奇安信：2022年上半年网络安全应急响应分析报告（20页）.pdf

1、 2022 年上半年 网络安全应急响应 分析报告 奇安信安服团队 2022 年 7 月 主要观点 2022 年上半年，奇安信集团安服团队共接到应急服务需求 479 起。政府部门、医疗卫生行业和事业单位的业务专网是 2022 年上半年攻击者攻击的主要目标。2022 年上半年，仅有不到五分之一的政企机构通过安全运营巡检发现攻击事件。有77%的企业是在已经发生重大安全事故后才寻求应急响应，但此时往往已对机构造成了一定的影响和重大的损失。2022 年上半年，由于木马病毒攻击导致服务器、数据库失陷的应急响应事件近半，大中型政企机构应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害，加强内部网

2、络安全建设，针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案和安全防护措施，将应急响应常态化。2022 年上半年应急响应安全事件中，除病毒攻击和木马攻击外，攻击者利用漏洞攻击主机、服务器的事件占比近三分之一。弱口令、永恒之蓝漏洞和服务器漏洞等常规漏洞成为攻击者攻击的主要突破口，这往往也最容易被大中型政企机构忽视。2022 年上半年，近五分之一的应急响应安全事件是由于企业内部违规操作导致的。员工为方便工作，使用弱口令、高危端口暴露公网等导致勒索病毒蔓延、数据泄露甚至服务器失陷的事件屡见不鲜。由此可见，大中型政企机构加大力度提升内部员工网络安全防范意识至关重要。摘 要 20

3、22 年上半年奇安信集团安服团队共参与和处置了全国范围内 479 起网络安全应急响应事件。2022 年上半年应急响应处置事件行业 TOP3 分别为：政府部门（103 起）、医疗卫生行业（55 起）以及事业单位（42 起），事件处置数分别占应急处置所有行业的 21.5%、11.5%、8.8%。2022 年上半年奇安信安服团队参与处置的所有大中型政企机构的网络安全应急响应事件中，由行业单位自行发现的安全攻击事件占 95.4%，其中有 43.6%的政企机构是在遭受勒索攻击后才发现系统被攻击；而另有 4.6%的安全攻击事件则是由监管机构及第三方平台通报得知。2022 年上半年应急响应事件的影响范围主要

4、集中在业务专网，占比 63.5%；办公网占比 36.5%。2022 年上半年应急响应事件中，攻击者对系统的攻击所产生的影响主要表现为生产效率低下、数据丢失、数据泄露。2022 年上半年应急响应事件中，黑产活动、敲诈勒索仍然是攻击者攻击大中型政企机构的主要原因。2022 年上半年大中型政企机构安全事件攻击类型，排名前三的类型分别是：恶意程序，占比 42.2%；漏洞利用，占比 30.7%；钓鱼邮件，占比 6.1%。2022 年上半年应急响应事件中，弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。本报告所有分析数据来源于奇安信安服上半年的 479 次应急响应数据整理，可能存在一定的局限性，报

5、告结论和观点仅供用户参考。关键词：关键词：应急响应、安全服务、弱口令、敲诈勒索、漏洞利用 目 录 第一章第一章 20222022 年上半年应急年上半年应急.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业现状分析.2 二、事件发现分析.2 三、影响范围分析.3 四、攻击影响分析.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图分析.5 二、攻击类型分析.5 三、恶意程序分析.6 四、漏洞利用分析.7 第四章第四章 应急响应典型案例分析应急响应典型案例分析.9 一、交通运输行业某客户遭遇恶意邮件传播应急事件处置.9 二、互联网行业某客户

6、感染 Hive 勒索病毒应急事件处置.10 三、某科研机构员工被社工攻击，致现场多台服务器失陷应急事件处置 11 四、政府单位某客户感染僵尸网络病毒应急事件处置.12 五、运营商行业某客户恶意外连应急事件处置.14 附录附录 1 1 奇安奇安信集团安服团队信集团安服团队.16 奇安信集团 第 1 页，共 16 页 第一章 2022 年上半年应急 2022 年 1-6 月，奇安信集团安服团队共参与和处置了全国范围内 479 起网络安全应急响应事件，第一时间协助政企机构处理安全事故，确保了政企机构门户网站、数据库和重要业务系统的持续安全稳定运行。20222022 年年上半年上半年应急响应服务月度统