您目前的位置: 首页» 新闻动态» 2024年上半年度网络安全态势研判分析报告(第9期)

2024年上半年度网络安全态势研判分析报告(第9期)

  中国网络空间安全协会组织国家互联网应急中心、南开大学、天津理工大学、天融信、启明星辰、阿里云、安天科技、安恒信息、恒安嘉新、任子行、美亚柏科(安全狗)、深信服、网宿科技、绿盟科技等会员单位对2024年1-6月期间各类数据进行数据分析研判,形成2024年上半年网络安全态势报告。

  本期报告主要从漏洞安全、网站安全、DDoS攻击、服务器恶意代码和主机安全、移动互联网安全、工业互联网安全、物联网安全、区块链应用监测、车联网安全、APT攻击活动等10个方面开展态势分析。

  2024上半年针对Web的攻击次数达到1,417.1亿次,同比上涨了61.39 %,IPv6协议的攻击为35.34亿余次,同比上涨87.78%,整体安全态势严峻。上半年全网监测到的网络层的DDoS攻击次数达4,128亿次,CC攻击达1,842.4亿余次。上半年新增安全漏洞11,075个,包括高危漏洞4,787个,呈上升态势。2024年上半年拦截恶意程序153.16亿次,拦截量增多。全国工业企业889万家,规模以上工业企业44万家。其中暴露的工业资产平台2.9万个,无变化;移动端工业App 7.3万个,同比增幅160%。上半年检测到38,215,613次访问请求是对物联网漏洞进行利用的恶意攻击行为。上半年漏洞库新增348个车联网漏洞,其中高危漏洞182个,中低危漏洞166个,均可对车联网用户数据、车辆数据的安全造成一定的危害。区块链项目共3,647个,同比增长了33%。APT组织处在一个十分活跃的状态,需要高度关注。

  一、

  漏洞态势

  2024年上半年恒安嘉新监测数据显示,新增安全漏洞11,075个,包括高危漏洞4,787个。其中,可被远程利用的数量9,943个。2024年上半年活跃漏洞数量与2023年下半年(10,762个)数量相比增加2.91%,呈上升态势。

  启明星辰2024年上半年收录的漏洞总数为8,872个,其中需要关注的重点漏洞61个,严重漏洞225个,高危漏洞2,786个,中危漏洞4,022个,低危漏洞1,778个。2月、4月、5月漏洞总数呈上升趋势,其他月份呈下降趋势。现阶段占比例最高的漏洞为跨站脚本漏洞。当前活跃漏洞覆盖面广,利用难度低,对企业危害影响较大,建议各企业进行漏洞自检,完成漏洞修复工作。

  二、

  网站安全态势

  网宿网盾Web应用防火墙2024年上半年检测与防护了1,417.1亿次攻击,攻击次数较2023年上半年大幅上涨了61.39 %,平均每天7.87亿次攻击,整体安全态势严峻。

  2024年上半年检测到主要的Web攻击命中类型包括:爬虫攻击、访问控制、公开类型BOT、非法请求攻击、IP情报等。其中爬虫攻击与经济利益密切相关,各行业的爬虫攻击强度与行业发展呈正相关关系,行业发展越蓬勃,相关爬虫攻击越频繁。同时,攻击强度也与目标行业公开信息数据的价值及其反爬能力有较大关系。恶意爬虫能对企业开放的各类不受保护、有信息价值的各类API接口进行不断攻击,以达到破坏、牟利、盗取信息等目的。

  上半年的攻击源IP较为集中,TOP10省份所发起的攻击次数占2024上半年的Web攻击总数的72.30%,主要集中在北京、广西、山西、浙江等地。2024上半年IPv6协议的攻击为35.34亿余次,较去年同期大幅上涨87.78%。

  三、

  DDoS攻击态势

  DDoS攻击仍然是最主要的互联网安全威胁之一,网宿科技2024上半年全网监测到的网络层的DDoS攻击次数达4,128亿次,CC攻击达1,842.4亿余次。期间,DDoS攻击带宽最高峰值为1,283.09Gbps。2024上半年攻击受灾最为严重的是互联网企业服务行业,此外,影视及传媒资讯、软件信息服务、视频及娱乐、社交等行业受到的攻击也不容忽视。受DDoS攻击影响的行业较去年有所变化,需引起各行业的重视。

  2024年上半年,绿盟科技共检测到5个DDoS家族,其中Mirai及其变种占比最大,超过40%。监控到的DDoS攻击指令和事件主要来自3个家族:Mirai、Gafgyt和Nitol,涵盖6个变种。检测到的DDoS攻击手段主要为SYN Flood与ACK Flood,分别达到56%和14%。检测到超过3,350个DDoS C&C。其中检测到下发指令的C&C有366个,来自15个国家与地区,近27%和22%分别位于美国和保加利亚。

  四、

  服务器恶意代码安全态势

  2024年上半年,深信服拦截恶意程序153.16亿次,近半年总体态势严峻。其中木马远控占比(30.43%)、挖矿(24.73%)、僵尸网络(14.01%)、蠕虫(11.75%)、后门软件(5.79%)、感染型病毒(5.11%)。

  黑客入侵的主要目标是存在通用安全漏洞的系统,所以预防病毒入侵的主要手段是发现和修复漏洞,重点做到杜绝使用弱口令,避免一密多用;及时更新重要补丁和升级组件;部署加固软件,关闭非必要端口;主动进行安全评估,加强人员安全意识;建立威胁情报分析和对抗体系,有效防护病毒入侵。

  五、

  移动互联网安全态势

  2024年上半年,恒安嘉新基于App全景态势感知平台监测发现,新增移动互联网恶意程序754,511个,其中流氓行为类型的最多,占总数的67.65%。其次,诱骗欺诈类,占总数的31.64%。第三是信息窃取类,占总数的0.42%。按照《移动互联网恶意程序危害等级》统计,其中低危恶意程序占99.29%,高危恶意程序占0.50%,中危恶意程序占0.21%。

  六、

  工业互联网安全态势

  2024年上半年,据恒安嘉新测绘数据显示,全国工业企业889万家,规模以上工业企业44万家。其中暴露的工业资产平台2.9万个,移动端工业App7.3万个。

  中国工业互联网二级节点共353个,分别登记在北京、上海、广州、重庆、武汉5个顶级节点,其中北京顶级节点登记二级节点最多,有120个。企业共涉及信息传输、软件和信息技术服务业、制造业等15个行业大类。其中信息传输、软件和信息技术服务业最多,共182家。

  越来越多工业中的生产组件和服务直接或间接与互联网连接,攻击者一旦通过互联网通道获得数据或进入底层工业控制网络,将给企业安全生产带来严重的风险和隐患,甚至造成重大经济损失。为避免损失需重点做到提升网络安全意识,加强网络安全技术防范能力建设,有效管控风险,推动工业互联网态感平台建设,与相关部门建立联动机制,对网络安全事件及时发现、处置,全面提升网络安全保障能力。

  七、

  物联网安全态势

  2024年上半年,安天科技监控发现多个针对物联网与工控系统漏洞的攻击。攻击者重点针对消费级IoT设备及部分工业、企业特定的存在漏洞或使用存在漏洞的系统的IoT设备进行攻击,需引起重视。多数攻击者以窃取信息为目的针对IoT设备与系统进行攻击。

  2024年上半年,绿盟科技威胁捕获系统捕获到来自371,933个IP的99,571,688次访问请求日志。其中38.38%的访问请求是对物联网漏洞进行利用的恶意攻击行为,在61.62%的访问请求中识别到了可疑的Linux命令执行、Webshell扫描、HTTP代理探测等行为。

  目前,针对物联网相关产业的攻击态势仍严峻。建议相关部门、企业在发展物联网相关产业的同时,做好安全态势监控,重视物联网设备与系统的网络安全风险问题,建立严格的安全评估标准、安全监管平台。同时各物联网相关企业也应强化员工安全意识,有效防范安全风险,共同保障物联网领域的健康有序发展。

  八、

  区块链安全态势

  区块链项目监测方面,2023年中央网信办发布的区块链备案最新报告显示,区块链项目共3,647个。其中,在北京的区块链项目最多,共875个;其次是广东省和上海市,分别是572个和388个。从这一角度也反映出,区块链项目应用的分布以北上广为主体中心地区,这和该类地区信息技术的发展前沿以及相关资本条件的充分相对应。

  针对BNB、BTC、DOGE、ETH、ETHF、ETHW、LTC、XLM八大全球热门公有链应用的网络节点探测,共探测到网络节点1,698,570个,位于境内的节点数量为210,628个。

  区块链技术正日益成为金融支付、供应链管理、公共服务等领域创新的重要驱动力量,其技术带来的巨大变革不容忽视,我国在着力把握技术发展先机的同时,也需正视风险,从发展引导、强化监管、风险研判、国际合作等多角度积极应对,有效防范化解新技术安全风险,切实保障区块链技术的健康、有序发展。

  九、

  车联网安全态势

  国家互联网应急中心CNVD-IoV车联网漏洞库监测数据显示,上半年漏洞库新增348个车联网漏洞。其中高危漏洞182个,中低危漏洞166个,均可对车联网用户数据、车辆数据的安全造成一定的危害。国家互联网应急中心监测数据显示,车联网漏洞涉及的行业主要为车联网服务、车联网金融、零部件厂商等。车联网行业漏洞类型统计数据显示,SQL注入、任意文件读取、弱口令漏洞数量位列前三,分别占收录漏洞总数的24%、21%、13%。

  从2024年上半年涉及行业分布的安全漏洞情况来看,车联网服务行业占比最高,包括车联网服务平台、车联网技术支撑等,暴露出的漏洞利用事件较多,且范围较广,可能造成敏感信息泄漏、大规模远程控车等严重后果。从上半年涉及汽车企业的安全漏洞情况来看,新能源车辆占有比重较高。在发展车辆网联化、智能化的同时,必须重视网络安全风险,建立专门的网络安全部门,加强信息系统和车载零部件的网络安全防护。对于监管部门,应设立严格的安全防护标准与要求,维护行业健康有序发展。

  十、

  APT攻击态势

  近年来APT组织处在一个十分活跃的状态,其网络攻击活动呈现出了明显的网络情报获取意图,APT组织具有很强的政治背景,常攻击我国政府、外贸、金融、能源等领域的公司、个人及相关科研单位。此外部分情报显示APT组织攻击人员对我国的时事、新闻热点、政府结构等都非常熟悉。

  中国历来都是APT攻击的主要受害国,随着中国经济的快速发展,以及国际地位的不断攀升,中国面临的外部威胁形势更加严峻。对中国大陆有过攻击的组织按疑似的地理位置可分为东亚方向、东南亚方向、南亚方向、其他方向。