1、 主要观点 政府部门、事业单位、制造业是 2022 年网络安全应急响应事件最为高发的行业。特别是制造业，全年向 95015 服务平台报案求助多达 121 起，首次超越医疗卫生行业跻身报案数量前三甲。这也意味着网络安全问题对工业生产的影响正在与日俱增，因网络安全事件而停工停产的风险正在日益加剧。严重缺乏最基本的网络安全基础设施建设，缺乏最基本的网络安全运营能力，是当前国内绝大多数政企机构的通病。一方面，弱口令、永恒之蓝等基础漏洞仍然普遍存在，高危端口大量暴露；另一方面，仅有 15.4%的政企机构能够通过安全巡检提前发现问题，避免损失，而绝大多数政企机构只能在重大损失发生之后，或被第三方机构通报后

2、才能发现安全问题。安全意识问题已经成为制约政企机构安全生产的根本性问题：由内部人员违规操作触发的应急响应事件约占 2022 年 95015 服务平台接报事件总量的四分之一；近四成的应急事件与弱口令有关；员工被黑客钓鱼、私自下载带毒软件、滥用 U 盘导致系统瘫痪、乱开端口感染勒索病毒等由安全意识不足引发的应急事件层出不穷。摘 要 2022 年，95015 服务平台共接到全国政企机构网络安全应急事件报告 1106 起。奇安信安服团队累计投入工时 8997.5 小时处置相关事件，折合 1124.7 人天，处置一起应急事件平均用时 8.1 小时。从行业分布来看，2022 年，95015 服务平台接报的

3、网络安全应急响应事件中，政府部门报告的事件最多，为 199 起；其次是事业单位 138 起；制造业排第三，为 121起。此外，医疗、金融、交通运输等行业也是网络安全应急响应事件高发行业。44.8%的政企机构，是在被攻击者勒索之后，拨打的 95015；34.9%的政企机构，是在系统已经出现了非常明显的入侵迹象后进行的报案求助。而真正能够通过安全运营巡检，提前发现问题的仅占比 15.4%、从网络安全事件的影响范围来看，64.0%的事件主要影响业务专网，而主要影响办公网的事件占比为 36.0%。而从受影响的设备数量来看，失陷服务器为 14280 台，失陷办公终端为 5412 台。业务专网、服务器是网

4、络攻击者攻击的主要目标。从网络安全事件造成的损失来看，造成生产效率低下的事件 499 起，占比为 45.1%；造成数据丢失的事件 269 起，占比 24.3%；造成数据泄漏的事件 99 起，占比 9.0%；此外，造成声誉影响的事件 71 起，造成数据被篡改的事件 59 起。内部人员为了方便工作等原因进行违规操作，进而触发应急响应的网络安全事件多达 276 起。这一数量甚至超过了以敲诈勒索（273 起）、黑产活动（261 起）和窃取重要数据（257 起）等为目的的外部网络攻击事件的数量。以恶意程序为主要手段的网络攻击最为常见，占比为 38.5%，其次是漏洞利用，占比为 33.7%；钓鱼邮件排第三

5、，占比为 6.9%。网页篡改、网络监听攻击、拒绝服务攻击等也比较常见。还有约 15.6%的安全事件，并非网络攻击事件。应急事件分析显示，勒索病毒、挖矿木马、蠕虫病毒是攻击者使用最多的恶意程序类型，分别占到恶意程序攻击事件的 28.0%、20.9%和 6.8%。此外，网站木马、DDoS 木马、APT 专用木马、永恒之蓝下载器等也都是经常出现的恶意程序类型。在应急响应事件处置的勒索软件中，排名第一的是Phobos，全年触发大中型政企机构网络安全应急响应事件 46 次；其次是 Makop 勒索软件 16 次，Buran 勒索软件 10次。这些流行的勒索病毒，十分值得警惕。弱口令是攻击者在 2022

6、年利用最多的网络安全漏洞，相关应急事件多达 417 起，占比 37.7%。其次是永恒之蓝漏洞，相关利用事件为 292 起，占比 26.4%。关键词：关键词：95015、应急响应、安全服务、弱口令、内部违规、敲诈勒索、漏洞利用 目 录 第一章第一章 网络安全应急响应形势综述网络安全应急响应形势综述.1 第二章第二章 应急响应事件受害者分析应急响应事件受害者分析.2 一、行业分布.2 二、事件发现.2 三、影响范围.3 四、事件损失.4 第三章第三章 应急响应事件攻击者分析应急响应事件攻击者分析.5 一、攻击意图.5 二、攻击手段.5 三、恶意程序.6 四、漏洞利用.7 第四章第四章 应急响应典型