从创宇安全智脑看十月重保前期境外网络攻击态势

1. 概述

在“十月重保”来临之际，404积极防御实验室通过创宇安全智脑结合云防御、云监测防御体系提供的大数据来分析当前境外网络攻击态势，为十月重点保障活动做好准备。

2. 安全舆情态势

根据创宇安全智脑-安全舆情监测服务所监测到的数据，9月发现并通报的安全舆情事件相比8月上升了80%。

近期创宇安全智脑已监测到16家单位出现重要业务系统被黑、数据泄露等安全事件, 其中90%发生在党政机关、教育、国企央企等关键信息系统上。

图1 某政府网站被植入博彩内容

图2 某政府网站被植入APP广告

9月以来，相比较之前几个月所发生的安全事件数量有所上升，特别是临近“十月重保”关键时期，境内外各种黑客团体、APT、政治黑客等相关组织活动愈加频繁。

3. 整体网络攻击态势

3.1 近期整体网络攻击态势

随着“十月重保”的临近，从9月开始，网络攻击态势整体有所上升。

图3 九月整体网络攻击态势图

在9月20日达到峰值，攻击量达到509,285,317次。其中来自IPv6的攻击达到11,342,179次，单日IPv6个数达到720,976个。

4. 从云防御看境外网络攻击态势

4.1 近期境外攻击趋势

创宇安全智脑根据云防御提供的数据分析，截止到9月22日，政府、国企央企、教育类业务系统受到的境外网络攻击从9月20日开始呈现上升趋势。

图4 九月境外攻击趋势

4.2 攻击类型占比

图5 攻击类型占比图

在来自境外的攻击中，占比最大的是SQL注入攻击，其次是恶意扫描。大多的攻击都是前期信息探测搜集，在为后期进一步的攻击做准备。

4.3 境外攻击源IP TOP 10

4.4 境外攻击国家TOP 10

境外的网络攻击主要来自美国以及周边国家。其中美国一直以来都是攻击我国网络的最大源头。

4.5 受攻击行业占比

图6 受攻击行业占比图

从受攻击行业来看，政府机构及教育行业一直都是境外攻击的主要目标，其中政府机构类占比达到了28%，位列受攻击行业占比第一。

5. 从云监测看网络攻击态势

5.1 近期活跃漏洞 TOP 10

从云监测近期监测到的漏洞来看，Log4j2漏洞出现较多，该类漏洞主要集中在政府机构、教育等行业。

从漏洞数量来看，政府机构、高校这些单位的业务系统存在漏洞较多。

一方面是由于部分老旧或弃用的业务系统，未及时进行更新升级；另一方面是政府机构、高校相关单位业务系统数量较大且种类繁多疏于管理，存在部分未知的资产，攻击面管理不足，导致被入侵的风险增大。

除去上述热门漏洞外，因为SSO配置问题，导致相关业务系统被黑、信息泄露也是近期较为频发的。

SSO虽然提供了便捷的访问控制，但配置不当便容易导致一些重要业务系统的被黑和重要信息泄露，因此这方面的安全问题也不容忽视。

6. 安全智脑AI+大数据攻击趋势预测

创宇安全智脑结合创宇云防产品体系提供的各项安全大数据及近期发生的安全事件、攻击行为特征等对“十月重保”期间的网络攻击趋势进行预测。

“十月重保”期间，政府、国企央企、教育类相关业务系统将会是境外黑客攻击的重点对象，来自境外的攻击将会越来越多。采取的主要攻击手段包括但不仅限于弱口令、撞库等方式。

重要关基设施的DDoS、CC攻击也应作为重点关注，可选择专业的抗D产品或使用DDoS流量清洗服务。

随着IPv6改造的逐渐完善，采用IPv6的攻击也会越来越多，各单位应重视和做好IPv6攻击的防护工作。

7. “十月重保”期间安全防护建议

近年来，我国重要活动期间，都是境外黑客攻击活动最频繁的时期，也是安全事件的高发期。随着攻击者手段不断升级，有组织、有预谋、有背景，而传统的防御难以对抗高级威胁，目前大多数单位都是采取被动防御的方式，安全风险较大。

知道创宇安全专家结合创宇安全智脑“十月重保”前期的网络攻击大数据分析，建议各相关单位，尤其是政企、高校单位在“十月重保”期间高度关注境内外黑客攻击活动，及时采取相应的防护措施，并提前加强自身业务系统安全性。

知道创宇安全专家针对“十月重保”期间可能出现的网络攻击行为给出如下针对性的防护建议：

1、安全风险排查，攻击面管理

“十月重保”前期，对相关重要业务系统进行安全排查，提前发现业务系统存在的安全漏洞和风险，如弱口令、未授权访问等问题，是黑客常利用的入口点，应当重点排查，不给恶意攻击者可趁之机。

ScanV云监测系统（https://www.scanv.com/），是知道创宇历经多年全新打造的一款对政府、事业单位业务系统（包括但不限于网站、小程序、API、APP）全生命周期、持续性、多维度监测的新一代云监测产品。

通过结合知道创宇安全智脑及404实验室安全能力，为客户业务系统提供漏洞监测、可用性监测、SSL安全监测、网页篡改监测、业务系统资产发现等多项监测能力，帮助客户全面掌握业务系统风险态势。

2、WEB攻击防护

WEB类业务系统可采取接入SCDN、WAF等措施来加强重要业务系统的防御，尤其需要关注的是弱口令、数据泄露后的撞库等攻击。

创宇盾（https://defense.yunaq.com/cyd/），基于AI+大数据的下一代智能云WAF，特别擅长为党政机关业务系统提供防境外政治黑客攻击、防入侵、防篡改、防数据泄密服务。

知道创宇云防御拥有大量的黑客攻击样本库，创宇盾利用知道创宇网络空间搜索引擎ZoomEye、Seebug漏洞社区及7X24小时实时防御的上百万业务系统数据，帮助包括政府机构、国企、央企、民营企业、互联网企业建立全方位防御体系，覆盖Web业务系统、门户网站、Web API、移动APP、小程序等多种应用场景，提供持续高可靠的攻击防护能力。

公安部、工信部、网信办、国家互联网应急中心、国家市场监督总局等上万党政机关业务系统（网站、业务系统、小程序、APP）已接入创宇盾防护，在创宇盾防护期间，零安全事故。

3、DDoS/CC攻击防护

DDoS、CC攻击防护：近年来DDoS攻击趋势呈流量明显提高、超大型攻击大而多，可能出现的DDoS、CC攻击也应作为重点关注，可选择专业的抗D产品进行防护。

抗D保（https://defense.yunaq.com/kangdbao/），知道创宇抗D保弹性调用全网资源，可轻松应对大流量攻击；并且实时联动创宇安全智脑所产生的威胁情报数据，以更加智能化的方式，及时识别、发现CC攻击、API攻击、爬虫攻击等潜在的未知风险，并对恶意攻击实现毫秒级阻断，有效提高网站的整体防御能力。

4、威胁情报订阅

基于创宇安全智脑真攻防场景下的威胁情报能力，以云端查询+API形式实现安全赋能，激活既有防护设备，联防联控，全面提升安全防护效果。

创宇安全智脑（https://gac.yunaq.com），是基于知道创宇14年来AI+安全大数据在真攻防场景中的经验积累，拥有海量真实攻防数据，持续汇聚、萃取和分析，实时输出高精准、高价值威胁情报，赋能于全场景安全建设体系的情报生产平台。

创宇安全智脑将AI+大数据与安全专家紧密结合，将在重点保障期间上线“十月重保”专题威胁情报查询订阅服务，为各单位提供实时、持续可靠的威胁情报，并与创宇云防御产品线其他安全产品联动，实现防御前置，快人一步。

8. IoCs

以下为创宇安全智脑提供的近期部分高危恶意IP，各单位可以对以下IP进行阻断。

如需获取更多威胁情报，可前往创宇安全智脑“十月重保”专题页进行获取。

IP：