閉關休養or攻其不備：疫情之下焦點行業網絡威脅分析

新冠肺炎疫情期間，醫療和在線教育成爲民生焦點。在此特殊時期，黑客都在幹什麼？主要瞄準哪些目標？企業該如何防範？騰訊安全平臺部天幕團隊聯合騰訊桌面安全產品、雲鼎實驗室、安全專家諮詢、雲安全等團隊，選取騰訊雲上醫療和教育兩大焦點行業，結合團隊實戰經驗作出安全分析，但願對各企業應對特殊時期的遠程辦公安全威脅有必定的幫助。算法

1、攻擊整體動向：黑客眼中的天時，地利，人和

一、年前，1月19日、1月22日等日子是企業的「封網」時期，也是黑客的「騷動期」。企業「封網」使安全策略更新的時效性較平日差，所以引來黑客試圖乘虛而入，攻擊量達到高峯節點。sql

二、年後，遠程辦公環境下，一本（字典）萬利（權限）的認證暴力猜解成爲黑客最常採用的手法。在1月31日（正月初七）往年開工首日，對醫療行業的攻擊達到了單日80萬次的高峯。Windows生態中的遠程桌面服務RDP和數據庫服務SQL Server成爲佔絕對大頭的「軟柿子」。數據庫

三、春節期間，境外黑客不過年，針對雲上醫療行業客戶的認證暴力猜解攻擊超過70%來自境外125個國家。美國區域機房管控趨嚴，使美國成爲攻擊源的「冷門片區」，印度、俄羅斯躍居前列。小程序

四、相較於境外，境內黑客更傾向利用高危Nday漏洞對教育行業發起攻擊。因爲此類手法「動靜」較小，加上國內撥號IP資源集中的現狀，黑客傾向使用動態秒撥IP技術企圖瞞天過海、規避封禁。安全

五、相對於傳統的醫療行業，在線教育行業在業務研發上相對「激進」，中小企業研發的快速落地帶來第三方組件濫用，所以高危漏洞頻出的ThinkPHP、Struts二、RDP成爲黑客近期攻擊教育行業的「突破口」。服務器

六、疫情期間，大量企業依託雲實現了遠程辦公、信息發佈及各種小程序等業務的快速上線和迭代。企業在享受雲帶來的業務高效彈性交付的同時，雲服務使用過程當中的不當安全配置，例如對象存儲桶權限、雲主機安全組配置、雲SSL證書有效期、雲負載均衡端口暴露等，也成爲黑客針對雲上業務的重點「攻擊面」。markdown

如下分別是針對醫療、教育兩大行業的威脅場景詳析：

一、醫療行業：RDP，SQL Server成軟柿子

企業在疫情期間爲了員工遠程辦公便利，每每對外開放遠程服務，直通敏感信息系統甚至辦公內網。所以除黑客正面突破最經常使用的Web類攻擊，認證暴力猜解值得重點關注。網絡

從目標和手法上看，黑客針對Windows服務攻擊突增，遠程桌面服務RDP和Windows生態的數據庫服務Microsoft SQL Server做爲企業的系統權限和敏感數據入口，天然成爲了熱門目標，針對2個「軟柿子」的攻擊量在年後雙雙達到高峯。負載均衡

認證暴力猜解目標：rdp\sqlserver成熱門目標，隨年關返工潮突增框架

從攻擊源分佈上看，美國VPS廠商或VPS廠商在美國區域機房管控趨嚴，對這種網絡上「動做」較大的攻擊行爲的約束，讓更多黑客把武器資源逐步遷移到其餘「冷門片區」。

認證暴力猜解有超過半數來自境外，即便在春節期間攻勢沒有特別明顯的降低趨勢，但也能看出部分人在境內的黑客暫停了手裏的境外資源。與此對應的是，傳統Web攻擊源絕大部分來自境內，春節期間攻勢迅速降低達到了低谷。

認證暴力猜解攻擊源：境外異常活躍，美國成冷門片區

基於團隊長期在安全分析和威脅情報跟蹤方面的經驗，做爲Windows生態下的系統權限和敏感數據入口，近期接連爆發WannaCry級別的漏洞（BlueKeep、CVE-2020-0618），可預見從預警通告到PoC流傳再到在野EXP的節奏加快，企業對0day/1day漏洞的響應時間窗若再以小時來計算，將損失慘重。

二、教育行業：ThinkPHP，Struts2，RDP成熱門目標

新興的教育行業相對傳統保守的醫療行業，在業務研發上每每更爲「激進」，中小企業快速迭代的研發節奏，帶來難以免的第三方開源組件的大量使用。這對手中收集了大量1Day，Nday漏洞的黑客，極可能在一輪資產指紋識別後，便可啓動大規模刺探甚至利用。

從目標和手法上看，ThinkPHP做爲流行的快速搭建網站的框架，Struts2做爲Java Web生態下流行的MVC框架，分別是2個語言生態下高危漏洞頻出的表明框架，很是容易成爲黑客的攻破目標，若無及時打補丁，使用其的教育行業將面臨較大的威脅。

而距今不久前爆發的Windows RDP BlueKeep漏洞仍然較多地被利用刺探，尤爲是在遠程辦公中一旦開啓服務便可能中招，被黑客迅速拿到服務器權限。

高危Nday漏洞利用：ThinkPHP，Struts2，RDP成熱門目標

從攻擊源分佈上看，高危Nday漏洞利用有絕大部分來自境內，少部分來自美印等地區，猜想因爲此類手法需發出的「動靜」較小，每每僅對目標發出1次請求便可驗證或利用。

高危Nday漏洞攻擊源：境內活躍，境外相對較少

此外，因爲國內秒撥IP池資源的集中，黑客傾向於使用此類技術快速刺探企業全部服務，同時利用隨機變換客戶端發包特徵（如User-Agent，無關參數等）規避傳統封禁策略。

2、遠程辦公期間對企業的安全建議

一、企業在特殊時期更需重視安全策略的響應效率，避免對止損時效性的人爲鬆懈或客觀限制。除具有實時網絡流量分析能力外，企業應重視實時阻斷網絡攻擊能力建設，下降依賴人爲運營變動策略的時間差風險。

二、黑客遷徙成本低，時刻往對發起攻擊有利的環境且看似「冷門」的位置轉移。企業應開始審視掌握的威脅情報數據，維度豐富性和更新時效性，避免安全分析落入盲區。

三、遠程辦公是企業網絡邊界模糊時期，企業需提前預知對外暴露的脆弱點，對打通網絡邊界認證入口的全面布控，阻斷網絡異常行爲。實時資產盤點能力尤其重要，網絡流量除了可監控網絡攻擊外，也是幫助企業實時測繪資產關聯與盤點資產指紋的利器。

四、利用雲戰場中安全防禦經驗和多維度威脅情報大數據的優點，對AI模型的長期訓練與調優，是安平天幕團隊屢次在重保戰場中精準發現各種攻擊繞過手法（秒撥IP技術，新型攻擊變種）的關鍵緣由。安全團隊在持續對抗的戰場中利用AI算法結合大數據訓練，補齊傳統策略泛化能力的先天不足，才能緊跟黑客技術的演化。

五、漏洞情報在國內渠道披露相對滯後，近期使用非HTTP協議組件的漏洞頻發。僅具有傳統Web層面防禦的企業容易被針對打擊。企業應重視漏洞威脅情報的時效性，選擇支持網絡層虛擬熱補丁的NIPS產品，爲業務代碼級修復爭取時間。

六、針對雲上部署的相關業務，創建雲原生的「CMDB」，作好業務基礎設施資產的實時自動化盤點，並對雲產品的原生安全配置進行自動化的按期檢查與及時加固，縮小云上「攻擊面」。針對雲上頻繁變化的環境，創建威脅事件的自動化響應平臺，提升威脅響應處置。企業應當創建雲原生的安全運營平臺，打通隔離的數據與流程，實現「事前-事中-過後」全流程的安全保障，並經過安全可視化能力，提高威脅感知、響應處置和安全管理效率。

七、特殊時期企業須要重點關注線上數字化業務的三類安全問題：未受權訪問類、信息泄漏類和數據加密類，尤爲須要關注最新的安全威脅情報，及時修復最近披露的公用組件漏洞，如Apache Tomcat等，並升級IDS、IPS產品規則庫，同時把組件更新至最新版本。