何能强:2016中国网络安全态势

何能强:非常感谢中国网络安全大会的邀请,我们每年也会主办中国网络安全的年会,今年是在5月份,在我们山东的青岛,参会人数也超过1千人,在这里也祝贺中国网络安全大会今年能够成功举办,并且越办越好。今天我的报告是2016年我国互联网网络安全态势。

何能强

首先简单一下2016年中国互联网网络安全的态势,2016年网络发展比较态势,网络安全态势总体平稳,法制化进程迈出了实际的步伐,面临的网络安全形势依然十分严峻。去年可以看到,中国互联网的网民达到了7.3亿,手机的网民达到了6.95亿,注册域名的总数0.42亿,网站482个。去年发布了“十三五”的纲要,明确提出了实施网络强国的安全战略,要求加速发展建设数字中国,推动信息技术和设备发展深度的融合,同时加强信息化经济发展的建设。去年我们知道,习总书记召开了网信工作的座谈会,同时也发布了“十三五”的国家网络安全空间战略。从这里我们可以看出来,法制化的进程在2016年迈出了实质性的步伐。总体看来,我国2016年互联网的安全态势总体平稳,没有出现重大的网络安全的事件,我们也可以看出来,网络形势不容乐观。一方面2016年是“十三五”的开局之年,网络空间的发展大幅发展,另外一方面,也存在着很多网络安全方面的问题,信息技术的创新和发展,伴随着新型的网络安全的威胁,同时网络与互联网传统行业的深度融合,也使得原来相对封闭的传统行业暴露在互联网的空间之内,面临很多互联网安全的问题,所以导致攻击事件的层出不穷。

接下来介绍一下网络安全的监测事件。木马和僵尸网络的情况,去年国内大概有9.7万个木马和僵尸网络的控制服务器控制了全国1699万台的主机,控制服务器在2016年下降了8%,近5年来我们可以看到这个趋势是一个总体平稳向好的发展趋势。去年我们发现了控制规模在10万台以上的控制端有52个,控制规模在5万台以上的控制服务器有84个,在2万台规模以上的控制服务器有174个,1千台以上的总共加起来有1318个。这里面我们会根据控制规模的大小去关停这些控制僵尸网络的主控服务器,去年我们就关闭了1011个控制规模较大的这种僵尸网络。从这里面我们看出来,僵尸网络这些控制服务器的地域分布,最多是在广东,再一个是在江苏,还有是在山东。可以看出来,这些僵尸网络的控制服务器主要集中在东南沿海和经济较为发达的这些地区。

这是我们去年处置的一个比较大型的僵尸网络叫GillGates僵尸网络。从这张图我们可以看出来,我们内部管这张图叫花团锦簇,名字比较好听,这里面每一个团是一个小型的僵尸网络。中间的黑点代表的是这个小型僵尸网络的主控节点。从这里面我们看到,总体上来说是一些小型的僵尸网络,构建成了一个大的僵尸网络,其中每个小团里面的黑点是每个小型僵尸网络的主控节点。这是我们监测到的一个大概的情况,我们对BillGates这个僵尸网络进行了处置。这是处置后的一个结果,我们看到跟原来的僵尸网络对比可以看出来很多的这种小型的僵尸网络已经被打掉了,但是还会出现一些新的小的僵尸网络,这也是对我们未来的工作提出了更高的要求。

我们来关注移动恶意程序的数据。去年我们通过自主监测和样本交换一共拿到了205万个恶意程序的样本,2015年增长了39%  。其中相关的恶意程序的下载连接有67万余条,是2015年的1.2倍。这些链接被网民在了1.24亿次,增长了48%。下面这张图是我们发现的恶意程序的数量增长趋势。

去年通过伪基站发送短信,以相册名义来诱骗用户下载的恶意程序是特别多的,去年一共发现了有4.7万个恶意程序的样本,感染用户超过100多万,传播恶意程序的域名有6045个。这些恶意程序主要是用来窃取用户的短信和通讯录。通过这些恶意程序,总共泄漏用户的短信通讯录的邮件有222万封。利用这些用户的短信和通讯录的信息,黑产的从业人员就可以对这些受害者进行画像,可以根据他收到的短信,就知道他登记了哪些银行卡,平时跟哪些人联系,亲戚有什么,是不是有小孩,有小孩的话,是不是可以再通过这种成绩单、体检,类似于各式各样的这种社会工程学的攻击去攻击这些受害者。

面对这些恶意程序,我们会通知应用商店下架。这是2016年我们通知各个平台下架恶意程序的排名情况,我们发现的恶意程序最多是存在一个网盘,就是云平台上,叫七牛的这样一个网站。接下来像百度、安智、阿里云和斯凯网络,有的是应用商店,有的是一些平台,还有的是广告平台。从这里我们可以看到,去年总共有141家的网站存在传播恶意App的情况。虽然我们通知下架的数量较2015年下降了47.8%,只有8910个。但是这里通过这种非正规应用商店的渠道传播恶意程序的现象越来越严重,这也说明目前黑产从业者可能觉得应用商店去发布恶意程序的难度比较大,所以把目光转移到了像云盘、广告平台这种检测相对不那么严格的渠道去发布恶意程序。

拒绝服务攻击,它的来源我们在2016年主要看到是有4个方面,一个是传统的这种PC,还有这种服务器的僵尸网络,还有就是刚才微软和腾讯提到的物联网的新兴智能设备的僵尸网络,还有就是伪造源地址的DDoS攻击,还有域名放大的攻击。2016年我们发现1G以上的DDoS攻击事件有452起,较2015年下降了60%。去年也发生了多起500G以上的攻击事件,我们通过溯源来看,67%的攻击事件大多数面向于这种游戏、赌博网站的黑产的DDoS攻击。右边这张图显示的是去年第一季度到第四季度我们监测的DDoS攻击事件的趋势图,可以看到年底第四季度DDoS攻击的事件较第一季度增长了2.1倍,可能从一个侧面反映出来,一个年度内DDoS攻击产业链的一个频繁活跃的程度。

这里面主要介绍一下DDoS攻击三种类型的发展趋势。红色的图代表的是真实源地址的DDoS攻击,黄色的是伪造地址的DDoS攻击,蓝色的是代表的反射放大的DDoS数量的变化。从这里面我们可以首先看到,黄色的图是在近三年逐渐减少,因为随着运营商对这种伪造源地址的检测,基于伪造原的DDoS攻击的数量逐年下降。同时在这个阶段里面,真实源地址攻击的数量相对有一个高峰,这是因为它可能还没有找到一个替代伪造源地址攻击的一个很好的方式。但是随后大家都发现,通过域名反射、放大的DDoS攻击,它也可以达到防止去溯源的目的。所以在后面的发展过程中我们可以发现,通过域名解析反射放大的域名攻击逐渐增多,也说明黑产的从业人员逐渐的从真实源地址攻击的方法转移到反射、放大的DDoS攻击这种形式上去。

去年有一起阿里云被攻击的事件,阿里云可能在峰会之前就遭受了黑客的攻击,具体的时间是去年的7月30日,遭受了600G攻击的流量,当时阿里云通过自身的力量,刚才也说了,安全现在不光是一家公司自己的事情,可能涉及到多个组织,多个单位,可能一个人没有办法解决所有的事情,所以我们必须联合起来。去年阿里云找到了我们,帮忙他们一块去追溯攻击者。最后我们帮他们进行了DDoS的溯源,解决了攻击的问题。

这里还有一起虚假源地址攻击的事件。就是去年我们发现,DDoS的攻击流量主要来自于,某一个省占到16%,集中在两个路由器上面,我们通知运营商去核查,说这个路由器上面其实没有做伪造源的检查,有很多源地址的攻击,所以我们协调运营商对两个路由器进行整改,最后把两个伪造源地址的攻击流量降到了1.6%。这是安全漏洞方面的,去年我们运营的国家漏洞信息共享平台收录了10822个漏洞,较2015年增长了33.9%。从这张图当中可以看到,安全的漏洞也是逐年增长的。这是我们运营的四个重要的行业库。这是去年闹的沸沸扬扬的苹果的三叉戟漏洞,利用短信的漏洞,阿联酋的异议人士遭受了攻击,这个人比较敏感,他收到这条短信之后找安全公司做检测,然后发现了,这个三叉戟漏洞才被曝光出来。

网页仿冒的事件,去年我们监测到了17.8万钓鱼网站,其中在2万个IP之上,85%的服务器位于境外,我们去年总共处置了8万多个钓鱼网站。这里面有一个有趣的现象,就是这些钓鱼网站其实都是掌控在一小部分黑客黑产从业人员身上,因为我们从域名解析的地址可以看到,一个IP上面可能承载着很多钓鱼网站。一方面说明这个钓鱼网站是一个产业化的现象,另外一方面说明这些黑产从业者手上的资源很有限,不可能说一个钓鱼网站放到一个IP地址上,所以往往拥有了有限的服务器,把所有的钓鱼网站分布在自己有限的服务器上,所以出现了多个钓鱼网站在一个服务器上的现象。

下面是这个网站后门的数据。去年我们发现了境内被植入后门的网站有8.2万个,较2015年增长了9.3%,涉及到的IP地址有4万个,48.9%位于境外,对我国的6.8万个网站植入了后门。

网页篡改的数据,我们发现2015年境内被篡改的网站1.7万个,较2015年下降了31.7%,其中这里面有467个是政府网站,较2015年下降了47.9%。从这里面我们也可以看出来,通过植入暗链是网络篡改重要的攻击方式。我们可以看出来,政府网站虽然说防护水平得到了提高,去年我们发现有121起网页后门事件和157起高危木马,也说明了政府在做网络安全方面的工作还有待加强。

下面简要介绍七个方面的问题:

一是域名系统的问题。去年我们发现了32起针对域名系统的攻击事件,但是没有造成太大的影响,没有出现之前.CN域名被攻击,导致中国互联网瘫痪的现象,也说明我们现在对于域名系统的防护在增强。去年在美国东海岸,域名服务机构Dyn公司遭受了DDoS攻击,导致美国东海岸网络瘫痪,所以说明域名系统还是相对薄弱的环节,我们需要增强对域名系统的防护。

二是工控系统。去年3月、8月、12月分别出现了很多针对工业控制系统的攻击事件,3月在美国水坝的防洪系统遭受攻击。8月卡巴斯基暴出来“食尸鬼”的网络攻击活动,去年12月乌克兰电网遭受攻击,跟2015年12月遭受攻击是同一波人干的。这是我们去年发现的一个工控漏洞的情况,去年我们发现了暴露在互联网上的工控设备有2504台,遭受了境外1610个IP地址88万次的扫描攻击。

三是APT问题。去年国内的企业跟踪了43个APT组织,其中有36个是对我国的实施攻击。像“白象行动”等,降低了技术门槛,也加大了安全部门溯源的难度。去年比较著名的就是影子经纪人曝光了美国方程式组织的一个攻击现象,这里面暴露了大量的针对主流防火墙的漏洞。针对这个事件,我们2016年8月公布了这些漏洞备用代码,2015年公布了被这些漏洞控制的国内的一些IP域名和数据,其中涉及中国的9所高校,12家重要信息系统和2个政府的信息中心。同时我们也可以看到,2016年像希拉里邮件门,还有世界反兴奋剂组织,也是变成了越来越常态化,有国家背景的这种网络安全的攻击变得越来越多。

四是智能联网设备的安全问题。刚才提到了,去年影响比较大的断网事件,一个是美国的断网,还有一个是德国电信的断网,涉及到两个物联网的僵尸网络,一个是Mirai,还有一个是Gafgyt僵尸网络。

五是数据泄漏,我们列举了去年发生的数据泄漏的事件,影响最大的就是雅虎15亿账号泄漏,还有Linkin1.17亿用户账户的泄漏,还有MongoDB自己的数据库漏洞,5800万商业用户的信息被泄漏。从这里面我们看到,目前的这种信息泄漏的问题屡见不鲜。去年的徐玉玉的事件,黑产可以对每个人做用户画像,我们打的每一个电话之前,他其实对于我个人的状况已经有了一定的分析,我叫什么,有哪些银行卡,家住哪里,我有哪些朋友他可能都了如指掌。所以我们在接到每一个陌生电话的时候都要提高警惕。

六是移动安全。我们发现去年的恶意扣费,锁屏勒索,诱骗欺诈直接获利的恶意程序比2015年增长了3倍,占总数的59.6%,说明移动互联网的黑死产业链趋向成熟,主要分为制作、传播、套利三个环节。

七是去年勒索软件也开始流行,今年5月份WannaCry的事件也是勒索软件的事情推向了高峰。原来是针对个人用户的勒索软件发展得很快,但是逐渐勒索软件向企业用户的目标转移。去年我们全年捕获的PC端的勒索软件样本有1.9万个。

2017年我们推测的几个热点。首先就是网络空间依法治理的脉络更为清晰,6月1日我们的网络安全法出台,里面规定对这些网络空间的主权,各个主体的安全义务,跨界数据的保护,关键信息基础设施等保的制度已经出台了,但是相关配套的解读还有待加强。所以我觉得2017年各部委在出台网络安全法的解读和宣传的工作上,肯定会继续加强,我们可以期待各部门对这个《网络安全法》的落地和解读。

利用物联网智能设备的攻击事件将增多。去年我们发现物联网的漏洞有1117个,利用这些漏洞进行攻击去构建物联网的僵尸网络的可能性也会变得越来越大。所以我们预测,今年利用物联网的设备来进行攻击的事件将增多。现在传统行业在走向互联网+,传统行业跟互联网的融合越来越紧密,互联网+、中国制造2015这些战略逐步推进。使得我们相对封闭的传统行业的设备逐渐的暴露在互联网上,面临着互联网上这种公开的威胁。我们有理由预测,今年可能会出现这种工业互联网、互联网医疗、互联网金融这些平台遭受攻击的事件。

关于个人用户信息保护,现在我们个人信息泄漏的现象越来越严重。我们就推测,今年国家会出台相关的保护措施。其实4月份网信办已经出台了跨境数据的保护,也印证了我们之前的预测。所以未来我们觉得这种个人信息保护的方面,国家和政府会出台更多的保护策略。

网络安全威胁信息共享的工作会更加受到大家的关注,简单来说,2013年Gartner把威胁情报的概念推出来之后,安全领域对威胁情报的定义相当于热捧,大家纷纷开展威胁情报的工作。去年国内的烽火台威胁情报联盟也做得非常好,所以我们觉得2017年网络安全威胁情报共享的工作还会继续发展,继续推进,会受到各方的关注。

有国家背景的网络争端的攻击事件也会继续升温,最近影子经纪人每个月都曝光大家热议的漏洞、攻击事件,还有一些数据。上个月影子经纪人来报出来关于几个国家的核潜艇,关于航天计划的关键数据。从这里面我们可以看出来,有国家背景的网络争端事件也会继续升温。最后一个热点方向我们觉得是基于人工智能的网络安全技术的研究会全面铺开,目前我们可以发现,大量的网络安全事件层出不穷,但是我们网络安全的人才相对紧缺。这么多的网络安全问题怎么解决?还是要靠我们网络安全的人才来解决。现在由于人才的紧缺,我们势必需要基于大数据加机器学习和人工智能的方式去训练机器来短期替代这种人才短缺带来的困难。未来我们也觉得,像这种未知威胁检测、网络行为分析、网络安全的预警有一些其实已经非常成熟的机械化的工作,完全可以由机器来替代。像机器学习、人工智能这种解决问题的技术会在未来有更大的发展。我们也会持续关注像人工智能和机器学习在这方面的技术,来解决我们的工程问题。

以上就是我的报告,谢谢大家!

上一篇:腾讯马斌:互联网+大数据下的安全连接

下一篇:邵国安:政务云安全要求及安全态势感知平台建设