奇安信发布应急响应报告：老旧网络安全隐患依然大行其道

近日，奇安信安全服务团队发布《95015网络安全应急响应分析报告（2023上半年）》（简称《报告》）。2023年上半年，奇安信旗下95015服务平台共接到全国政企机构网络安全应急事件376起，其中恶意程序攻击事件最多，占比为34.3%；其次是漏洞利用事件，占比为31.9%。在所有被利用的漏洞中，弱口令、永恒之蓝等老旧安全漏洞，依然是导致政企机构失陷的主要原因，占比超过50%。由此可见，大量政企机构仍然缺乏最基本的网络安全基础设施建设和运营能力。

《报告》显示，2023年上半年，95015服务平台接报的网络安全应急响应事件中，政府部门报告的事件最多，占比18.6%；其次是事业单位，占比13.6%；金融机构排第三，占比13.3%。此外，制造业、医疗机构、交通运输等行业也是网络安全应急响应事件高发行业。

其中，47.6%的政企机构，是在系统已经出现了非常明显的入侵迹象后进行的报案求助；33.8%的政企机构，是在被攻击者勒索之后，拨打的95015网络安全服务热线。这二者之和为81.4%，也就是说，八成左右的大中型政企机构是在系统已经遭到了巨大损失，甚至是不可逆的破坏后，才发现入侵事件。而真正能够通过安全运营巡检，在损失发生之前及时发现问题并呼救，避免损失发生的政企机构，占比就仅为12.7%，相比去年同期的18.4%有明显下降。

此外，还有约5.9%的政企机构是在得到了主管单位、监管机构及第三方平台的通报后启动的应急响应，相比去年同期的4.6%略有上升。这一升一降能明显看出，政企机构网络安全建设和运营水平仍亟待提升。

应急人员在对网络安全事件进行溯源分析过程中发现，2023年上半年，内部人员为了方便工作等原因进行违规操作，进而导致系统出现故障或被入侵，触发应急响应的网络安全事件多达98起。这一数量仅次于黑产活动（106起），从去年同期的第三位跃升至第二位。

在攻击者使用的所有攻击手段中，以恶意程序为主要手段的网络攻击最为常见，占比为34.3%；其次是漏洞利用，占比为31.9%；钓鱼邮件排第三，占比为7.2%。此外，网络监听攻击、网页篡改、Web应用CC攻击、拒绝服务攻击等也比较常见。

值得关注的是，弱口令是攻击者在2023年上半年最为经常利用的网络安全漏洞，相关网络安全应急响应事件多达133起；其次是永恒之蓝漏洞，相关利用事件为84起，占比22.3%。相比之下，其他单个类型的漏洞利用占比都要小很多，排名第三的钓鱼邮件仅有19起，占比5.1%。

对此奇安信安服团队认为，弱口令的大行其道，完全是安全意识淡薄、安全管理松懈的体现。而永恒之蓝漏洞自2017年WannaCry病毒爆发后，已经成为广为人知，必须修补的安全漏洞。时至今日仍然有大量的政企机构倒在永恒之蓝的枪口之下。弱口令、永恒之蓝等老旧安全隐患的流行，说明这些政企机构严重缺乏最基本的网络安全基础设施建设，缺乏最基本的网络安全运营能力。预计在未来相当长的时间里，弱口令和永恒之蓝漏洞仍将是国内政企机构亟待解决的、基础性的网络安全问题。

奇安信安服团队建议，全面的安全管理策略、内部漏洞检测和日常修复动作不容忽视。政企机构应加大内部巡检力度，定期对设备、终端进行漏洞扫描、修复，并定期更换服务器、终端登录密码，加大密码复杂度。