4月政企终端安全态势分析报告

2023-12-02 02:25:20 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

报告说明

终端是政企内部网络不可或缺的组成部分，其安全状况与组织内每个成员息息相关。在很多情况下，终端也是内部网络和外部网络的连接点，是外部恶意程序进入内部网络常见的入口节点。终端一旦失守，整个办公或生产网络就有可能沦陷，给政企单位带来巨额损失。

《政企终端安全态势分析报告》是“奇安信终端安全实验室”定期发布的针对政企网络终端的安全态势分析报告。报告数据来自奇安信公有云安全监测数据。报告以每日感染病毒的终端为基本单位，通过对政企终端感染病毒情况的分析，帮助客户更清晰地看见风险态势，为安全决策提供更有力的参考依据。

监测数据表示奇安信企业级终端安全产品对特定威胁的云查杀主动请求数量，对于本地已经可以查杀的病毒，不在统计之列。这些数据可以在一定程度上反映出相关机构遭到特定类型活跃恶意程序攻击的数量和强度。

本期报告的监测时间为 2019年4月1日 ~ 4月30日。

第一章病毒攻击政企整体分析

奇安信终端安全实验室监测数据显示，2019年4月，有19.9%的政企单位遭到病毒攻击，被病毒攻击的事件数量比3月下降7.7%，被病毒攻击的政企终端的累计数量比3月下降7.3%，被病毒攻击的政企单位的绝对数量比3月下降4.6%。在被病毒攻击的单位中，每单位平均被攻击5.7次，每次感染4.6台终端。

一、攻击整体态势

4月，政企终端感染病毒的最高峰出现在4月4日（星期四），最低谷则出现在4月13日（星期六）。

二、攻击事件分析

4月，被病毒攻击的事件数量比3月下降7.7%。其中，病毒单日单次攻击政企单位的终端数仅为1台的事件比3月下降7.1%，占4月攻击事件总数的56.5%；单日单次攻击终端数为2~10台的事件比3月下降6.1%，占4月攻击事件总数的37.3%；单日单次攻击终端数为11~50台的事件比3月下降21.8%，占4月攻击事件总数的5.0%；单日单次攻击50台以上终端的事件比3月下降14.9%，占4月攻击事件总数的1.2%。

三、攻击力度分析

4月，有17.0%的政企单位遭到蠕虫病毒攻击，在被蠕虫病毒攻击的政企单位中，平均每单位遭到5.3次攻击，平均每次攻击感染4.7台终端；有6.7%的政企单位遭到漏洞利用病毒攻击，在被漏洞利用病毒攻击的政企单位中，平均每单位遭到3.0次攻击，平均每次攻击感染4.7台终端；有1.0%的政企单位感染了勒索病毒，在被勒索病毒攻击的政企单位中，平均每单位遭到2.5次攻击，平均每次攻击感染3.9台终端。

第二章勒索病毒攻击政企分析

奇安信终端安全实验室监测数据显示，2019年4月，有1.0%的政企单位遭到勒索病毒攻击，被勒索病毒攻击的事件数量比3月下降26.2%。被勒索病毒攻击的政企单位的绝对数量比3月下降12.2%，被勒索病毒攻击的政企终端的累计数量比3月增加59.8%。在被勒索病毒攻击的单位中，每单位平均被攻击2.5次，每次感染3.9台终端。

一、攻击整体态势

4月，勒索病毒攻击的最高峰出现在4月4日（星期四），4月13日（星期六）和4月16日（星期二）并未监测到有效的勒索病毒攻击事件。

二、攻击力度分析

4月，勒索病毒攻击的事件数量比3月下降26.2%。在被勒索病毒攻击的政企单位中，平均每单位被攻击2.5次。其中，运营商行业被攻击的次数最多，在被攻击的运营商单位中，平均每单位被攻击11.5次。

4月，在被勒索病毒攻击的政企单位中，平均每次攻击感染3.9台终端。其中，公检法行业单次被感染的终端最多，在被勒索病毒攻击的公检法单位中，平均每次攻击感染41.4台终端。

三、攻击单位分析

4月，有1.0%的政企单位遭到勒索病毒攻击，绝对数量比3月下降12.2%。

在被勒索病毒攻击的政企单位中，政府行业最多，占比高达25.6%，被攻击单位的绝对数量比3月下降15.4%；其次是卫生行业，占比为11.6%，被攻击单位的绝对数量比3月增加150.0%；教育行业排在第三位，占比为9.3%，而3月该行业并未监测到明显的被勒索病毒攻击的事件。

在被勒索病毒攻击的政企单位中，北京地区最多，占比高达20.8%，被攻击单位的绝对数量比3月增加10%；其次是湖北地区，占比为13.2%，被攻击单位的绝对数量比3月增加133.3%；四川地区排在第三位，占比为9.4%，，被攻击单位的绝对数量比3月增加400.0%。

四、攻击终端分析

4月，被勒索病毒攻击的政企终端的累计数量比3月增加59.8%。

在被勒索病毒攻击的政企终端中，公检法行业最多，占比高达50.0%，被攻击终端的累计数量比3月增加404.9%；其次是卫生行业，占比为15.5%，被攻击终端的累计数量比3月增加156.0%；政府行业排在第三位，占比为12.3%，被攻击终端的累计数量比3月下降2.9%。

在被勒索病毒攻击的政企终端中，安徽地区最多，占比高达30.7%，而3月仅监测到少量终端被感染；其次是北京地区，占比为23.4%，被攻击终端的累计数量比3月增加185.3%；天津地区排在第三位，占比为19.6%，而3月仅监测到极少量终端被感染。

第三章漏洞利用病毒攻击政企分析

奇安信终端安全实验室监测数据显示，2019年4月，有6.7%的政企单位遭到漏洞利用病毒攻击，被漏洞利用病毒攻击的事件数量比3月下降8.4%。被漏洞利用病毒攻击的政企单位的绝对数量比3月增长2.5%，被漏洞利用病毒攻击的政企终端的累计数量比3月增加3.2%。在被漏洞利用病毒攻击的单位中，每单位平均被攻击3.0次，每次感染4.7台终端。

一、攻击整体态势

4月，漏洞利用病毒攻击的最高峰出现在4月4日（星期四），最低谷则出现在4月14日（星期日）。

二、攻击力度分析

4月，被漏洞利用病毒攻击的事件数量比3月下降8.4%。在被漏洞利用病毒攻击的政企单位中，平均每单位被攻击3.0次。其中，能源行业被攻击的次数最多，在被攻击的能源单位中，平均每单位被攻击5.1次。

4月，在被漏洞利用病毒攻击的政企单位中，平均每次攻击感染4.7台终端。其中，公检法行业单次被感染的终端最多，在被漏洞利用病毒攻击的公检法单位中，平均每次攻击感染30.4台终端。

三、攻击单位分析

4月，有6.7%的政企单位遭到漏洞利用病毒攻击，绝对数量比3月增加2.5%。

在被漏洞利用病毒攻击的政企单位中，政府行业最多，占比高达16.1%，被攻击单位的绝对数量比3月下降13.0%；其次是卫生行业，占比为9.9%，被攻击单位的绝对数量比3月增加3.6%；金融行业排在第三位，占比为6.5%，被攻击单位的绝对数量比3月增加11.8%。

在被漏洞利用病毒攻击的政企单位中，北京地区最多，占比高达15.9%，被攻击单位的绝对数量比3月增加11.8%；其次是广东地区，占比为11.4%，被攻击单位的绝对数量比3月下降8.9%；辽宁地区排在第三位，占比为8.1%，，被攻击单位的绝对数量比3月增加141.7%。

四、攻击终端分析

4月，被漏洞利用病毒攻击的政企终端的累计数量比3月增加3.2%。

在被漏洞利用病毒攻击的政企终端中，公检法行业最多，占比高达18.6%，被攻击终端的累计数量比3月增加83.1%；其次是政府行业，占比为12.5%，被攻击终端的累计数量比3月增加56.0%；能源行业排在第三位，占比为5.9%，被攻击终端的累计数量比3月下降77.6%。

在被漏洞利用病毒攻击的政企终端中，北京地区最多，占比高达17.8%，被攻击终端的累计数量比3月增加173.1%；其次是安徽地区，占比为15.3%，比3月增加1909.7%；广东地区排在第三位，占比为11.6%，比3月增加42.6%。

第四章蠕虫病毒攻击政企分析

奇安信终端安全实验室监测数据显示，2019年4月，有17.0%的政企单位遭到蠕虫病毒攻击，被蠕虫病毒攻击的事件数量比3月下降6.9%。被蠕虫病毒攻击的政企单位的绝对数量比3月下降7.3%，被蠕虫病毒攻击的政企终端的累计数量比3月下降10.1%。在被蠕虫病毒攻击的单位中，每单位平均被攻击5.3次，每次感染4.7台终端。

一、攻击整体态势

4月，蠕虫病毒攻击的最高峰出现在4月4日（星期四），最低谷则出现在4月13日（星期六）。

二、攻击力度分析

4月，被蠕虫病毒攻击的事件数量比3月下降6.9%。在被蠕虫病毒攻击的政企单位中，平均每单位被攻击5.3次。其中，运营商行业被攻击的次数最多，在被攻击的运营商单位中，平均每单位被攻击10.6次。

4月，在被蠕虫病毒攻击的政企单位中，平均每次攻击感染4.7台终端。其中，公检法行业单次被感染的终端最多，在被蠕虫病毒攻击的公检法单位中，平均每次攻击感染13.2台终端。

三、攻击单位分析

2019年4月，有17.0%的政企单位遭到蠕虫病毒攻击，绝对数量比3月下降7.3%。

在被蠕虫病毒攻击的政企单位中，政府行业最多，占比高达22.8%，被攻击单位的绝对数量比3月下降4.0%；其次是卫生行业，占比为20.2%，被攻击单位的绝对数量比3月下降19.4%；教育行业排在第三位，占比为5.7%，被攻击单位的绝对数量比3月增加10.5%。

在被蠕虫病毒攻击的政企单位中，广东地区最多，占比高达14.0%，被攻击单位的绝对数量比3月增加11.5%；其次是北京地区，占比为10.7%，被攻击单位的绝对数量比3月下降12.7%；浙江地区排在第三位，占比为7.8%，，被攻击单位的绝对数量比3月下降19.5%。

四、攻击终端分析

2019年4月，被蠕虫病毒攻击的政企终端的累计数量比3月下降10.1%。

在被蠕虫病毒攻击的政企终端中，政府行业最多，占比高达13.4%，比3月下降23.4%；其次是教育和能源行业，占比均为12.5%，被攻击终端的累计数量比3月下降0.9%和25.1%。

在被蠕虫病毒攻击的政企终端中，贵州地区最多，占比高达12.2%，比3月增加10.3%；其次是广东地区，占比为11.9%，被攻击终端的累计数量比3月下降35.3%；北京地区排在第三位，占比为10.6%，比3月增加6.1%。

第五章政企终端安全建议

奇安信终端安全实验室提醒广大政企单位注意以下事项：

一、及时更新最新的补丁库

根据奇安信集团终端安全多年的运营经验，病毒大规模爆发的原因大都是补丁安装不及时所致，因此及时更新补丁是安全运维工作的重中之重，但是很多政企单位由于业务的特殊性，对打补丁要求非常严格。奇安信终端安全产品已经集成了先进的补丁管理功能，基于业界最佳的补丁管理实践，能够进行补丁编排，对补丁按照场景进行灰度发布，并且对微软更新的补丁进行了二次运营，解决了很多的兼容性问题，能够最大程度上解决补丁难打问题，帮助政企单位提升网络的安全基线。

二、杜绝弱口令问题

弱口令是目前主机安全入侵的第一大安全隐患，大部分大规模泛滥的病毒都内置了弱口令字典，能够轻松侵入使用弱口令的设备，应该坚决杜绝弱口令。奇安信终端安全实验室建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构，且口令位数应足够长，并在登陆安全策略里限制登录失败次数、定期更换登录口令等。多台机器不使用相同或相似的口令，不使用默认的管理员名称如admin，不使用默认密码如admin、不使用简单密码如：admin123、12345678、666666等。

三、重要资料定期隔离备份

政企单位应尽量建立单独的文件服务器进行重要文件的存储备份，即使条件不允许也应对重要的文件进行定期隔离备份。

四、提高网络安全基线

掌握日常的安全配置技巧，如对共享文件夹设置访问权限，尽量采用云协作或内部搭建的wiki系统实现资料共享；尽量关闭3389、445、139、135等不用的高危端口，禁用Office宏等。如果没有这类安全经验，也可以使用奇安信终端威胁评估产品（ETA）来对终端安全进行整体风险评估，奇安信终端威胁评估产品（ETA）同时采用中国安全基本标准（CGDCC）和美国安全基线标准（USGCB），拥有数百种安全基线的检测能力和终端的深度安全检测能力，可以很好地帮助政企单位评估内部终端的安全。

五、保持软件使用的可信

平时要养成良好的安全习惯，不要点击陌生链接、来源不明的邮件附件，打开前使用安全扫描并确认安全性，尽量从官网等可信渠道下载软件，目前通过软件捆绑来传播的病毒也在逐渐增多，尤其是移动应用环境，被恶意程序二次打包的APP在普通的软件市场里非常常见。奇安信终端安全产品家族中的软件管家，基于多年的安全软件运营经验，能够为政企单位量身定做一个可信的安全软件使用环境，避免员工任意安装软件而带来的病毒入侵风险。

六、选择正确的反病毒软件

随着威胁的发展，威胁开始了海量化和智能化趋势。对于海量化的威胁，就需要利用云计算的能力来对抗威胁海量化的趋势，因此在选择反病毒软件时，需要选择具备云查杀能力的反病毒软件。奇安信终端安全的天擎基于云查杀技术和多年来威胁样本运营经验，已经具备150亿威胁样本的查杀能力，而且还首创了白名单技术，并拥有10亿量级的白名单库，而且内置云查杀、QVM、AVE、QEX、主动防御等多种引擎，能够深度解决政企网络的病毒威胁。

七、建立高级威胁深度分析与对抗能力

对于威胁的智能化趋势，很多智能威胁通过多种手段来躲避传统反病毒软件的查杀，这时就需要政企单位具备高级威胁深度分析和对抗能力。奇安信终端安全响应系统基于业内公认的EDR思想，能够以终端的维度、事件的维度和时间的维度来分析网络中出现的高级威胁事件，能够为客户提供三维的立体威胁分析能力。后端利用大数据技术，能够监控终端上的所有灰文件的行为，内置AI模型，能够有效地识别传统反病毒软件识别不了的高级威胁入侵事件，帮助客户发现APT、流量、挖矿、勒索等新型威胁。

关于奇安信终端安全实验室

奇安信终端安全实验室由多名经验丰富的恶意代码研究专家组成，着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究，致力为中国政企客户提供快速的恶意代码预警和处置服务，在曾经流行的WannaCry、Petya、Bad Rabbit的恶意代码处置过程中表现优异，受到政企客户的广泛好评。

奇安信终端安全实验室以奇安信天擎新一代终端安全管理系统为依托，为政企客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务，帮助客户解决内网安全与管理问题，保障政企终端安全。

关于奇安信网神终端安全管理系统

奇安信网神终端安全管理系统（简称天擎）是为解决政企机构终端安全问题而推出的一体化解决方案，是中国政企客户4000万终端的信赖之选。系统以功能一体化、平台一体化、数据一体化为设计理念，以安全防护为核心，以运维管控为重点，以可视化管理为支撑，以可靠服务为保障，提供了十六大基础安全能力，帮助政企客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力，提升安全规划、战略分析和安全决策等终端安全治理能力。

特别的是，奇安信还面向所有天擎政企用户免费推出敲诈先赔服务：如果用户在开启了天擎敲诈先赔功能后，仍感染了勒索软件，奇安信将负责赔付赎金，为政企用户提供百万先赔保障，帮政企客户免除后顾之忧。

关于奇安信网神终端安全响应系统

奇安信网神终端安全响应系统（EDR）以行为引擎为核心，基于人工智能和大数据分析技术，对主机、网络、文件和用户等信息，进行深层次挖掘和多维度分析，结合云端优质威胁情报，将威胁进行可视化，并通过场景化和全局性的威胁追捕，对事件进行深度剖析，识别黑客/威胁意图，追踪威胁的扩散轨迹，评估威胁影响面，从而协同EPP、SOC、防火墙等安全产品，进行快速自动化的联动响应，将单次响应转化为安全策略，控制威胁蔓延，进行持续遏制，全面提升企业安全防护能力。