2019安全事件响应观察报告：关键基础设施成为网络安全核心战场

近日，绿盟科技发布“2019安全事件响应观察报告”(简称“报告”)。报告称，在2019年安全事件当中，关键基础设施成为网络安全的核心战场，安全事件主要分布在金融、运营商和政府等行业。经济利益是黑客投身黑产的主要驱动力，勒索、挖矿依然是安全事件的重头戏。其中，三分之一的安全事件与安全管理疏忽或员工安全意识薄弱有关。

据了解，绿盟科技应急响应团队深入整理与分析了2019年处理的安全事件，并综合国内外重要安全事件，编制《绿盟科技2019安全事件响应观察报告》，希望从安全事件的角度分析2019年的安全现状，与安全行业从业者和社会各界交流发展趋势，共同探讨网络安全建设的发展方向。

关键信息基础设施安全防护愈加紧迫

报告显示，与2018年相比，2019年的安全事件整体趋势变化较大。从月度事件数量分布来看，2018年呈现平缓增长趋势;2019年上半年整体安全事件增长迅速，并在6月达到全年峰值，当月占全年安全事件总量的16.8%(是月平均安全事件的2倍);下半年整体呈下降趋势，与2018年同期环比下降39%。

2019年的安全事件当中，金融、运营商、政府、能源、教育、卫生、交通行业的安全事件占总体安全事件的82.3%，这些行业涉及的重要信息设施、信息系统和重要互联网应用系统均与国家关键基础设施息息相关。

其中，金融行业因为业务复杂、涉及资产价值较高等原因，向来是黑客攻击的重点，近三年金融行业安全事件占比均为第一。2019年的金融行业安全事件中，银行类占比最多，为28%。对近三年安全事件进行观察发现，运营商行业安全事件数量呈上升趋势，且在2019年尤为明显，环比2018年增长了90.6%。运营商行业发生的安全事件主要为虚拟挖矿、入侵事件、勒索软件、蠕虫病毒和业务安全等，涉及类型广泛。2019年政府行业发生的安全事件占事件总数的14%，在各行业中排在第三位。发生的安全事件类型中，占前三位的分别为入侵事件、虚拟挖矿、勒索软件。

国家关键信息基础设施是指关系国家安全、国家公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统和重要互联网应用系统等。

关键基础设施关系着国计民生，是经济社会运行的神经中枢，是网络安全的重中之重。随着经济社会对网络的依赖程度不断加深，关键信息基础设施安全防护更加紧迫。网络空间军事化、网络武器平民化、网络攻击常态化的态势日趋明显，关键信息基础设施已成为网络攻击的主要目标。

经济利益是黑客攻击的主要驱动力

报告分析称，经济利益是黑客投身黑产的主要驱动力。

2019年处理的安全事件中，绝大多数攻击者具有较为明确的目的，以获取经济利益为攻击意图的安全事件达到了77%，其中包含了勒索诈骗、虚拟挖矿、黑产活动以及为后续黑产做铺垫的后门权限维持等攻击行为。对于大部分攻击者而言，发起攻击的主要原因是为获取暴利，实现自身最大利益。在经济利益的驱动下，攻击者不断更新攻击手段，完善黑色产业链，这也使得使网络攻击更加难以防范，对网络安全从业者带来新的挑战。

值得注意的是，勒索软件即服务发展迅猛。勒索软件即服务(RaaS)是指由开发者编写恶意软件后，提供给代理分发者扩散感染再抽成的盈利模式。这种模式让黑产从业者不需要恶意软件开发的专业知识就可以发起勒索活动，他们可以通过RaaS轻松获取勒索软件，只需进行一些配置并将恶意软件分发给受害者即可。低门槛高收益的盈利模式推动黑色产业链日趋成熟，层出不穷的勒索软件的频繁更新更是堪比商业软件。勒索软件低风险、高收益的特性，也让不少黑客跃跃欲试。

黑链暗链事件呈爆发式增长，据不完全检测统计，国内有近6万站点已被植入黑链/暗链。多年以来，黑链暗链都是黑灰产业中的重要组成部分。最近几年，得益于互联网的高速发展、网民数量增加刺激传统线上黑产爆发增长，以及与互联网相关的新型经济的涌现(直播、付费内容等)，以赌博、色情、违法业务等为核心内容的黑灰产业得到了极大的发展，也使得挂黑链暗链的需求猛增。

多措并举应对日益严峻的安全形势

对2019年入侵事件的统计发现，从事件可回溯的首次入侵时间到事件被用户报告或被告知的时间，入侵事件平均潜伏时间高达359天。由此可见，已发现处理安全事件只是众多安全事件的冰山一角。

从安全事件发生原因分析，多数安全事件是由于用户安全意识不足，进而用户或系统漏洞未及时修复引发。当前，很多企业或多或少存在着安全管理薄弱或员工安全意识不足的问题。安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。当攻击者无法通过传统技术手段对企业资产进行攻击时，人和管理上的漏洞往往更容易成为攻击者的突破口。

安全需要人、技术、管理的全方位保障，然而人与管理因素由于其复杂性常常成为入侵突破口。在2019年处理的安全事件中，弱口令事件占比22%，钓鱼邮件相关事件占比7%，配置不当事件占比3%，与人和管理相关的事件合计占总数的1/3。

安全防护总是落后一步，所以需要做到防患于未然。而安全演练、常态化威胁情报的分析、安全运维中的运维监控和漏洞修复等都是防御日益严峻的安全形势的有效手段。

其中，国家级安全演练效果明显。国家级安全演练，就是要模拟黑客真实的网络攻击场景，考察政府机构、能源、通信、金融等关键信息基础设施单位遭受网络攻击的情况下的应急保障及协调能力。

安全演练不仅能增强演练组织单位、参与单位和人员等对应急流程的熟悉程度，提高应急处置能力，还能检查各个单位对突发事件所需应急队伍、物资、装备、技术等方面的准备情况，发现应急预案中存在的问题，这也是对日常安全运维工作中的安全保障成果的一种检验，可为后续单位、企业安全建设提供新的思路与方向。

关键词： 基础设施 网络安全