文/本刊記者 Sophia

2015年度中國互聯(lián)網(wǎng)站安全報(bào)告安全漏洞頻發(fā) 網(wǎng)絡(luò)攻擊行為加劇

文/本刊記者 Sophia

杭州安恒信息技術(shù)有限公司風(fēng)暴中心日前發(fā)

布《2015年中國互聯(lián)網(wǎng)站安全報(bào)告》，報(bào)告顯示：

2015年度，根據(jù)風(fēng)暴中心大數(shù)據(jù)監(jiān)測(cè)平臺(tái)對(duì)全國網(wǎng)站（不含港澳臺(tái)地區(qū)，下同）監(jiān)測(cè)結(jié)果統(tǒng)計(jì)，全年累積在我國內(nèi)地7650087個(gè)互聯(lián)網(wǎng)站點(diǎn)中檢出安全漏洞共計(jì)15291010個(gè)。

其中，發(fā)現(xiàn)存在高危漏洞的站點(diǎn)25071個(gè)，占檢測(cè)總數(shù)的0.327%。高危漏洞總計(jì)1174758個(gè)，占發(fā)現(xiàn)漏洞總數(shù)的7.68%。高危漏洞類型中，直接危害與波及范圍、影響最大的高危漏洞仍為SQL注入漏洞，共檢出198796個(gè)，占發(fā)現(xiàn)高危漏洞總數(shù)的16.92%。

2015年度全國各省網(wǎng)站漏洞總數(shù)排名前三分別為江蘇、廣東與浙江，其中廣東省高危漏洞數(shù)量占該省漏洞總數(shù)比例最高，為13.76%。各省發(fā)現(xiàn)最多的高危漏洞如下圖表所示：31個(gè)省、直轄市及自治區(qū)中，18個(gè)省級(jí)行政區(qū)受SQL注入漏洞影響最為嚴(yán)重，占高危漏洞總數(shù)的58.06%；其他影響較大的高危漏洞還包括FCKEditor漏洞、敏感路徑漏洞以及敏感信息泄露漏洞等。

各省影響首位的高危漏洞統(tǒng)計(jì)

行業(yè)網(wǎng)站安全狀況分析

政府網(wǎng)站安全狀況分析

2015年全年，風(fēng)暴中心在對(duì)245，393個(gè)包含gov. cn域名的我國政務(wù)網(wǎng)站進(jìn)行的監(jiān)測(cè)中，共發(fā)現(xiàn)漏洞8，407，679個(gè)，平均每個(gè)政府網(wǎng)站漏洞數(shù)達(dá)34.26個(gè)。

在發(fā)現(xiàn)的全部漏洞中，危（緊）急漏洞573，275個(gè)，

占漏洞總數(shù)的6.82%；高危漏洞2，762，713個(gè)，占

漏洞總數(shù)的32.86%；中危漏洞4，031，048個(gè)，占漏洞總數(shù)的47.94%；低危漏洞1，040，643個(gè)，占漏洞總數(shù)的12.38%。

各級(jí)漏洞的數(shù)量與占比分布情況如圖所示。

政府網(wǎng)站全年各級(jí)漏洞分布情況

根據(jù)漏洞成因?qū)@些漏洞進(jìn)行分類，得到數(shù)量排名前十的漏洞，如下圖所示：

全年政府網(wǎng)站安全漏洞分類數(shù)量圖

圖中顯示，信息泄露型漏洞顯著高于其他漏洞，高達(dá)300余萬個(gè)，占全部漏洞總數(shù)的近40%比例；排名第二和第三的漏洞分別是指紋信息檢測(cè)和敏感關(guān)鍵詞，數(shù)量分別是76萬和66萬多個(gè)。前三類漏洞占了全部漏洞的比例高達(dá)56.5%。這充分說明政務(wù)網(wǎng)站安全運(yùn)維水平低下所導(dǎo)致的網(wǎng)站系統(tǒng)、服務(wù)器、數(shù)據(jù)庫等不當(dāng)配置，為入侵者的進(jìn)一步定點(diǎn)精準(zhǔn)入侵提供了充分的攻擊情報(bào)基礎(chǔ)。

同時(shí)，在監(jiān)測(cè)到的危急漏洞中，跨站腳本漏洞數(shù)量最多，達(dá)101，454個(gè)，占比20%；SQL注入類型漏洞排名第二，達(dá)114，768個(gè)，占比17.7%；排名第三的漏洞是默認(rèn)后臺(tái)登錄，共50，821個(gè)，占比8.7%。漏洞的TOP10如下表所示：

政府網(wǎng)站排名前十高危漏洞表

下圖顯示了漏洞數(shù)量的地域分布情況。

政府網(wǎng)站安全漏洞地域分布圖

通過上述分析，可以看出我國政府網(wǎng)站雖整體安全態(tài)勢(shì)尚可，但仍存在大量的安全漏洞，這主要是由于各政務(wù)網(wǎng)站的建設(shè)能力、運(yùn)維能力與安全防護(hù)、管理能力參差不齊所造成的。

金融行業(yè)網(wǎng)站安全狀況分析

風(fēng)暴中心對(duì)全國銀行、證券、保險(xiǎn)等金融相關(guān)網(wǎng)站抽取4066個(gè)站點(diǎn)進(jìn)行監(jiān)測(cè)分析，發(fā)現(xiàn)34584個(gè)安全漏洞，其中發(fā)現(xiàn)高危漏洞的站點(diǎn)27個(gè)，占總數(shù)的0.66%，高危漏洞總計(jì)2829個(gè)，占發(fā)現(xiàn)漏洞總數(shù)的8.12%，金融行業(yè)網(wǎng)站安全態(tài)勢(shì)總體高于政務(wù)網(wǎng)站。

根據(jù)漏洞的成因?qū)@些漏洞進(jìn)行分類，得到數(shù)量排名前十的漏洞，如圖所示：

金融行業(yè)網(wǎng)站排名前十漏洞表

在監(jiān)測(cè)到的高危漏洞中，占比最高的仍然是敏感信息泄露類漏洞、同時(shí)較高的還有SQL注入及XSS跨站漏洞，這反映出了國內(nèi)金融行業(yè)網(wǎng)站在安全運(yùn)維中仍存在不細(xì)致的情況，以及亟需提升的Web應(yīng)用代碼安全質(zhì)量與安全服務(wù)全程參與的系統(tǒng)開發(fā)過程需求。

教育行業(yè)網(wǎng)站安全狀況分析

2015年，安恒信息風(fēng)暴中心在對(duì)25817個(gè)國內(nèi)教育行業(yè)網(wǎng)站進(jìn)行的監(jiān)測(cè)中，共發(fā)現(xiàn)漏洞192684個(gè)，平均每個(gè)教育網(wǎng)站漏洞數(shù)達(dá)7.46個(gè)。在發(fā)現(xiàn)的全部漏洞中，高危漏洞22155個(gè)，占總漏洞的11.50%，中危漏洞89652個(gè)，占總漏洞的46.32%，低危漏洞59440個(gè)，占總漏洞的30.85%。

對(duì)教育行業(yè)網(wǎng)站影響最大的漏洞是默認(rèn)管理頁面泄露及默認(rèn)后臺(tái)登錄這一類漏洞，共發(fā)現(xiàn)接近十萬個(gè)。同時(shí)，SQL注入、跨站腳本、目錄遍歷也都是在教育行業(yè)網(wǎng)站中較經(jīng)常發(fā)現(xiàn)的漏洞類型。高危漏洞的TOP10如下表所示：

教育行業(yè)網(wǎng)站排名前十高危漏洞表

相比其他行業(yè)而言，在教育行業(yè)網(wǎng)站中發(fā)現(xiàn)的漏洞究其產(chǎn)生原因，更多是由于網(wǎng)站疏于管理維護(hù)（如默認(rèn)后臺(tái)登錄），或是技術(shù)力量薄弱而未能從代碼層對(duì)漏洞進(jìn)行及時(shí)修復(fù)（如SQL注入）而產(chǎn)生。利用這些漏洞的過程技術(shù)含量不高，放任這些漏洞留在教育行業(yè)網(wǎng)站系統(tǒng)內(nèi)部，無疑給這些網(wǎng)站的安全帶來了極大的威脅。

組織性攻擊行為分析

非法暗鏈組織攻擊行為分析

以2015年風(fēng)暴中心云監(jiān)測(cè)平臺(tái)中所監(jiān)測(cè)到的網(wǎng)站暗鏈攻擊事件為數(shù)據(jù)來源，通過3萬多個(gè)被暗鏈感染的網(wǎng)站樣本進(jìn)行分析，發(fā)現(xiàn)此類攻擊活動(dòng)呈現(xiàn)明顯的組織化與針對(duì)性特征。

暗鏈互鏈?zhǔn)疽鈭D

暗鏈攻擊事件模式具備進(jìn)化性，由過去網(wǎng)站暗鏈以單向鏈接指向暗鏈源頭主機(jī)的形式，進(jìn)化為遭植入暗鏈網(wǎng)站交叉互鏈、境內(nèi)暗鏈索引主機(jī)交叉互鏈、暗鏈源頭主機(jī)交叉互鏈以及遭植入暗鏈網(wǎng)站、暗鏈索引主機(jī)、暗鏈源頭主機(jī)同時(shí)交叉互鏈的復(fù)合形式。

根據(jù)采樣結(jié)果分析，暗鏈索引站點(diǎn)與暗鏈源頭站點(diǎn)多位于海外主機(jī)，目前感染超過1000個(gè)站點(diǎn)以上的暗鏈索引站點(diǎn)大多數(shù)集中于北美地區(qū)；而由于被植入暗鏈的站點(diǎn)互鏈狀況愈發(fā)嚴(yán)重，被植入暗鏈站點(diǎn)充當(dāng)暗鏈索引的流量也有所增加。

從攻擊行為模式來看，也呈現(xiàn)較為典型的組織化與自動(dòng)化特征，攻擊目標(biāo)的選擇與攻擊方法較為清晰：

總體來說，有組織攻擊行為受境內(nèi)外網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)利益鏈驅(qū)使，具有強(qiáng)烈的趨利性，導(dǎo)致攻擊行為堅(jiān)決而不計(jì)成本，是我國互聯(lián)網(wǎng)站近年來占比最多的安全事件類型。

Anonymous（匿名者）組織攻擊行為分析

Anonymous，國內(nèi)稱為匿名者，是以美國為中心，世界范圍內(nèi)成立的一個(gè)松散的國際黑客組織。成員分成兩組：A組——（技術(shù)黑客）：即核心成員，由真正熟練黑客技術(shù)的成員組成，具有專業(yè)編程和網(wǎng)絡(luò)技術(shù)攻擊能力；B組——（外行）：這組由來自世界各地?zé)o數(shù)的志愿者組成，主要進(jìn)行DDoS攻擊，或組織集中的大訪問量以阻塞網(wǎng)絡(luò)，技術(shù)含量較低。

該組織主要核心技術(shù)力量近年來主要攻擊對(duì)象為宗教極端組織與網(wǎng)絡(luò)恐怖主義站點(diǎn)，無暇也無力在全球范圍內(nèi)同時(shí)組織多起針對(duì)網(wǎng)絡(luò)大國的大規(guī)?；蚋呔?、高危害攻擊行動(dòng)，而轉(zhuǎn)為默許全球各國或地區(qū)的網(wǎng)絡(luò)不法分子處于各種目的借用該組織分部名義進(jìn)行攻擊行動(dòng)聲明并組織、發(fā)動(dòng)網(wǎng)絡(luò)攻擊行動(dòng)，如2015年所發(fā)生較有代表性的#OPChina#與#OPHongkong#即為典型案例。

但值得注意的是，一旦“匿名者”組織核心圈由于某種原因決定并真正組織、號(hào)召并發(fā)起針對(duì)我國的網(wǎng)絡(luò)攻擊行為，需要防范與關(guān)注的重點(diǎn)并不應(yīng)是分布式拒絕服務(wù)攻擊這類攻擊方式，攻擊對(duì)象也并非是全部的gov.cn域名，包含大量敏感甚至涉密信息的重要基礎(chǔ)設(shè)施、政務(wù)業(yè)務(wù)系統(tǒng)才是該組織精準(zhǔn)打擊、造成巨大損失的對(duì)象。

第二屆世界互聯(lián)網(wǎng)大會(huì)網(wǎng)絡(luò)安保數(shù)據(jù)分析

安恒信息作為本次網(wǎng)絡(luò)安全保障工作最核心的技術(shù)支撐單位，安全保障工作采用了代碼檢測(cè)、安全測(cè)評(píng)、7*24監(jiān)測(cè)、主動(dòng)防御、大數(shù)據(jù)實(shí)時(shí)分析預(yù)警等全生命周期的安全保障方案為大會(huì)提供保障服務(wù)，切實(shí)響應(yīng)領(lǐng)導(dǎo)單位的指示，實(shí)現(xiàn)了攻擊的全面防御，會(huì)議中重點(diǎn)保障的系統(tǒng)所有的攻擊行為均被我方部署云WAF、抗DDOS設(shè)備、硬件防火墻、WEB應(yīng)用防火墻等全面攔截，所有攻擊未對(duì)大會(huì)系統(tǒng)造成影響，成功完成了本次大會(huì)的網(wǎng)絡(luò)安全保障工作。

會(huì)議期間監(jiān)測(cè)到來自63個(gè)國家和地區(qū)多達(dá)14萬臺(tái)主機(jī)對(duì)我方重要系統(tǒng)發(fā)起嚴(yán)重攻擊為3千萬余次，相比第一屆世界互聯(lián)網(wǎng)大會(huì)監(jiān)測(cè)的嚴(yán)重攻擊27萬余次超過了近100倍。

通過大數(shù)據(jù)分析發(fā)現(xiàn)本次主要的威脅來自于境外國家或組織，前5個(gè)主要發(fā)起攻擊的國家分別為：美國678余萬次、新加坡276余萬次、德國136余萬次、荷蘭112余萬次、法國94余萬次。其中還監(jiān)測(cè)到來自法國的長(zhǎng)達(dá)370余分鐘的持續(xù)化攻擊多達(dá)85萬余次。與第一屆世界互聯(lián)網(wǎng)大會(huì)相比較可以發(fā)現(xiàn)境外組織對(duì)我國的安全攻擊呈明顯上升勢(shì)頭，無論是攻擊數(shù)量、規(guī)模均遠(yuǎn)大于去年，在攻擊的技術(shù)手法方面也更有針對(duì)性，在本次防御過程中甚至發(fā)現(xiàn)有一些國家采用最新爆發(fā)的0day漏洞對(duì)我方網(wǎng)站進(jìn)行嘗試。

大會(huì)門戶網(wǎng)站群遭受境外攻擊分布

大會(huì)官方網(wǎng)站群遭受境內(nèi)攻擊來源分布于我國境內(nèi)大部分省份，其中前三位的省份分別為浙江、北京、上海。需要指出的是，來自于境內(nèi)的攻擊流量較大比例是由網(wǎng)絡(luò)安全主管單位、技術(shù)支撐單位及安全保障人員發(fā)起的例行性安全檢測(cè)與安全掃描工作，由于發(fā)起安全檢測(cè)與掃描的機(jī)房、人員大多集中于以上省份。

在本次大會(huì)網(wǎng)絡(luò)安全保障值守過程中，監(jiān)測(cè)與攔截了大批發(fā)起攻擊的攻擊源地址，經(jīng)攻擊源反查分析，發(fā)現(xiàn)國內(nèi)攻擊源主要可分為四個(gè)類型，分別為監(jiān)管部門與安全廠商漏洞掃描設(shè)備、遭遠(yuǎn)程控制的僵尸主機(jī)、遭入侵的網(wǎng)站服務(wù)器主機(jī)與來源不明的網(wǎng)絡(luò)爬蟲。

數(shù)據(jù)顯示，2015年我國成為遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一，針對(duì)我國的網(wǎng)絡(luò)攻擊行為犯罪更加專業(yè)化、規(guī)?；?、組織化，對(duì)政府、教育與金融類網(wǎng)站發(fā)起的攻擊數(shù)量總體保持穩(wěn)中有升態(tài)勢(shì)，而安全事件的響應(yīng)速度與修復(fù)率在國內(nèi)網(wǎng)絡(luò)安全主管機(jī)關(guān)與網(wǎng)絡(luò)安全企業(yè)的共同努力下，充分利用先進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知與威脅情

報(bào)分析技術(shù)，得到了長(zhǎng)足的進(jìn)步與提高。

安全