360安全：2018年网络安全应急响应分析报告(28页).pdf

1、 2018 年 网络安全应急响应分析报告 2019 年 01 月 16 日 主要观点 凡事预则立，不预则废。网络安全应急响应是为了对网络安全有所认识、有所准备，以 便在遇到突发网络安全事件时做到有序应对、妥善处理。 2018 年全年，全国应急响应服务需求呈逐步上升趋势，自 2017 年“永恒之蓝”勒索病 毒爆发以来，针对政府、金融等行业的攻击层出不穷，我国网络安全态势严峻。 政府、医疗、金融和教育培训行业是 2018 年黑客攻击的主要目标，传媒、银行、科研 等关键基础设施行业也面临着越来越多的安全威胁风险。 网络安全防护存在短板、 人员 缺乏安全意识是网络攻击有机可乘的重要原因，应大力倡导各行

2、各业，通过宣传教育、 攻防演练等方式，加强网络安全意识培训。 2018 年，应急响应处理安全事件中，勒索病毒攻击是政府机构、大中型企业服务器、终 端失陷的重要原因之一，面对勒索病毒的频繁变种，政府机构、大中型企业应打破传统 安全防护观念， 多角度看待安全问题， 实现安全能力的大幅提升与技术体系的全面升级。 网络安全应急响应工作应成为政府机构、 大中型企业日常管理的一部分。 勒索病毒等影 响广泛的网络安全事件可能扩大为全行业、 全国甚至全球性问题， 网络安全应急响应需 要政府机构、安全厂商、企业加强合作、取长补短，必要时进行跨国协作。 网络安全厂商提供的网络安全应急服务已经成为政府机构、 大中型

3、企业有效应对网络安 全突发事件的重要手段。 网络安全应急服务应该基于数据驱动、 安全能力服务化的安全 服务运营理念，结合云端大数据和专家诊断，为客户提供安全运维、预警检测、持续响 应、数据分析、咨询规划等一系列的安全保障服务。 摘 要 2018 年全年 360 安服团队共参与和处置了 717 起网络安全应急响应事件. 行业应急处置排在前三位的分别为公检法（66 起） 、政府部门（63 起） 、医疗机构（56 起） ，占到所有行业应急处置的 9.0%、8.0%、8.0%，三者之和约占应急处置事件总量的 25%。 在 2018 年 360 安服团队参与处置的所有政府机构和企业的网络安全应急响应事件

4、中， 由行业单位自己发现的安全攻击事件占 92%，而另有 8%的安全攻击事件政府机构和企 业实际上是不自知的，他们是在得到了监管机构或主管单位的通报才得知已被攻击。 安全事件的影响范围主要集中在外部网站和内部网站（25.3%） 、内部服务器和数据库 （18.7%） 。除此之外，还占有一定比例的还有办公终端（17.5%） 、业务专网（6.3%） 。 黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。攻击者通过 黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动谋取暴利；利用勒索病毒感染 政府机构、大中型企业终端、服务器，对其实施敲诈勒索。 从上述数据可以看出，攻击者对系统的攻击所

5、产生现象主要表现为导致生产效率低下、 破坏性攻击、声誉影响、系统不可用。其中，导致生产效率低下占比 20%，数据丢失占 比 13%，破坏性攻击占比 10%。 关键词：关键词：应急响应、安全服务、敲诈勒索、黑产活动、木马病毒 目 录 第一章 研究背景 . 1 第二章 应急响应监测分析 . 2 一、 月度报告趋势分析 . 2 二、 行业报告排名分析 . 2 三、 攻击事件发现分析 . 3 四、 影响范围分布分析 . 5 五、 攻击意图分布分析 . 5 六、 攻击现象统计分析 . 6 七、 事件类型分布分析 . 7 第三章 应急响应服务分析 . 9 一、 网站安全 . 9 （一） 网页被篡改 . 9

6、 （二） 非法子页面 . 9 （三） 网站 DDoS 攻击 . 9 （四） CC 攻击 . 9 （五） 网站流量异常 . 10 （六） 异常进程与异常外联 . 10 （七） 网站安全总结及防护建议 . 10 二、 终端安全 . 11 （一） 运行异常 . 11 （二） 勒索病毒 . 11 （三） 终端 DDoS 攻击 . 12 （四） 终端安全总结及防护建议 . 12 三、 服务器安全 . 12 （一） 运行异常 . 12 （二） 木马病毒 . 13 （三） 勒索病毒 . 13 （四） 服务器 DDoS 攻击 . 13 （五） 服务器安全总结及防护建议 . 13 四、 邮箱安全 . 14 （一