勒索病毒网络安全展望调研投资分析报告.docx

资源描述

勒索病毒网络安全展望调研投资分析报告.docx

《勒索病毒网络安全展望调研投资分析报告.docx》由会员分享，可在线阅读，更多相关《勒索病毒网络安全展望调研投资分析报告.docx（20页珍藏版）》请在冰豆网上搜索。

勒索病毒网络安全展望调研投资分析报告.docx

勒索病毒网络安全展望调研投资分析报告

（此文档为word格式，可任意修改编辑！

）

正文目录

勒索蠕虫软件袭击网络4

国内2.8万家机构被攻陷苏浙粤较严重4

黑客利用windows漏洞5

中毒后只有“认输”别无它法5

与传统黑客不同以比特币为赎6

打安全补丁预防勒索软件攻击6

国内网络安全厂商提出方案7

初始病毒已被阻止WannaCry2.0已出现9

初始病毒“自杀开关”被发现9

WannaCry2.0传播速度更快10

网络安全事件频发11

维基解密：

CIA可入侵用户各种电子设备甚至汽车11

涉及美国军方、企业等上千万条员工信息的数据库泄露11

美国空军数千份高度机密文件被泄，备份服务器竟无秘钥11

上百万已被破解的谷歌Gmail和雅虎账户在暗网低价出售12

黑客在暗网出售中国10亿账户数据：

主要来自腾讯、网易、新浪等12

政策驱动网络安全下游需求12

2017年党政机关需求带动13

安全事故超预期实际需求超预期14

技术更新驱动需求和创投并购14

2017前2月已有5家AI网络安全企业被收购14

防止未知威胁的Invincea被Sophos收购14

UEBA技术的被惠普收购15

关键IP用户行为分析的Harvest.ai日被亚马逊收购16

值得关注的人工智能与网络安全公司17

重新认识网络安全18

事件驱动网络安全下一轮繁荣18

内外网分开不再安全19

相关建议19

网络安全19

自主可控基础软硬件19

风险提示20

图目录

图1：

国内机构感染永恒之蓝勒索蠕虫地域分布4

图2：

国内机构感染永恒之蓝勒索蠕虫地域分布5

图3：

启明星辰给出勒索软件处置方案7

图4：

内部排查应急&无法关闭服务端口的应急解决方案8

图5：

终端应急解决方案8

图6：

网络应急解决方案&已经感染解决方案9

图7：

勒索病毒软件攻击&防护原理10

图8：

《网络安全法》出台有法可依解决三大问题13

图9：

Invincea首页15

图10：

niara官网16

图11：

Harvest.ai官网17

图12：

投资机器学习与人工智能的网络安全公司列表18

勒索蠕虫软件袭击网络

国内2.8万家机构被攻陷苏浙粤较严重

5月12日开始，WannaCry（永恒之蓝）勒索蠕虫突然爆发，影响遍及全球近

百国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成

为受害者，我国的校园网和多家能源企业、政府机构也中招，被勒索支付高额

赎金才能解密恢复文件，对重要数据造成严重损失，全球超10万台机器被感染。

360威胁情报中心显示，截至到5月13日下午19：

00，国内有28388个机构

被“永恒之蓝”勒索蠕虫感染，覆盖了国内几乎所有地区。

在受影响的地区中，

江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

图1：

国内机构感染永恒之蓝勒索蠕虫地域分布

5月12日，全球性的Wannacry勒索蠕虫攻击网络，根据360威胁情报中心显示，截至5月13日19：

00，国内有28388个机构被感染，其中江苏为受灾最

严重地区。

图2：

国内机构感染永恒之蓝勒索蠕虫地域分布

黑客利用windows漏洞

黑客利用了Windows电脑上一个关于文件分享的MS17-010漏洞。

微软现在已经停止对XP和Vista两个系统提供安全更新，而国内使用XP的用户又不在少

数，因此这类用户很容易被黑客利用该漏洞进行突破。

其实，微软早在两个月前就发布了针对该漏洞的安全更新，而很多用户没有及时打补丁的习惯，这也给了黑客可乘之机。

中毒后只有“认输”别无它法

勒索软件（ransomware）其实是一种病毒，而这种病毒的作用是破坏你的电脑文件。

不过这种破坏是可逆的，黑客可以帮你把破坏的文件还原回去，当然你

需要付给黑客一笔费用才行。

黑客为了增加震慑效果，还对受害者给出一定的期限，超过期限费用将成倍增长，甚至停止给用户提供恢复服务。

勒索软件在破坏过程中对电脑进行RSA加密。

这种加密方式的特点是，只要加密密钥足够长，用户几乎是不可能破解的。

一般来说，这类病毒密钥位数长达

2048，传统电脑需要数十万年才能够破解。

所以一旦电脑中毒，基本没有挽回余地，如果实在有重要资料需要恢复，只能乖乖向黑客付钱。

目前恢复文件除了交赎金外暂无其他办法，如果文件特别重要，可以尝试交赎金，以免过期被“撕票”，但此举无法得到保障。

选择等待也有希望，待全球安全专家破解黑客的加密算法。

与传统黑客不同以比特币为赎

比特币是一种非政府发行的虚拟货币，它的特点是加密并分布存储在网络上，

所以具有很好的匿名性。

一方面，黑客索要比特币能够很好地隐匿身份，给警方追踪犯罪分子带来很大困难；另一方面，比特币自诞生以来价格不断上涨，现在的价格相比几年前已翻数倍，本周甚至一度超过1800美元。

我们认为用比特币支付的原因有以下几点：

一是比特币是无国界无限制全球自由流通；

二是比特币账户是匿名的，无法追查有利于洗黑钱；

三是近期比特币行情持续走高，索要比特币有利于事后保值；

四是借此事件推广比特币，不排除此黑客是比特币玩家。

打安全补丁预防勒索软件攻击

针对此次攻击，应该确认影响范围，确保Win7及以上版本的系统安装MS17-010补丁。

Win7以下的WindowsXP/2003关闭SMB服务。

考虑到windows系统SMB远程命令执行漏洞的危险性，国内外不少云服务厂商在4月封掉了445端口，但是不少个人电脑仍然存在大量暴露445端口的机

器，这给了黑客可乘之机。

国家网络与信息安全信息通报中心紧急通报：

12日20时左右，

新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。

请广大计算机用户尽快升级安装补丁。

国内网络安全厂商提出方案

针对此次病毒事件，国内A股网络安全上市公司给出了解决方案。

例如启明星辰给出的解决方案。

针对未部署端点安全的终端应急解决方案：

做好重要文件的备份工作（非本地备份）。

开启系统防火墙。

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

打开系统自动更新，并检测更新进行安装。

停止使用WindowsXP、Windows2003等微软已不再提供安全更新的操作系

统。

如无需使用共享服务建议关闭该服务。

图3：

启明星辰给出勒索软件处置方案

图4：

内部排查应急&无法关闭服务端口的应急解决方案

已部署端点安全的终端应急解决方案：

如果用户已经部署终端管理类产品，如北信源，天珣、联软等；通过终端管理软件进行内网打补丁。

通过主机防火墙

关闭入栈流量。

主机防火墙关闭到445出栈流量。

开启文件审计，只允许word.exe，explore.exe等对文件访问。

升级病毒库，已部署天珣防病毒的用户，

支持查杀。

图5：

终端应急解决方案

图6：

网络应急解决方案&已经感染解决方案

无法关闭服务端口的应急解决方案：

若用户已部署UTM/IPS入侵防御类产品，

可联系厂商获得最新事件库的支持。

已部署启明星辰天清入侵防护类产品（IPS/UTM）的用户，请大家升级至最新事件库并下发相应规则即可实现对内部Windows主机的防护。

未部署相关产品的用户，可联系厂商获得产品试用应急。

北信源认为由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主

干网络上封禁了445端口，但是教育网并没有此限制，因此导致目前蠕虫的泛

滥。

北信源基于SMB文件共享传播的病毒攻击手动防范方案也是给windows

终端打上MS17-010补丁、禁用135，137，139，445端口。

初始病毒已被阻止WannaCry2.0已出现

初始病毒“自杀开关”被发现

英国一网络安全人员发现者该病毒代码一开始有一个特殊的域名地址：

该域名地址是病毒制作者给自己留的一个紧急停止开关，防止事情失去他自己的控制。

该域名涉及到的代码逻辑：

访问这个域名——如果域名存在——退出；

访问这个域名——如果域名不存在——开始继续攻击；

也就是说，每一个感染了病毒的机器，在发作之前都会事先访问一下这个域名，如果这个域名不存在，那就继续传播。

如果被人注册了，无论是病毒制作者还是被其他人，那就停止传播。

这种方法目前只是暂时阻止了勒索软件的进一步发作和传播，但帮不了那些勒索软件已经发作的用户，也并非彻底破解这种勒索软件，新版本的勒索软件很可能不带这种“自杀开关”而卷土重来，用户应当尽快更新电脑系统的安全补丁。

图7：

勒索病毒软件攻击&防护原理

WannaCry2.0传播速度更快

国家网络与信息安全信息通报中心紧急通报：

监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：

WannaCry2.0，与之前版本的不同是，这

个变种取消了KillSwitch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

网络安全事件频发

维基解密：

CIA可入侵用户各种电子设备甚至汽车

3月8日消息，维基解密披露9000页机密文件，这些文件证明美国中央情报局（CIA）开发了大量入侵工具。

维基解密公布一批CIA文档，这批文档的代号为“Vault7”，它介绍了CIA的黑客技术。

安全研究人员从文档中找不到任何实际的代码，不过文档描述的技术相当惊人，CIA找到了几十个漏洞，攻击者可

以通过漏洞入侵Android、iOS、PC。

CIA曾经尝试入侵三星智能电视，将它变

成监听设备。

涉及美国军方、企业等上千万条员工信息的数据库泄露

3月16日消息，近日美国商业服务巨头Dun&Bradstreet的52GB数据库遭到泄露，这套数据库中包含超过3300万条记录，具体包括政府部门与大型企业

客户。

这套数据库包含九十条字段，其中一部分包含多项个人信息，例如姓名、

职称与职能、工作电子邮箱地址以及电话号码等。

有证据证实，该数据库曾面

向营销厂商出售过，但尚不清楚完整数据集的购买价格。

美国空军数千份高度机密文件被泄，备份服务器竟无秘钥

3月16日消息，据外媒报道，没有设置密码验证的备份服务器暴露了数千份美国空军的文件，包括高级军官的高度敏感个人文件资料。

国外新闻网站查看文件后发现，这些文件包含一系列个人文件，例如4000多名军官的姓名、地址、

职级和社保号。

这个备份驱动还包含数GB的Outlook电子邮件文件，包含好几年的电子邮件。

安全研究人员发现，任何人都可以访问数GB的文件，因为联网备份服务未设置密码保护。

上百万已被破解的谷歌Gmail和雅虎账户在暗网低价出售

3月7日消息，最近，暗网市场成了黑客和网络犯罪分子销售数据库（从互联网巨头处窃取）的最佳场所。

一位昵称叫“SunTzu583”的黑客正在暗网销售

数百万Gmail和Yahoo账号。

其中，销售的Yahoo账号共计超过24.5万个，包括用户名、电子邮箱和破解密码，这些账户来自2012年Last.FM被泄的数据、2013年10月Adobe遭遇黑客入侵以及2008年MySpace遭遇入侵。

被出售的Gmail账户共计超过95万个，包括用户名、电子邮件和明文密码，数据主要来自三起黑客事件：

比特币安全论坛（2014.9）、MySpace（2008）和Tumblr（2013）遭遇入侵。

黑客在暗网出售中国10亿账户数据：

主要来自腾讯、网易、新浪等

1月26日消息，在最近的一份列表当中，名为“DoubleFlag”的知名暗网供应商正在出售窃取自多家中国互联网公司的用户数据。

根据这份列表、此套数据

集包括来自网易及其子公司、与Y，腾讯控股公司旗下的QQ.com，TOM集团的T、，新浪集团的S

政策驱动网络安全下游需求

2016年11月7日十二届全国人大常委会第二十四次会议正式的通过了《中华人民共和国网络安全法》。

网络安全法将于1日起施行。

法律进一

步界定关键信息基础设施范围;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。

图8：

《网络安全法》出台有法可依解决三大问题

目前我国面临着三大网络安全突出问题：

国家网络主权和国家安全战略需求；

企业数据、知识产权遭窃取难以维权；公民个人信息和隐私遭泄露、诈骗损失惨重。

而我国网络安全法律法规处于空白状态，在网络安全问题日益凸显的当前，往往面临无法可依的窘境。

1日，《网络安全法》正式实施后，网络安全工作将进入有法可依、有法必依的阶段。

这将催生一个不断扩大的网络安全市场空间，产业投入和建设也将步入持续稳定的发展轨道。

2017年党政机关需求带动

美国2017财年网络安全预算增长35.7%：

美国2017财年政府预算（自2016年10月1日开始）美国联邦政府支出总计4.1万亿美元，比上一财年上涨约5%。

其中，“网络安全”支出比上一财年增加35%。

美国政府在预算说明中认为网络威胁是美国经济和国家安全面临的“最迫切”危险之一，急需加强信息安全。

他提出的190亿美元网络安全计划能解决美国面临的短期和长期挑战，政府将建立网络安全高级别委员会，了解技术革新趋势和网络威胁发展趋势。

我们认为考虑到今年召开的十九大，以及对标美国政府对网络安全的预算，中国各级党政机关、军队今年对网络安全需求也会大幅增长。

安全事故超预期实际需求超预期

我们认为，每年的网络安全事件总是超预期，导致每年实际需求经常超出年初对需求预测。

保守预测无法跟上网络犯罪的急剧增长势头的原因如下：

1.网络犯罪呈高发势头;

2.勒索软件日益猖獗;

3.PC、笔记本电脑和移动设备的恶意软件泛滥;

4.数十亿受保护的物联网设备被部署用来实施大规模攻击;

5.攻击者对全球的企业、政府、教育机构和消费者发起网络攻击。

技术更新驱动需求和创投并购

2017前2月已有5家AI网络安全企业被收购

2017年才过去两个月，就有三家AI网络安全创业企业被科技巨头重金收购。

在打击网络犯罪领域，人工智能技术正变得越来越重要。

2017年前2个月已经

有3家关注AI的网络安全创业企业已被收购。

这三家网络安全创业企业都针对机器学习技术，即一组用来训练机器从数据中学习并预测趋势和结果的算法。

包括利用机器学习算法来进行自然语言处理、

预测分析、图像识别等种种功能。

CBInsights的数据库显示2017年前两个月中被大型科技公司收购的3家AI

网络安全创企。

另外，埃森哲于2月8日收购了AI网络安全公司Endgame的联邦服务部门。

LRRPartners于1月9日收购了BluVector。

BluVector是从国防承包商诺斯罗普〃格鲁曼公司分离出的子公司，其使用机器学习算法来实时检测企业网络中的安全威胁。

防止未知威胁的Invincea被Sophos收购

Invincea提供高级恶意软件威胁检测、网络漏洞预防和预漏洞法医情报。

公司的旗舰产品“XbyInvincea”是一个机器学习的终端解决方案，旨在防止新的、

未知的威胁类型。

Invincea拥有不少使用沙盒环境检测威胁的专利，沙盒环境

可以让软件开发人员在为测试代码发布之前先将其孤立等等。

图9：

Invincea首页

Sophos以1亿美元现金收购了Invincea，同时还有2000万美元的盈利能力支付计划，绩效目标由Sophos设置。

公司的研发部门InvinceaLabs不再此收购

之列。

UEBA技术的被惠普收购

Niara提供的用户和实体行为分析（UEBA）技术，该技术使用监督和非监督机器学习技术来分析用户行为，发现可能导致安全问题的异常现象。

Niara的行为分析软件可以自动检测组织机构内的攻击和风险行为。

其UserandEntityBehavioralAnalytics（UEBA）软件依赖机器学习和大数据分析，增强安全

性以防止那些可能渗透传统防火墙和其他外围系统的威胁。

收购后，Niara将在HPEAruba下运营，并整合Aruba的ClearPass网络安全产品组合用于有线和无线网络基础设施。

Aruba部门一直是HPE计划构建实现物联网服务平台的一部分。

而收购和整合Niara将会特别加强HPE针对物联网的网络安全产品组合。

当Niara发现安全事件后，客户可以利用ClearPass隔离或者断开用户或者设备与易受攻击网络的连接。

图10：

niara官网

关键IP用户行为分析的Harvest.ai日被亚马逊收购

Harvest.ai使用机器学习和AI围绕公司的关键IP分析用户行为，从而在客户重要数据被窃取之前识别并阻止针对性攻击。

Harvest.ai的旗舰产品是一个正在

等待专利审核通过的AI产品，名叫MACIEAnalytics，可以实时监测知识产权的访问情况。

根据媒体报道，亚马逊可能从2016年初就开始了针对Harvest.ai的收购流程，

只不过收购细节现在才公开。

有传言表示，亚马逊以2000万美元收购了该公司，让公司背后的唯一风投TrinityVentures大赚了一笔。

图11：

Harvest.ai官网

值得关注的人工智能与网络安全公司

国外已经有公司将机器学习或者人工智能融入安全技术，我们从CBInsights找出13家值得关注的公司，具体情况如下表所示。

图12：

投资机器学习与人工智能的网络安全公司列表

重新认识网络安全

事件驱动网络安全下一轮繁荣

对于网络安全行业来说，勒索病毒软件的爆发是推动行业发展的契机，很多时候说网络安全的重要性，大家是不信的。

政府以及企业的信息部门主管可能早

就意识到漏洞和网络安全问题的严重性，但是还是需要有一些事情去推动他，向上去推动预算和决策。

网络安全行业长期以来是政策和关键事件驱动，这一次的事件一定会对整个安全行业造成非常大的影响。

因为就是最基础的漏洞没有补而造成了如此大范围的不可逆转的影响，我们认为这个事件会极大的促进整个网络安全市场，启动下一轮的行业繁荣。

内外网分开不再安全

本次病毒入侵公安、石油、边防检查、校园、医院等传统意义上的安全系统，

此类系统是内外网分开的，内网系统是不暴露在互联网上，中间有一个鸿沟，不会受到攻击，或者说病毒根本进不来。

但是，可以通过U盘、邮件的传播病毒，而一进去发现所有的机器没有防护，这就是此次事件的真是情况。

一般情况下，网络安全投入是纯成本投入，没有任何产出。

中国信息安全投入占IT投入就2%左右，而西方发达国家是百分之十几。

特别是对企业来说很在

乎网络安全的投入产出比，特别是核心业务不依赖信息化的用户，对网络安全的投入很少，只是简单的在边界上做个防火墙。

但是，这样的防控级别对于本次病毒来说是无效的，因为它是通过基础软件的漏洞在内网传播的。