2015年度中國互聯(lián)網(wǎng)站安全報告安全漏洞頻發(fā) 網(wǎng)絡(luò)攻擊行為加劇

文/本刊記者 Sophia

2015年度中國互聯(lián)網(wǎng)站安全報告安全漏洞頻發(fā) 網(wǎng)絡(luò)攻擊行為加劇

文/本刊記者 Sophia

杭州安恒信息技術(shù)有限公司風(fēng)暴中心日前發(fā)

布《2015年中國互聯(lián)網(wǎng)站安全報告》，報告顯示：

2015年度，根據(jù)風(fēng)暴中心大數(shù)據(jù)監(jiān)測平臺對全國網(wǎng)站（不含港澳臺地區(qū)，下同）監(jiān)測結(jié)果統(tǒng)計，全年累積在我國內(nèi)地7650087個互聯(lián)網(wǎng)站點中檢出安全漏洞共計15291010個。

其中，發(fā)現(xiàn)存在高危漏洞的站點25071個，占檢測總數(shù)的0.327%。高危漏洞總計1174758個，占發(fā)現(xiàn)漏洞總數(shù)的7.68%。高危漏洞類型中，直接危害與波及范圍、影響最大的高危漏洞仍為SQL注入漏洞，共檢出198796個，占發(fā)現(xiàn)高危漏洞總數(shù)的16.92%。

2015年度全國各省網(wǎng)站漏洞總數(shù)排名前三分別為江蘇、廣東與浙江，其中廣東省高危漏洞數(shù)量占該省漏洞總數(shù)比例最高，為13.76%。各省發(fā)現(xiàn)最多的高危漏洞如下圖表所示：31個省、直轄市及自治區(qū)中，18個省級行政區(qū)受SQL注入漏洞影響最為嚴(yán)重，占高危漏洞總數(shù)的58.06%；其他影響較大的高危漏洞還包括FCKEditor漏洞、敏感路徑漏洞以及敏感信息泄露漏洞等。

各省影響首位的高危漏洞統(tǒng)計

行業(yè)網(wǎng)站安全狀況分析

政府網(wǎng)站安全狀況分析

2015年全年，風(fēng)暴中心在對245，393個包含gov. cn域名的我國政務(wù)網(wǎng)站進行的監(jiān)測中，共發(fā)現(xiàn)漏洞8，407，679個，平均每個政府網(wǎng)站漏洞數(shù)達34.26個。

在發(fā)現(xiàn)的全部漏洞中，危（緊）急漏洞573，275個，

占漏洞總數(shù)的6.82%；高危漏洞2，762，713個，占

漏洞總數(shù)的32.86%；中危漏洞4，031，048個，占漏洞總數(shù)的47.94%；低危漏洞1，040，643個，占漏洞總數(shù)的12.38%。

各級漏洞的數(shù)量與占比分布情況如圖所示。

政府網(wǎng)站全年各級漏洞分布情況

根據(jù)漏洞成因?qū)@些漏洞進行分類，得到數(shù)量排名前十的漏洞，如下圖所示：

全年政府網(wǎng)站安全漏洞分類數(shù)量圖

圖中顯示，信息泄露型漏洞顯著高于其他漏洞，高達300余萬個，占全部漏洞總數(shù)的近40%比例；排名第二和第三的漏洞分別是指紋信息檢測和敏感關(guān)鍵詞，數(shù)量分別是76萬和66萬多個。前三類漏洞占了全部漏洞的比例高達56.5%。這充分說明政務(wù)網(wǎng)站安全運維水平低下所導(dǎo)致的網(wǎng)站系統(tǒng)、服務(wù)器、數(shù)據(jù)庫等不當(dāng)配置，為入侵者的進一步定點精準(zhǔn)入侵提供了充分的攻擊情報基礎(chǔ)。

同時，在監(jiān)測到的危急漏洞中，跨站腳本漏洞數(shù)量最多，達101，454個，占比20%；SQL注入類型漏洞排名第二，達114，768個，占比17.7%；排名第三的漏洞是默認(rèn)后臺登錄，共50，821個，占比8.7%。漏洞的TOP10如下表所示：

政府網(wǎng)站排名前十高危漏洞表

下圖顯示了漏洞數(shù)量的地域分布情況。

政府網(wǎng)站安全漏洞地域分布圖

通過上述分析，可以看出我國政府網(wǎng)站雖整體安全態(tài)勢尚可，但仍存在大量的安全漏洞，這主要是由于各政務(wù)網(wǎng)站的建設(shè)能力、運維能力與安全防護、管理能力參差不齊所造成的。

金融行業(yè)網(wǎng)站安全狀況分析

風(fēng)暴中心對全國銀行、證券、保險等金融相關(guān)網(wǎng)站抽取4066個站點進行監(jiān)測分析，發(fā)現(xiàn)34584個安全漏洞，其中發(fā)現(xiàn)高危漏洞的站點27個，占總數(shù)的0.66%，高危漏洞總計2829個，占發(fā)現(xiàn)漏洞總數(shù)的8.12%，金融行業(yè)網(wǎng)站安全態(tài)勢總體高于政務(wù)網(wǎng)站。

根據(jù)漏洞的成因?qū)@些漏洞進行分類，得到數(shù)量排名前十的漏洞，如圖所示：

金融行業(yè)網(wǎng)站排名前十漏洞表

在監(jiān)測到的高危漏洞中，占比最高的仍然是敏感信息泄露類漏洞、同時較高的還有SQL注入及XSS跨站漏洞，這反映出了國內(nèi)金融行業(yè)網(wǎng)站在安全運維中仍存在不細致的情況，以及亟需提升的Web應(yīng)用代碼安全質(zhì)量與安全服務(wù)全程參與的系統(tǒng)開發(fā)過程需求。

教育行業(yè)網(wǎng)站安全狀況分析

2015年，安恒信息風(fēng)暴中心在對25817個國內(nèi)教育行業(yè)網(wǎng)站進行的監(jiān)測中，共發(fā)現(xiàn)漏洞192684個，平均每個教育網(wǎng)站漏洞數(shù)達7.46個。在發(fā)現(xiàn)的全部漏洞中，高危漏洞22155個，占總漏洞的11.50%，中危漏洞89652個，占總漏洞的46.32%，低危漏洞59440個，占總漏洞的30.85%。

對教育行業(yè)網(wǎng)站影響最大的漏洞是默認(rèn)管理頁面泄露及默認(rèn)后臺登錄這一類漏洞，共發(fā)現(xiàn)接近十萬個。同時，SQL注入、跨站腳本、目錄遍歷也都是在教育行業(yè)網(wǎng)站中較經(jīng)常發(fā)現(xiàn)的漏洞類型。高危漏洞的TOP10如下表所示：

教育行業(yè)網(wǎng)站排名前十高危漏洞表

相比其他行業(yè)而言，在教育行業(yè)網(wǎng)站中發(fā)現(xiàn)的漏洞究其產(chǎn)生原因，更多是由于網(wǎng)站疏于管理維護（如默認(rèn)后臺登錄），或是技術(shù)力量薄弱而未能從代碼層對漏洞進行及時修復(fù)（如SQL注入）而產(chǎn)生。利用這些漏洞的過程技術(shù)含量不高，放任這些漏洞留在教育行業(yè)網(wǎng)站系統(tǒng)內(nèi)部，無疑給這些網(wǎng)站的安全帶來了極大的威脅。

組織性攻擊行為分析

非法暗鏈組織攻擊行為分析

以2015年風(fēng)暴中心云監(jiān)測平臺中所監(jiān)測到的網(wǎng)站暗鏈攻擊事件為數(shù)據(jù)來源，通過3萬多個被暗鏈感染的網(wǎng)站樣本進行分析，發(fā)現(xiàn)此類攻擊活動呈現(xiàn)明顯的組織化與針對性特征。

暗鏈互鏈?zhǔn)疽鈭D

暗鏈攻擊事件模式具備進化性，由過去網(wǎng)站暗鏈以單向鏈接指向暗鏈源頭主機的形式，進化為遭植入暗鏈網(wǎng)站交叉互鏈、境內(nèi)暗鏈索引主機交叉互鏈、暗鏈源頭主機交叉互鏈以及遭植入暗鏈網(wǎng)站、暗鏈索引主機、暗鏈源頭主機同時交叉互鏈的復(fù)合形式。

根據(jù)采樣結(jié)果分析，暗鏈索引站點與暗鏈源頭站點多位于海外主機，目前感染超過1000個站點以上的暗鏈索引站點大多數(shù)集中于北美地區(qū)；而由于被植入暗鏈的站點互鏈狀況愈發(fā)嚴(yán)重，被植入暗鏈站點充當(dāng)暗鏈索引的流量也有所增加。

從攻擊行為模式來看，也呈現(xiàn)較為典型的組織化與自動化特征，攻擊目標(biāo)的選擇與攻擊方法較為清晰：

總體來說，有組織攻擊行為受境內(nèi)外網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)利益鏈驅(qū)使，具有強烈的趨利性，導(dǎo)致攻擊行為堅決而不計成本，是我國互聯(lián)網(wǎng)站近年來占比最多的安全事件類型。

Anonymous（匿名者）組織攻擊行為分析

Anonymous，國內(nèi)稱為匿名者，是以美國為中心，世界范圍內(nèi)成立的一個松散的國際黑客組織。成員分成兩組：A組——（技術(shù)黑客）：即核心成員，由真正熟練黑客技術(shù)的成員組成，具有專業(yè)編程和網(wǎng)絡(luò)技術(shù)攻擊能力；B組——（外行）：這組由來自世界各地?zé)o數(shù)的志愿者組成，主要進行DDoS攻擊，或組織集中的大訪問量以阻塞網(wǎng)絡(luò)，技術(shù)含量較低。

該組織主要核心技術(shù)力量近年來主要攻擊對象為宗教極端組織與網(wǎng)絡(luò)恐怖主義站點，無暇也無力在全球范圍內(nèi)同時組織多起針對網(wǎng)絡(luò)大國的大規(guī)模或高精度、高危害攻擊行動，而轉(zhuǎn)為默許全球各國或地區(qū)的網(wǎng)絡(luò)不法分子處于各種目的借用該組織分部名義進行攻擊行動聲明并組織、發(fā)動網(wǎng)絡(luò)攻擊行動，如2015年所發(fā)生較有代表性的#OPChina#與#OPHongkong#即為典型案例。

但值得注意的是，一旦“匿名者”組織核心圈由于某種原因決定并真正組織、號召并發(fā)起針對我國的網(wǎng)絡(luò)攻擊行為，需要防范與關(guān)注的重點并不應(yīng)是分布式拒絕服務(wù)攻擊這類攻擊方式，攻擊對象也并非是全部的gov.cn域名，包含大量敏感甚至涉密信息的重要基礎(chǔ)設(shè)施、政務(wù)業(yè)務(wù)系統(tǒng)才是該組織精準(zhǔn)打擊、造成巨大損失的對象。

第二屆世界互聯(lián)網(wǎng)大會網(wǎng)絡(luò)安保數(shù)據(jù)分析

安恒信息作為本次網(wǎng)絡(luò)安全保障工作最核心的技術(shù)支撐單位，安全保障工作采用了代碼檢測、安全測評、7*24監(jiān)測、主動防御、大數(shù)據(jù)實時分析預(yù)警等全生命周期的安全保障方案為大會提供保障服務(wù)，切實響應(yīng)領(lǐng)導(dǎo)單位的指示，實現(xiàn)了攻擊的全面防御，會議中重點保障的系統(tǒng)所有的攻擊行為均被我方部署云WAF、抗DDOS設(shè)備、硬件防火墻、WEB應(yīng)用防火墻等全面攔截，所有攻擊未對大會系統(tǒng)造成影響，成功完成了本次大會的網(wǎng)絡(luò)安全保障工作。

會議期間監(jiān)測到來自63個國家和地區(qū)多達14萬臺主機對我方重要系統(tǒng)發(fā)起嚴(yán)重攻擊為3千萬余次，相比第一屆世界互聯(lián)網(wǎng)大會監(jiān)測的嚴(yán)重攻擊27萬余次超過了近100倍。

通過大數(shù)據(jù)分析發(fā)現(xiàn)本次主要的威脅來自于境外國家或組織，前5個主要發(fā)起攻擊的國家分別為：美國678余萬次、新加坡276余萬次、德國136余萬次、荷蘭112余萬次、法國94余萬次。其中還監(jiān)測到來自法國的長達370余分鐘的持續(xù)化攻擊多達85萬余次。與第一屆世界互聯(lián)網(wǎng)大會相比較可以發(fā)現(xiàn)境外組織對我國的安全攻擊呈明顯上升勢頭，無論是攻擊數(shù)量、規(guī)模均遠大于去年，在攻擊的技術(shù)手法方面也更有針對性，在本次防御過程中甚至發(fā)現(xiàn)有一些國家采用最新爆發(fā)的0day漏洞對我方網(wǎng)站進行嘗試。

大會門戶網(wǎng)站群遭受境外攻擊分布

大會官方網(wǎng)站群遭受境內(nèi)攻擊來源分布于我國境內(nèi)大部分省份，其中前三位的省份分別為浙江、北京、上海。需要指出的是，來自于境內(nèi)的攻擊流量較大比例是由網(wǎng)絡(luò)安全主管單位、技術(shù)支撐單位及安全保障人員發(fā)起的例行性安全檢測與安全掃描工作，由于發(fā)起安全檢測與掃描的機房、人員大多集中于以上省份。

在本次大會網(wǎng)絡(luò)安全保障值守過程中，監(jiān)測與攔截了大批發(fā)起攻擊的攻擊源地址，經(jīng)攻擊源反查分析，發(fā)現(xiàn)國內(nèi)攻擊源主要可分為四個類型，分別為監(jiān)管部門與安全廠商漏洞掃描設(shè)備、遭遠程控制的僵尸主機、遭入侵的網(wǎng)站服務(wù)器主機與來源不明的網(wǎng)絡(luò)爬蟲。

數(shù)據(jù)顯示，2015年我國成為遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一，針對我國的網(wǎng)絡(luò)攻擊行為犯罪更加專業(yè)化、規(guī)模化、組織化，對政府、教育與金融類網(wǎng)站發(fā)起的攻擊數(shù)量總體保持穩(wěn)中有升態(tài)勢，而安全事件的響應(yīng)速度與修復(fù)率在國內(nèi)網(wǎng)絡(luò)安全主管機關(guān)與網(wǎng)絡(luò)安全企業(yè)的共同努力下，充分利用先進的網(wǎng)絡(luò)安全態(tài)勢感知與威脅情

報分析技術(shù)，得到了長足的進步與提高。

安全