8月26日，由奇安信主辦的2021年北京網(wǎng)絡(luò)安全大會(huì)（BCS 2021）正式召開(kāi)，大會(huì)以“經(jīng)營(yíng)安全 安全經(jīng)營(yíng)”為主題，吸引到了來(lái)自全球各國(guó)網(wǎng)絡(luò)安全頂級(jí)學(xué)者、專(zhuān)家共襄盛舉。會(huì)上，《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)典型案例集（2021）》重磅發(fā)布，旨在為政企機(jī)構(gòu)的日常安全建設(shè)提供參考。

此次發(fā)布的《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)典型案例集（2021）》，主要由2021年最新發(fā)生的應(yīng)急響應(yīng)事件數(shù)據(jù)分析，以及涵蓋10大類(lèi)、共計(jì)50個(gè)典型案例介紹組成。其意義在于，一方面通過(guò)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件來(lái)分析機(jī)構(gòu)的安全隱患，另一方面也通過(guò)應(yīng)急響應(yīng)案例來(lái)為更多企業(yè)的事件響應(yīng)和安全建設(shè)提供參考。應(yīng)急響應(yīng)事件頻發(fā)，日常安全運(yùn)營(yíng)工作仍有待提升

2021年1月至6月，奇安信集團(tuán)安服團(tuán)隊(duì)共參與和處置了全國(guó)范圍內(nèi)590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件。在事件發(fā)生的第一時(shí)間，奇安信協(xié)助政企機(jī)構(gòu)處理安全事故，確保了政企機(jī)構(gòu)門(mén)戶(hù)網(wǎng)站、數(shù)據(jù)庫(kù)和重要業(yè)務(wù)系統(tǒng)的持續(xù)安全穩(wěn)定運(yùn)行。

數(shù)據(jù)顯示，受害者行業(yè)分布排名前幾位的分別為政府部門(mén)（140起）、醫(yī)療衛(wèi)生行業(yè)（58起）以及金融行業(yè)（49起）和事業(yè)單位（49起），事件處置數(shù)分別占上半年應(yīng)急處置事件的23.7%、9.8%、8.3%和8.3%。

大中型政企機(jī)構(gòu)應(yīng)急響應(yīng)行業(yè)分布

在這590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件當(dāng)中，由行業(yè)單位自行發(fā)現(xiàn)的攻擊事件占95.2%，其中發(fā)現(xiàn)入侵跡象的事件占比39.6%，被攻擊者勒索后發(fā)現(xiàn)的攻擊占35.1%，安全運(yùn)營(yíng)巡檢發(fā)現(xiàn)的事件占比20.5%。另外還有4.8%的攻擊事件，是在得到監(jiān)管機(jī)構(gòu)及第三方平臺(tái)的通報(bào)后，政企機(jī)構(gòu)才得知自己已被攻擊。

大中型政企機(jī)構(gòu)應(yīng)急攻擊事件發(fā)現(xiàn)分析

從中不難看出，盡管企業(yè)自行發(fā)現(xiàn)的安全事件占比已達(dá)95%以上，但大多數(shù)是在表現(xiàn)出具體入侵特征后才發(fā)現(xiàn)，而在日常安全運(yùn)營(yíng)工作中發(fā)現(xiàn)的入侵行為僅占比20.5%，因此安全運(yùn)營(yíng)建設(shè)亟待加強(qiáng)。

生產(chǎn)效率降低、數(shù)據(jù)丟失是網(wǎng)絡(luò)攻擊的主要影響

2021年上半年，從大中型政企機(jī)構(gòu)遭受攻擊產(chǎn)生的影響來(lái)看，攻擊者對(duì)系統(tǒng)的攻擊所產(chǎn)生的影響主要表現(xiàn)為生產(chǎn)效率降低、數(shù)據(jù)丟失、聲譽(yù)影響等。下圖為大中型政企機(jī)構(gòu)遭受攻擊后的影響分布。

大中型政企機(jī)構(gòu)遭受攻擊影響統(tǒng)計(jì)分析

在上述數(shù)據(jù)中，有305起應(yīng)急響應(yīng)事件導(dǎo)致生產(chǎn)效率低下，占比51.7%，攻擊者主要通過(guò)挖礦、蠕蟲(chóng)、木馬等攻擊手段使服務(wù)器CPU占用率異常高，造成生產(chǎn)效率降低。

有149起應(yīng)急響應(yīng)事件導(dǎo)致數(shù)據(jù)丟失，占比25.3%，攻擊者通過(guò)對(duì)大中型政企機(jī)構(gòu)重要服務(wù)器及數(shù)據(jù)庫(kù)進(jìn)行攻擊，導(dǎo)致數(shù)據(jù)被破壞或丟失。

還有39起應(yīng)急響應(yīng)事件導(dǎo)致聲譽(yù)受到影響占比6.6%。同時(shí)，數(shù)據(jù)被篡改、數(shù)據(jù)泄露等也是政企機(jī)構(gòu)被攻擊后產(chǎn)生的結(jié)果，造成的后果也是非常嚴(yán)重的。

奇安信推出應(yīng)急響應(yīng)工具箱，為政企安防牢筑高墻

通過(guò)近6年的應(yīng)急響應(yīng)工作，奇安信安服團(tuán)隊(duì)總結(jié)出了以下幾個(gè)典型特點(diǎn)：

第一，勒索挖礦攻擊愈演愈烈，包括在國(guó)外發(fā)生的多起重大事件，國(guó)內(nèi)也不斷有相關(guān)攻擊案例的發(fā)生；

第二，政企機(jī)構(gòu)在網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)安全防護(hù)存在短板，常見(jiàn)如：弱口令、永恒之藍(lán)漏洞補(bǔ)丁下載不及時(shí)、員工缺乏安全意識(shí)等問(wèn)題尤其明顯；

第三，應(yīng)急響應(yīng)事件受影響范圍主要集中在業(yè)務(wù)專(zhuān)網(wǎng)，平均占比可達(dá)60%以上，其次是辦公終端；

第四，敲詐勒索、黑產(chǎn)活動(dòng)是攻擊者攻擊政企機(jī)構(gòu)的主要原因，而對(duì)政企機(jī)構(gòu)所產(chǎn)生的后果也尤為嚴(yán)重，主要表現(xiàn)為導(dǎo)致生產(chǎn)效率低下，數(shù)據(jù)丟失等，對(duì)政企機(jī)構(gòu)日常工作和運(yùn)營(yíng)造成了較大影響；

第五，攻擊者除利用病毒和木馬攻擊外，利用漏洞攻擊和釣魚(yú)郵件攻擊的事件也在不斷增多，常見(jiàn)漏洞如永恒之藍(lán)漏洞、任意文件上傳、weblogic反序列化漏洞；

第六，政企機(jī)構(gòu)單位自行發(fā)現(xiàn)能力雖逐年上升，然而，其中被攻擊者勒索后才發(fā)現(xiàn)事件的占比卻高于政企機(jī)構(gòu)日常安全運(yùn)營(yíng)巡檢發(fā)現(xiàn)入侵跡象的占比，這說(shuō)明國(guó)內(nèi)政企機(jī)構(gòu)的日常安全運(yùn)營(yíng)建設(shè)水平仍有待大幅提高。

為解決應(yīng)急響應(yīng)人效低、應(yīng)急處置標(biāo)準(zhǔn)化程度低、處置人員能力不足等痛點(diǎn)，奇安信安服團(tuán)隊(duì)和應(yīng)急響應(yīng)專(zhuān)家，共同研發(fā)了一款集成奇安信安全情報(bào)及專(zhuān)家分析經(jīng)驗(yàn)的自動(dòng)化應(yīng)急響應(yīng)工具，從實(shí)戰(zhàn)中來(lái)，到實(shí)戰(zhàn)中去，真正解決了政企機(jī)構(gòu)客戶(hù)們的痛點(diǎn)。

依托奇安信行業(yè)領(lǐng)先的攻防研究能力，該應(yīng)急響應(yīng)工具箱內(nèi)置了威脅情報(bào)、專(zhuān)家知識(shí)庫(kù)、分析模型，和包括日志關(guān)聯(lián)分析工具、APT檢查工具、惡意代碼檢查工具、Webshell后門(mén)檢查工具、漏洞檢查工具、暗鏈檢查工具等在內(nèi)的眾多檢測(cè)工具，保障了檢測(cè)、分析的效率和準(zhǔn)確度。應(yīng)急響應(yīng)工具箱不僅擁有超強(qiáng)的自動(dòng)化分析能力，還具有高集成化的特點(diǎn)，同時(shí)操作簡(jiǎn)便，更具規(guī)范化。

對(duì)此奇安信希望，通過(guò)應(yīng)急響應(yīng)數(shù)據(jù)和典型案例為政企機(jī)構(gòu)的日常安全建設(shè)提供參考，用專(zhuān)業(yè)與恒心不斷打磨安全產(chǎn)品，降低應(yīng)急響應(yīng)事件發(fā)生頻次，提升響應(yīng)速度，將損失降至最低。未來(lái)，奇安信也將持續(xù)深耕，幫助更多客戶(hù)遠(yuǎn)離網(wǎng)絡(luò)安全問(wèn)題困擾。