为网络安全行业各方的共同着眼点。网络安全威胁信息利用公开的可用资源预测潜在的网络威胁，通过对历史网络威胁的收集和处理提前预知攻击，在攻击发生之前就做好防御策略，帮助企业在网络安全防御方面更为积极主动，实现较为2020 年网络安全威胁信息研究报告（2021 年）3精准的动态防御。根据 PPDR 安全防护模型1理论，威胁信息的网络安全防

11、护优势主要体现在如下几个方面。（1）检测方面：网络安全威胁信息能辅助用户对相关资产、风险、攻击面进行排查，从而让用户快速了解网络当前受攻击情况。（2）防御方面：采取主动防御措施，对网络威胁进行精准打击。威胁信息提供的恶意 IP 地址、域名/网站、恶意软件 hash 值等失陷指标（Indicators of Compromise，IOC）能够直接用于网络安全系统和设备进行防护。（3）响应方面：网络安全威胁信息能够帮助提供更完善的安全事件响应方案。（4）预测方面：构建安全预警机制，不断收集有关新型网络威胁的信息数据，根据当前网络环境的薄弱环节有效预测可能的威胁，以帮助企业更好地应对未知威胁。网络安

12、全威胁信息的使用将有效提升报警准确性，降低无效报警数量，极大减轻安全运营人员工作压力，使其聚焦于真实威胁，提升工作效率，对政府部门、企事业单位、社会组织等用户机构的网络安全建设和运营具有重要意义。3.网络安全威胁信息研发工作特征1Gartner 在 2017 年发布的 应用保护市场指南（Market Guide for Application Shielding，ID:G00337009）中，提出了由 Predict（预测）、Prevent（防护）、Detect（检测）、Response（响应）四个阶段组成的新PPDR 闭环安全防护模型，该模型在安全防护不同阶段引入网络威胁信息、大数据分析等新

13、技术和服务，旨在构建一个能进行持续性威胁响应、智能化、协同化的安全防护体系。2020 年网络安全威胁信息研究报告（2021 年）4从 Gartner 提出概念开始，网络安全威胁信息已经发展了 8 年有余，形成了威胁信息研发的专业产线，研发工作的高度专业化、高成本特征日趋明显。高度专业化：网络安全威胁信息研发的高度专业化体现在研发对象多元、研发产线环节多、数据数量质量要求高和研发人员专业性要求强等方面。首先，网络安全威胁信息研发产线涵盖原始数据、基础网络数据和网络威胁数据的采集、提取、分析等数据全生命周期管理，研发对象多元、研发环节多。其次，研发网络安全威胁信息依托于总量大、质量高的原始数据，即

14、互联网公开的基础网络数据历史信息。原始数据经过处理后成为可用于威胁信息研发的基础数据，并由威胁信息研发工程师对其进行分析生成网络安全威胁信息。再次，网络安全威胁信息研发对研发工程师有较高的专业技术能力要求，研发工程师首先需要感知到新型网络威胁的存在，研究威胁的投递路径、关联关系等特点，搭建对应的网络安全威胁狩猎模型进行追踪，最终依赖不同类型的分析系统进行威胁分析和威胁信息的提取研发。高成本研发：网络安全威胁信息研发工作的高成本体现在人力成本高、计算资源成本高这两方面。随着跨国家、跨地区的全球化攻击日益猖獗，网络安全防护措施正逐渐由合规驱动转变为需求驱动，这就要求威胁信息需更为及时、准确。在数据

15、收集阶段，需要积累时间跨度长、范围广的网络基础数据，并依托大量人力资源和计算资源投入对数据进行清洗、筛选，生成规模化的高质量数据。在网络安全威胁信息预测的模型训练阶段，依托于已有的规模化高质量数据，需要2020 年网络安全威胁信息研究报告（2021 年）5经验丰富的威胁信息研发工程师对模型进行人工调优，进一步拉高了人力成本。(二二)网络安全威胁信息能力层级模型网络安全威胁信息能力层级模型在研发和使用威胁信息时，不同的威胁信息复杂度和价值不尽相同，为了使威胁信息的研发和使用流程更清晰明了，需要根据失陷指标价值、安全能力和使用目的对威胁信息进行分类，以便应用于不同的场景。本节将详细描述“痛苦金字塔

16、”威胁信息指标模型，并在此基础上基于使用目的对威胁信息进行分类，归纳出威胁信息能力层级模型。资深安全专家 David J.Bianco 于 2013 年提出了“痛苦金字塔（ThePyramid of Pain）”威胁信息指标模型，并获得业内广泛认可。威胁信息的意义在于对已掌握的失陷指标做出快速响应，攻击者无法继续利用该指标发起攻击并由此感到痛苦，攻击者痛苦程度越高，该指标的价值也越高。“痛苦金字塔”模型根据攻击者的痛苦程度，将失陷指标价值划分了不同层级，由下至上分别为 Hash 值、IP 地址、域名、网络/主机工件、攻击工具、TTPs（Tactics、Techniques and Proced

17、ures，战术、技术和行为模式），其价值依次递增。痛苦金字塔模型提出至今已有 8 年，模型中价值最高的 TTPs 指标已无法完全满足当前的安全需求，同时威胁信息研发技术的发展进步也赋予安全人员更完善的技术能力，挖掘更具价值的威胁信息，探知攻击团伙画像及其在现实世界中的真实身份。2020 年网络安全威胁信息研究报告（2021 年）6因此，基于技术能力和安全需求的发展演进水平，本报告相应纳入了更具价值的威胁信息指标，对痛苦金字塔模型进行了扩展，模型各层级由下至上分别为 Hash 值、IP 地址、域名、网络/主机工件、攻击工具、TTPs、攻击团伙、真实身份，其价值依次递增。威胁信息指标价值越高，其安

18、全能力也越高，痛苦金字塔上层指标具备远高于下层指标的安全能力，可据此将威胁信息划分为三个递进的能力层级，不同的能力层级对应着不同的使用目的。最底层是以自动化检测分析为目的的战术级信息，中间层是以安全响应分析为目的的运营级信息，最高层是以指导整体安全投资策略为目的的战略级信息。来源：中国信息通信研究院图 1 威胁信息能力层级模型战术级信息：位于威胁信息能力层级模型的最底层，对应痛苦金字塔模型中 Hash 值、IP 地址、域名、网络/主机工件、攻击工具等 5个层级，其目的主要是自动化完成威胁发现、报警确认、优先级排序2020 年网络安全威胁信息研究报告（2021 年）7等安全检测分析工作。例如 C

19、&C2和 IP，二者都是可机读信息，可被设备直接使用并自动化完成上述安全工作。运营级信息：位于威胁信息能力层级模型的中间层，对应痛苦金字塔模型“TTPs”层级，其使用者主要是安全分析师或安全事件响应人员，目的是分析已知的重要安全事件，如分析攻击影响范围、攻击链及攻击目的、技战术方法等，或者利用已知的攻击者技战术手法主动查找攻击相关线索。战略级信息：位于威胁信息能力层级模型的最高层，对应痛苦金字塔模型的“攻击团伙”和“真实身份”层级，使用者主要是用户机构的安全管理者，如首席安全官（Chief Security Officer，CSO）等，其目的是帮助用户机构把握当前安全态势，更加有理有据地制定安

20、全决策。战略级信息包含多方面内容，如预判和评估攻击者身份、攻击潜在危害、攻击者战术能力和资源掌控情况、具体攻击实例等。在威胁信息能力层级模型中，自下向上每个层级的分析成果都作为其上方一层级的信息输入，层级越高，威胁信息研发难度越高、数量越少；相应地，攻击者攻击成本也随之增加，威胁信息对于被攻击者的价值也越高。(三三)网络安全威胁信息的应用价值网络安全威胁信息的应用价值网络安全威胁信息目前主要应用于企业网络安全防护、公共安全防护、国家安全防护等领域，相应的应用价值主要体现在提升企业主2C&C：即 Command and Control 信息，攻击者控制被害主机所使用的远程命令与控制服务器信息。2

21、020 年网络安全威胁信息研究报告（2021 年）8动防御能力、助力打击网络犯罪行为、保护国家网络空间安全三个方面。1.提升企业主动防御能力随着广泛的企业“上云”趋势，云计算技术在生产办公环境中的大规模应用使得企业受攻击面变广，面临更加严峻的网络安全挑战。很多企业的安全防护以传统的防火墙、入侵检测技术、恶意代码扫描、网络监控等手段为主，在受到攻击后才采取措施，因此经常陷入被动防御的境地。网络安全威胁信息能够提升企业对网络威胁的感知能力，让企业的安全防护由被动转向主动。威胁信息提供了多种网络安全防护操作，如攻击检测与防御、事件检测与响应、攻击团伙追踪、威胁狩猎、基于网络威胁发现驱动的漏洞管理、暗

22、网信息发现等，能够有效降低网络威胁的平均检测时间与平均响应时间。在检测与响应阶段，威胁信息能够帮助企业快速识别攻击，明确攻击类型、意图和来源，利用上下文数据追溯攻击团伙，总结攻击者画像。在防护与预测阶段，威胁信息能够帮助企业在攻击发生前发现威胁，提前修复关键漏洞，变被动为主动，实现防御体系的关键性转变，提升企业安全防护能力，减少企业因网络威胁而遭受的损失。此外，行业内网络安全威胁信息共享能够汇聚具有相似特征的攻击事件，为精准溯源攻击者提供数据基础，提升行业内网络安全的联合防护水平。2.助力打击网络犯罪行为2020 年网络安全威胁信息研究报告（2021 年）9互联网技术飞速发展并广泛融入人们的生

23、产生活，各种形式的网络犯罪也随之频繁发生，以黑产、灰产和暗网犯罪为主。黑产多利用网络开展违法犯罪活动，直接触犯国家法律，如电信诈骗、钓鱼网站、木马病毒、黑客勒索等；灰产多由正当行业衍生，游走于法律灰色地带，以恶意注册和虚假认证等方式为黑产活动提供便利，如为黑产运营社交账号、提供网络水军服务等；暗网犯罪是通过隐秘、特殊的登录方式与支付方式在难以追溯特征的网络空间从事犯罪活动。网络犯罪危害网络空间的公共秩序，严重侵犯社会组织和公民个人权益，打击遏制网络犯罪、追踪溯源犯罪分子是维护网络空间公共安全的重要议题。通过分析处理恶意 IP 地址、域名网站、恶意软件 Hash 值、网络或主机特征、TTPs 等

24、数据产出的威胁信息，能够完整还原犯罪团伙的组织名称、活跃时间、服务器和其他基础设备情况、攻击方向以及整体事件的来龙去脉，实现对网络犯罪的调查分析和记录留存，网络犯罪的线索共享、事件防范和预警，能够辅助案件侦破，抓捕犯罪嫌疑人，有效打击网络犯罪、改善网络环境，助力维护网络空间的公共安全。3.保护国家网络空间安全攻击者对国家政府部门、关键信息基础设施、关键行业机密的攻击越来越猖獗，网络空间如今已成为国家安全的又一重要角力场。金融、能源、电力、通信、交通等行业的关键信息基础设施一旦遭到攻击，可能导致交通中断、金融紊乱、电力瘫痪等严重后果，对国家安2020 年网络安全威胁信息研究报告（2021 年）1

25、0全具有极大的破坏力与杀伤力；核电、军工、高校等领域的研发核心数据如果被窃取，可能会造成国家机密泄露，后患无穷。网络安全威胁信息能够检测与阻止内外威胁，增加黑客入侵成本，降低入侵速度，提升主动防御能力，确保组织提前做好准备，应对攻击，避免机密和数据泄露及资产损失，保护国家关键信息基础设施稳定安全运行。因此，各个国家的安全部门会持续跟踪全球活跃攻击者、生成威胁信息，并据此指导相关行业的网络安全防护工作，从而保障各行业关键基础设施安全性、核心数据安全性和核心业务连续性，从而保护国家安全。(四四)网络安全威胁信息领域发展现状网络安全威胁信息领域发展现状1.国内相关政策文件要求网络安全威胁信息的研发和

26、应用已成为一项安全防护必备技能，受到安全厂商、用户机构和监管部门的广泛认可，国家及相关主管部门陆续出台了一系列与网络安全威胁信息相关的政策、标准等文件，如中华人民共和国国民经济和社会发展第十四个五年规划和 2035年远景目标纲要 信息安全技术 网络安全等级保护测评要求（以下简称等保 2.0）、关键信息基础设施安全保护条例（以下简称关基条例）等。针对工业互联网、虚拟现实、5G、数据中心等细分领域的网络威胁信息工作，工业和信息化部（下称“工信部”）陆续出台多项政策进行了规划和部署，发布了加强工业互联网安全工作的指导意见（工信部联网安2019168 号）、5G 应用“扬帆”行动计划（2021-202

27、3 年）（工信部联通信202177 号）等2020 年网络安全威胁信息研究报告（2021 年）11指导性文件，将构建网络安全威胁信息能力视为维护国家网络空间安全和各领域网络安全的一项重要手段。此外，工信部已连续多年组织开展网络安全试点示范工作，并将网络安全威胁监测与处置作为重点引导方向之一，以增强企业防范和应对网络安全威胁的能力。网络安全试点示范工作延续至今，威胁监测已成为 5G 网络、车联网、物联网、人工智能等多个新型信息基础设施安全的重点工作内容之一，威胁信息作为网络安全公共服务的核心环节备受重视。2.国内标准化工作进展制定网络安全威胁信息标准具有重大意义。通过规范化威胁信息的格式，业内对

28、网络安全威胁信息的描述就可以达到一致，使用户间、系统间的上传下达等流转工作更加高效顺畅，提升威胁信息的共享效率和行业整体的网络威胁态势感知能力。在网络安全威胁信息共享方面，美国较为领先，已提出一些威胁信息共享交换标准。目前国外已经有多种较为成熟的网络安全威胁信息格式，并得到不同程度的应用。美国联邦信息系统安全和隐私控制建议（Security and Privacy Controls for Information Systems andOrganizationsNIST 800-53）、美国联邦网络威胁信息共享指南（Guide to Cyber Threat Information Shari

29、ngNIST 800-150）、结构化威胁表达式（Structured Threat Information eXpression，STIX）、网络可观察表达式（Cyber Observable Expression，CyboX）以及指标信息 的可 信 自动 化 交换（Trusted Automated eXchange of Indicator2020 年网络安全威胁信息研究报告（2021 年）12Information，TAXII）等都为国际网络安全威胁信息的交流和分享提供了可靠参考。威胁信息的标准制定和优化能够有力推动其技术发展和共享进程，然而，到目前为止，暂时没有一个能够在国际上通用的

30、相关标准。2018 年 10 月 10 日，我国正式发布国内首个网络威胁信息的国家标准信息安全技术 网络安全威胁信息格式规范（GB/T36643-2018），并于 2019 年 5 月 1 日正式实施。该标准从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等八个组件进行描述，并将这些组件划分为对象、方法和事件三个域，最终构建出一个完整的网络安全威胁信息表达模型。该通用模型能够统一业内对网络安全威胁信息的描述，进而提升威胁信息共享效率和网络威胁态势感知能力。来源：信息安全技术 网络安全威胁信息格式规范图 2 网络安全威胁信息表达模型示意图2020 年网络安全威胁

31、信息研究报告（2021 年）13规范网络安全威胁信息的格式和交换方式是实现网络安全威胁信息共享和利用的基础与前提，在推动网络安全威胁信息技术发展和产业化应用方面具有重要意义。该标准适用于供需双方之间的网络安全威胁信息生成、共享和使用，为网络安全威胁信息共享平台的建设和运营提供参考，指导产品间、系统间、组织间的威胁信息共享和交换，提升整体安全检测和防护能力，在多个层面支撑国家网络安全工作。在国家级态势感知能力构建层面，标准提供了不同层级系统间统一的威胁信息上传下达格式，有助于快速建立态势感知机制；在行业级通告预警信息共享层面，标准提供了统一的预警信息格式，条件允许的场景下，能形成可机读的检测和防

32、护规则，有助于大幅缩短响应时间；在产业级安全防护协同联动层面，标准有助于不同厂商产品间的自动化交互，提升产业整体能力水平。然而，我国现行的网络安全威胁信息国家标准距离在业内广泛落地实行仍有一定差距，标准在描述字段、适应业务能力和接口标准上仍有较大提升空间。3.国内网络安全产业支撑（1）建立健全威胁信息共享联动机制工信部牵头组织建设了工业和信息化部网络安全威胁和漏洞信息共享平台3（简称 NVDB 平台），督促网络产品提供者合理发布自身产品安全漏洞，鼓励漏洞收集平台和其他漏洞发现组织和个人主动3工业和信息化部官网：工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行（https:/ 年网络安全

33、威胁信息研究报告（2021 年）14报送漏洞信息，支持开展网络安全产品漏洞技术评估，督促网络产品提供者及时修补产品安全漏洞。（2）行业自律共建网络威胁信息联盟2016 年 2 月，国家互联网应急中心与中国互联网协会网络信息安全工作委员会联合发起成立了中国互联网网络安全威胁治理联盟（CCTGA），宣布建立专业领域协作机制，联合网络安全领域上下游力量，加强全国网络安全纵深防御体系建设，有效整治互联网地下黑色产业相关威胁，为净化网络环境和维护网民利益的起到了积极作用。2019 年 3 月，上海市信息安全行业协会协同连尚网络、平安科技、顺丰集团等发起成立“威胁数据共享联盟”。该联盟重点共享治理网络威胁

34、的知识体系和信息，通过平台化模式累积网络威胁最佳解决路径，威胁数据脱敏后变成一种可供他人获取的知识模式，进行策略分配到执行的知识库，供联盟内企业进行比对查询，共同推进威胁数据领域的新技术新应用，维护行业安全稳定发展，提升数据治理与安全防御能力，打造安全创新生态圈。网络安全威胁信息产业联盟聚集了安全产业上下游企业，为其提供了资讯互通和资源整合的新渠道，成员间的监督协作有助于加强我国网络安全行业自律和社会治理水平，为打破威胁信息孤岛、保障新时期网络安全提供了强劲动力。二、2020 年国内外网络安全威胁信息分析2020 年网络安全威胁信息研究报告（2021 年）15本章将基于 2020 年网络安全威

35、胁信息，从网络威胁变化趋势、攻击手法、国内外易受攻击行业和地域等维度对 2020 年网络安全态势进行研究分析，并盘点 2020 年国内较严重的网络威胁类型。(一一)2020 年国内外网络威胁情况概览年国内外网络威胁情况概览2020 年国内外网络安全态势较以往更为严峻。据 Check Point4和SonicWALL5观测，在 PC 端一直都有活跃表现的勒索软件在 2020 年全年呈激增态势，并造成严重危害。勒索软件开始利用基于暗网的云基础设施进行数据的分批次泄露，以此威胁被勒索组织，迫使其尽快交付赎金；随着世界范围内移动设备感染率的上升，IoT 设备被感染的可能性也大大增加；黑客对供应链、VP

36、N、漏洞等常见攻击面的兴趣仍然在持续，并且开始出现伪装成 Zoom、Slack 等通讯工具客户端进行攻击的现象；此外，黑客及黑产组织仍然在暗网上持续活动，并被监测到存在利用暗网买卖泄露数据、云基础设施等行为；在 2020年，被曝光的 APT 攻击事件有数百起，40 余个国家和地区遭受了不同程度的 APT 攻击。2020 年的新冠肺炎疫情对网络环境也产生了一定影响，尤其在网络攻击方面，与新冠肺炎疫情相关的攻击数量大幅度上升，攻击手段更加多样，医疗行业受此影响较大，移动办公相关的信息基础设施和远程通讯工具是受攻击重灾区，新冠肺炎疫情及冠状病毒相关的话题成为攻击者偏好的诱饵。4数据来源于全球威胁指数

37、报告，由头部网络安全解决方案提供商 Check Point 软件技术公司的网络安全威胁信息部门 Check Point Research（CPR）于 2021 年 5 月发布。5数据来源于2020 年威胁报告（2020 SonicWall Cyber Threat Report），由头部互联网安全设备及平台提供商 SonicWALL 于 2021 年发布。2020 年网络安全威胁信息研究报告（2021 年）162020 年网络威胁的变化趋势主要体现在以下几个方面。（1）移动端和固网端感染率大幅上升Nokia 的观测数据6表明，受新冠肺炎疫情影响，在 2020 年 2月和 3 月，移动端感染率比

38、前几个月增加了近 30%，在 5 月和 6 月，固定宽带网络的感染率也出现大幅度上升，但 Nokia 并未披露具体数据。（2）冠状病毒相关域名数量大幅增加Akamai 的数据7显示，2020 年 1 月 1 日到 2020 年 4 月 1 日，超过 90,000 个以冠状病毒为主题的域名被注册，尽管其中很大一部分域名与恶意行为无关，但攻击者的确注册了大量与新冠肺炎相关联的欺诈性域名。此外，由于疫情期间医疗机构的业务量增加，信息化系统需要录入更多患者数据，面临更大运营压力；为了保证业务连续性，医疗机构在受到勒索攻击后交付赎金的意愿更高，因此可能会更容易受到勒索攻击。（3）疫情相关垃圾邮件大规模出

39、现趋势科技的数据8显示，2020 年全年至少有超过 1600 万个与新冠肺炎疫情相关的网络威胁被检出，包括恶意 URL、垃圾邮件和恶意软件，这些网络威胁大部分来自美国、德国和法国。在各类网络6Nokia 于 2020 年发布的Threat Intelligence Report 20207业界头部内容交付网络（CDN）服务提供商 Akamai 于 2020 年发布的state of the internet/security:AYearin Review8全球头部安全整体解决方案提供商趋势科技（Trend Micro）于 2021 年 2 月发布的 AConstant State of Flu

40、x:Trend Micro 2020Annual Cybersecurity Report2020 年网络安全威胁信息研究报告（2021 年）17威胁中，垃圾邮件占比近 90%，攻击者将其作为首选攻击渠道，相较于恶意 URL 和恶意软件，垃圾邮件有着更低的技术门槛。（4）针对远程办公场景的攻击手段增加疫情期间，当员工居家办公时，攻击者也正在利用电话会议软件发起更多攻击行为，模仿电话会议提供商的应用程序以分发恶意软件，例如创建与 Zoom、Microsoft Teams、Google Hangouts 等远程办公软件类似的恶意域名等。（5）攻击者活跃度显著提升，攻击指向性愈发明显攻击者的主要攻击

41、对象是从事疫苗开发、生物医疗研究、政策制定的机构和组织，攻击者会调整钓鱼诱饵，冒充疫情相关信息引诱攻击对象操作，从而窃取其核心数据。攻击者通过钓鱼网站和垃圾邮件等方式诱导攻击对象打开钓鱼附件，传播 Emotet、Trickbot、远控、后门、DDoS 和挖矿等木马，并以此进行攻击。(二二)2020 年国内外网络攻击手法概览年国内外网络攻击手法概览根据现有数据统计，2020 年全球失陷主机约有 6,431,498 台，国内约有 880,607 台，约为全球的 1/8 左右。从全球范围来看，攻击者的主要攻击对象未产生较大变化，邮件、云服务、VPN、移动设备、IOT 设备仍然是受害重灾区；攻击手段上

42、，钓鱼、勒索软件、供应链攻击、利用漏洞、社会工程学等仍是攻击者的主流选择。从国内受攻击情况来看，大多数攻击来自于国内攻击者，而威胁集中表现为设备被利用于挖矿，这也反映出目前国内黑客黑产等攻击2020 年网络安全威胁信息研究报告（2021 年）18者的主要目的是获得经济利益。国外已经出现勒索和窃取数据融合的攻击手法，产生的危害较大，建议国内相关机构持续重视这一趋势。此外，利用木马远程控制主机进行 DDoS 攻击、下载恶意软件等行为也在持续发生，蠕虫等病毒传播引发的计算资源、带宽资源的消耗仍然值得重视。下面将详细盘点 2020 年全球网络攻击的主要手法和发展趋势，并简要探讨应对措施。1.钓鱼邮件仍

43、是主流攻击手段2020 年，攻击者仍旧广泛使用电子邮件展开攻击活动，传播各种网络威胁。欧盟网络安全局（ENISA）9指出，“攻击包括诸如基于企业工程的电子邮件攻击（BEC）和身份欺骗技术等计划，以使网络钓鱼活动更有效”，“超过 99的分发恶意软件的电子邮件需要人为干预（包括点击链接、打开文档、接受安全警告和其他行为）才能有效”。钓鱼邮件的发件者会模仿成信誉良好的组织或机构，其目标通常是窃取身份验证数据等敏感信息、安装恶意软件或获取信用卡号等其他财务资源。一部分钓鱼攻击属于鱼叉式网络钓鱼，具有高度针对性，但是无确定攻击对象的“广撒网”式钓鱼攻击活动更为普遍。钓鱼邮件诱使收件人点击指向恶意站点或文

44、件的链接、或打开附件（通常是压缩文件或 Microsoft Office 文件），在某些钓鱼邮件中，接收者还必须启用编辑或宏才能触发感染。9ENISAThreat Landscape2020 年网络安全威胁信息研究报告（2021 年）19但是，网络钓鱼技术也在不断发展。趋势科技在 2020 年观察到10，攻击者开始使用在线表单（例如生成在线调查问卷的工具）来托管网络钓鱼站点。相比假冒域名和网站，创建表单的时间成本和技术门槛更低，表单创建者仅借助表单生成器就能制作简单的页面，虽然与精心构建的伪造域名相比较为简陋，但这也意味着即使是没有经验、技术水平较低的网络犯罪分子也可以毫不费力地开始网络钓鱼攻

45、击。未来较长一段时间内，网络钓鱼攻击将变得越来越常见，并可能和勒索软件、APT 攻击等手段相结合，诱饵和所用邮箱也将和企业机构信息有更高的相关度。安全人员可适当开展网络安全培训、网络钓鱼模拟演练等工作，定期督促员工警惕钓鱼攻击的风险和危害，提升员工网络安全意识，防止被网络钓鱼。2.远程办公普及，VPN 攻击带来网络安全新挑战新冠肺炎疫情防控的要求催生了远程办公的兴起，但是边界、隔离模糊和大量远程终端的接入也给办公网络带来了新的安全挑战。根据趋势科技的观测10，VPN 作为常见的应对手段，2020 年的使用率达到了历史最高水平。VPN 已经成为新的攻击面和风险来源。根据 Zscaler 的数据1

46、0，CVE 数据库中已经列出了将近 500 个 VPN 漏洞；在企业当中，93的用户正在使用 VPN 服务，同时，94的用户知道网络犯罪分子将VPN 定位为目标，以获取对网络资源的访问权限；72的用户担心10云安全公司 Zscaler 于 2021 年发布的2021 VPN Risk Report2020 年网络安全威胁信息研究报告（2021 年）20VPN 可能会损害 IT 部门保持其环境安全的能力；67的用户正在考虑替代传统 VPN 的远程访问；目前，72的用户将优先考虑采用零信任模式。随着疫情防控常态化，远程办公网络的 VPN 攻击也将成为中大型用户必须面对的挑战之一。对于多分支机构、多

47、办公地点、员工地域流动较大的企业和组织，安全人员须找到一种既精准有效、又易于部署和统一管控的网络防护方案，如利用 DNS 解析技术对撞威胁信息等，否则将存在攻击者从分支机构或员工远程终端攻入总部办公网络的风险。3.勒索软件产业化特征明显，攻击手法出现新变化为了追求经济利益，攻击者对于攻击对象的选择更具针对性，不同于以往的随机选择方式，现阶段勒索软件攻击对象更关注具有高价值资产的关键行业；且攻击手法更加多样，包括利用未修补的漏洞、滥用弱的远程桌面协议（RDP）安全性、采用其他恶意软件家族等。Ryuk 和 Sodinokibi 是目前最知名的勒索软件，它们在很大程度上定义了现代勒索软件格局。202

48、0 年还出现了一些相对较新的勒索软件，例如 Egregor 和 DoppelPaymer，两者都已有成功实施勒索的案例11。勒索软件运营商还一直在将其目标范围扩展到更多操作系统，例如，RansomExx 并非 2020 年最常被检测到的勒索软件，但它对Linux 服务器的攻击能力却不容小觑，其主要目标是 VMware 环境，即用于存储 VMware 文件的计算机。11AConstant State of Flux：Trend Micro 2020Annual Cybersecurity Report.2020 年网络安全威胁信息研究报告（2021 年）21此外，勒索手法也出现了新的变化，过去受

49、害者只需要担心其数据被加密或删除，而现在的攻击者将定位高价值数据，不仅会删除或加密受害者的数据以进行勒索，还会通过泄漏站点（DLS）间接泄漏被盗数据，这种手法可被理解为 Big Game Hunter（BGH）的演进12。2020 年，BGH 的态势趋向于迫使受害者一旦被勒索软件感染就马上进行勒索谈判。2020 年 10 月，SunCrypt 勒索软件的运营商使用 DDoS攻击迫使受害者支付赎金，这是 BGH 攻击者在 2020 年“广为人知”的新攻击策略。受害者往往迫于被加密数据和文件的重要性而交付赎金，令攻击者总能达到攻击目的，增长其嚣张气焰，使得近几年勒索赎金呈指数级增长。根据保险公司

50、Coalition 的数据13，仅在 2020 年上半年，Coalition 保单持有人中，被勒索软件攻击的频率就增加了260%，平均赎金需求增加了 47%，金额达 338,669 美元。根据 CrowdStrike 观测到的数据13，2020 年受勒索软件泄露数据影响最严重的排名前四的行业分别是工业和工程领域（229 起）、制造业（228 起）、科技行业（140 余起）、零售业（140 余起）。值得注意的是，制造业尤其容易受到勒索软件的攻击，如果由于系统故障而无法满足生产需求，那么该企业不仅要承担因勒索软件感染造成的数据泄露、支付高额赎金等损失，日常运营的中断还会极大地影响核心业务。对于被勒