黑客

欢迎查看《Check Point 2024 年安全报告》。2023 年，网络安全世界发生重大变化，网络攻击的性质和规模都在迅速演变。这一年，我们看到网络威胁从隐形匿迹于虚拟世界，到明目张胆登上现实舞台，吸引了从政府机构到普罗大众的无数关注目光。这些攻击使用的方法花样百出，背后的原因同样五花八门。勒索软件仍然是主要威胁之一，攻击者不只索要钱财，还想寻求“赏识”。勒索软件利用零日漏洞发起攻击，同时利用羞辱性网站来披露受害者身份，攻击者对这种攻击方式越发趋之若鹜，勒索软件也因此成为网络犯罪分子之间攀比的筹码。遭受这些攻击的代价不仅仅是支付赎金，有些公司和组织，比如米高梅 (MGM)、迪拜环球港务集团 (DP World) 和大英图书馆 (British Library)等还要面对重建系统的巨额开支。此外我们看到，黑客行动主义（即因政治或社会原因而产生的黑客行为）有所增加。这类黑客行为曾是个体行动者的工具，现在则由政府用作间接攻击对手的方式。在俄乌冲突和巴以冲突等事件发生后，这一点尤为明显。攻击者找到了侵入系统的新方法，路由器和交换机等设备便成为容易攻击的目标。包括Okta 和 23AndMe 在内的一些大型组织都遭到过利用窃取的登录信息或恶意软件发动的攻击。人工智能 (AI) 在本年度网络攻击中扮演了更重要的角色。攻击者开始使用人工智能工具来更有效地实施钓鱼活动。不过好消息是，网络防御者同样也在使用人工智能来更好地防范这些威胁。网络犯罪分子阻击战亦有捷报传来。包括美国联邦调查局 (FBI) 在内的多个执法机构在消除 Hive 勒索软件网络和 Qbot 基础设施等主要威胁方面，取得了进展。但其中一些组织卷土重来，也在提醒着我们，与网络犯罪的斗争任重而道远。本报告将回顾 2023 年发生的重大网络安全事件，提供独到洞察和分析，帮助大家了解并提前筹备，应对未来挑战。我们的目标是为组织、政策制定者和网络安全专业人员提供有价值的信息，协助他们在日益数字化的世界中构筑更强大的防御体系。希望本报告能为您提供丰富、翔实的信息，对您保障数字环境安全有所助益。

工业防火墙HC-ISG®是国内首款专用于工业控制安全领域的防火墙产品，能够有效对SCADA、DCS、PCS、PLC、RTU等工业控制系统进行信息安全防护。 HC-ISG®主要解决工业基础设施在网络环境中受到病毒、黑客、敌对势力的恶意攻击以及工作人员误操作时的安全防护问题。 HC-ISG®通过了公安部检测、国家信息安全测评中心检测，取得了CE、FCC等认证和销售许可证，广泛应用于各工业现场，包括核设施、钢铁、有色、石油天然气、化工、发电、电网、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、民航以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络。

本成果属于网络安全技术领域。近年来，广西电网每年遭受网络安全攻击约为150万次，由境外发起的网络安全攻击占总攻击数73%。面对日益频繁与复杂的电网网络攻击，电网网络安全防护技术和装置缺乏、攻击预警预报技术缺失，传统防护治理收效甚微。为应对传统网络安全防护技术无法处理的网络安全攻击威胁，本项目重点研究了网络攻击问题的应对技术与方法，攻克了大规模攻击预警预报、快速溯源机理揭示、新型智能攻防装置、网络攻击风险动态评估等难题，形成了集理论、技术、装备和应用于一体的系列成果，项目首次提出了快速截断攻击的“路径抑制”智能防御新方法，解决了“主动防御”理念下防御效果依赖于攻击类型、攻击实施者水平、攻击强度概率等不可控因素的难题；应用于挑战黑洞攻击传导阻断、多重代理攻击溯源，成功地解决了复杂防御环境下处理延迟的难题，可实现100毫秒内攻击通道阻断。研发了基于生成式对抗算法的网络攻击预警预报技术，并在研究基础上建立了电网大规模网络攻击预警预报系统及智能攻防管控平台，管控平台可模拟黑客进行虚拟向量验证性攻击，并根据不同攻击节点选择攻击方式，在真实攻击发生前提供漏洞修复方案，从而提高安全事件处理响应速度，平台实现了90秒内网络空间攻击活动预测及网络攻击风险动态评估，解决海量漏洞库和场景脚本更新以及主动配合训练的持续进化难题，实现了对恶意代码和未知威胁的双检测互补防御。建立了网络攻击空间信息、威胁参数、历史攻击、攻击活动规律与攻击治理的关联体系，实现了安全环境分析能力植入，将积累的事件分析及解决流程固化为自动运行的分析模型，推行了“有选择、有侧重、有针对、有差别”网络攻击防护策略，应用于网络攻击多发时段，平台的防护策略成功命中率升幅90%。

本项目立足于网络安全防护难题，构建“多源情报融合预警、漏洞自动闭环管控、未知威胁感知溯源、多域风险联动处置”于一体的网络安全全环节联动防御技术体系，为公司能源互联网建设提供坚实安全保障。主要创新点包括：率先建成国家电网特色多源威胁情报预警指挥平台。利用杀伤链和模糊聚类从海量告警日志中挖掘攻击场景，融合国家、商业等多源外部情报，构建多源威胁情报知识库。支撑安全设备威胁监测准确率提升5倍以上，协助发现多个国际黑客组织，支撑网络安全运营工作。创新设计电力行业信息系统状态转移自动机，提出基于情报驱动的漏洞闭环管理模型。基于情报建立漏洞修复优先级评估模型，以“互联网+”的形式改革漏洞管理流程，追踪管理漏洞4000余项，周均工作时间从1天降低到5分钟。填补0Day攻击监测空白，提出面向实战的未知威胁感知反制技术。基于半监督深度学习和异质图挖掘的离群点检测技术，实现样本匮乏状态下的0Day攻击识别，构建电力攻防对抗蜜网体系，精准定位黑客40余名，年均捕获恶意攻击地址2万余个，助力重特大保障圆满结束、国家专项演习获得佳绩。首创多域安全威胁智能联动处置模型。模型自动定位受威胁安全域，通过威胁处置策略调度引擎智能定位受威胁安全域，将安全策略分别自动推送至信通公司内部和全网处置设备，实现“一处监测、全网处置”，将威胁处置速率由小时级提升至秒级。 项目获得授权发明专利11项，发表论文21篇，规范4项，专著1部。该项目从情报预警、隐患管控、威胁感知、联动处置等方面进行联动防御技术体系的研究和实践，成果推广至全网，开拓了一体化防御局面。

随着数字经济时代来临，数据不仅成为重要的商业资源和生产要素，更是国家基础性战略资源，极易成为攻击者的目标，数据面临的安全形势也日益严峻。近年来，全球范围内爆发多起大规模数据泄露事件，数据攻击造成的损失呈逐年快速增长的趋势。数据泄露方式主要包括黑客攻击、内部工作人员有意或无意泄露、第三方泄露等方式。国网省公司业务上主要有面向内部其他业务部门、外部社会第三方数据共享分发的场景。目前主要面临以下问题：一是缺乏全过程线上管控：目前数据均是直接从数据库导出，审批流程、数据内容和范围是否合规缺乏管控；二是缺乏数据泄露后责任追溯：目前没有技术措施能够明确泄露点，发生问题后无法确定责任归属。针对上述场景存在的问题，数据流转与外发管控系统在实现“零改造”“高可靠”“精细化”的前提下，按照“全环节”“高隐蔽”“易追溯”的原则，对从数据申请、审批申请、数据调取、数据复核、数据分发水印、数据溯源的整个数据分发流转过程实施安全管控，提高安全性，解决了数据泄漏后无法对泄漏源头进行追溯的问题。该系统具有高可靠性、高安全性的特性，可以从不同类型的生产数据库创建、操纵和管理所需的各类数据库脱敏任务，实现在各种应用场景下对数据的高仿真度需求和高效管理。该系统预装了丰富的脱敏信息识别和转换算法来处理数据表中的敏感信息，结合数据对象和业务系统实际情况，有效地转换、加密或替换生产数据库中的敏感数据，并确保用于测试的数据格式以及业务关联和数据的有效性。

本成果创新构建“对外诱捕、对内引流”的黑客诱捕系统，实现“诱敌深入、延缓攻击、黑客画像、反制擒拿”于一体的主动防御体系，已在5家单位试点应用，提升全网网络安全防护水平。2021年国家网络安全攻防演习期间，黑客诱捕系统累计遭受攻击2万余次，上报防守方成果报告20余份，成功捕获多名黑客真实身份信息，为国网公司获得1650分高额加分。项目关键技术经查新在国内外相关文献中未见报道，申请发明专利3项，获省部级奖励5项，受到国网互联网部的认可与肯定，在各行业网络安全工作中均有很高的推广价值。 本成果可通过对外映射诱饵引诱黑客访问“陷阱”，并通过高交互的虚拟仿真页面拖延黑客攻击时间。同时，对内部署“哨兵”实现对内部攻击横向探测实时感知。通过引导攻击者下载运行定制化文件，反向控制攻击者主机，并结合多源情报库溯源分析获取黑客身份。可节约人力物力，减少溯源反制人员数量，大大提升公司网络安全工作的自动化程度。

NERC（北美电力可靠性公司）当地时间7月20日发布了202 年可靠性报告，强调了互连系统的健康状况和可靠性风险缓解活动的有效性。在各种调查结果中，NERC报告称，网络安全威胁形势对2021年的电力行业构成了严重障碍，主要是由地缘政治事件、新漏洞、技术变革以及越来越大胆的网络犯罪分子和黑客活动所导致。