1、2021安全事件响应观察报告2021 Annual Report on Cybersecurity Incident Observations2021 Annual Report on Cybersecurity Incident ObservationsObservationsCONTENTS2021 安全事件响应观察报告2关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市， 证券代码：300369。 绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫

2、等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。CONTENTS01网络安全形势分析00102网络攻击行业特征明显0052.1关键信息基础设施是网络攻击重要目标0062.2金融行业事件连续 4 年占比第一0062.3勒索挖矿持续威胁运营商行业0082.4政府客户需防

3、范网站入侵和网页篡改威胁00903“实战化”是攻防大势所趋0103.1实战化攻防演练对抗卓有成效0113.2利益驱使下企业数据泄露风险大幅增加0143.3钓鱼仍然是主流的渗透手段0193.4勒索威胁升级0243.5在挖矿木马攻击中“突围”03104新兴技术带来新的安全挑战0344.1云相关安全事件逐年增长0354.2日益严峻的供应链安全形式0394.3人脸识别绕过带来金融风险0424.4车联网安全和其中的数据安全风险04405安全漏洞变化趋势0465.1安全漏洞趋势分析0475.2重要安全漏洞盘点0525.3法律法规落地规范漏洞管理05506安全事件专题0576.1钓鱼邮件专题0586.2黑链

4、案例专题0616.3挖矿事件案例0636.4REvil 勒索案例0676.5仿冒网站诈骗事件07107安全建议076附录一GBT20986-2007 信息安全事件分类分级指南079附录二绿盟科技事件分类方法08001网络安全形势分析2021 安全事件响应观察报告002【报告概述】绿盟科技 2021 年新增应急响应事件 438 起，总数比去年增加了 20 %。第一季度安全事件数量趋于正常水平；4 月份比 3 月份的事件数量增加了 286%；5 月份开始，事件数量恢复到正常水平，整体呈现平缓趋势。2021 年网络空间安全形势复杂多变，大规模、针对性的网络攻击行为持续增长，关键信息基础设施仍为重灾区

5、，数据泄露事件、产业供应链攻击事件频发。从攻击者的角度分析，网络攻击的“实战化趋势”更加突出，在利益的驱动下，数据窃取、勒索、挖矿等黑产活动持续肆虐，钓鱼攻击成为网络入侵的利器。大数据、物联网、人工智能、移动支付等新兴技术助力数字化业务转型升级的同时，也暴露出全新的安全风险。图 1.1近三年事件发生趋势绿盟科技在GBT20986-2007 信息安全事件分类分级指南的指导下，制定了信息安全事件分类方法。对处理的安全事件进行国标分类和详细分类统计。事件分布如下图：003网络安全形势分析图 1.2国标事件类型分布本年度事件按照细分子类型排序，TOP5 为钓鱼攻击事件、后门事件、勒索软件、虚拟挖矿和木

6、马程序。图 1.3事件类型分布图2021 安全事件响应观察报告004绿盟科技 IRT 团队 2021 年处理的应急响应事件遍布全国，覆盖了全国 32 个省级行政区。其中发生在北京、广东、上海的事件最多。图 1.4事件发生地区分布图【适用性】此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。【局限性】此报告基于绿盟科技应急响应服务数据，具有一定局限性。【特别声明】本次报告中涉及的所有数据，均来源于绿盟科技的自有产品和合作伙伴的产品，所有数据在进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息，也均不会出现在报告中。02网络攻击行业特征明显2021