安恒信息发布《2020年度高级威胁态势研究报告》,医疗行业成重点攻击目标之一

安恒信息发布《2020年度高级威胁态势研究报告》,医疗行业成重点攻击目标之一

12月20日,安恒信息威胁情报中心发布了《2020年度高级威胁态势研究报告》(以下简称报告)。报告显示,2020年,政府、金融、军工三大行业仍是高级威胁的重点关注目标,而受全球疫情影响,医疗行业成为高级威胁攻击目标的事件占比上升至第四位。

2020年,高级威胁攻防仍然处于白热化的博弈中。许多攻击组织假借疫情之名对相关目标肆意进行攻击,其中不乏具有国家背景的实力雄厚的黑客组织。纵观全年,国内网络安全形势仍面临巨大考验,南亚、东南亚、朝鲜半岛、东欧、美国等某些国家和地区背景的威胁组织持续对我国境内进行网络攻击,在这些已被发现的攻击行动背后,可能还存在着未被发现的、更高级更隐蔽的威胁。

安恒信息威胁情报中心对 2020 年全球发现和披露的高级威胁事件进行梳理,从攻击地域、攻击组织、攻击手法、黑灰产攻击、在野漏洞利用等方面分析整体高级威胁态势情况,并提出了2021年APT攻击12点预测。

2020年高级威胁态势概况

医疗行业成为重点关注目标之一

通过对南亚、东南亚、东亚、中东、东欧等板块内较为活跃的组织和攻击事件进行了统计,发现Lazarus、响尾蛇、海莲花等组织行动较为频繁。其中一些组织的重点攻击目标就包含我国,特别是在疫情期间、中印边境冲突、重大会议等特殊时期。

报告显示,从攻击目标的所属行业来看,政府、金融、军工仍是高级威胁的重点关注目标,攻击事件占比分别达到 30.3%、12.6%、10.4%。而受全球疫情影响,医疗行业成为高级威胁攻击目标的事件占比上升至第四位,占比5.93%。

来源于美国攻击资产占比遥遥领先

安恒威胁情报中心经过对全球高级威胁攻击事件中所用到的 IP 资产进行了统计发现,攻击资产主要分布在美洲、欧洲、亚洲地区。而攻击资产来源所在地为美国的资产,在总攻击资产来源中的占比遥遥领先,比重达到 29.9%,中国境内(包含中国香港、中国台湾) 排在第二,占比 9.2%,荷兰、德国、俄罗斯、法国、新加坡、加拿大、韩国、英国分别排在三到十位。

浏览器在野漏洞利用值得关注

从漏洞曝光和披露情况来看,浏览器漏洞仍是在野漏洞利用的主流,出现了一些 0day利用事件,涉及Internet Explorer、 FireFox、Chrome 三大主流浏览器。其中, Chrome 漏洞和与之相关的沙箱逃逸漏洞有明显上升趋势。

针对软件供应链的攻击成为关注焦点

除了传统的鱼叉式网络攻击、水坑式网络攻击等基础攻击外,以物联网入口的攻击、基于软件供应链替换非可信源的攻击、针对隔离网络的定制化攻击也是关注焦点,尤其是今年披露了多起重点软件供应链事件,如近期的针对SolarWinds产品供应链攻击事件。

2021年攻击态势预测

2020年无论是攻击组织数量,还是攻击频率都较以往有较大增加,网络安全态势依旧严峻。安恒信息威胁情报中心基于黑客攻击手法、受攻击目标行业划分、攻击惯用漏洞等角度综合分析,给出了关于2021 年APT攻击的12点预测:

01软件供应链各个环节仍将是攻击重点突破口

由于防御方检测与保护的逐渐增强,一些常规攻击手段效果下滑明显,软件供应链这个入口突破成功率相对更高,供应链各个环节都有可能被攻击。与企业单位合作的软件供应商尤其受攻击者关注。

02专门针对隔离网络的攻击将不断加强

2019 -2020 年已经披露出了几例非常有针对性且具有较高水准的案例。针对特定目标隔离内网重要资料的需求度,相信在利益驱使下,一些特殊背景的组织会下功夫。

03疫情原因医疗行业将持续增加关注度

地缘政治和经济利益是较为强烈的出发点,政府、军工、金融、科技依然会在名单前列。由于疫情的延续,明年相关主题攻击活动仍不会缺席,医疗行业、疫苗研究的相关机构也将成高风险目标。

04“APT即服务”新模式可能形成体系

除了常规 APT 组织外,网络犯罪市场上还出现了雇佣黑客组织的趋势,实力不亚于其他 APT 组织,甚至在某些方面更具有优势。对雇佣的黑客组织来说,攻击目标可以是全球范围内的任何目标实体;对于雇主来说,将攻击服务外包能节省大量的资源和时间,由于没有固定的攻击目标和地理位置限制,研究人员难以追溯到雇主真实的攻击意图,这也间接保护了雇主的真实身份。雇佣形式让原本没有能力的雇主能够参入到 APT 攻击当中。随着勒索软件 (RaaS) 在犯罪市场上的成功,将来也可能出现“APT 即服务”。

05鱼叉式网络钓鱼、水坑式攻击仍是惯用手法

06易利用的文档类型新漏洞产生概率不高

07利用浏览器类漏洞的攻击会持续活跃

08用国产软件漏洞的攻击将呈上行趋势

09仍需警惕利用会议型主题作为题材的攻击

10数字货币行业攻击事件将持续披露

11多平台、移动端仍是攻击重要途径

12物联网多数还是挖矿、DDoS为主

防御建议

随着攻击组织的技术演变和攻击能力的加强,检测与防御能力也应紧跟其上。安恒信息威胁情报中心建议,政企应当建立全方位、立体的防御体系,纳入动静态综合检测机制、智能防护设施,精准应用海量情报,让攻击行动都在掌握之中。安恒APT攻击预警平台检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。


更多报告的精彩内容,关注“安恒威胁情报中心”微信公众号,回复“报告”获取。也可以直接访问链接获取 完整版报告