酷应用

年度盘点 | 以报告加速成果转化以情报实施高级防御

百家作者：绿盟科技 2018-01-19 09:18:18

每年，网络安全的形势都在不断变化，受经济、政治和军事等因素的影响，威胁源起方操纵下的各种攻击势力，让众多组织中的安全运营团队、技术管理层及商业决策者们都为之侧目，国外某安全公司的年度报告中甚至认为，从2017年的网络安全发展趋势来看，2018年将会让我们对网络安全的思维习惯及价值观产生巨大变化，所谓范式转换。

网络安全的变化正在加速绿盟科技的研究进程

网络安全的变化正在加速绿盟科技的研究进程这些巨大的变化，宏观面包括针对行业的攻击，表现的越来越明显，微观面包括各种勒索软件及更大范围的恶意软件攻击，正在加速创新和融合，这些变化每时每刻都触动着防守者们的心，也促使绿盟科技不断加快追踪攻击者的脚步，并深入与行业应用场景。持续发布各类安全分析报告，一是呈现威胁态势并以之发现攻击的特征及规律，二是将研究成果转化并应用于产品、方案及平台，帮助客户实现业务的安全顺畅运行。

专题研究报告

>>>>DDoS威胁报告

包括半年报告及年度报告，该系列报告已经连续发布数年。在持续的研究中发现，许多的攻击形式都与DDoS攻击有着千丝万缕的联系，而其中关系最为紧密的莫过于Web应用安全。2017年我们将DDoS与Web应用安全进行结合，推出《2017年上半年DDoS与Web应用攻击态势报告》，并指出“很多时候 DDoS攻击，被黑客用作实施Web应用攻击的烟雾弹，也即先发起DDoS 攻击吸引安全团队精力，同时暗地里进行Web 应用层攻击，最终达到篡改、窃取敏感信息、获取系统控制权限等目的。”

而在2017年4月，绿盟科技还与中国电信携手推出《2016 DDoS威胁报告》，在CNCERT的互联网安全态势报告中，也有类似合作。这些研究成果也不断应用于绿盟抗拒绝服务系统ADS、DDoS智能防护方案及服务体系。

>>>>网站安全报告

与DDoS攻击相对应的就是网站安全问题。2017年7月，绿盟科技发布网站安全解决方案白皮书，针对监管机构及企业两类不同的组织，给出了5种不同的网站安全方案，并表示“截至2016年底，已监测等保二级以上的网站数量累计达21516个，商业客户数量近1000余名，客户群覆盖国有银行、股份制银行、国内三大运营商、石油石化企业及电力行业。”

在此基础上，与中国电信合作了《2016年上半年中国网站安全报告》及《2017年中国网站安全报告》，并联合赛尔网络发布了《2016 年第四季度高校网站安全脆弱性白皮书》

>>>>软件定义安全白皮书

2017年初，绿盟科技历经数年积累的软件定义安全方面的研究终于花开蒂落，成功发布了《2016软件定义安全SDS白皮书》，该白皮书延续了《2015年软件定义安全SDS白皮书》的研究方向，重点阐述了软件定义安全这一理念在2016年行业内的发展情况，以及具体在落地过程中的实践。

事实上这些研究成果已经应用于与华为的合作项目，并著有《软件定义安全 SDN/NFV新型网络的安全揭秘》一书。同时，这些成果还在后续应用于多项国家级项目。

>>>>物联网安全报告

2016年底发布了《绿盟科技物联网安全白皮书》，从3个细分领域及6个关注点，与业界分享了物联网安全的切入点。

随着物联网安全团队的研究持续深入，继《2016网络视频监控系统安全报告》之后，又发布了《2017年国内物联网资产暴露情况分析报告》，报告指出“用于接入互联网的设备暴露情况严重，国内的路由器和调制解码器（Modem）设备暴露数量较多，二者总数量达到500 万以上。”时至今日，这一状况并没有多大改观。

在此基础上与中国电信联手推出《2017物联网安全研究报告》，与国际云安全联盟CSA携手，制定了物联网安全标准。

以上只是选择了近两年绿盟科技专题研究报告中的一些例子，还有不少的专题研究正在持续进行中，相信不久就会与大家见面。另外，还有一类报告不得不提到，那就是在近两年非常火爆的安全事件应急响应。

事件响应报告

针对这些事件，绿盟科技及时发布了数十份分析及防护方案，其中针对适合的事件会发布检测工具，例如

• 2017年12月，第一起攻击工业厂房的工控恶意软件TRITON

• 2017年12月，WebLogic遭watch-smartd挖矿恶意软件感染

• 2017年12月，嵌入式Web服务器GoAhead远程代码执行漏洞CVE-2017- 17562

• 2017年8月，乌克兰金融机构遭遇钓鱼邮件攻击

• 2017年8月，NetSarang的Xmanager和Xshell多种产品被植入后门

• 2017年7月，Apache Struts2远程代码执行漏洞S2-048 CVE-2017-9791

• 2017年6月，petya勒索病毒、早期样本及其变种

• 2017年5月，IBM部分Storwize初始化USB工具盘中有恶意软件

• 2017年3月，hao123恶意代码分析及清除、查杀办法

• 2017年2月，新型勒索软件Locky下载者进入中国

• 2016年12月，Mirai变种应用于1127德国断网事件

在2017年，攻击者及其幕后的威胁源起方，正在不断追逐攻击所能带来的经济利益，而这些利益往往与行业特性密不可分，针对这样的情况，尤其是对行业用户的生产活动有重大影响的事件，绿盟科技在安全事件应急响应报告之后，还会追加应急处置手册、及中长期防护方案，例如：

• 2018年初的“英特尔处理器Meltdown和Spectre安全性问题”

• 2017年10月的“Mirai变种Rowdy物联网恶意软件袭击我国有线电视网”

• 2017年5月的“Wannacry大面积侵袭企业” 以及其后的“永恒之石EternalRocks蠕虫病毒”

通观这些报告，可以看到绿盟科技应急响应能力在不断提升，而这个提升的过程体现了公司高层支持、威胁情报获取、安全风险识别、技术能力实现、多团队资源协调等等方面的能力建设。

行业安全报告

随着攻击链所不断演进的黑产产业链，正不断侵袭各个行业，防守方就必须落地乃至超前攻击者深入到不同的行业，以便为相应经济环境的价值链防御做好准备。正是基于这样的考虑，绿盟科技一方面伴随业务的不断开展，深入研究政府、金融、运营商所面临的各种安全威胁，推出《绿盟科技政府行业资讯周报》、《绿盟科技能源&企业月度安全通告》及《绿盟科技金融安全月刊》，

>>>>工控安全报告

绿盟科技持续数年研究工控安全态势，不断推出相关工控安全报告，报告结合工业控制系统运行阶段的特点，提出了针对工业控制系统的三方面能力建设，包含从上线前的安全检测、安全能力部署、安全运行三个阶段，覆盖工业控制系统运行周期的安全保障。这些研究成果已经应用于工控安全产品及工控安全解决方案，同时与多个相关组织展开合作。

随着攻击进入行业，伴随着行业业务的复杂性，攻击者的攻击目标、目的及形式就会变得越来越复杂，越来越高级，这样就促使了另外一类报告不断展开和深入。

高级威胁报告

>>>>网络安全威胁报告

高级威胁机器攻击事件在捕获及研究初期，往往是以样本及攻击特征IoC出现的，而这其中尤为重要的是相关漏洞及其利用工具包，勒索软件。为了记录和追踪这些信息，绿盟科技持续发布网络安全威胁周报及月报，并适时推出《2017上半年网络安全观察》，绿盟科技威胁情报中心的监测数据表明，全球60%的恶意IP集中在GDP排名前十的国家中，其中以美国、中国、印度、日本为恶意IP占比最高的四个国家；另一方面，恶意IP地址占比（即恶意IP数和该国家总IP地址数的比例）和国家人均GDP展现出相当明显的线性关系，也即发达国家的互联网环境比发展中国家更为安全。和犯罪率类似，恶意IP率将会成为一个国家、地区、运营商重要的治理和运营指标。

>>>>APT报告

随着这些基础信息的不断积累，我们对这些庞大的信息进行关联分析，并追溯源头以事件的维度来观察，同时不断进行信息提炼，从固定的基础IoC特征，走向变化的高级TTP特征，从基于事件的攻击链，走向适应经济环境的价值链，从仅仅给人读的文本，走向让安全设备产生防御能力的机读。一切源于有效呈现潜在受害者所面临的风险，终于防守方作出决策并制定相应的防御措施。正是这样的研究，让我们得以发掘到那些攻击事件背后的威胁源起方以及他们的攻击规律。

然而在经济环境的价值链中，有不少因素和环境都涉及到客户的敏感信息，而APT背后的威胁方往往潜伏时间持续数年之久，研究部门需要持续投入资源跟踪分析，一份真正意义上APT报告的诞生及公开发布并不容易。

2018初，绿盟科技解密了一份APT报告，呈现出来自境外的APT-C1组织持续数年攻击我国某互金平台。