一、引言
随着互联网、物联网、大数据等新技术的不断发展,网络空间暴露的资产和服务日益增多,国内外网络安全形势也日益复杂,安全事件发生频率也逐渐增加。此外,安全事件提及的资产情报作为网络空间测绘研究的重要输入,通过对事件中关联到的资产进行广谱测绘,可以进一步看到其影响范围,无论是对漏洞修补,还是安全监管都有着重要的作用。因此,有针对性的处理安全事件以及分析安全事件的趋势成为一个重要的课题。
网络空间安全事件分析是通过对已发生的网络攻击事件进行分析,去识别发生了什么、为什么发生和如何发生,以及可以采取哪些措施来防止它再次发生。具体来说,安全事件具有综合性,其蕴含了事件影响的资产、漏洞以及影响范围,因此可以从多个角度对安全事件进行分析,包括事件影响资产分析、脆弱性分析和威胁分析。
同时,在大数据背景下,安全事件分析还有着更加深层的研究意义:热点分析与态势感知。安全事件热点的直观表现是人们对其关注程度,另一方面也反映了事件中资产与漏洞的关注程度与影响范围,可以有效使管理人员察觉有暴露风险的资产。态势感知是以大数据为基础,动态感知威胁,从识别、分析、应对的全局出发,最后实现决策的一种方式[2]。通过收集大量的安全事件,并且利用大数据、人工智能等技术分析挖掘事件之间的关联及趋势,可以进行网络空间风险态势感知。
本文针对2022年1-8月的网络空间安全事件进行分析,通过对安全事件的数据处理、统计与分类,初步感知网络安全态势与趋势。最后,本文以上半年俄乌网络战为引,通过对俄乌相关的安全新闻进行分析,阐述认知战在网络空间对抗中的作用。
二、 安全事件数据统计与分类
2.1
数据获取与处理
根据《信息安全技术-信息安全事件管理指南》,网络安全事件的定义为:网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件[1]。在收集数据过程中,会有一些与安全相关其他新闻事件,本文针对管理指南中定义的安全事件进行筛选与分析。
首先,笔者从不同的安全新闻资讯网站通过关键词爬取相关的安全事件,得到2022年原始网络安全的相关事件,通过以下4个步骤处理得到安全事件:
图1 安全事件数据处理流程
1. 数据清洗:原始事件数据包含技术分析文章、事件评论文章等非事件报道文章,将这部分文章过滤
2. 数据去重:过滤一些重复报道的安全事件文章
3. 规则分类:利用类别对应的关键词进行分类,通过检测事件标题中是否包含对应关键词,将其划分至对应类别中
4. 专家标签:在规则分类后,误报分类较多,需要专家进行校验标记,得到专家分类标签。
至此,笔者得到2022网络空间安全的相关事件,接下来对安全事件进行分类、分析安全事件的热点及趋势。
2.2
安全事件分类
通过上文的安全事件获取及处理后,笔者统计得到2022年1月至8月安全事件。如表1所示,原始事件总数共122425个,其中国内安全事件3416件,占总事件的10.52%,国外安全事件29047件,占总事件的89.48%。
表1 2022年网络空间安全事件处理统计
以今年国内报道的安全事件为例,笔者按照目前关注的研究领域对安全事件进行分类,将安全事件分为12个类别,分别是工业互联网、区块链、车联网、云计算、5G安全、AI安全、数据安全、安全设备、IoT、应用安全、信创安全、数据库。
通过专家知识标记得到的安全事件共2172个,安全事件可能对应多个类别,类别对应的安全事件所占比例如图2所示。从现有专家知识标记的安全事件中可以看出IoT、数据库、数据安全、应用安全、AI安全的安全事件个数较多,其暴露的安全问题影响较大。其中,AI作为现在热门的研究领域,其暴露的安全事件也逐渐增多。
图2 2022年1-8月网络空间安全事件类别统计图
三、 国内安全事件分析
3.1
热点主题分析
词云是一种主题形式的信息展示方式,将文本信息中的关键词按照词频高低从大到小清晰直观的显示出来。为了分析2022年1月-8月的国内安全事件的热点,笔者将事件标题汇总做成词云,如图3所示。
图3 2022年1-8月网络空间安全事件词云图
笔者根据国内安全事件词云图,给出以下3个观点,并以第一个观点为例详细分析。
1. 从网络攻击方式来看,勒索软件排名第一,且体量突出较大。
2. 从受安全事件影响的企业来看,苹果、英伟达、华为与网络安全事件相关性较大。
3. 从网络安全事件发生地来看,1月-8月出现网络安全事件排名前三分别是俄罗斯、乌克兰和美国。受俄乌战争影响,网络攻击不断发生,因此俄乌相关的安全事件较多。
勒索软件是一种恶意程序,黑客通过对脆弱性较弱的资产进行攻击,致使用户资产或资源无法使用,并以此作为筹码要求用户支付费用解锁资源。根据笔者调研,勒索软件盛行的原因主要有三个:第一,勒索软件的传播方式比较便捷,网络犯罪分子通过电子邮件、网站、社交媒体等常用应用进行传播;第二,勒索软件即服务(RaaS)与其他套件类工具降低了网络犯罪门槛;第三,对于用户和组织来说,他们无法承担受勒索软件影响的生产损失。
可以预见,未来几年内,勒索软件的网络攻击会越来越多,并且增长速度将会更快[3],防范勒索软件攻击也变得至关重要,具体措施请参考国家互联网应急中心(CNCERT)发布的《勒索软件防范指南》。
3.2
热点安全事件
针对2022年国内报道的安全事件,笔者筛选出影响最大的5个安全事件,分别为:
1. 2022年2月,某公司2.1亿条简历数据被窃取。
2. 2022年2月,我国研究人员曝光美国国安局顶级后门。
3. 2022年4月,北京健康宝遭受境外网络攻击。
4. 2022年6月,学习通数据库疑泄露,1.7 亿数据被非法售卖。
5. 2022年7月,上海某机构数据库泄漏10亿公民数据。
可以看出,影响最大的网络安全事件类型分别为公众海量数据泄露和境外势力对公共服务平台的网络攻击。伴随着数字经济的高速发展,海量数据在大数据平台汇聚,企业利用大数据技术对数据进行生产、计算、处理,为用户提供更好的服务。与此同时,企业在各个环节如何保证国家重要数据、企业机密数据以及用户个人隐私数据等敏感数据不发生外泄,是数据安全的基本要求。近年来数据泄漏事件仍层出不穷,其原因涉及技术、法律、监管与社会治理等领域,需要企业更加重视数据安全问题。
四、 俄乌安全事件趋势分析
从俄乌战争伊始,网络空间中的对抗就一直伴随着双方,一系列的网络攻击事件也随之发生。网络对抗活动包含DDoS攻击、恶意软件攻击、供应链攻击、数据窃取等。俄乌网络战事件线如图4所示,下面给出4个常见的网络攻击方式的攻击事件:
1. DDoS攻击:利用DDoS攻击乌克兰政府、银行和电台网站,致其瘫痪数小时等事件。
2. 恶意软件:利用恶意软件对非政府组织和慈善组织进行网络攻击;利用CaddyWiper恶意软件渗透乌克兰组织的计算机系统;利用恶意软件访问公共银行数据等事件。
3. 钓鱼攻击:利于钓鱼攻击对政府服务、组织的网站进行网络攻击;利用钓鱼邮件对乌克兰政府和军方进行攻击等事件。
4. IoT攻击:匿名者组织攻击俄罗斯的摄像头设备;入侵Moxa工业控制控制网关等事件。
图4 俄乌网络战时间线 [引4]
通过对俄乌战争相关的安全事件进行筛选,得到俄乌战争的网络安全事件报道频数随着事件的变化趋势。如图5所示,在关键的战争节点会伴随着大量的网络攻击。
图5 俄乌战争期间网络安全事件频数随时间变化趋势图
图中第一个增长趋势是从1月14日开始,在2021年-2022年俄乌危机期间,乌克兰十多个政府网站遭到网络攻击后瘫痪,网络攻击发生时,俄罗斯和乌克兰之间的关系高度紧张,超过10万名俄罗斯军队驻扎在与乌克兰的边界附近,俄罗斯和北约之间的会谈正在进行。美国政府称,俄罗斯正在为入侵乌克兰做准备,包括“破坏活动和信息行动”[5]。第二个增长趋势是在2月24日左右开始,安全事件随着俄乌的军事危机升级为全面战争开始,网络攻击次数也随之增多。
在俄乌冲突的安全事件可以看出,网络空间已经作为另一个战场,随着战争开始,也会有着激烈的较量。另一方面,认知战作为新型的信息作战方式,有着隐蔽性与间接性的特点,因此对网络空间中的安全事件进行监测与分析,也能一定程度反映战争趋势。
五、 小结
随着网络空间中资产数量增多,风险暴露面也逐渐扩大,笔者以安全事件为视角,在大量的安全事件中感知风险趋势。本文对2022年1-8月的安全事件进行汇总、清洗、统计和分类,给出了5个热点事件,不难看出,对于企业来说,数据安全问题仍是需要重视的关键问题。最后,通过在俄乌的网络空间战中的网络攻击随着战争的关键节点的出现而增加,来感知安全事件的趋势。接下来,笔者将通过系列文章来介绍安全事件分析与挖掘研究,深入分析安全事件的关联资产以及对其进行脆弱性分析。如对安全事件有兴趣,可关注后续系列文章更新。
参考文献
[1] 《信息安全技术-信息安全事件管理指南》-GB/Z 20985-2007
[2] 张丕翠,杨建武,施水才.网络空间的舆情态势感知[J].信息安全研究,2019,5(11):1013-1020.
[3] https://www.fortinet.com/content/dam/fortinet/assets/white-papers/zh_cn/WP-Mapping-The-Ransomware-Landscape.pdf
[4] Russia's war on Ukraine: Timeline of cyber-attacks
[5] 维基百科——2022年俄罗斯对乌克兰的网络攻击
内容编辑:创新研究院 杨双镇
责任编辑:创新研究院 陈佛忠
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。