本站使用 cookies,继续浏览表示您同意我们使用 cookies。
{{cptgetactivetitle}}
网络安全防护
凯发登录主页软件定义it基础设施
查看全部数据中心云化
数据中心云化演进路径业务迁移到超融合
保障业务连续性
同架构混合云建设
搭建云原生应用
智安全业务
凯发登录主页边界安全
云安全
终端安全
威胁检测
安全审计与运营
安全凯发登录的解决方案
云计算业务
凯发登录主页新it业务
凯发登录主页安全服务
实力介绍托管云服务
获取凯发登录的技术支持
销售凯发注册网站的合作伙伴
查看所有快速举报
查看奖励政策及保密措施-
快速举报审计部受理集团员工营私舞弊、弄虚作假等违反职业道德准则行为的投诉和举报。
凯发注册网站的合作伙伴利益冲突申报
-
利益冲突申报深信服尊重凯发注册网站的合作伙伴的私人生活,提前报备的目的并非说明这些行为全都是禁止的,而是以提前报备的方式防范风险,保障双方的合法权益。
凯发注册网站的合作伙伴自查自纠申报
-
自查自纠申报若深信服凯发注册网站的合作伙伴有违反以下政策,只要主动申报,将从轻处罚或免罚。
黑名单查询
查看所有-
黑名单员工查询查询因严重违纪被深信服永不录用的员工。
-
黑名单供应商查询查询因严重违反供应商合作政策深信服永不合作的供应商伙伴。
-
黑名单代理商查询查询因严重违反供应商合作政策深信服永不合作的代理商伙伴。
凯发注册网站的合作伙伴廉洁培训
-
2019-06-17
纯干货 | 网络安全态势洞察报告2019-05
网络安全状况概述
恶意程序活跃详情
2019年5月,病毒攻击结束了近月持续上升的态势,病毒拦截量比4月份下降近8%,近半年拦截恶意程序数量趋势如下图所示:5月总计拦截恶意程序17.93亿次,其中挖矿病毒的拦截量占比52.42%,其次是木马远控病毒(15.71%)、蠕虫病毒(11.97%)、后门软件(9.8%)、感染型病毒(8.94%)、勒索病毒(1.05%)。
勒索病毒活跃状况
2019年5月,共拦截勒索病毒数量1881万次。其中,wannacry、razycrypt、gandcrab依然是最活跃的勒索病毒家族,其中wannacry家族本月拦截数量有932万次,危害较大。从勒索病毒倾向的行业来看,企业和教育感染病毒数量占总体的59%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:
挖矿病毒活跃状况
2019年5月,深信服安全云脑共拦截挖矿病毒9.40亿次,比四月下降23%,其中最为活跃的挖矿病毒是wannamine、minepool、xmrig,特别是wannamine家族,共拦截3.29亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、北京、浙江等地,其中广东省感染量第一。感染型病毒活跃状况
木马远控病毒活跃状况
深信服安全云脑5月检测到木马远控病毒样本14324个,共拦截2.82亿次,拦截量较4月上升14%。其中最活跃的木马远控家族是drivelife,拦截数量达6138万次,其次是injector、zusy。具体分布数据如下图所示:蠕虫病毒活跃状况
2019年5月深信服安全云脑检测到蠕虫病毒样本5813个,共拦截2.15亿次,但通过数据统计分析来看,大多数攻击都是来自于ramnit、gamarue、jenxcus、dorkbot、faedevour、small家族,这些家族占据了5月全部蠕虫病毒攻击的95%,其中攻击态势最活跃的蠕虫病毒是ramnit,占蠕虫病毒top10总量的51%。网络安全攻击趋势分析
深信服全网安全态势感知平台监测到全国32631个ip在5月所受网络攻击总量约为7亿次。本月攻击态势较4月有小幅上升,下图为近半年深信服网络安全攻击趋势监测情况:安全攻击趋势
下面从攻击类型分布和重点漏洞攻击分析2个维度展示本月的网络攻击趋势:攻击类型分布
通过对深信服安全云脑日志数据分析可以看到,5月捕获攻击以webserver漏洞利用、系统漏洞利用、sql注入攻击等分类为主。其中webserver漏洞利用类型的占比更是高达53.30%,攻击次数达3亿多次;系统漏洞利用类型占比15.50%;web扫描类型的漏洞占比8.60%。重点漏洞攻击分析
通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出5月攻击利用漏洞的top20。其中漏洞被利用次数前三的漏洞分别是apache http server mod_log_config 远程拒绝服务漏洞、apache web server etag header 信息泄露漏洞和netbios名称查询响应漏洞,利用次数分别为285,573,813、29,091,319和24,438,711,较上月均有上升。
高危漏洞攻击趋势跟踪
windows smb 系列漏洞攻击趋势跟踪情况
struts 2系列漏洞攻击趋势跟踪情况
weblogic系列漏洞攻击趋势跟踪情况
phpcms系列漏洞攻击趋势跟踪情况
网络安全漏洞分析
全国网站漏洞类型统计
深信服网站安全监测平台5月对国内已授权的6130个站点进行漏洞监控,发现高危站点3932个,高危漏洞102105个,漏洞类别主要是csrf跨站请求伪造,信息泄露和xss注入,总占比79%,详细高危漏洞类型分布如下:
具体比例如下:
篡改情况统计
5月总监控在线业务7776个(去重),共识别潜在篡改网站233个(去重),篡改总发现率高达3.06%。其中凯发注册网站首页篡改79个,二级页面篡改132个,多级页面篡改22个,具体分布图如下图所示:
近期流行攻击事件及安全漏洞盘点
流行攻击事件
绕过杀软!sql server transact-sql 的无文件攻击姿势
近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装mykings、mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破sql server服务器后,利用sqlserver transact-sql存储c#编译恶意代码,通过mssql作业定时执行存储过程,在受害主机下载恶意程序。【安全研究】domain fronting域名前置网络攻击技术
domain fronting基于https通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏metasploit,cobalt strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如amazon ,google,akamai 等大型厂商会提供一些域前端技术服务。警惕x3m勒索病毒——crypton
crypton勒索病毒最早出现在2017年2月份左右,曾有多家企业遭到攻击,近日深信服安全服务团队接到客户反馈,其主机被加密勒索,加密后缀为x3m。经过跟踪分析,深信服安全团队拿到了相应的样本,确认样本为crypton勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。具体详见:
警惕bizarro sundown(greenflash)漏洞利用工具包传播seon勒索病毒
近日,国外安全研究人员捕获到一款名为seon的勒索病毒,并且发现攻击者通过bizarro sundown(greenflash)漏洞利用工具包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒,如gandcrab、locky、hermes等。seon勒索病毒使用aes算法加密文件,修改文件后缀为 .fixt,加密完成后弹出hta窗口与用户交互索要赎金。具体详见:
准备交赎金?当心phobos勒索病毒二次加密!
深信服安全团队接到多家企业反馈,其服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过rdp暴力破解和人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名] id[随机字符串] [邮箱地址].phobos。具体详见:
新型勒索病毒attention感染医疗与半导体行业
具体详见:
gandcrab再爆新变种,警惕deepblue变种感染
近日,深信服安全团队跟踪到多起gandcrab勒索病毒最新变种感染事件。由于感染主机桌面屏幕会被设置成为深蓝色,深信服将该变种命名为gandcrab勒索deepblue变种。具体详见:
安全漏洞事件
【漏洞预警】remote desktop protocol任意代码执行漏洞(cve-2019-0708)
2019年5月14日,microsoft在最新的安全更新公告中披露了一则rdp远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用rdp连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码。具体详见:
【漏洞预警】intel processor mds系列漏洞预警
2019年5月14日,intel官方披露了一系列推测性执行侧信道漏洞,统称为“microarchitectural data sampling”(mds)。该系列漏洞影响了一大批intel处理器,漏洞允许攻击者直接窃取cpu缓冲区中的用户级和系统级秘密信息,包括用户秘钥、密码和磁盘加密秘钥等重要信息。具体详见:
漏洞预警 | remote desktop protocol任意代码执行漏洞(cve-2019-0708)
2019年5月14日,microsoft在最新的安全更新公告中披露了一则rdp远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用rdp连接到目标系统并发送特制请求,就可以触发漏洞,实现在目标系统上远程执行代码。具体详见:
poc已公开!rdp远程代码执行漏洞被利用引发蓝屏
2019年5月31日,深信服安全团队发现公开的cve-2019-0708的poc已在github上流传,并第一时间进行复现以及分析。经测试,该poc可导致目标主机蓝屏崩溃,特此再次发出预警。具体详见:
安全防护建议
黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:杜绝使用弱口令,避免一密多用
系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。及时更新重要补丁和升级组件
建议关注操作系统和组件重大更新,如永恒之蓝漏洞,使用正确渠道,如微软凯发注册网站官网,及时更新对应补丁漏洞或者升级组件。部署加固软件,关闭非必要端口
服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制acl策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。主动进行安全评估,加强人员安全意识
加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。建立威胁情报分析和对抗体系,有效防护病毒入侵
网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。深信服下一代安全防护体系(深信服安全云、深信服下一代防火墙af、深信服安全感知平台sip、深信服终端检测与响应平台edr)通过联动云端、网络、终端进行协同响应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。猜你喜欢