2017年網(wǎng)絡安全應急響應分析報告

201808132017360199起網(wǎng)絡安全應急響應事件49.6%。2017360安服團隊參與處置的所有政府機構和企業(yè)的網(wǎng)絡安全應急響應事件中，由行業(yè)單位自己發(fā)現(xiàn)的安全攻擊事件占88%，而另有12%的安全攻擊事件政府機構和安全事件的影響范圍主要集中在外部網(wǎng)站和內部網(wǎng)站（42%（39%（9%（3%29.1%，破壞性攻18%16%。 第一 前 第二 一、月度報告趨勢分 二、行業(yè)報告排名分 三、攻擊事件發(fā)現(xiàn)分 四、影響范圍分布分 五、攻擊意圖分布分 六、攻擊現(xiàn)象統(tǒng)計分 七、事件類型分布分 第三 一、網(wǎng)站安 （一）網(wǎng)頁被篡 （二）非法子頁 （三）DDoS攻 （四）CC攻 （五）網(wǎng)站流量異 二、終端安 （一）運行異 （二）勒索病 （三）DDoS攻 三、服務器安 （一）運行異 （二）木馬病 （三）勒索病 （四）DDoS攻 四、郵箱安 （一）郵箱異 （二）郵箱DDoS攻 附錄360安服團 第一 前199重要。360構建了全流程的應急響應服務體系，為政府機構、大中型企業(yè)提供高效、實時、第二 2017360199起全國范圍內的網(wǎng)絡安全應急響應事件，第2017年全年處置的所有應急響應事件從不同維度進一、2017360199起網(wǎng)絡安全應急響應事件，月度報告趨處置的安全應急請求較少，年底相對較多，310月份整體上處置的安全應急請求趨二、2017年全年應急響應事件行業(yè)分類分析，匯總出行業(yè)應急處置數(shù)量排名，如下融機構。而交通運輸、教育培訓、能源、IT信息技術、媒體所產(chǎn)生的應急響應事件也占到33%。其次為交通運輸、教育培訓、能源、IT信息技術和媒體，從中竊取數(shù)據(jù)、敲詐勒索。上述三、2017年全年應急響應事件攻擊發(fā)現(xiàn)類型分析，匯總出攻擊事件發(fā)現(xiàn)情況，如下88%12%的安全攻擊事件政府機構和企業(yè)雖然政府機構和企業(yè)自行發(fā)現(xiàn)的安全攻擊事件占到了88%，但并不代表其具備了潛在威脅的發(fā)現(xiàn)能力。實際上，僅有占安全攻擊事件總量39%的事件是政府機構和企業(yè)通過內部安全運營巡檢的方式自主查出的，而其余49%的安全攻擊事件能夠被發(fā)現(xiàn)，則完全是因四、2017年全年應急響應事件處置報告分析，匯總出安全事件的影響范圍分布即失（42%（39%（9%（3%五、2017年全年應急響應事件處置報告分析，匯總出攻擊者攻擊政府機構、大中型APT攻擊和出于政治原因攻擊意圖的存在，說明具有組織性、針對性的攻擊團隊對政重點領域的數(shù)據(jù)。雖然APT攻擊和出于政治原因的攻擊數(shù)量相對較少，但其危害性較重，六、CPU18%，攻擊者通過利用服務器漏洞、配置不當、弱口令、Web漏洞等系統(tǒng)安全缺陷，對系統(tǒng)實施破壞性攻擊；聲譽影響占比16%，主要體現(xiàn)在對政府機構、大中型企業(yè)門戶網(wǎng)站進行的網(wǎng)頁篡改、黑詞暗鏈、不可用占比10%，主要表現(xiàn)為攻擊者通過對系統(tǒng)的攻擊，直接造成業(yè)務系統(tǒng)宕機。同時，七、常/異常外聯(lián)、PC病毒告警等方面。其中，服務器病毒告警是攻擊者利用病毒感染對服務器進行的攻擊，占28%，成為攻擊者主要的攻擊手段；網(wǎng)頁被篡改是攻擊者對互聯(lián)網(wǎng)門戶網(wǎng)站進行的常見攻擊，占12%，造成服務器、系統(tǒng)運行異常或異常外聯(lián)，降低生產(chǎn)效率；PC病毒告警是攻擊者利用病毒感8%，是對攻擊終端的主要手段。除此之外，還有流量監(jiān)測異常、被通報安全事件、網(wǎng)站無法訪問/訪問遲緩、webshell第三 一、（一）（二）（三）DDoS攻擊方法：黑客利用多類型DDoS技術對網(wǎng)站進行分布式抗拒絕服務攻擊。（四）CC攻擊方法SQL注入攻擊行為、發(fā)起頻繁惡意（五）攻擊方法webshell等木馬后門，控制網(wǎng)站；某些攻擊者甚至會以網(wǎng)站為跳（六）擊者的跳板，或者是對其他網(wǎng)站發(fā)動DDoS攻擊的攻擊源。攻擊方法DDoSIPTomcat、IIS等中間件已有漏洞、網(wǎng)站各類應用上傳漏洞、webshell上傳至門戶web服務器，webshell對服務器進行惡意操作；DDoS攻擊技術（SYNFlood、ACKFlood、UDPFlood、ICMPFlood等DDoS攻擊；SQL注入攻擊、頻繁惡意請求攻擊等攻擊方式進行攻第一、針對網(wǎng)站，建立完善的監(jiān)測預警機制，及時發(fā)現(xiàn)攻擊行為，啟動應急預案并ACL策略，細化策略粒度，按區(qū)域按業(yè)務嚴格限制各網(wǎng)絡第三、配置并開啟網(wǎng)站應用日志，對應用日志進行定期異地歸檔、備份，避免在攻第四、加強入侵防御能力，建議在網(wǎng)站服務器上安裝相應的防病毒軟件或部署防病第五、定期開展對網(wǎng)站系統(tǒng)、應用以及網(wǎng)絡層面的安全評估、滲透測試以及代碼審第六、建議部署全流量監(jiān)測設備，及時發(fā)現(xiàn)惡意網(wǎng)絡流量，同時可進一步加強追蹤第七、加強日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡設備配合、安全日志以及安二、（一）DDoS攻擊。（二）（三）DDoS攻擊方法DLL模塊以及異常啟動項第一、通過弱口令爆破、軟件和系統(tǒng)漏洞、社會人工學以及其他等攻擊手段，使內網(wǎng)IP直接定位機器位置；三、（一）DDoS攻擊。（二）（三）（四）DDoS主要危害CPU以及帶寬等，導致服務器上的業(yè)DDoS木馬，以此發(fā)起DDoS攻擊。器感染各類木馬（如挖礦木馬、DDoS木馬等webshell后門、惡意木馬