报告|11月政企终端安全态势分析报告

来源:奇安信 发布日期:2018-12-07 作者:奇安信

分享到:


奇安信终端安全实验室发布的监测数据显示:能源、卫生、政府行业仍是病毒泛滥的重灾区。其中卫生行业是蠕虫病毒的重点攻击行业,而政府行业则感染挖矿病毒的比例明显高于其他行业。

第一章  终端病毒感染数量分析

奇安信终端安全实验室监测数据显示,11 月,感染病毒的政企单位的绝对数量比 10 月下降了 11.5% 。其中,单日感染单类病毒的终端数仅为 1 - 4 台的政企单位比 10 月上升了 2.1 %,单日感染单类病毒的终端数超过 50 的政企单位比 10 月上升了 32.1 %。

11 月,病毒感染最高峰出现在 11 月 20 日(星期二),最低谷则出现在 11 月 21 日(星期三)。

第二章 终端病毒感染占比分析

11 月,在受害政企终端中,蠕虫病毒依然是最大的毒瘤,攻击占比高达 84.7 %,比 10 月的 81.5 % 有所上升;漏洞利用的攻击占比为 14.1 %,比 10 月的14.3 % 略有下降;勒索软件的攻击占比为 1.2 %,比 10 月的 4.1 % 有一定幅度的下降;挖矿病毒的攻击占比为 0.1 %,和 10 月的 0.1 % 持平。

天擎提醒: 11 月,勒索软件攻击占比虽然有所下降,但危害巨大,因此强烈建议政企单位使用天擎提升自身对勒索软件的防护能力,依托于奇安信对勒索软件的强大实时追踪与快速防御响应能力,以及独家推出的百万敲诈先赔保障,天擎可以让您从容面对勒索软件攻击。

第三章 终端病毒感染行业环比分析

11 月,病毒最喜欢攻击的行业依然是“能源”行业,占比为 19.3 %,比 10 月的 19.0 % 略有上升;其次是“卫生”、“政府”行业,占比分别是 15.8 %和 12.8 %,而这个比例在 10 月分别是 12.3 %、 13.2 %。

天擎提醒:11月,能源、卫生、政府行业是病毒泛滥的重灾区,建议继续加大安全建设,并适时建设高级威胁和智能威胁对抗能力,以防更多高级威胁与智能威胁入侵。

第四章 不同行业病毒感染类型分析

需要特别注意的是,在染毒终端中,“卫生”行业感染蠕虫病毒的比例明显高于其他行业,“政府”行业感染挖矿病毒的比例明显高于其他行业,“金融”行业感染漏洞利用的比例明显高于其他行业,“电信”行业感染勒索软件的比例明显高于其他行业。

从行业维度看,各行业中,不同类型病毒的感染状况如图所示。


天擎提醒:建议各行业用户在整体提升病毒防范能力的同时,也加强针对性的防范,以免给病毒可趁之机。

第五章  不同类型病毒感染行业分析

11 月,勒索软件最喜欢攻击的行业由“金融”行业变为“能源”行业,攻击占比高达 23.1 %,比 10 月的 5.6 % 有较大幅度的上升;其次是“电信”行业,攻击占比为 15.1 %,比 10 月的 3.5 %有较大幅度的上升。

漏洞利用最喜欢攻击的行业依然是是“政府”行业,攻击占比高达 18.8 %,比 10 月的 18.0 % 略有上升;其次是“能源”行业,攻击占比为 10.4 %,比 10 月的 11.5 %略有下降。

挖矿病毒最喜欢攻击的行业依然是“政府”行业,攻击占比高达 88.9 %,比 10 月的 71.4 % 有较大幅度的上升。

蠕虫病毒最喜欢攻击的行业依然是“能源”行业,攻击占比为 20.8 %,比 10 月的 21.1 % 略有下降;其次是“卫生”行业,攻击占比为17.8 %,比 10 月的 13.9 %有一定程度上升。

从病毒类型维度看,各行业感染不同类型的病毒状况如图所示。


第六章 重点关注 Oracle数据库勒索病毒RushQL死灰复燃

11月,奇安信终端安全实验室陆续接到数起用户反馈,中了Oracle数据库勒索病毒,中毒后的数据库应用界面会弹出下方类似的异常信息:


根据此信息,终端安全实验室确认该病毒是RushQL数据库勒索病毒,是由“SQL RUSH Team”组织发起的,因此被命名为RushQL。该病毒最早在2016年11月出现,期间沉寂了1年多,直到最近,终端安全实验室又陆续接到数起企业、事业单位用户遭受到此病毒的袭击事件,该病毒突然呈现出死灰复燃之势。

通过对该病毒的追根溯源,终端安全实验室发现中毒原因是因为缺乏软件安全意识,下载使用了破解版PL/SQL,因此再次提醒政企客户要格外关注软件来源的安全性,重视软件供应链安全,可以借助天擎推出的软件管家来把好软件安全关。

第七章 政企安全防护建议

终端安全实验室提醒广大政企单位注意以下事项:

1

及时更新最新的补丁库

根据奇安信终端安全多年的运营经验,病毒大规模爆发的原因或多或少都与补丁安装不及时有关,因此及时更新补丁是安全运维工作的重中之重。不过,很多政企单位由于业务的特殊性,对打补丁要求非常严格。

终端安全产品已经集成了先进的补丁管理功能,基于业界最佳的补丁管理实践,能够进行补丁编排,对补丁按照场景进行灰度发布,并且对微软更新的补丁进行了二次运营,解决了很多的兼容性问题,能够最大程度上解决补丁难打问题,帮助政企单位提升网络的安全基线。

2

 杜绝弱口令问题

弱口令是目前主机安全入侵的第一大安全隐患,大部分大规模泛滥的病毒都内置了弱口令字典,能够轻松侵入使用弱口令的设备,应该坚决杜绝弱口令。

终端安全实验室建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构,且口令位数应足够长,并在登陆安全策略里限制登录失败次数、定期更换登录口令等。多台机器不使用相同或相似的口令,不使用默认的管理员名称如admin,不使用默认密码如admin、不使用简单密码如:admin123、12345678、666666等。

3

重要资料定期隔离备份

政企单位应尽量建立单独的文件服务器进行重要文件的存储备份,即使条件不允许也应对重要的文件进行定期隔离备份。

4

提高网络安全基线

掌握日常的安全配置技巧,如对共享文件夹设置访问权限,尽量采用云协作或内部搭建的wiki系统实现资料共享;尽量关闭3389、445、139、135等不用的高危端口,禁用Office宏等。

如果没有这类安全经验,也可以使用终端威胁评估产品(ETA)来对终端安全进行整体风险评估,终端威胁评估产品(ETA)同时采用中国安全基本标准(CGDCC)和美国安全基线标准(USGCB),拥有数百种安全基线的检测能力和终端的深度安全检测能力,可以很好地帮助政企单位评估内部终端的安全。

5

保持软件使用的可信

平时要养成良好的安全习惯,不要点击陌生链接、来源不明的邮件附件,打开前使用安全扫描并确认安全性,尽量从官网等可信渠道下载软件,目前通过软件捆绑来传播的病毒也在逐渐增多,尤其是移动应用环境,被恶意程序二次打包的APP在普通的软件市场里非常常见。

终端安全产品家族中的软件管家,基于多年的安全软件运营经验,能够为政企单位量身定做一个可信的安全软件使用环境,避免员工任意安装软件而带来的病毒入侵风险。

6

选择正确的反病毒软件

随着威胁的发展,威胁开始了海量化和智能化趋势。对于海量化的威胁,需要利用云计算的能力来对抗威胁海量化的趋势,因此在选择反病毒软件时,需要选择具备云查杀能力的反病毒软件。

终端安全的天擎基于云查杀技术和多年来威胁样本运营经验,已经具备150亿威胁样本的查杀能力,而且还首创了白名单技术,并拥有10亿量级的白名单库,而且内置云查杀、QVM、AVE、QEX、主动防御等多种引擎,能够深度解决政企网络的病毒威胁。

7

建立高级威胁深度分析与对抗能力

对于威胁的智能化趋势,很多智能威胁通过多种手段来躲避传统反病毒软件的查杀,这时就需要政企单位具备高级威胁深度分析和对抗能力。

终端安全响应系统基于业内公认的EDR思想,能够以终端的维度、事件的维度和时间的维度来分析网络中出现的高级威胁事件,能够为客户提供三维的立体威胁分析能力。后端利用大数据技术,能够监控终端上的所有灰文件的行为,内置AI模型,能够有效地识别传统反病毒软件识别不了的高级威胁入侵事件,帮助客户发现APT、流量、挖矿、勒索等新型威胁。

月度报告简介

本报告是“终端安全实验室”定期发布的针对政企网络终端的安全态势分析报告。

报告数据来自公有云安全监测数据,从蠕虫病毒、漏洞利用、勒索软件、挖矿病毒四类主流风险入手,以每日感染病毒的终端为基本单位,通过对政企终端感染病毒情况的分析,帮助客户更清晰地看见风险态势,为安全决策提供更有力的参考依据。

监测数据表示企业级终端安全产品对特定威胁的云查杀主动请求数量,对于本地已经可以查杀的病毒,不在统计之列。这些数据可以在一定程度上反映出相关机构遭到特定类型活跃恶意程序攻击的数量和强度。

本期报告的监测时间为 2018 年 11 月 1 日 ~ 11 月 30 日。

 终端安全实验室

终端安全实验室依托于奇安信在终端安全防护方面的经验积累,以新一代终端安全管理平台为依托,为客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务,帮助广大政企客户解决内网安全与管理问题,保障政企网络的终端安全。

终端安全实验室由多名经验丰富的恶意代码研究专家组成,重点着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究,同时研究针对性的查杀和反制技术,具备重大恶性恶意代码事件快速响应和处置能力。

终端安全实验室自成立以来,致力为中国政企客户提供快速的恶意代码预警和处置服务,在曾经流行的WannaCry、Petya、Bad Rabbit的恶意代码处置过程中表现优异,受到政企客户的广泛好评。

天擎新一代终端安全管理系统是奇安信为解决政企机构终端安全问题而推出的一体化解决方案。

天擎新一代终端安全管理系统基于先进的技术、先进的理念和先进的功能,已经成为百万政企客户千万级终端的信赖之选。