中央企业网络安全态势月报(2023年11月)
2023.12.14
一、整体情况 2023年11月,国资国企在线监管安全运营中心(简称安全运营国家中心)共监测到中央企业网络安全告警15.5亿条,环比(10月)增加8.4%,其中高危及以上告警1.01亿条,占比6.5%。 中央企业排名前三的告警类型分别为漏洞利用、网络扫描、暴力破解,告警占比如下图所示。二、安全态势(一)安全漏洞态势 本月,安全运营国家中心依托国资国企网络信息安全在线监管平台,监测到漏洞利用攻击告警4.9亿条,涉及778家中央企业单位,告警数量排名前三的行业为军工行业、电力行业、交通运输,告警数量分行业统计情况如下。 本月,安全运营国家中心共收集安全漏洞77个,其中较为重要且使用广泛的安全漏洞4个,如下表所示。 本月攻击中央企业单位的主要安全漏洞及攻击次数如下。 建议使用上述应用和组件的单位尽快升级版本,同时定期进行安全审计和漏洞扫描,及时发现并修复潜在的安全问题,防止相关漏洞被攻击者利用,如果有任何疑问和需求可联系安全运营国家中心解决。(二)钓鱼攻击态势 本月,安全运营国家中心持续开展网络钓鱼攻击监测,共接收告警51.3万条,涉及165家中央企业单位。告警数量前三的行业为冶金化工、通信电子、制造行业,告警数量分行业统计情况如下。 网络钓鱼作为攻击者的常用入侵手段,常被利用针对单位领导、财务人员等重要目标开展攻击。同时由于生成式人工智能快速发展,借助AI生成的逼真钓鱼邮件和钓鱼网站显著增加,给中央企业带来较大安全风险。因此,安全运营国家中心建议各企业采取以下措施防范网络钓鱼:1)加强员工防钓鱼意识培训,提高员工对网络钓鱼攻击的认识;2)安装并定期更新防病毒软件;3)使用双因素或多因素认证登录;4)定期更改口令,并使用复杂口令。(三)弱口令态势 弱口令是攻击者突破边界防护的主要手段之一,攻击者只需较少的时间和成本即可破解口令登录系统,导致数据泄露、服务中断、身份盗用、财产损失等严重后果。安全运营国家中心现已针对监测范围内的多个常用及重要系统开展口令强度监测,本月共接收告警195万余条,告警数量前三的行业为交通运输、电力行业、军工行业。告警数量分行业统计情况如下。 弱口令不仅指肉眼可见的简单口令,还包括可以利用社会工程从个人信息中猜测的口令、利用黑客工具“口令字典”(数万条)进行技术暴力破解的口令。目前安全运营国家中心持续监测的弱口令类型有: 1.简单口令:如“123456”“password”“admin”等。 2.个人信息相关口令:如生日、姓名、电话号码,例如姓名首字母+生日组合:wxm199507等。 3.“口令字典”包含口令:容易被口令字典攻击破解的口令,如:“P@ssw0rd”“1q2w3e4r5t6y7u8i9l0p”“!QAZ@WSX3edc”等。 4.连续或重复字符:如“abcdef”“123456789”“111111”“aaaaaa”等。 5.默认口令:设备或系统默认的初始口令,这些口令可能被公开或易于查找。如“root”“tomcat”等。 6.口令重复使用:在多个系统中使用相同的口令,一旦其中一个口令泄露,其他系统也会受到威胁。 本月,安全运营国家中心针对上述弱口令类型开展监测,告警数占比前三的类型分别为重复口令、个人信息相关口令和默认口令。各类弱口令告警比例如下图所示。 为降低弱口令造成的安全风险,安全运营国家中心建议中央企业采取以下措施降低弱口令风险,保障系统安全: 1.强制用户设置复杂的口令,包括大小写字母、数字和特殊符号,且长度不少于8位。 2.定期提醒用户修改口令,避免多人使用相同或相似的口令。 3.使用双因素认证或多因素认证,增加登录的安全性。 4.对登录失败的次数进行限制,防止暴力破解。 5.对登录异常的情况进行监测和报警,及时发现和处理安全威胁。(四)数据安全态势 本月,安全运营国家中心对近期较为活跃的Formbook、Lumma、Purple Fox以及中资网安发现并命名的灰树蛙等窃密木马家族开展持续跟踪,发现27家中央企业单位的56个资产被感染。安全运营国家中心主动联系相关单位进行上机处置,成功帮助清除病毒木马程序,及时遏制网络与数据安全危害扩大。 安全运营国家中心在常规网络流量监测之外,从可能发生数据泄露的场景出发,已建立针对公开在互联网的代码仓库(Git、Gitee、Gitlab、Nexus等7类)、在线文档(WPS开放平台、金山文档、石墨文档、I Doc View在线文档预览)等应用的监测能力。本月,产生7类应用数据泄露告警345万余条,涉及224个应用、185家中央企业单位。 本月,共发现影响较大的数据泄露事件22起,泄漏的数据包括单位内部文档、个人信息(姓名、身份证号、手机号码、职务、工作邮箱等)、业务系统源代码与配置信息等。上述信息泄露后,可能被不法分子利用入侵单位系统,破坏正常工作秩序,或利用个人信息对单位人员进行网络钓鱼、电信诈骗,给个人与单位造成经济财产损失。
