8月26日，由奇安信主辦的2021年北京網(wǎng)絡(luò)安全大會（BCS 2021）正式召開，大會以“經(jīng)營安全 安全經(jīng)營”為主題，吸引到了來自全球各國網(wǎng)絡(luò)安全頂級學(xué)者、專家共襄盛舉。會上，《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)典型案例集（2021）》重磅發(fā)布，旨在為政企機構(gòu)的日常安全建設(shè)提供參考。

此次發(fā)布的《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)典型案例集（2021）》，主要由2021年最新發(fā)生的應(yīng)急響應(yīng)事件數(shù)據(jù)分析，以及涵蓋10大類、共計50個典型案例介紹組成。其意義在于，一方面通過網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件來分析機構(gòu)的安全隱患，另一方面也通過應(yīng)急響應(yīng)案例來為更多企業(yè)的事件響應(yīng)和安全建設(shè)提供參考。應(yīng)急響應(yīng)事件頻發(fā)，日常安全運營工作仍有待提升

2021年1月至6月，奇安信集團(tuán)安服團(tuán)隊共參與和處置了全國范圍內(nèi)590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件。在事件發(fā)生的第一時間，奇安信協(xié)助政企機構(gòu)處理安全事故，確保了政企機構(gòu)門戶網(wǎng)站、數(shù)據(jù)庫和重要業(yè)務(wù)系統(tǒng)的持續(xù)安全穩(wěn)定運行。

數(shù)據(jù)顯示，受害者行業(yè)分布排名前幾位的分別為政府部門（140起）、醫(yī)療衛(wèi)生行業(yè)（58起）以及金融行業(yè)（49起）和事業(yè)單位（49起），事件處置數(shù)分別占上半年應(yīng)急處置事件的23.7%、9.8%、8.3%和8.3%。

大中型政企機構(gòu)應(yīng)急響應(yīng)行業(yè)分布

在這590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件當(dāng)中，由行業(yè)單位自行發(fā)現(xiàn)的攻擊事件占95.2%，其中發(fā)現(xiàn)入侵跡象的事件占比39.6%，被攻擊者勒索后發(fā)現(xiàn)的攻擊占35.1%，安全運營巡檢發(fā)現(xiàn)的事件占比20.5%。另外還有4.8%的攻擊事件，是在得到監(jiān)管機構(gòu)及第三方平臺的通報后，政企機構(gòu)才得知自己已被攻擊。

大中型政企機構(gòu)應(yīng)急攻擊事件發(fā)現(xiàn)分析

從中不難看出，盡管企業(yè)自行發(fā)現(xiàn)的安全事件占比已達(dá)95%以上，但大多數(shù)是在表現(xiàn)出具體入侵特征后才發(fā)現(xiàn)，而在日常安全運營工作中發(fā)現(xiàn)的入侵行為僅占比20.5%，因此安全運營建設(shè)亟待加強。

生產(chǎn)效率降低、數(shù)據(jù)丟失是網(wǎng)絡(luò)攻擊的主要影響

2021年上半年，從大中型政企機構(gòu)遭受攻擊產(chǎn)生的影響來看，攻擊者對系統(tǒng)的攻擊所產(chǎn)生的影響主要表現(xiàn)為生產(chǎn)效率降低、數(shù)據(jù)丟失、聲譽影響等。下圖為大中型政企機構(gòu)遭受攻擊后的影響分布。

大中型政企機構(gòu)遭受攻擊影響統(tǒng)計分析

在上述數(shù)據(jù)中，有305起應(yīng)急響應(yīng)事件導(dǎo)致生產(chǎn)效率低下，占比51.7%，攻擊者主要通過挖礦、蠕蟲、木馬等攻擊手段使服務(wù)器CPU占用率異常高，造成生產(chǎn)效率降低。

有149起應(yīng)急響應(yīng)事件導(dǎo)致數(shù)據(jù)丟失，占比25.3%，攻擊者通過對大中型政企機構(gòu)重要服務(wù)器及數(shù)據(jù)庫進(jìn)行攻擊，導(dǎo)致數(shù)據(jù)被破壞或丟失。

還有39起應(yīng)急響應(yīng)事件導(dǎo)致聲譽受到影響占比6.6%。同時，數(shù)據(jù)被篡改、數(shù)據(jù)泄露等也是政企機構(gòu)被攻擊后產(chǎn)生的結(jié)果，造成的后果也是非常嚴(yán)重的。

奇安信推出應(yīng)急響應(yīng)工具箱，為政企安防牢筑高墻

通過近6年的應(yīng)急響應(yīng)工作，奇安信安服團(tuán)隊總結(jié)出了以下幾個典型特點：

第一，勒索挖礦攻擊愈演愈烈，包括在國外發(fā)生的多起重大事件，國內(nèi)也不斷有相關(guān)攻擊案例的發(fā)生；

第二，政企機構(gòu)在網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)安全防護(hù)存在短板，常見如：弱口令、永恒之藍(lán)漏洞補丁下載不及時、員工缺乏安全意識等問題尤其明顯；

第三，應(yīng)急響應(yīng)事件受影響范圍主要集中在業(yè)務(wù)專網(wǎng)，平均占比可達(dá)60%以上，其次是辦公終端；

第四，敲詐勒索、黑產(chǎn)活動是攻擊者攻擊政企機構(gòu)的主要原因，而對政企機構(gòu)所產(chǎn)生的后果也尤為嚴(yán)重，主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下，數(shù)據(jù)丟失等，對政企機構(gòu)日常工作和運營造成了較大影響；

第五，攻擊者除利用病毒和木馬攻擊外，利用漏洞攻擊和釣魚郵件攻擊的事件也在不斷增多，常見漏洞如永恒之藍(lán)漏洞、任意文件上傳、weblogic反序列化漏洞；

第六，政企機構(gòu)單位自行發(fā)現(xiàn)能力雖逐年上升，然而，其中被攻擊者勒索后才發(fā)現(xiàn)事件的占比卻高于政企機構(gòu)日常安全運營巡檢發(fā)現(xiàn)入侵跡象的占比，這說明國內(nèi)政企機構(gòu)的日常安全運營建設(shè)水平仍有待大幅提高。

為解決應(yīng)急響應(yīng)人效低、應(yīng)急處置標(biāo)準(zhǔn)化程度低、處置人員能力不足等痛點，奇安信安服團(tuán)隊和應(yīng)急響應(yīng)專家，共同研發(fā)了一款集成奇安信安全情報及專家分析經(jīng)驗的自動化應(yīng)急響應(yīng)工具，從實戰(zhàn)中來，到實戰(zhàn)中去，真正解決了政企機構(gòu)客戶們的痛點。

依托奇安信行業(yè)領(lǐng)先的攻防研究能力，該應(yīng)急響應(yīng)工具箱內(nèi)置了威脅情報、專家知識庫、分析模型，和包括日志關(guān)聯(lián)分析工具、APT檢查工具、惡意代碼檢查工具、Webshell后門檢查工具、漏洞檢查工具、暗鏈檢查工具等在內(nèi)的眾多檢測工具，保障了檢測、分析的效率和準(zhǔn)確度。應(yīng)急響應(yīng)工具箱不僅擁有超強的自動化分析能力，還具有高集成化的特點，同時操作簡便，更具規(guī)范化。

對此奇安信希望，通過應(yīng)急響應(yīng)數(shù)據(jù)和典型案例為政企機構(gòu)的日常安全建設(shè)提供參考，用專業(yè)與恒心不斷打磨安全產(chǎn)品，降低應(yīng)急響應(yīng)事件發(fā)生頻次，提升響應(yīng)速度，將損失降至最低。未來，奇安信也將持續(xù)深耕，幫助更多客戶遠(yuǎn)離網(wǎng)絡(luò)安全問題困擾。