（杭州安恒信息技術(shù)有限公司）

2017年，《網(wǎng)絡(luò)安全法》的實(shí)施成為了我國網(wǎng)絡(luò)安全的又一大里程碑，席卷全球的“永恒之藍(lán)”、Struts2 S2-045 漏洞等，給網(wǎng)絡(luò)安全人上了重要的一課，反思過往，我們發(fā)現(xiàn)很多結(jié)果其實(shí)早就埋下了種子，無論是0day漏洞的爆發(fā)亦或是黑客入侵事件，其背后都存在相似的誘因。本文提煉分析2017年度的安全現(xiàn)狀，聚焦我國重要行業(yè)（政府、事業(yè)單位、教育）數(shù)據(jù)，重點(diǎn)為讀者淺析當(dāng)前的安全態(tài)勢。

1.運(yùn)營側(cè)管理缺失，埋下安全隱患

WEB應(yīng)用安全領(lǐng)域的問題已不再是新興話題，但是至今，我們從數(shù)據(jù)分析中可見仍存在大量基礎(chǔ)管理缺失造成的安全隱患，如僵尸站點(diǎn)、域名解析、備案問題等，從2017年度發(fā)生的安全事件分析，發(fā)現(xiàn)缺乏管理的站點(diǎn)發(fā)生事件占比很高，這些現(xiàn)象均是“3分技術(shù)7分管理”的現(xiàn)實(shí)寫照，而這一準(zhǔn)則也值得每一位安全從業(yè)者銘記于心。

1.1.資產(chǎn)管理缺位，僵尸網(wǎng)站成災(zāi)

僵尸站點(diǎn)開放在互聯(lián)網(wǎng)中，不僅會(huì)帶來管理的難度，也產(chǎn)生了大量安全隱患：

■ 無人管理的站點(diǎn)，更加缺少安全運(yùn)維，容易存在漏洞；

■ 從數(shù)據(jù)顯示，有139起政務(wù)僵尸網(wǎng)站被劫持到海外，長期無人發(fā)現(xiàn)直至被通報(bào)處理；

■ 僵尸站點(diǎn)沒有專人值守，甚至長期被當(dāng)成“傀儡機(jī)”對外發(fā)起攻擊；

分析僵尸站點(diǎn)在全國政務(wù)、教育類僵尸站點(diǎn)（主域名）的分布，依次有1059個(gè)、848個(gè)，而子域名中出現(xiàn)的僵尸站點(diǎn)數(shù)量則更多，如下圖所示：

圖 1 僵尸網(wǎng)站域名分布

僵尸站點(diǎn)的存在有以下幾個(gè)原因：

■ 開放站點(diǎn)早：從僵尸站點(diǎn)的注冊時(shí)間來看，許多開設(shè)在2000年以前，距今已有近二三十年的時(shí)間；

■ 子域名不被重視：大量單位隨意開放二級域名，開設(shè)后并不撤銷，成為了互聯(lián)網(wǎng)中被遺忘的群體；

■ 開設(shè)泛解析：站點(diǎn)開放泛解析，將會(huì)為站點(diǎn)帶來大量安全隱患，如發(fā)生域名劫持、被利用的子域名等；

因此，需加強(qiáng)對自有域名與網(wǎng)站資產(chǎn)的有效管理，及時(shí)撤銷回收無用站點(diǎn)及其域名，不為黑客提供便利的入侵途徑。

1.2.域名管理存盲區(qū)，劫持事件多發(fā)

據(jù)安恒風(fēng)暴中心監(jiān)測分析國內(nèi)共有3093個(gè)政務(wù)網(wǎng)站主域名被劫持解析到海外，涉及46個(gè)海外國家。其中被解析到美國的站點(diǎn)數(shù)量較多，美國的公有云服務(wù)器備案松散是主要原因，跳轉(zhuǎn)后的站點(diǎn)用于傳播博彩等非法信息。

圖2 政務(wù)網(wǎng)站主域名劫持到海外分布圖

由于政府站點(diǎn)的域名可信度較高，劫持后的站點(diǎn)能借此逃避國內(nèi)的較多審查機(jī)制，成了眾多黑客的目標(biāo)，而域名被劫持現(xiàn)象則多是由于以下原因造成：

■ 監(jiān)測發(fā)現(xiàn)139起的域名劫持事件是僵尸站點(diǎn)的劫持；

■ 域名管理存在盲區(qū)，如政務(wù)域名被非法搶注，子域名解析等亂象導(dǎo)致了很多政務(wù)域名被劫持到海外。

基于上述分析，只有網(wǎng)絡(luò)運(yùn)營單位加強(qiáng)對自有域名解析的賬號管理，及時(shí)查看解析記錄變更情況，域名注冊服務(wù)商嚴(yán)格重要域名注冊的標(biāo)準(zhǔn)，消除域名管理的盲區(qū)，才能從源頭上杜絕此類現(xiàn)象的發(fā)生。據(jù)監(jiān)測，全國黨政機(jī)關(guān)的ICP備案率（備案分析僅針對主域名）已經(jīng)達(dá)到98.17%，未備案的仍存在1,203個(gè)站點(diǎn)，占整體網(wǎng)站1.83%，主要集中在貴州、廣東、新疆等省份。隨著“一標(biāo)兩備”的普及，可見我國的黨政機(jī)關(guān)網(wǎng)站的規(guī)范度正在逐漸提升，并且政府網(wǎng)站實(shí)名制、責(zé)任制，也能夠有效增強(qiáng)安全監(jiān)管力度。

2.攻擊側(cè)利益驅(qū)動(dòng)，事件多發(fā)影響大

近幾年，安恒風(fēng)暴中心持續(xù)關(guān)注互聯(lián)網(wǎng)中存在的被黑事件，我們發(fā)現(xiàn)除了國際知名黑客組織發(fā)起的政治性目的入侵事件外，互聯(lián)網(wǎng)上更多出現(xiàn)的是在黑色產(chǎn)業(yè)鏈利益驅(qū)動(dòng)下的入侵，而其技術(shù)手段也不斷演化，更為隱蔽難于被發(fā)現(xiàn)。

2.1.管理缺位是入侵主要誘因

2.1.1.利用已知高危漏洞入侵成主要手段

根據(jù)風(fēng)暴中心對近三年反共入侵事件的分析來看，受影響站點(diǎn)主要分為對外開放的門戶站點(diǎn)和后臺(tái)業(yè)務(wù)管理系統(tǒng)兩大類。

圖3 近三年反共黑客入侵事件站點(diǎn)分類

從上圖可見，近兩年后臺(tái)管理系統(tǒng)占比有所增加，這類后臺(tái)管理系統(tǒng)往往存在諸多高危漏洞，如常見的SQL注入、Struts2漏洞等。下圖為近三年疑似因Struts2漏洞而被反共黑客組織入侵的案例數(shù)：

圖4 近三年疑似因Struts2漏洞而被反共黑客組織入侵的案例數(shù)圖

從上圖可看到，幾乎每年都會(huì)有一批因Struts2漏洞而受反共組織入侵的站點(diǎn)，相關(guān)站點(diǎn)應(yīng)加強(qiáng)漏洞預(yù)警管理，及時(shí)修復(fù)此類漏洞，或選擇專業(yè)的安全團(tuán)隊(duì)進(jìn)行防御。

2.1.2.非核心資產(chǎn)安全能力偏弱

監(jiān)測數(shù)據(jù)分析2015年下半年以后，以公網(wǎng)IP形式直接暴露在互聯(lián)網(wǎng)中的信息系統(tǒng)逐漸成為黑客選擇的新方向，這類站點(diǎn)私自開放不合規(guī)，且由于非核心系統(tǒng)，安全能力一般偏弱，而且在發(fā)生事件后難于快速核驗(yàn)網(wǎng)站主辦單位的身份信息，增大監(jiān)管難度。

圖5 被反共黑客入侵站點(diǎn)地址特征統(tǒng)計(jì)

2.2.黑帽SEO影響黨政機(jī)關(guān)站點(diǎn)

黑帽SEO是指通過作弊手段，讓站點(diǎn)快速提升排名的一類SEO技術(shù)，是黑色產(chǎn)業(yè)鏈中重要的一類業(yè)務(wù)。2017年，風(fēng)暴中心共向監(jiān)管單位上報(bào)1080起黑帽SEO入侵為主的重要站點(diǎn)（政府、教育、醫(yī)療、新聞媒體等）被黑事件，涉及全國31個(gè)省份、270個(gè)地市。從近兩年黑客攻擊的趨勢來看，以黑頁形式存在的黑帽SEO入侵事件數(shù)量急劇增加，而暗鏈由于其隱蔽性較低，容易被發(fā)現(xiàn)而數(shù)量日趨下降。

圖6 2017風(fēng)暴中心上報(bào)黑帽SEO事件

2.2.1.黑客行為更為隱蔽高效，應(yīng)建立監(jiān)測與響應(yīng)機(jī)制

新型的黑帽SEO手法更為隱蔽與高效化，入侵技術(shù)特征如下：

● UA作弊等手段

UA作弊，即通過判斷訪問行為是否是國內(nèi)知名的爬蟲如百度、360、sougou等，來提供對應(yīng)內(nèi)容，正常瀏覽器訪問難以發(fā)現(xiàn)被植入非法頁面；

非法頁面中加入分析訪問來源IP的腳本，對特定地域或網(wǎng)段展示非法內(nèi)容，可逃過管理員的檢查。

● 寄生蟲模板

以往植入單個(gè)頁面耗時(shí)耗力，甚至被發(fā)現(xiàn)后需要重新植入，但隨著黑客掌握目標(biāo)站點(diǎn)的增多和業(yè)務(wù)量的增加，往往需要提升頁面的生存效率和周期才能獲得更大的利益，因此出現(xiàn)了寄生蟲，可供黑客進(jìn)行大批量高效率更新操作，被黑站點(diǎn)往往存在上百、上千個(gè)異常頁面。

通過以上特征分析可知網(wǎng)站管理員用常規(guī)方式難以發(fā)現(xiàn)這類事件，并且很難根除，往往需要依靠專業(yè)的檢測手段，可選擇采用監(jiān)測技術(shù)，建立常態(tài)的監(jiān)測與響應(yīng)機(jī)制，做到早發(fā)現(xiàn)早處置。

2.2.2.區(qū)縣站點(diǎn)影響嚴(yán)重，需加快推進(jìn)政務(wù)云建設(shè)

監(jiān)測分析發(fā)現(xiàn)黑帽SEO影響近70多個(gè)不同行業(yè)/部門，其中地區(qū)的人民政府門戶網(wǎng)站受影響最為嚴(yán)重：

表格 1 存在黑頁單位TOP5表

分析還發(fā)現(xiàn)影響區(qū)縣、鄉(xiāng)鎮(zhèn)的網(wǎng)站較為嚴(yán)重，縣市、甚至鄉(xiāng)鎮(zhèn)的政府網(wǎng)站安全能力與投入相對較低，成為我國政府網(wǎng)站中最容易出現(xiàn)安全問題的一個(gè)群體。

圖7 2017年人民政府官網(wǎng)被黑占比

針對數(shù)量巨大，但是投入有限的區(qū)縣、鄉(xiāng)鎮(zhèn)的基層信息系統(tǒng)建設(shè)，需要積極推進(jìn)集約化與政務(wù)云平臺(tái)的建設(shè)，進(jìn)行統(tǒng)一建設(shè)、統(tǒng)一監(jiān)管、統(tǒng)一防護(hù)，此舉可有效緩解各地安全水平不一的難題，降低此類入侵概率。

3.精準(zhǔn)持續(xù)攻擊成趨勢，防護(hù)挑戰(zhàn)增大

3.1.精準(zhǔn)型攻擊比重大幅度提升

據(jù)風(fēng)暴中心“玄武盾”統(tǒng)計(jì)，2017年黑客發(fā)起的攻擊類型以SQL注入、協(xié)議違規(guī)、跨站攻擊為主，占攻擊總比的65%，從中可知傳統(tǒng)的WEB漏洞攻擊仍然還在繼續(xù) :

圖8 WEB攻擊方式占比

與2016年對比，2017年SQL注入、協(xié)議違規(guī)、疑似跨站有明顯增長，缺失報(bào)頭、掃描工具、文件限制有明顯的下滑，這也說明了黑客攻擊越來越精準(zhǔn)，而自動(dòng)化隨機(jī)攻擊越來越少。這在一定程度上提示安全從業(yè)者：黑客的攻擊水平正在上升，且有目的的攻擊行為一旦成功，將會(huì)產(chǎn)生更大的損失，安全防護(hù)工作面臨更大的挑戰(zhàn)，需要實(shí)現(xiàn)精準(zhǔn)識別，有效防護(hù)，不放過任何一起攻擊請求。

3.2.人機(jī)對抗7＊24在線防護(hù)應(yīng)成為常態(tài)

從分析可見黑客攻擊時(shí)間段集中在凌晨1-2點(diǎn)，這段時(shí)間是各網(wǎng)站系統(tǒng)管理員正在休息的時(shí)候，同時(shí)也是系統(tǒng)最脆弱的時(shí)候，所以大部分黑客會(huì)選擇夜間時(shí)間發(fā)起攻擊活動(dòng)，另一方面是境外黑客時(shí)差的原因，因此對安全防御而言，7*24在線應(yīng)成為常態(tài)，并應(yīng)當(dāng)建立相應(yīng)的監(jiān)控、防護(hù)、應(yīng)急響應(yīng)機(jī)制，應(yīng)對突發(fā)狀況。

圖9 黑客攻擊時(shí)段統(tǒng)計(jì)圖

4.物聯(lián)網(wǎng)安全建設(shè)亟待增強(qiáng)

4.1.物聯(lián)網(wǎng)建設(shè)發(fā)展迅速

隨著科技的發(fā)展，物聯(lián)網(wǎng)設(shè)備的應(yīng)用越來越廣泛，形成了智慧城市、智能家居、智慧醫(yī)療、智慧交通、智慧教育等體系。但是，物聯(lián)網(wǎng)設(shè)備基數(shù)非常巨大，遠(yuǎn)超目前的任何IT設(shè)備資產(chǎn)，“未來,每粒沙子都可能擁有自己的IP地址”，而從美國由于攝像頭受控發(fā)起DDOS攻擊致使大面積斷網(wǎng)事件可知，物聯(lián)網(wǎng)的安全問題一旦爆發(fā)，后果難以想象。 因此，物聯(lián)網(wǎng)的安全決不可重蹈傳統(tǒng)的“重建設(shè)、輕安全”之路，必須配套同步進(jìn)行，甚至安全先行，建設(shè)后行，如此才有可能保障生產(chǎn)生活的安全有序進(jìn)行。

4.2.物聯(lián)網(wǎng)漏洞多發(fā)，亟需構(gòu)建“安全的物聯(lián)網(wǎng)”生態(tài)

依據(jù)分析發(fā)現(xiàn)我國的物聯(lián)網(wǎng)漏洞位列世界第二，安全建設(shè)已經(jīng)不容滯緩。其中安全漏洞的影響后果有財(cái)產(chǎn)損失、越權(quán)訪問、信息泄漏三個(gè)大類，無論哪一項(xiàng)被利用都會(huì)為個(gè)人帶來損失，占比情況如下所示：

圖10 物聯(lián)網(wǎng)漏洞影響分類

從下圖趨勢可見，涉及信息安全和越權(quán)訪問的物聯(lián)網(wǎng)漏洞個(gè)數(shù)大幅度上升，這與智能設(shè)備的廣泛使用密不可分。

圖11 物聯(lián)網(wǎng)漏洞增長趨勢

在當(dāng)前的趨勢下，我們緊急呼吁物聯(lián)網(wǎng)領(lǐng)域應(yīng)加快安全標(biāo)準(zhǔn)的出臺(tái)、強(qiáng)制性安全規(guī)范的推行，及早構(gòu)建“安全的物聯(lián)網(wǎng)”生態(tài)。

5.網(wǎng)絡(luò)犯罪成網(wǎng)絡(luò)空間安全最大挑戰(zhàn)

近年來，隨著信息技術(shù)的普及，人們的社會(huì)生活已經(jīng)與計(jì)算機(jī)網(wǎng)絡(luò)緊密結(jié)合在一起，如同現(xiàn)實(shí)物理空間一樣，網(wǎng)絡(luò)空間中也充斥著各種各樣的網(wǎng)絡(luò)犯罪，如網(wǎng)絡(luò)傳銷、網(wǎng)絡(luò)非法集資、網(wǎng)絡(luò)洗錢，其中影響較大的是涉網(wǎng)經(jīng)濟(jì)犯罪類型。此類犯罪行為主要發(fā)生在網(wǎng)絡(luò)空間，隱蔽性強(qiáng)，難以取證，利用傳統(tǒng)的偵察方式需要耗費(fèi)大量的人力來完成線索收集排查、證據(jù)收集固定的工作，需要積極轉(zhuǎn)變思路，采用新型的技術(shù)手段進(jìn)行“以網(wǎng)治網(wǎng)”早發(fā)現(xiàn)，早治理。

5.1.網(wǎng)絡(luò)犯罪影響我國社會(huì)穩(wěn)定

據(jù)安恒自主研發(fā)的《風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪互聯(lián)網(wǎng)監(jiān)測研判平臺(tái)》（以下簡稱平臺(tái)）不完全監(jiān)測統(tǒng)計(jì)，截止二〇一七年第三季度，“高新科技類”、“商品加盟類”、“消費(fèi)返利類”形式的涉網(wǎng)風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）位居前三：

圖12 六大類型涉網(wǎng)涉眾風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）占比圖

據(jù)不完全監(jiān)測統(tǒng)計(jì)，截止二〇一七年第三季度，廣東、浙江、山東等省涉網(wǎng)風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）疑似目標(biāo)數(shù)在全國靠前，大量影響我國較發(fā)達(dá)區(qū)域的社會(huì)穩(wěn)定。

圖13涉網(wǎng)涉眾風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）全國地區(qū)分布圖（顏色越淺目標(biāo)數(shù)量越多）

5.2.涉網(wǎng)風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪增長迅猛

據(jù)監(jiān)測統(tǒng)計(jì)，涉網(wǎng)涉眾風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）在2013年后可疑目標(biāo)數(shù)開始呈指數(shù)上漲，特別是在2017年間可疑目標(biāo)數(shù)量劇增，可見近年來風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）在網(wǎng)絡(luò)空間內(nèi)增長迅猛，依靠網(wǎng)絡(luò)傳播發(fā)展壯大。

圖14 全國涉網(wǎng)涉眾風(fēng)險(xiǎn)型經(jīng)濟(jì)犯罪（傳銷）可疑目標(biāo)歷年創(chuàng)辦趨勢

5.3.“以網(wǎng)治網(wǎng)”應(yīng)對網(wǎng)絡(luò)犯罪成為主要措施

監(jiān)測平臺(tái)近期協(xié)助偵破了最新案例——杭州臨安搗毀了一個(gè)總部在本地、上線僅3個(gè)月的特大網(wǎng)絡(luò)傳銷、集資混合型互聯(lián)網(wǎng)平臺(tái)犯罪團(tuán)伙，抓獲犯罪嫌疑人9名，涉案金額高達(dá)6000余萬元。此犯罪團(tuán)伙已發(fā)展會(huì)員1500余人，涉及浙江、上海等10余個(gè)省市。經(jīng)監(jiān)測研判平臺(tái)線索收集與初步研判，協(xié)助相關(guān)職能部門對后臺(tái)數(shù)據(jù)取證分析后發(fā)現(xiàn)，此團(tuán)伙運(yùn)營并非使用正常銷售模式，而是以銷售產(chǎn)品為名，網(wǎng)上注冊發(fā)展會(huì)員，以訂單消費(fèi)+分紅的模式，采用購物返利進(jìn)行非法傳銷活動(dòng)，還大肆發(fā)布、鼓吹企業(yè)即將在國外上市，蠱惑會(huì)員認(rèn)購原始股。

網(wǎng)絡(luò)空間中的此類犯罪行為具備極高的隱匿性，但是傳播速度非?？?，影響面不受地理空間限制，依靠傳統(tǒng)的偵破手法難于快速治理，因此依靠全網(wǎng)數(shù)據(jù)獲取、大數(shù)據(jù)分析建模、智能決策研判等技術(shù)手段，“以網(wǎng)治網(wǎng)”才能真正實(shí)現(xiàn)“預(yù)測、預(yù)警、預(yù)防”，“打早打小”的目標(biāo)。

6.小結(jié)

通過本文的淺析，我們需要深刻了解到當(dāng)前網(wǎng)絡(luò)空間安全發(fā)展有三大重要趨勢：一是安全管理工作仍然是網(wǎng)絡(luò)安全的基礎(chǔ)，缺少對人的約束與管理是大量入侵事件產(chǎn)生的根源；二是整個(gè)網(wǎng)絡(luò)空間的安全建設(shè)出現(xiàn)了兩極分化，即被重視的區(qū)域安全程度越來越高，而被忽視的區(qū)域（數(shù)量龐大）則停留在10年前的水平，所以加強(qiáng)集約化建設(shè)、推進(jìn)各單位系統(tǒng)上云，以及加強(qiáng)云平臺(tái)安全建設(shè)成為當(dāng)務(wù)之急；三是網(wǎng)絡(luò)犯罪與現(xiàn)實(shí)的社會(huì)活動(dòng)開始密不可分，兩者相互影響相互促進(jìn)，需要采用“以網(wǎng)治網(wǎng)”的新思路應(yīng)對。