2023网络空间测绘年报.docx

SINa1.NoU执行摘要2023年重大网络空间安全事件回顾1.1 高风险资产安全事件1.2 大模型资产安全事件13信创资产安全事件1.4 数据资产安全事件1.5 蛤02网络空间高风险资产分析2.1 工控资产暴露情况分析2.2 物联网资产暴露情况分析2.3 安全设备资产暴露情况分析2.4 黑客控守资源暴露情况分析2.5 高风险服务资产暴露情况分析大模型资产测绘专题分析3.1 语言类大模型服务站点测绘3.2 绘图类大模型服务站点测绘3.3 大模型资产风险分析3.4 小结101012131418222527313337394304信创资产测绘专题分析444.1 信创资产测绘454.2 信创资产风险分析484.3 小结5005数据安全资产测绘专题分析515.1 数据安全资产测绘525.2 数据安全资产风险分析595.3 结6506总结与展望66参考文献69:脸脸脸/柒/脸:浮2023年，工控和物联网等传统资产仍是黑客关注的重要攻击资源。勒索团伙、APT组、织和间谍组织等威胁参与者利用网络空间中暴露的脆弱资产对多个受害者发起攻击。AIGC、1.1.M热潮下，持续增长的ChatGPT资产屡次曝出数据泄露安全事件，加剧了未来威胁的发展趋势。数据投毒、对抗攻击、Al模型注入、1.1.M框架漏洞利用等新型智能、攻击方式将成为未来黑客攻击的武器库之一。近年来国内对工控、物联网等资产开展的安全治理工作显有成效。对比去年，国内暴、露的年资产总量呈下降趋势。但总体来看,互联网仍存在部分暂未进行治理的理资产。J安全设备作为保护内部网络的第一道屏障、正常办公访问的入口，其自身的安全保障、至关重要。目前国内互联网暴露的安全设备数量众多，值得关注。大量高风险服务资产暴露在互联网上，其中绝大多数使用默认端口。这些服务一旦被、黑客攻击,就会直接造成数据泄露、DDoS攻击等重大安全问题。全球范围内发现大量ChatGPT服务站点。从地理分布来看,这些站点主要位于美国和中国。从国家数据安全监管视角,国内企业人员使用这些8艮务站点可能存在:ChatGPT服务站点的IP地址具有很高的聚集性,常常会有多个站点托管在同一个IP地址上。产生聚集性的主要原因是大量站点在搭建时采用了相同的开源框架，这些框架的、调用的IP配置相同。这增加了此类站点所面临的风险。一观点8：信创资产的主要用户通常是重要的企事业单位或重要机构。信创资产暴露在互联网容易暴露重点单位的攻击面（IP地址范围）.同时信创资产也或多或少存在安全漏洞，应尽、量避免由妾暴露在互联网。观点9：（随着消息中间件、数据服务组件等资产的广泛应用，数据安全资产的攻击面不断扩汇）采用过时、不安全配置的，和存在漏洞的数据安全资产，仍是企事业单位需关注的焦点。观点11：在数据安全资产中，消息中间件存在一些利用成本低、危害性高的漏洞，此类资产的、安全性值得关注。从地理分布上来看，工控暴露资产主要集中在工业互联网产业发展较快的地区，暴露、数量随工业互联网发展程度呈现增长态势。按资产协议划分，工控资产暴露的MODBUS协议数量最多,占到全部暴露协议数量的57.50%从厂商分布来看，工控资产暴露的厂商类型主要以国外厂商为主。其中暴露最多的为、施耐德，数量为312个。大量物联网设备仍暴露在互联网中，设备类型以摄像头、路由器和NAS为主。其中涉、及的国产设备占比约50%。经济发达、人口密集的地区容易暴露更多的物联网设备。对比2022年,在物联网安全治理下，国内暴露的路由器、摄像头数量大幅下降。P从地理分布来看，工业体系较为发达的地区暴露的资产数量占比较多。/X从变化趋势看，互联网暴露安全设备数量比上一年增加了近一半。从地理分布来看，、沿海、经济发达、人口稠密和重要行业、单位集中的地区安全设备资产暴露数量偏多。，2023年国内暴露的CobaltStrike（下文简称CS）服务有3337个，较去年有所增加，其中北京、上海、广东暴露数量位列前三，国内多家知名云厂商分布量远超传统运营商，、国内云厂商资产占比达到80%以上。观察9：从地理分布来看，语言类大模型服务站点（ChatGPT）应用最广泛的地区为美国，ChatGPT服务网站数量占比约为68.0%。其次是中国和新加坡，两者占比分别为21.6%J9%）,从运营商分布来看，该类站点采用云服务器为主,占比约为93.7%。从地理分布来看，国内绘图类大模型服务站点应用数量前三的地区分别为香港（27.4%）、北京（21.6%）和上海（14.5%）。从运营商分布来看，数量前三的国内厂商、分别是中国电信（21.4%）、阿里云（19.4%）和腾讯（16.9%）ChatGPT服务站点的安全性和可靠性一般，一方面其普遍使用不安全的HTTP协议；、另一方面这些站点的架构和部署方式具有很高的相似性。从地理分布来看，江苏省暴露的信创资产数量较多，约占40.1%；从端口分布来看，22端口暴露数量最多，约占86.1%。对比去年，传统的MysqkPostgreSQ1.数据库暴露数量平均减少近I倍，而大数据、文档等数据库暴露数量平均增长近I倍。对比去年，代码仓库暴露数量呈下降趋势，下降比率达33%o从类型分布来看，整体、没有较大的变化。J2023年，数据服务组件暴露总量为07,953o其中，数据监测类组件Zookeeper暴露、数量最多，占比约为34.6%；数据应用类组件最多的为SqUid,占比约为20.6%。（2023年,消息中间件ACtiVeMQ暴露数量为70,550,Kafka暴露数量为9,878。）从整体分布来看，越来越多的数据库资产采用了云数据中心，占比约为83.92%,云数、据中心成为企业数字化转型的首选基础架构设施服务。执行摘要”执行摘要2023年，是网络安全产业充满考验和挑战的一年。在全球经济下行背景下，网络安全面临的威胁复杂多样。自党的二十大提出加快建设网络强国的战略以来，网络安全已成为国家安全的重要组成部分。在安全战略建设的驱动下，网络安全相关政策法规和标准规范相继落地、国家网络安全治理日臻完善、网络安全技术加快迭代升级，国内网络安全治理工作效能显现，但网络攻击事件仍时有发生，互联网空间暴露资产仍常成为攻击者利用的对象。2023年，是网络安全技术变革的一年。信创产品、生成式人工智能（AIGC）x基于人工智能的对抗攻防技术、量子安全技术、云原生安全、安全审计和合规、云密码、网络防护有效性验证、数据安全治理和软件供应链安全治理等多个热点技术涌现。在新技术热潮下，不断暴露的脆弱资产仍然是网络空间治理的重中之重。绿盟科技制定的2023年网络空间测绘报告，从网络安全事件开始，在观察网络空间传统资产暴露情况的基础上，针对大模型安全、信创安全、数据安全三个专题场景进行深入的分析，探究我国在互联网暴露资产上总体态势和安全风险情况。报告中的主要内容如下：第一章，回顾和简要分析2023年较为重大的安全事件中的典型案例。基于当前热点发展领域分析网络安全事件态势，有助于发现和识别热点领域关联资产潜在的风险，保证整体网络空间的稳态运行，进而保障经济稳定及安全发展。第二章，梳理国内网络空间中的关键领域高风险资产暴露的变化情况。从资产类型、地理、协议、厂商、IP应用场景、运营商、端口等不同视角，嬷网络空间中暴露资产的分布特点。在不同的实战场景下，有助于企业定位资产治理的高风险点，指导网络安全布防措施的有效开展。第三章，以"大模型资产”为切入点，分析2023年全球大模型资产的暴露情况。测绘大模型关联资产及地理、运营商分布特点，能够帮助国家摸清新技术领域资产的安全特点。指引在技术进步的前提下认知网络安全态势变化、调整相应的安全防护措施。第四章，从信创安全角度分析当前信创资产的暴露情况。信创的发展使得信息系统更为安全。通过测绘信创资产的类型、地理和端口分布特征，能够对底层技术的持续发展、维护国家安全的战略主动权起到借鉴作用。第五章，以“数据安全”视角对当前不同数据资产的暴露面情况进行梳理。脆弱的数据资产成为数据泄露的源头，统计和挖掘更多数据安全资产，有助于优化和完善数据安全治理工作，保证敏感数据资产的安全运行。第六章，对全文工作进行总结。总结年度暴露资产的特点，分析资产存在的风险，以及展望未来工作。Ol2023年重大网络空间安全事件回顾观点I：）尸"1*2023年，工控和物联网等传统资产仍是黑客关注的重要攻击资源。勒索团伙、APT组'织和间谍组织等威胁参与者利用网络空间中暴露的脆弱资产对多个受害者发起攻击。Q观点2AIGC、1.1.M热潮下，持续增长的ChatGPT资产屡次曝出数据泄露安全事件,加剧了未来威胁的发展趋势。数据投毒、对抗攻击、Al模型注入、1.1.M框架漏洞利用等新型智能、攻击方式将成为未来黑客攻击的武器库之一。,网络安全态势与社会形势、国家治理及法律政策息息相关，尽可能减少敏感设备的暴露，增强网络设备或应用的安全防护，才能尽可能减少形势变化下重大网络安全事件的发生。从ChatGPT数据泄露事件可以看出，对技术发展热潮下出现的大模型产业，厂商在进行技术迭代的同时还需要关注供应链安全。工业控制系统领域是勒索软件攻击的主要目标，因为对于多数受害企业来说，他们无法承受系统或生产线停止服务的代价,所以攻击者会有更大概率拿到赎金。随着各个行业业务上云步伐的加快，云化业务及数据变得越来越重要，这势必吸引更多的攻击者针对云上目标展开攻击。在工控独角兽遭受勒索攻击事件中，攻击者通过攻击工控云服务漏洞，以谋取利益。同时，云上服务面向多租户，相关漏洞的影响因而具有规模性。近年来越来越多的安全设备漏洞被披露出来，其中远程命令执行、权限提升较为常见。自国内重要机构遭遇网络攻击以来，涉及军、政、科研等敏感数据受到攻击者的关注，泛数据资产也成为攻击的主要目标之一。总之，2023年网络攻击趋势仍彳阴续攀升中，勒索软件、漏洞利用、数据泄露以及供应链攻击仍是安全需要关注的重点问题。本章将站在网络空间资产视角下，对2023年网络披露的重大安全事件进行简要分析。.高风险资产安全事件1.1.1 工控安全公司DragOS遭勒索软件攻击2023年5月，在遭遇疑似勒索软件攻击后,工控安全公司Dragos发布安全公告，披露在5月8日发生"网络安全事件"，声称一个已知的勒索软件犯罪组织试图破坏Dragos的安全防御系统并渗透到内网加密设备。对于此次勒索软件攻击，Dragos明确表示不会助长网络3d罪，将不会支付赎金。Dragos表示其公司网络和安全平台在攻击中并未遭到破坏，攻击者的横向移动、提权、加密、驻留等攻击手段大多被Dragos的多层安全控制和基于角色的访问控制挫败了，但攻击者成功入侵了该公司的SharePOint云服务和合同管理系统。其网络安全部门在获悉勒索消息五分钟后立刻禁用了被盗用的员工帐户，撤销了所有活动会话，并阻止网络犯罪分子的基础设施访问公司资源。随着工业互联网的不断发展，出现了大量用于支撑工控服务的供应商。当这些供应商遭到攻击时，相关联的工控资产都将受到影响。1.1.2 武汉市地震监测中心工控资产遭境外网络攻击2023年7月26日，武汉市应急管理局所属武汉市地震监测中心部分地震速报数据前端台站