1、概述和摘要过去的2022,纵观全球,第五空间的博弈态势依然激烈,放眼国内,攻击、勒索事件依然频发,网络安全的热度持续走高, 网络安全问题尤为突出。如何高效地预防、检出、溯源恶意攻击成为了网络攻防研究的热点。如何有效地管理上网行为、增强员工的工作效率、优化网络环境成为了企/事业单位迫切需求。
新华三云安全能力中心是一套集云、管、边、端为一体的联动防御体系,通过充分利用云端的计算能力和整合能力,将边侧设备中涉及大量计算处理的网络病毒查杀、未知病毒沙箱分析、威胁情报处理等安全功能交由云端完成,在不需要企业增加太多安全资源投入的同时,就能为企业按需提供云查、云沙箱、威胁情报等安全能力,帮助用户发现已知与未知威胁。同时可以和态势感知进行联动,结合大数据、人工智能、多引擎等核心技术,构建起基于全局的云的安全能力中心。
数据源自于全国22个省、5个自治区、4个直辖市、2个特别行政区、海外(俄罗斯、巴基斯坦、柬埔寨、哈萨克斯坦、马来西亚等)61种不同型号安全设备,共计2w多台设备。报告围绕全网云端查询态势、云端病毒查杀、云端URL上网行为三个方面进行详细解读,对2022年新华三云查杀态势进行总览展示。
本报告通过总结2022年新华三云安全能力中心云查杀模块数据,以数据、趋势、价值的角度来展现全国云查态势情况,通过数据详情以及安全发展趋势,能够为各行业及相关企/事业单位的网络安全建设提供思考和参考。
2、全网云端查询态势2.1 总体数据态势
病毒&URL上网行为云端查询总数表
模块
总数(亿次)
病毒云端查询
45.1
URL上网行为云端查询
18.25
新华三云网边端联动模式有效地扩充了特征库规模,且扩充数据质量高,同时用户访问频率高。深入解决了用户最关心的问题。通过云端赋能,解决本地资源不足、特征库更新不及时的情况,丰富了上网行为管理方式、扩大了病毒文件查杀的广度,有助于用户对网络行为分析及管理。同时通过云端数据关联数据,攻防专家可主动溯源网络攻击和中毒事件,实现早发现、早处置,促进运营闭环;通过云端数据反哺,攻防专家可实现云端查询和优化本地特征库的闭环。
2.2 地域覆盖态势2022年,使用新华三云端查询业务的用户分布在除中国台湾省以外所有的省、自治区、直辖市、特别行政区,其中湖南省、安徽省、广东省和北京市是接入云端用户最多的区域,但青海省、西藏自治区、宁夏自治区、黑龙江省、吉林省、辽宁省查询较少。该统计数据与全国设备部署情况和区域设备活跃程度,以及设备版本有关,同时也侧面反映了不同地域用户加入云查计划的意愿度。云端监测到新华三云端查询请求频率分布图如下所示:
新华三云端查询请求频率分布图
3、云端病毒查杀解读3.1病毒查询态势2022年,经统计,广东省、安徽省、北京市、山东省、湖南省、四川省使用云端查询病毒次数最多,均超过两千万次查询。新华三安全大脑方案在“云”端可以提供全局威胁态势可视、高级威胁分析、云端威胁情报、云端智能监控与巡检、安全策略联动、云端安全服务资源池功能;在“端”侧设备内置防火墙功能,提供一体化安全防护,具备IPS、AV、URL、APR等安全特征库,可实时接入云能力中心进行查询。
全国病毒查询量分布图
3.2 病毒攻击态势2022年,新华三云安全能力中心云查杀模块共识别文件45.1亿余次,拦截病毒50w余次,统计得出主要病毒行为分为如下五种类型:
云端检测病毒行为图
其中云端拦截到的病毒类型以灰色软件(63%)、木马(28%)为主,但感染型病毒(3%)、风险软件(4%)、蠕虫(1%)、劫持工具(1%)。从2022年月度检出病毒数量上看,用户受到网络攻击次数呈现明显上涨的趋势。
云查病毒类型占比图
每月病毒检测数量统计图
从病毒攻击的地域分布上,新疆维吾尔自治区、山东省和广东省受到病毒攻击次数最多,以灰色软件、木马、风险软件攻击为主,呈现出沿海城市、经济相对发达地区受攻击较为严重的态势。
全网受病毒攻击态势图
4、云端URL上网行为解读4.1 URL上网行为分析态势2022年,经统计,湖南省、湖北省、江西省、安徽省使用云端查询上网行为次数最多,均超过一千万次查询,且数据以东部地区为主要来源,侧面反映了全国区域设备部署情况,以及区域设备活跃程度。
URL上网行为全国查询分布图
从2022年3月起,URL上网行为日查询量受全国局点陆续开启云端查询的影响,呈现不断上升的趋势,日平均查询量在400-800w之间波动,工作日查询量明显高于休息日,后续云能力中心会持续检测全网高热度网站和新增网站,持续迭代到本地库中,减少上云次数,减轻服务器压力。同时通过自动化不断的反哺云端库和本地库,保证特征库的正确率和覆盖率。
2022.01.01-2022.12.30日查询量波动图
4.2 URL上网行为威胁态势2022年,新华三云安全能力中心云查杀模块共识别域名上网行为7亿余次,检索风险域名130万余次,得到2w多个恶意域名。其云查杀用户上网行为趋于访问商业、IT技术、购物、网络存储类别的站点,周六周日数据量少于工作日,符合用户工作生活期间上网行为特征,政府、事业单位、企业等用户可根据云查杀提供的上网行为管理报告,了解员工工作效率,加强内部网络带宽环境管理。
用户查询最多的域名TOP涉及抖音、CSDN、今日头条、微博、微信、QQ、淘宝、京东、百度等热门应用以及相关的API服务。其主要域名用于相关接口API程序,且多数无法直接用于网页浏览,其中商业类域名多以营销类为主,主要为提供一站式营销服务类公司。
云查URL分类占比图
2022年,从新华三攻防专家通过云端URL上网行为数据得出的恶意域名数据分布可以看出:色情网站最多(56%),钓鱼(11%)、垃圾邮箱(5%)占比相对较多,同时也是中毒入口的高危区;通过DGA(16%)、远控(7%)、僵尸网络(1%)方式使资产沦为肉鸡,造成安全风险比重同样较高;利用资产挖矿(1%)盈利仍然存在,同时造成资源浪费。从2022统计恶意域名的查询数量上看,整体用户访问恶意域名的频率较为稳定。
云查恶意URL分类占比图
月度云查风险域名个数统计图
图12统计了云查恶意URL_TOP。从排名上看,以webmine.cz为代表的挖矿URL请求查询次数最多,挖矿木马在2022年仍保持较高活跃度。此外,ahmediye.net、edirneli.net所指向的Sality感染型病毒和morphed.ru所指向的Andromeda僵尸网络因其传播能力强、感染量大等特点依旧是2022年网络空间中面临的主要威胁之一。
云查恶意URL_TOP统计图
5、总结新华三云端部署海量网址库、病毒库、情报库、应用库,全球情报实时更新,构建了立体实时的防御体系。
新华三通过打通云端、态势感知、设备,构建安全事件快速响应机制,包括边界安全网关对可疑的威胁提前预警,对可疑IP的一键封锁,终端安全软件对可疑文件的一键隔离/查杀等,实现安全工作的闭环。
因此,新华三基于云能力中心的立体防御体系能够分析上网过程中威胁情况,提前对可能发生的风险进行预警,缩短安全事件的处置时间,避免事件危害的进一步扩散,最大化减少客户部署和实施成本,提升安全设备的利用效率。