（杭州安恒信息技術有限公司）

2017年，《網(wǎng)絡安全法》的實施成為了我國網(wǎng)絡安全的又一大里程碑，席卷全球的“永恒之藍”、Struts2 S2-045 漏洞等，給網(wǎng)絡安全人上了重要的一課，反思過往，我們發(fā)現(xiàn)很多結(jié)果其實早就埋下了種子，無論是0day漏洞的爆發(fā)亦或是黑客入侵事件，其背后都存在相似的誘因。本文提煉分析2017年度的安全現(xiàn)狀，聚焦我國重要行業(yè)（政府、事業(yè)單位、教育）數(shù)據(jù)，重點為讀者淺析當前的安全態(tài)勢。

1.運營側(cè)管理缺失，埋下安全隱患

WEB應用安全領域的問題已不再是新興話題，但是至今，我們從數(shù)據(jù)分析中可見仍存在大量基礎管理缺失造成的安全隱患，如僵尸站點、域名解析、備案問題等，從2017年度發(fā)生的安全事件分析，發(fā)現(xiàn)缺乏管理的站點發(fā)生事件占比很高，這些現(xiàn)象均是“3分技術7分管理”的現(xiàn)實寫照，而這一準則也值得每一位安全從業(yè)者銘記于心。

1.1.資產(chǎn)管理缺位，僵尸網(wǎng)站成災

僵尸站點開放在互聯(lián)網(wǎng)中，不僅會帶來管理的難度，也產(chǎn)生了大量安全隱患：

■ 無人管理的站點，更加缺少安全運維，容易存在漏洞；

■ 從數(shù)據(jù)顯示，有139起政務僵尸網(wǎng)站被劫持到海外，長期無人發(fā)現(xiàn)直至被通報處理；

■ 僵尸站點沒有專人值守，甚至長期被當成“傀儡機”對外發(fā)起攻擊；

分析僵尸站點在全國政務、教育類僵尸站點（主域名）的分布，依次有1059個、848個，而子域名中出現(xiàn)的僵尸站點數(shù)量則更多，如下圖所示：

圖 1 僵尸網(wǎng)站域名分布

僵尸站點的存在有以下幾個原因：

■ 開放站點早：從僵尸站點的注冊時間來看，許多開設在2000年以前，距今已有近二三十年的時間；

■ 子域名不被重視：大量單位隨意開放二級域名，開設后并不撤銷，成為了互聯(lián)網(wǎng)中被遺忘的群體；

■ 開設泛解析：站點開放泛解析，將會為站點帶來大量安全隱患，如發(fā)生域名劫持、被利用的子域名等；

因此，需加強對自有域名與網(wǎng)站資產(chǎn)的有效管理，及時撤銷回收無用站點及其域名，不為黑客提供便利的入侵途徑。

1.2.域名管理存盲區(qū)，劫持事件多發(fā)

據(jù)安恒風暴中心監(jiān)測分析國內(nèi)共有3093個政務網(wǎng)站主域名被劫持解析到海外，涉及46個海外國家。其中被解析到美國的站點數(shù)量較多，美國的公有云服務器備案松散是主要原因，跳轉(zhuǎn)后的站點用于傳播博彩等非法信息。

圖2 政務網(wǎng)站主域名劫持到海外分布圖

由于政府站點的域名可信度較高，劫持后的站點能借此逃避國內(nèi)的較多審查機制，成了眾多黑客的目標，而域名被劫持現(xiàn)象則多是由于以下原因造成：

■ 監(jiān)測發(fā)現(xiàn)139起的域名劫持事件是僵尸站點的劫持；

■ 域名管理存在盲區(qū)，如政務域名被非法搶注，子域名解析等亂象導致了很多政務域名被劫持到海外。

基于上述分析，只有網(wǎng)絡運營單位加強對自有域名解析的賬號管理，及時查看解析記錄變更情況，域名注冊服務商嚴格重要域名注冊的標準，消除域名管理的盲區(qū)，才能從源頭上杜絕此類現(xiàn)象的發(fā)生。據(jù)監(jiān)測，全國黨政機關的ICP備案率（備案分析僅針對主域名）已經(jīng)達到98.17%，未備案的仍存在1,203個站點，占整體網(wǎng)站1.83%，主要集中在貴州、廣東、新疆等省份。隨著“一標兩備”的普及，可見我國的黨政機關網(wǎng)站的規(guī)范度正在逐漸提升，并且政府網(wǎng)站實名制、責任制，也能夠有效增強安全監(jiān)管力度。

2.攻擊側(cè)利益驅(qū)動，事件多發(fā)影響大

近幾年，安恒風暴中心持續(xù)關注互聯(lián)網(wǎng)中存在的被黑事件，我們發(fā)現(xiàn)除了國際知名黑客組織發(fā)起的政治性目的入侵事件外，互聯(lián)網(wǎng)上更多出現(xiàn)的是在黑色產(chǎn)業(yè)鏈利益驅(qū)動下的入侵，而其技術手段也不斷演化，更為隱蔽難于被發(fā)現(xiàn)。

2.1.管理缺位是入侵主要誘因

2.1.1.利用已知高危漏洞入侵成主要手段

根據(jù)風暴中心對近三年反共入侵事件的分析來看，受影響站點主要分為對外開放的門戶站點和后臺業(yè)務管理系統(tǒng)兩大類。

圖3 近三年反共黑客入侵事件站點分類

從上圖可見，近兩年后臺管理系統(tǒng)占比有所增加，這類后臺管理系統(tǒng)往往存在諸多高危漏洞，如常見的SQL注入、Struts2漏洞等。下圖為近三年疑似因Struts2漏洞而被反共黑客組織入侵的案例數(shù)：

圖4 近三年疑似因Struts2漏洞而被反共黑客組織入侵的案例數(shù)圖

從上圖可看到，幾乎每年都會有一批因Struts2漏洞而受反共組織入侵的站點，相關站點應加強漏洞預警管理，及時修復此類漏洞，或選擇專業(yè)的安全團隊進行防御。

2.1.2.非核心資產(chǎn)安全能力偏弱

監(jiān)測數(shù)據(jù)分析2015年下半年以后，以公網(wǎng)IP形式直接暴露在互聯(lián)網(wǎng)中的信息系統(tǒng)逐漸成為黑客選擇的新方向，這類站點私自開放不合規(guī)，且由于非核心系統(tǒng)，安全能力一般偏弱，而且在發(fā)生事件后難于快速核驗網(wǎng)站主辦單位的身份信息，增大監(jiān)管難度。

圖5 被反共黑客入侵站點地址特征統(tǒng)計

2.2.黑帽SEO影響黨政機關站點

黑帽SEO是指通過作弊手段，讓站點快速提升排名的一類SEO技術，是黑色產(chǎn)業(yè)鏈中重要的一類業(yè)務。2017年，風暴中心共向監(jiān)管單位上報1080起黑帽SEO入侵為主的重要站點（政府、教育、醫(yī)療、新聞媒體等）被黑事件，涉及全國31個省份、270個地市。從近兩年黑客攻擊的趨勢來看，以黑頁形式存在的黑帽SEO入侵事件數(shù)量急劇增加，而暗鏈由于其隱蔽性較低，容易被發(fā)現(xiàn)而數(shù)量日趨下降。

圖6 2017風暴中心上報黑帽SEO事件

2.2.1.黑客行為更為隱蔽高效，應建立監(jiān)測與響應機制

新型的黑帽SEO手法更為隱蔽與高效化，入侵技術特征如下：

● UA作弊等手段

UA作弊，即通過判斷訪問行為是否是國內(nèi)知名的爬蟲如百度、360、sougou等，來提供對應內(nèi)容，正常瀏覽器訪問難以發(fā)現(xiàn)被植入非法頁面；

非法頁面中加入分析訪問來源IP的腳本，對特定地域或網(wǎng)段展示非法內(nèi)容，可逃過管理員的檢查。

● 寄生蟲模板

以往植入單個頁面耗時耗力，甚至被發(fā)現(xiàn)后需要重新植入，但隨著黑客掌握目標站點的增多和業(yè)務量的增加，往往需要提升頁面的生存效率和周期才能獲得更大的利益，因此出現(xiàn)了寄生蟲，可供黑客進行大批量高效率更新操作，被黑站點往往存在上百、上千個異常頁面。

通過以上特征分析可知網(wǎng)站管理員用常規(guī)方式難以發(fā)現(xiàn)這類事件，并且很難根除，往往需要依靠專業(yè)的檢測手段，可選擇采用監(jiān)測技術，建立常態(tài)的監(jiān)測與響應機制，做到早發(fā)現(xiàn)早處置。

2.2.2.區(qū)縣站點影響嚴重，需加快推進政務云建設

監(jiān)測分析發(fā)現(xiàn)黑帽SEO影響近70多個不同行業(yè)/部門，其中地區(qū)的人民政府門戶網(wǎng)站受影響最為嚴重：

表格 1 存在黑頁單位TOP5表

分析還發(fā)現(xiàn)影響區(qū)縣、鄉(xiāng)鎮(zhèn)的網(wǎng)站較為嚴重，縣市、甚至鄉(xiāng)鎮(zhèn)的政府網(wǎng)站安全能力與投入相對較低，成為我國政府網(wǎng)站中最容易出現(xiàn)安全問題的一個群體。

圖7 2017年人民政府官網(wǎng)被黑占比

針對數(shù)量巨大，但是投入有限的區(qū)縣、鄉(xiāng)鎮(zhèn)的基層信息系統(tǒng)建設，需要積極推進集約化與政務云平臺的建設，進行統(tǒng)一建設、統(tǒng)一監(jiān)管、統(tǒng)一防護，此舉可有效緩解各地安全水平不一的難題，降低此類入侵概率。

3.精準持續(xù)攻擊成趨勢，防護挑戰(zhàn)增大

3.1.精準型攻擊比重大幅度提升

據(jù)風暴中心“玄武盾”統(tǒng)計，2017年黑客發(fā)起的攻擊類型以SQL注入、協(xié)議違規(guī)、跨站攻擊為主，占攻擊總比的65%，從中可知傳統(tǒng)的WEB漏洞攻擊仍然還在繼續(xù) :

圖8 WEB攻擊方式占比

與2016年對比，2017年SQL注入、協(xié)議違規(guī)、疑似跨站有明顯增長，缺失報頭、掃描工具、文件限制有明顯的下滑，這也說明了黑客攻擊越來越精準，而自動化隨機攻擊越來越少。這在一定程度上提示安全從業(yè)者：黑客的攻擊水平正在上升，且有目的的攻擊行為一旦成功，將會產(chǎn)生更大的損失，安全防護工作面臨更大的挑戰(zhàn)，需要實現(xiàn)精準識別，有效防護，不放過任何一起攻擊請求。

3.2.人機對抗7＊24在線防護應成為常態(tài)

從分析可見黑客攻擊時間段集中在凌晨1-2點，這段時間是各網(wǎng)站系統(tǒng)管理員正在休息的時候，同時也是系統(tǒng)最脆弱的時候，所以大部分黑客會選擇夜間時間發(fā)起攻擊活動，另一方面是境外黑客時差的原因，因此對安全防御而言，7*24在線應成為常態(tài)，并應當建立相應的監(jiān)控、防護、應急響應機制，應對突發(fā)狀況。

圖9 黑客攻擊時段統(tǒng)計圖

4.物聯(lián)網(wǎng)安全建設亟待增強

4.1.物聯(lián)網(wǎng)建設發(fā)展迅速

隨著科技的發(fā)展，物聯(lián)網(wǎng)設備的應用越來越廣泛，形成了智慧城市、智能家居、智慧醫(yī)療、智慧交通、智慧教育等體系。但是，物聯(lián)網(wǎng)設備基數(shù)非常巨大，遠超目前的任何IT設備資產(chǎn)，“未來,每粒沙子都可能擁有自己的IP地址”，而從美國由于攝像頭受控發(fā)起DDOS攻擊致使大面積斷網(wǎng)事件可知，物聯(lián)網(wǎng)的安全問題一旦爆發(fā)，后果難以想象。 因此，物聯(lián)網(wǎng)的安全決不可重蹈傳統(tǒng)的“重建設、輕安全”之路，必須配套同步進行，甚至安全先行，建設后行，如此才有可能保障生產(chǎn)生活的安全有序進行。

4.2.物聯(lián)網(wǎng)漏洞多發(fā)，亟需構(gòu)建“安全的物聯(lián)網(wǎng)”生態(tài)

依據(jù)分析發(fā)現(xiàn)我國的物聯(lián)網(wǎng)漏洞位列世界第二，安全建設已經(jīng)不容滯緩。其中安全漏洞的影響后果有財產(chǎn)損失、越權(quán)訪問、信息泄漏三個大類，無論哪一項被利用都會為個人帶來損失，占比情況如下所示：

圖10 物聯(lián)網(wǎng)漏洞影響分類

從下圖趨勢可見，涉及信息安全和越權(quán)訪問的物聯(lián)網(wǎng)漏洞個數(shù)大幅度上升，這與智能設備的廣泛使用密不可分。

圖11 物聯(lián)網(wǎng)漏洞增長趨勢

在當前的趨勢下，我們緊急呼吁物聯(lián)網(wǎng)領域應加快安全標準的出臺、強制性安全規(guī)范的推行，及早構(gòu)建“安全的物聯(lián)網(wǎng)”生態(tài)。

5.網(wǎng)絡犯罪成網(wǎng)絡空間安全最大挑戰(zhàn)

近年來，隨著信息技術的普及，人們的社會生活已經(jīng)與計算機網(wǎng)絡緊密結(jié)合在一起，如同現(xiàn)實物理空間一樣，網(wǎng)絡空間中也充斥著各種各樣的網(wǎng)絡犯罪，如網(wǎng)絡傳銷、網(wǎng)絡非法集資、網(wǎng)絡洗錢，其中影響較大的是涉網(wǎng)經(jīng)濟犯罪類型。此類犯罪行為主要發(fā)生在網(wǎng)絡空間，隱蔽性強，難以取證，利用傳統(tǒng)的偵察方式需要耗費大量的人力來完成線索收集排查、證據(jù)收集固定的工作，需要積極轉(zhuǎn)變思路，采用新型的技術手段進行“以網(wǎng)治網(wǎng)”早發(fā)現(xiàn)，早治理。

5.1.網(wǎng)絡犯罪影響我國社會穩(wěn)定

據(jù)安恒自主研發(fā)的《風險型經(jīng)濟犯罪互聯(lián)網(wǎng)監(jiān)測研判平臺》（以下簡稱平臺）不完全監(jiān)測統(tǒng)計，截止二〇一七年第三季度，“高新科技類”、“商品加盟類”、“消費返利類”形式的涉網(wǎng)風險型經(jīng)濟犯罪（傳銷）位居前三：

圖12 六大類型涉網(wǎng)涉眾風險型經(jīng)濟犯罪（傳銷）占比圖

據(jù)不完全監(jiān)測統(tǒng)計，截止二〇一七年第三季度，廣東、浙江、山東等省涉網(wǎng)風險型經(jīng)濟犯罪（傳銷）疑似目標數(shù)在全國靠前，大量影響我國較發(fā)達區(qū)域的社會穩(wěn)定。

圖13涉網(wǎng)涉眾風險型經(jīng)濟犯罪（傳銷）全國地區(qū)分布圖（顏色越淺目標數(shù)量越多）

5.2.涉網(wǎng)風險型經(jīng)濟犯罪增長迅猛

據(jù)監(jiān)測統(tǒng)計，涉網(wǎng)涉眾風險型經(jīng)濟犯罪（傳銷）在2013年后可疑目標數(shù)開始呈指數(shù)上漲，特別是在2017年間可疑目標數(shù)量劇增，可見近年來風險型經(jīng)濟犯罪（傳銷）在網(wǎng)絡空間內(nèi)增長迅猛，依靠網(wǎng)絡傳播發(fā)展壯大。

圖14 全國涉網(wǎng)涉眾風險型經(jīng)濟犯罪（傳銷）可疑目標歷年創(chuàng)辦趨勢

5.3.“以網(wǎng)治網(wǎng)”應對網(wǎng)絡犯罪成為主要措施

監(jiān)測平臺近期協(xié)助偵破了最新案例——杭州臨安搗毀了一個總部在本地、上線僅3個月的特大網(wǎng)絡傳銷、集資混合型互聯(lián)網(wǎng)平臺犯罪團伙，抓獲犯罪嫌疑人9名，涉案金額高達6000余萬元。此犯罪團伙已發(fā)展會員1500余人，涉及浙江、上海等10余個省市。經(jīng)監(jiān)測研判平臺線索收集與初步研判，協(xié)助相關職能部門對后臺數(shù)據(jù)取證分析后發(fā)現(xiàn)，此團伙運營并非使用正常銷售模式，而是以銷售產(chǎn)品為名，網(wǎng)上注冊發(fā)展會員，以訂單消費+分紅的模式，采用購物返利進行非法傳銷活動，還大肆發(fā)布、鼓吹企業(yè)即將在國外上市，蠱惑會員認購原始股。

網(wǎng)絡空間中的此類犯罪行為具備極高的隱匿性，但是傳播速度非?？?，影響面不受地理空間限制，依靠傳統(tǒng)的偵破手法難于快速治理，因此依靠全網(wǎng)數(shù)據(jù)獲取、大數(shù)據(jù)分析建模、智能決策研判等技術手段，“以網(wǎng)治網(wǎng)”才能真正實現(xiàn)“預測、預警、預防”，“打早打小”的目標。

6.小結(jié)

通過本文的淺析，我們需要深刻了解到當前網(wǎng)絡空間安全發(fā)展有三大重要趨勢：一是安全管理工作仍然是網(wǎng)絡安全的基礎，缺少對人的約束與管理是大量入侵事件產(chǎn)生的根源；二是整個網(wǎng)絡空間的安全建設出現(xiàn)了兩極分化，即被重視的區(qū)域安全程度越來越高，而被忽視的區(qū)域（數(shù)量龐大）則停留在10年前的水平，所以加強集約化建設、推進各單位系統(tǒng)上云，以及加強云平臺安全建設成為當務之急；三是網(wǎng)絡犯罪與現(xiàn)實的社會活動開始密不可分，兩者相互影響相互促進，需要采用“以網(wǎng)治網(wǎng)”的新思路應對。