新华三攻防实验室长期对国内外网络安全漏洞进行监测,通过对2020年漏洞进行全面的收集和分析,由高级威胁分析团队、漏洞分析团队、威胁情报团队联手,总结出2020年网络安全漏洞态势报告。报告从漏洞总体趋势、Web应用漏洞、操作系统漏洞、网络设备漏洞、数据库漏洞、工控系统漏洞、云计算漏洞多个方面对漏洞趋势进行分析与总结,以观察者的视角尝试剖析2020年网络安全形势及其变化,希望以此为各行业以及相关企事业单位提供网络安全建设和策略的参考。
1.1、漏洞增长趋势
2020年新华三收录的漏洞总数为17907条,其中超危漏洞2418条,高危漏洞7231条,超危与高危漏洞占比50%以上,高危以上漏洞比2019年增长10.8%。2015年至2020年漏洞总体呈逐年增长趋势,其中高危以上漏洞逐年增长比例超过10%。
图1 2015-2020年新增漏洞总趋势
图2 2020年根据危险级别漏洞占比
1.2、总体攻击态势
新华三攻防实验室在2020年根据跟踪的热门及严重漏洞,新增2020年漏洞的防御规则520多条,其中超危漏洞占比24.1%,高危漏洞占比48.3%,两者占比高达72.3%,含有CVE的漏洞为460条,占比84%。将新增漏洞规则按照攻击对象进行统计,Web应用程序类漏洞占比最高,达到53.6%,Web应用程序类包括通达OA、宝塔控制面板、泛微OA等漏洞,最近两年OA系统、CMS系统漏洞被大量爆出,且利用起来较容易,给企业造成较大损失;另外FasterXML Jackson-databind、XStream漏洞2020年呈高发态势,在这个后面是反序列化漏洞的大量应用。Web服务器类漏洞占比达到10.4%,像Apache、Weblogic、WebSphere漏洞仍然高发。网络设备类漏洞占比高达14%,近两年利用网络设备、安全设备进行内网攻击的事件屡见不鲜,网络设备自身安全不容忽视。
图3 2020年新增规则保护对象占比
将新增漏洞规则按照攻击分类进行统计,远程代码执行类占比最高,达到34%,SQL注入、命令注入占比也较高,分别为9.9.%和8.8%。远程代码执行、命令注入为高风险漏洞,如果攻击成功可以直接执行攻击者注入的代码或命令。
图4 2020年新增规则攻击种类占比
根据对2020年攻击进行的观察,我们得出一些结论:
(1)远程办公的激增,导致信息技术服务业攻击事件急剧上升
2020由于疫情原因,许多企业开始远程办公,导致远程办公的激增,攻击者瞄准了IT相关的各个部分。企业VPN、视频会议软件、内部通信平台等都成为了恶意攻击者所关注的重要目标。攻击者通过注册假域名冒充远程办公软件的官网传播恶意软件,随着RDP和VPN等远程访问技术使用频率的增加,RDP爆破攻击的数量也急剧上升。
(2)工业互联网或成网络安全下一个焦点
工业互联网包含了工业控制系统、工业网络、大数据存储分析、云计算、商业系统、客户网络等各种网络基础设施。其同时融合了云计算、物联网、大数据、5G通信、边缘计算等新一代信息通信技术,多元技术融合必然会带来多种隐患。工业互联网打破了传统工业控制系统相对封闭的生产环境,其暴露面大大增加。
工业互联网与普通信通网的一个关键不同点在于其中包含对工业控制、生产运营有直接影响的OT网络,其中有很多非常敏感的核心数据,涉及企业机密乃至国家安全,这些信息是不能进行公开或共享的。2020年工控安全事件呈高发趋势,除了恶意攻击和勒索之外,攻击者还可能实施知识产权的盗窃活动,这些活动除了经济利益驱动之外,还可能受政府资助,实现政治目的。
(3)云原生漏洞成为安全研究员和黑产关注重点
前些年,业界关注的很多的云计算漏洞更多是虚拟化底层软件的逃逸,在各类大赛上,安全研究员挖掘和展示了对底层技术缺陷的攻击,一次又一次逃逸了各路虚拟机的束缚。近年来云计算领域又诞生了一个新的概念,云原生技术,相关漏洞逐渐成为安全研究员和黑产关注重点。
云原生技术,目的在于进一步利用云的弹性、敏捷、资源化的优势,解决应用在持续集成方面的困境,实现高度自动化的开发、集成、发布、运行等全生命周期管控。作为云原生技术的关键,编排系统Kubernetes和容器Docker,近年也是漏洞频出。并且由于这两者配置问题导致的未授权访问漏洞,成为了黑客攻击和挖矿牟利的突破口。
