近日,深信服《 2019 年网络安全态势报告》(以下简称“报告”)正式发布,报告从恶意软件、网站安全、漏洞、APT攻击等方面分析整体网络安全态势情况。报告显示,不同于 2019 年网络安全态势整体平稳的情况,网站安全呈现了愈加严峻的发展态势,网站安全防控或需引起行业及政企事业单位的重点关注。
报告显示, 2019 年间网站攻击尝试量呈总体波动上升且快速增长趋势,仅下半年,网站攻击量增长率已高达59%,攻击类型也呈现了多样化分布但流量局部集中的趋势。从感染类型看,多以牟利为感染动机,垃圾邮件和恶意软件、网页篡改、钓鱼邮件等方式成为黑客们的主流选择。然而, 在攻击势头显著增强的对比下,企业端的防控能力也暴露出薄弱环节, Web站点漏洞隐患普遍存在,教育、医疗、政企单位更是漏洞高发行业,网站安全态势不容乐观。
网站攻击量半年超半数增长,攻击类型多样流量局部集中
根据报告显示,深信服在研究中以全国境内超过 8 万个站点为研究样本,通过实际的检测和分析后发现,我国网站安全面临威胁较为严峻, 2019 全年网站攻击尝试数量均为波动上涨趋势,下半年则表现出了更为活跃的增长态势,增速高达59%。
在攻击次数不断增长的同时,攻击类型也呈现了多样化分布但流量局部集中的趋势。根据对攻击日志的分析发现,攻击者尝试的攻击类型已从初期的单一操作发展至当前类型多达 10 余种的复杂化组合。其中文件包含攻击、Web整站系统漏洞、缓冲区溢出、XSS攻击等占比较少且各自相对平均,构成了约为10%的攻击尝试;网站信息泄漏攻击、弱密码、系统命令注入、Webshell上传、SQL注入等分别为11%-6%的攻击占比;而46%以上攻击者则都通过大规模批量网站扫描嗅探攻击,仅此一项就占据了近半数的攻击流量。Web漏洞成为网站安全的最重要防御关键点。
网站感染类型多样,多以牟利为感染动机
报告显示,深信服在通过对感染恶意软件的站点调查分析后发现,以PHP、数据库注入等为主要感染方式的垃圾邮件仍然是站点上最常见的感染,占比近40%。
此外,约有17%的站点存在有钓鱼邮件。钓鱼邮件的获利模式多样,遭遇钓鱼邮件的用户会可能被告知对方已经获取了自己电脑中的资料或者控制权,或者可以通过录屏记录用户观看成人网站的行为,以此要挟用户,进行经济欺诈牟利,众多用户深受其害。这种利用人性弱点进行钓鱼诈骗的感染类型往往很难识别,一旦“中招”,便难以挽回损失。
需要注意的是,网站篡改也是一种对用户侵害颇深的感染类型,尽管当前占比仅为0.45%,但攻击者通过网站篡改能够直接影响网站声誉,或者直接干预业务开展,会对用户的造成巨大损失,影响力难以估计。而在所有网站篡改的主流类型中,博彩占比达到了61%。可见,恶意攻击者进行篡改网站的主要动机是牟取经济利益。
Web站点漏洞隐患普遍存在,网站安全态势不容乐观
深信服经过分析发现,网站安全漏洞隐患普遍存在,网站安全形式不容乐观。报告显示,在接受检测的 8 万个站点中,近高危漏洞数量就已超过 86 万个,平均每个站点存在高危漏洞约为 11 个。而高危站点数量约为 8 千个,比重高达10%。除此以外,以CSRF跨站请求伪造、信息泄露、XSS 注入、目录列表和点击劫持等为主要构成的中高危的漏洞,也是网站安全的重大隐患。其中,CSRF跨站请求伪造漏洞因位于前列,以32%的占比居中高危漏洞类型之首。
对于漏洞普遍存在的现象,深信服通过对数据集内的不同中高危级别漏洞进行分析后发现,较多漏洞存在于淘汰或旧版软件中。企业或出于对旧版系统和软件的依赖性而继续保留,或因为其他原因导致旧版系统和软件更新不及时,无意中造成了极大的网站安全隐患。
教育、医疗、政企单位成漏洞高发行业 安全设施薄弱成主因
从行业角度来看,报告显示,科研教育、企业、政府单位、医疗机构分别以 20%、12%、12%、10%的占比,成为网站漏洞最高的前三行业,存在巨大的潜在风险。一方面是因为科研教育、医疗等非盈利性机构的特性,软硬件设施配置存在较多的依赖性,更新存在一定程度的滞后性;部分企业出于成本等考虑,对旧版系统和软件更新不积极,客观的不足是漏洞存在的主要原因;另一方面我国网络安全及网站安全问题近年来逐步展现,网络安全及网站安全意识水还平需进一步提高。
针对以上问题,建议组织单位提高安全意识,关注漏洞威胁情报,建立良好的硬件安全防御系统。同时,选择安全可靠的域名提供商,以防网络犯罪分子针对网站发起攻击,保护网站安全,保护网络信息安全。
近年来,随着数字化和智能化进程的不断深化,网站攻击技术也在同步发展,网站安全面临的威胁空前严峻。另一方面,在数字化智能时代,网站对于政企事业机构的价值今非昔比,网站安全已经是政企事业机构网络安全的重要构成。希望通过深信服《 2019 年网络安全态势报告》中对于当前网站安全面临的风险因素和新兴趋势的分析,能够为更高效地保障网站安全提供有效的支持。