2019年4月政企终端安全态势分析报告

《政企终端安全态势分析报告》是“奇安信终端安全实验室”定期发布的针对政企网络终端的安全态势分析报告。报告数据来自奇安信公有云安全监测数据。报告以每日感染病毒的终端为基本单位，通过对政企终端感染病毒情况的分析，帮助客户更清晰地看见风险态势，为安全决策提供更有力的参考依据。

第一章、病毒攻击政企整体分析

奇安信终端安全实验室监测数据显示， 2019 年 4 月，有 19.9% 的政企单位遭到病毒攻击，被病毒攻击的事件数量比 3 月下降 7.7% ，被病毒攻击的政企终端的累计数量比 3 月下降 7.3% ，被病毒攻击的政企单位的绝对数量比 3 月下降 4.6% 。在被病毒攻击的单位中，每单位平均被攻击 5.7 次，每次感染 4.6 台终端。

一、 攻击整体态势

4 月，政企终端感染病毒的最高峰出现在 4 月 4 日（星期四），最低谷则出现在 4 月 13 日（星期六）。

二、 攻击事件分析

4 月，被病毒攻击的事件数量比 3 月下降 7.7% 。其中，病毒单日单次攻击政企单位的终端数仅为 1 台的事件比 3 月下降 7.1% ，占 4 月攻击事件总数的 56.5% ；单日单次攻击终端数为 2~10 台的事件比 3 月下降 6.1% ，占 4 月攻击事件总数的 37.3% ；单日单次攻击终端数为 11~50 台的事件比 3 月下降 21.8% ，占 4 月攻击事件总数的 5.0% ；单日单次攻击 50 台以上终端的事件比 3 月下降 14.9% ，占 4 月攻击事件总数的 1.2% 。

三、 攻击力度分析

4 月，有 17.0% 的政企单位遭到蠕虫病毒攻击，在被蠕虫病毒攻击的政企单位中，平均每单位遭到 5.3 次攻击，平均每次攻击感染 4.7 台终端；有 6.7% 的政企单位遭到漏洞利用病毒攻击，在被漏洞利用病毒攻击的政企单位中，平均每单位遭到 3.0 次攻击，平均每次攻击感染 4.7 台终端；有 1.0% 的政企单位感染了勒索病毒，在被勒索病毒攻击的政企单位中，平均每单位遭到 2.5 次攻击，平均每次攻击感染 3.9 台终端。

第二章、勒索病毒攻击政企分析

奇安信终端安全实验室监测数据显示， 2019 年 4 月，有 1.0% 的政企单位遭到勒索病毒攻击，被勒索病毒攻击的事件数量比 3 月下降 26.2% 。被勒索病毒攻击的政企单位的绝对数量比 3 月下降 12.2% ，被勒索病毒攻击的政企终端的累计数量比 3 月 增加 59.8% 。在被勒索病毒攻击的单位中，每单位平均被攻击 2.5 次，每次感染 3.9 台终端。

一、 攻击整体态势

4 月，勒索病毒攻击的最高峰出现在 4 月 4 日（星期四）， 4 月 13 日（星期六）和 4 月 16 日（星期二）并未监测到有效的勒索病毒攻击事件。

二、 攻击力度分析

4 月，勒索病毒攻击的事件数量比 3 月下降 26.2% 。在被勒索病毒攻击的政企单位中，平均每单位被攻击 2.5 次。其中，运营商行业被攻击的次数最多，在被攻击的运营商单位中，平均每单位被攻击 11.5 次。

4 月，在被勒索病毒攻击的政企单位中，平均每次攻击感染 3.9 台终端。其中，公检法行业单次被感染的终端最多，在被勒索病毒攻击的公检法单位中，平均每次攻击感染 41.4 台终端。

三、 攻击单位分析

4 月，有 1.0% 的政企单位遭到勒索病毒攻击，绝对数量比 3 月下降 12.2% 。

在被勒索病毒攻击的政企单位中，政府行业最多，占比高达 25.6% ，被攻击单位的绝对数量比 3 月下降 15.4% ；其次是卫生行业，占比为 11.6% ，被攻击单位的绝对数量比 3 月 增加 150.0% ；教育行业排在第三位，占比为 9.3% ，而 3 月该行业并未监测到明显的被勒索病毒攻击的事件。

在被勒索病毒攻击的政企单位中，北京地区最多，占比高达 20.8% ，被攻击单位的绝对数量比 3 月增加 10% ；其次是湖北地区，占比为 13.2% ，被攻击单位的绝对数量比 3 月 增加 133.3% ；四川地区排在第三位，占比为 9.4% ，被攻击单位的绝对数量比 3 月 增加 400.0% 。

四、 攻击终端分析

4 月，被勒索病毒攻击的政企终端的累计数量比 3 月增加 59.8% 。

在被勒索病毒攻击的政企终端中，公检法行业最多，占比高达 50.0% ，被攻击终端的累计数量比 3 月 增加 404.9% ；其次是卫生行业，占比为 15.5% ，被攻击终端的累计数量比 3 月 增加 156.0% ；政府行业排在第三位，占比为 12.3% ，被攻击终端的累计数量比 3 月下降 2.9% 。

在被勒索病毒攻击的政企终端中，安徽地区最多，占比高达 30.7% ，而 3 月仅监测到少量终端被感染；其次是北京地区，占比为 23.4% ，被攻击终端的累计数量比 3 月 增加 185.3% ；天津地区排在第三位，占比为 19.6% ，而 3 月仅监测到极少量终端被感染。

第三章、漏洞利用病毒攻击政企分析

奇安信终端安全实验室监测数据显示， 2019 年 4 月，有 6.7% 的政企单位遭到漏洞利用病毒攻击，被漏洞利用病毒攻击的事件数量比 3 月下降 8.4% 。被漏洞利用病毒攻击的政企单位的绝对数量比 3 月增长 2.5% ，被漏洞利用病毒攻击的政企终端的累计数量比 3 月增加 3.2% 。在被漏洞利用病毒攻击的单位中，每单位平均被攻击 3.0 次，每次感染 4.7 台终端。

一、 攻击整体态势

4 月，漏洞利用病毒攻击的最高峰出现在 4 月 4 日（星期四），最低谷则出现在 4 月 14 日（星期日）。

二、 攻击力度分析

4 月，被漏洞利用病毒攻击的事件数量比 3 月下降 8.4% 。在被漏洞利用病毒攻击的政企单位中，平均每单位被攻击 3.0 次。其中，能源行业被攻击的次数最多，在被攻击的能源单位中，平均每单位被攻击 5.1 次。

4 月，在被漏洞利用病毒攻击的政企单位中，平均每次攻击感染 4.7 台终端。其中，公检法行业单次被感染的终端最多，在被漏洞利用病毒攻击的公检法单位中，平均每次攻击感染 30.4 台终端。

三、 攻击单位分析

4 月，有 6.7% 的政企单位遭到漏洞利用病毒攻击，绝对数量比 3 月增加 2.5% 。

在被漏洞利用病毒攻击的政企单位中，政府行业最多，占比高达 16.1% ，被攻击单位的绝对数量比 3 月下降 13.0% ；其次是卫生行业，占比为 9.9% ，被攻击单位的绝对数量比 3 月增加 3.6% ；金融行业排在第三位，占比为 6.5% ，被攻击单位的绝对数量比 3 月增加 11.8% 。

在被漏洞利用病毒攻击的政企单位中，北京地区最多，占比高达 15.9% ，被攻击单位的绝对数量比 3 月增加 11.8% ；其次是广东地区，占比为 11.4% ，被攻击单位的绝对数量比 3 月下降 8.9% ；辽宁地区排在第三位，占比为 8.1% ，被攻击单位的绝对数量比 3 月 增加 141.7% 。

四、 攻击终端分析

4 月，被漏洞利用病毒攻击的政企终端的累计数量比 3 月增加 3.2% 。

在被漏洞利用病毒攻击的政企终端中，公检法行业最多，占比高达 18.6% ，被攻击终端的累计数量比 3 月 增加 83.1% ；其次是政府行业，占比为 12.5% ，被攻击终端的累计数量比 3 月增加 56.0% ；能源行业排在第三位，占比为 5.9% ，被攻击终端的累计数量比 3 月下降 77.6% 。

在被漏洞利用病毒攻击的政企终端中，北京地区最多，占比高达 17.8% ，被攻击终端的累计数量比 3 月 增加 173.1% ；其次是安徽地区，占比为 15.3% ，比 3 月 增加 1909.7% ；广东地区排在第三位，占比为 11.6% ，比 3 月增加 42.6% 。

第四章、蠕虫病毒攻击政企分析

奇安信终端安全实验室监测数据显示， 2019 年 4 月，有 17.0% 的政企单位遭到蠕虫病毒攻击，被蠕虫病毒攻击的事件数量比 3 月下降 6.9% 。被蠕虫病毒攻击的政企单位的绝对数量比 3 月下降 7.3% ，被蠕虫病毒攻击的政企终端的累计数量比 3 月下降 10.1% 。在被蠕虫病毒攻击的单位中，每单位平均被攻击 5.3 次，每次感染 4.7 台终端。

一、 攻击整体态势

4 月，蠕虫病毒攻击的最高峰出现在 4 月 4 日（星期四），最低谷则出现在 4 月 13 日（星期六）。

二、 攻击力度分析

4 月，被蠕虫病毒攻击的事件数量比 3 月下降 6.9% 。在被蠕虫病毒攻击的政企单位中，平均每单位被攻击 5.3 次。其中，运营商行业被攻击的次数最多，在被攻击的运营商单位中，平均每单位被攻击 10.6 次。

4 月，在被蠕虫病毒攻击的政企单位中，平均每次攻击感染 4.7 台终端。其中，公检法行业单次被感染的终端最多，在被蠕虫病毒攻击的公检法单位中，平均每次攻击感染 13.2 台终端。

三、 攻击单位分析

2019 年 4 月，有 17.0% 的政企单位遭到蠕虫病毒攻击，绝对数量比 3 月下降 7.3% 。

在被蠕虫病毒攻击的政企单位中，政府行业最多，占比高达 22.8% ，被攻击单位的绝对数量比 3 月下降 4.0% ；其次是卫生行业，占比为 20.2% ，被攻击单位的绝对数量比 3 月下降 19.4% ；教育行业排在第三位，占比为 5.7% ，被攻击单位的绝对数量比 3 月增加 10.5% 。

在被蠕虫病毒攻击的政企单位中，广东地区最多，占比高达 14.0% ，被攻击单位的绝对数量比 3 月增加 11.5% ；其次是北京地区，占比为 10.7% ，被攻击单位的绝对数量比 3 月下降 12.7% ；浙江地区排在第三位，占比为 7.8% ，被攻击单位的绝对数量比 3 月下降 19.5% 。

四、 攻击终端分析

2019 年 4 月，被蠕虫病毒攻击的政企终端的累计数量比 3 月下降 10.1% 。

在被蠕虫病毒攻击的政企终端中，政府行业最多，占比高达 13.4% ，比 3 月下降 23.4% ；其次是教育和能源行业，占比均为 12.5% ，被攻击终端的累计数量比 3 月下降 0.9% 和 25.1% 。

在被蠕虫病毒攻击的政企终端中，贵州地区最多，占比高达 12.2% ，比 3 月增加 10.3% ；其次是广东地区，占比为 11.9% ，被攻击终端的累计数量比 3 月下降 35.3% ；北京地区排在第三位，占比为 10.6% ，比 3 月增加 6.1% 。

关于奇安信终端安全实验室

奇安信终端安全实验室由多名经验丰富的恶意代码研究专家组成，着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究，致力为中国政企客户提供快速的恶意代码预警和处置服务，在曾经流行的 WannaCry 、 Petya 、 Bad Rabbit 的恶意代码处置过程中表现优异，受到政企客户的广泛好评。

奇安信终端安全实验室以奇安信天擎新一代终端安全管理系统为依托，为政企客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务，帮助客户解决内网安全与管理问题，保障政企终端安全。

关于奇安信网神终端安全管理系统

奇安信网神终端安全管理系统（简称天擎）是为解决政企机构终端安全问题而推出的一体化解决方案，是中国政企客户 4000 万终端的信赖之选。系统以功能一体化、平台一体化、数据一体化为设计理念，以安全防护为核心，以运维管控为重点，以可视化管理为支撑，以可靠服务为保障，提供了十六大基础安全能力，帮助政企客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力，提升安全规划、战略分析和安全决策等终端安全治理能力。

特别的是，奇安信还面向所有天擎政企用户免费推出敲诈先赔服务：如果用户在开启了天擎敲诈先赔功能后，仍感染了勒索软件，奇安信将负责赔付赎金，为政企用户提供百万先赔保障，帮政企客户免除后顾之忧。

关于奇安信网神终端安全响应系统

奇安信网神终端安全响应系统（ EDR ）以行为引擎为核心，基于人工智能和大数据分析技术，对主机、网络、文件和用户等信息，进行深层次挖掘和多维度分析，结合云端优质威胁情报，将威胁进行可视化，并通过场景化和全局性的威胁追捕，对事件进行深度剖析，识别黑客 / 威胁意图，追踪威胁的扩散轨迹，评估威胁影响面，从而协同 EPP 、 SOC 、防火墙等安全产品，进行快速自动化的联动响应，将单次响应转化为安全策略，控制威胁蔓延，进行持续遏制，全面提升企业安全防护能力。

声明：本文来自奇安信终端安全实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。