2020年注定是難忘的一年，COVID-19的大流行幾乎影響到人類生活的每個方面。同樣，在網(wǎng)絡領域也產(chǎn)生了重大影響，疫情改變了企業(yè)和組織的運作方式，使它們面臨一系列新的風險和惡意攻擊，同樣也對網(wǎng)絡犯罪的行為產(chǎn)生影響。

深信服千里目安全實驗室從惡意軟件、網(wǎng)站安全、漏洞、數(shù)據(jù)泄露、APT攻擊等方面分析整體網(wǎng)絡安全態(tài)勢情況，發(fā)布《2020年網(wǎng)絡安全態(tài)勢洞察報告》（以下簡稱報告）。本文摘取自報告關鍵內容，為您直觀呈現(xiàn)2020年網(wǎng)絡安全態(tài)勢，與您共同關注2021年網(wǎng)絡安全新趨勢！

惡意軟件態(tài)勢

2020上半年由于受新冠疫情的影響惡意軟件攔截量較少，2020年下半年惡意軟件攔截量比上半年增長超過30%，逐漸恢復到2019年水平。其中，加密挖礦仍是網(wǎng)絡犯罪分子主要研究的惡意活動之一，在惡意軟件中占比30.64%。其次是傳播性較強的木馬遠控和蠕蟲病毒，分別占比26.98%和16.76%。

其中，勒索軟件攻擊方面，2020年加密貨幣暴漲，勒索軟件同樣加速演變進化。2020年下半年勒索軟件展開瘋狂攻勢，安全事件數(shù)量在9月達到峰值，攻擊規(guī)模、贖金要求都屢創(chuàng)新高，數(shù)據(jù)泄露結合加密勒索的勒索方式使得受害者繳納贖金的概率大大增加。勒索軟件犯罪團伙逐漸專注大型機構，進行精確的攻擊行動，持續(xù)潛伏、制造嚴重破壞，索要大額贖金。

在挖礦軟件攻擊方面，相較2019年挖礦軟件的攻擊繼續(xù)持續(xù)放緩，但隨著虛擬貨幣的持續(xù)上漲，2020下半年挖礦軟件活動攔截增長超過20%，并總共檢測到超過50個傳播采礦木馬的主要網(wǎng)絡犯罪集團。其中，NDay漏洞利用攻擊、暴力破解仍然是常用攻擊方式，無文件攻擊也仍然受到挖礦團伙的青睞。

為防止惡意軟件對企業(yè)的造成損害，建議企業(yè)用戶做好以下的防護措施：在網(wǎng)絡層面，進行多層防護措施，在惡意軟件傳播到系統(tǒng)造成真正損害之前將其阻止。在系統(tǒng)層面，用戶可假設惡意軟件已經(jīng)滲透到企業(yè)系統(tǒng)的某一層級，然后相應地采取有效措施予以限制其可能帶來的進階影響并加快安全響應速度。

漏洞安全態(tài)勢

2020年CNVD共收錄漏洞信息19964條，同比增長24%，接近2011年的3倍，漏洞披露數(shù)量持續(xù)創(chuàng)新高，中高危漏洞信息占比超九成，漏洞形勢依然嚴峻。此外，2020 年移動端、物聯(lián)網(wǎng)設備等多平臺爆出越來越多 0day 漏洞，Excel4.0 宏等的使用增加了攻擊者的入侵效率和靈活性。為了能夠及時處置并閉環(huán)漏洞問題，建議企業(yè)單位的安全補救措施在基于暴露面、可利用性和其他因素進行考慮，以保持能及時補救關鍵風險。

網(wǎng)站安全態(tài)勢

互聯(lián)網(wǎng)帶來便利的同時，安全問題也伴隨而來。研究顯示，自2003年以來，Web應用程序已成為最受歡迎的被利用目標之一。當前網(wǎng)站安全形勢仍較為嚴峻，不容樂觀，建議相關單位部門及時做好重要網(wǎng)站的應急處置工作，積極應對各種網(wǎng)站攻擊。

網(wǎng)站漏洞方面，2020年網(wǎng)站漏洞檢測數(shù)量整體呈現(xiàn)增長趨勢，其中6月網(wǎng)站漏洞檢測數(shù)量達到全年檢測數(shù)量峰值，中高危漏洞檢測數(shù)量占據(jù)半壁江山，平穩(wěn)中上漲，需要重點關注。從網(wǎng)站的漏洞類型來看，CSRF跨站請求偽造所占比例最高，為29%。其次是信息泄露和配置不當，分別占比24%和17%。

網(wǎng)站篡改方面，深信服云眼系統(tǒng)2020年累計授權監(jiān)測網(wǎng)站178828個，其中監(jiān)測到被篡改站點41546個，占總站點數(shù)量23%，超過1/5。網(wǎng)站被篡改數(shù)量在平穩(wěn)中持續(xù)增長，被篡改網(wǎng)站類型中，網(wǎng)絡色情占比最高為43%，其次是網(wǎng)絡博彩為41%。

數(shù)據(jù)泄露態(tài)勢

2020年，全球數(shù)據(jù)泄露事件頻發(fā)，企業(yè)單位面臨的數(shù)據(jù)泄露問題依然嚴峻。遠程工作的常態(tài)下會增加數(shù)據(jù)泄露的成本和事件響應時間，而勒索病毒的“竊密”勒索策略變化則促進了數(shù)據(jù)泄露事件的發(fā)生，受害者不支付贖金，攻擊者就會公開或出售這些被盜數(shù)據(jù)。

深信服安全人員從近期捕獲到暗網(wǎng)情報近10萬條中分析到，數(shù)據(jù)交易類情報占比56.55%。從行業(yè)上看，金融行業(yè)、教育行業(yè)的泄露事件占比高達53%，是黑產(chǎn)團伙重點關注的對象。

其中教育行業(yè)在數(shù)據(jù)資產(chǎn)泄露的事件排第二。教育行業(yè)信息系統(tǒng)具有 一定的特征:一是使用人員多，全國范圍內教育機構、教師、學生均 數(shù)量龐大;二是信息系統(tǒng)多，教育行業(yè)的網(wǎng)站、系統(tǒng)數(shù)量同樣巨大; 三是數(shù)據(jù)多，這三大特征，使得網(wǎng)絡安全監(jiān)管防護難度較大。

根據(jù)深信服安全數(shù)據(jù) 顯示，2020 年針對教育行業(yè)的攻擊持續(xù)保持在較高水平，并在 10 月 達到峰值 1.5 億次。整體上，攻擊數(shù)呈上升趨勢，年攻擊總數(shù)達到了 13.4 億次。

此外，當前行業(yè)內普遍缺乏對代碼安全的管控意識和制度流程，員工有意或無意地將敏感代碼托管到開源的代碼共享平臺，可能造成代碼泄露及代碼泄露引發(fā)的一系列安全隱患。數(shù)字觀星發(fā)布的《數(shù)字資產(chǎn)暴露面風險報告》顯示，系統(tǒng)源碼和技術方案占據(jù)中國企業(yè)外部數(shù)據(jù)泄露類型的61%；泄露系統(tǒng)源碼中含有密碼密鑰風險最高。

為防范各類書籍泄露事件發(fā)生，深信服安全專家建議企業(yè)采取深度防御安全策略，包括：

（1）特權訪問管理，用于監(jiān)視和控制系統(tǒng)帳戶的訪問。

（2）多重驗證加強身份管理、防止身份假冒，降低登陸設備賬號丟失和弱密碼等相關風險。

（3）注重端點威脅檢測和響應，自動識別和減少可能導致數(shù)據(jù)泄露的惡意軟件、網(wǎng)絡釣魚、勒索軟件和其他惡意活動的工具。

（4）最小權限管理將訪問權限與角色緊密結合在一起，以確保僅提供工作所需的訪問權限。

高級持續(xù)性威脅態(tài)勢

亞洲地區(qū)是APT攻擊（高級持續(xù)性威脅攻擊）在2020年最活躍的地區(qū)，另外中東與東歐也相對頻繁。此外，在疫情背景下，圍繞病毒及其影響的這種不確定性和恐懼為威脅行為者利用局勢提供了絕佳機會，多個APT組織利用冠狀病毒主題的釣魚郵件作為感染媒介，在受害機器上獲得立足點。

從整體活動分析，APT攻擊未來可能呈現(xiàn)以下趨勢：

（1）地緣政治攻擊

從整體活動分析，局勢敏感以及動蕩的地區(qū)相關的APT攻擊活動會更加頻繁，未來地緣政治仍然是APT威脅組織的重要目標。

（2）漏洞開發(fā)與0day網(wǎng)絡軍火商興起

漏洞是APT武器庫中不可缺失的資產(chǎn)之一，頂級APT組織會繼續(xù)挖掘漏洞與開發(fā)相關利用工具；而不具有漏洞挖掘的組織可以通過0day網(wǎng)絡軍火商購買相關的漏洞利用工具。

（3）利用入口設備與管理軟件

2020年國內外已經(jīng)出現(xiàn)了多起VPN漏洞攻擊事件、網(wǎng)絡邊界設備漏洞攻擊事件。未來，APT組織更多聚焦在這類設備與軟件，深入分析該類設備以及軟件，挖掘其中的安全漏洞，實現(xiàn)以點擊面的攻擊效果，甚至達到供應鏈攻擊的效果。

（4）多平臺攻擊一體化

除了傳統(tǒng)的Windows、Linux以及MAC OS系統(tǒng)平臺，越來越多的APT組織已經(jīng)在移動端進行監(jiān)控布局與攻擊，多平臺一體化逐漸成為未來趨勢之一，例如Lazarus組織的三平臺一體化攻擊框架MATA。

2021年網(wǎng)絡安全趨勢展望

1. 人工智能賦能安全的同時，也給網(wǎng)絡安全帶來巨大挑戰(zhàn)

在網(wǎng)絡技術方面，基于機器學習的僵尸網(wǎng)絡攻擊變得越來越復雜和準確，網(wǎng)絡防御者需要以更具創(chuàng)新性的解決方案做出應對。在應用方面，利用人工智能可以生成和偽造具有欺騙性的信息。例如通過人工智能假裝用戶，并模仿人類的行為進行相應的網(wǎng)絡操作，而這些行為很難通過傳統(tǒng)方法和真實的用戶行為加以區(qū)分。另外，在對抗性環(huán)境中，人工智能系統(tǒng)本身也可能受到攻擊或欺騙，從而導致錯誤的分類或預測結果。

2.隨著5G使用率的提高，更多設備變得依賴于5G提供的連接性，攻擊者將更有動力尋找其中可以利用的漏洞

與前幾代移動通信系統(tǒng)相比，5G依靠大規(guī)模天線和超密集組網(wǎng)等顯著提升了移動接入技術，帶動核心網(wǎng)技術的換代，但5G的網(wǎng)絡切片技術使得網(wǎng)絡邊界逐漸模糊，其延伸業(yè)務擴大了網(wǎng)絡安全的攻擊面。在促進網(wǎng)絡發(fā)展的同時，5G技術必然會成為不法分子攻擊的重點目標，攻擊者也將更有動力尋找可以利用的漏洞。如果發(fā)生惡意的網(wǎng)絡攻擊，或許在毫秒間就可以瞬間癱瘓掉整片的網(wǎng)絡通信系統(tǒng)，進而癱瘓所有與網(wǎng)絡相關的基礎設施。

3. IT基礎架構進一步向云轉型，云原生安全需求明顯提升，安全即服務（SECaaS）長周期成為國內發(fā)展的目標，技術變革將產(chǎn)生天然的規(guī)模效應

憑借敏捷部署、彈性擴展、易于維護等優(yōu)勢，SECaaS在國外已成主流。當前國內SECaaS逐漸出現(xiàn)產(chǎn)品雛形，雖然國內外在IT架構標準化程度、云化進度、公有云廠商對于生態(tài)理解等方面存在差異，但數(shù)字化轉型背景下企業(yè)上云需求旺盛，云安全面臨相似的發(fā)展趨勢，SECaaS未來將長期成為國內發(fā)展目標。

4.基于現(xiàn)代身份管理技術進行構建的零信任安全架構正在快速發(fā)展，并逐漸落地于企業(yè)信息化安全建設中

傳統(tǒng)基于邊界的安全防護邏輯逐步失效，內外部威脅愈演愈烈，傳統(tǒng)的基于邊界的網(wǎng)絡安全架構和解決方案難以適應現(xiàn)代企業(yè)網(wǎng)絡安全基礎設施，基于現(xiàn)代身份管理技術進行構建的零信任安全架構應運而生。零信任安全架構基于“以身份為基石、業(yè)務安全訪問、持續(xù)信任評估、動態(tài)訪問控制”四大關鍵能力，可以打破傳統(tǒng)物理安全的困境，建立新型安全防御體系。

未來幾年零信任將會快速發(fā)展并落地到企業(yè)安全建設中去。不管是企業(yè)內部威脅，還是新的遠程業(yè)務訪問安全需求，零信任都可以有效地幫助解決相關安全問題。

5.人們生活和辦公越來越遠程化、數(shù)字化并且更加互聯(lián)，其中物聯(lián)網(wǎng)設備數(shù)量激增，同時遭受攻擊的風險也在迅速增加

據(jù)市場調研機構MarketsandMarkets發(fā)布的“物聯(lián)網(wǎng)安全市場”預測數(shù)據(jù)，2021年將有350億智能設備在線，到 2025年，這一數(shù)字將增加到 750億。但物聯(lián)網(wǎng)設備仍然缺乏諸如加密之類的基本保護處理能力，設備一旦被攻陷，可用于各種惡意應用，包括DDoS攻擊、加密挖掘、監(jiān)視、網(wǎng)絡側鏈攻擊和個人信息盜竊等。

另外，物聯(lián)網(wǎng)漏洞從出現(xiàn)PoC到被攻擊者實際利用的時間間隔進一步縮短，同時設備漏洞容易引發(fā)大規(guī)模影響。2020年重大的IoT設備漏洞披露，包括6月的Ripple20和12月的Amnesia-33，影響了數(shù)百萬IoT設備。

6. 標準化XDR解決方案能有效提升安全團隊的效率和生產(chǎn)力

Gartner當前給XDR的定義是：XDR是一種基于SaaS的，綁定到特定供應商的安全威脅檢測和事件響應工具，可以將（該供應商的）多個安全產(chǎn)品原生地集成到一個統(tǒng)一的安全運行系統(tǒng)中，以統(tǒng)一所有授權的安全組件。

 XDR通過集中、規(guī)范化和關聯(lián)來自多個來源的安全數(shù)據(jù)來幫助安全團隊解決安全問題，XDR提供了更完整的可見性。XDR在提供EDR的所有功能的基礎上，還為企業(yè)提供了將其端點數(shù)據(jù)與其他安全產(chǎn)品數(shù)據(jù)關聯(lián)的機會。XDR通過分析來自多個來源的數(shù)據(jù)以驗證警報，從而減少誤報和整體警報量。

 除了警報關聯(lián)性和更高的準確性外，XDR解決方案還提高了安全團隊的生產(chǎn)力，實現(xiàn)了更快、更自動化的事件響應功能。許多安全工作流程在以往手動進行時，耗時且容易出錯，這些任務可以在XDR中有效解決，包括關聯(lián)自動化和威脅情報收集等，這也是安全編排、自動化與響應（SOAR）解決方案的核心功能。

關于報告更多詳細內容，點擊《2020年網(wǎng)絡安全態(tài)勢洞察報告》下載完整報告