孫子曰“知己知彼,百戰(zhàn)不殆”���,古語有云“知易行難”�����。知己已是不易�,各種開源軟件涌入信息系統(tǒng)���,各種API調(diào)來調(diào)去供應(yīng)鏈越來越長�,各種微服務(wù)“一言不合”就上線���。
這種動態(tài)環(huán)境下�����,知己 ——清楚地了解洞悉自身網(wǎng)絡(luò)中的資產(chǎn)�、價值和安全屬性���、邏輯分布和依賴關(guān)系等無疑很難挑戰(zhàn)���。 但知彼更難挑戰(zhàn)�����。“彼”的識別就是個大問題����。什么目標(biāo)和動機?定向的����,還是非定向的;什么技術(shù)水平?高級的,還是一般的;什么漏洞和利用在流行?數(shù)百萬的安全告警背后分別是什么威脅?
綠盟權(quán)威發(fā)布
《2017年度網(wǎng)絡(luò)安全觀察》�����,結(jié)合綠盟科技威脅情報中心(NTI)豐富的威脅情報數(shù)據(jù)��,針對攻防中最重要的關(guān)注點對2017年網(wǎng)絡(luò)安全態(tài)勢進(jìn)行了梳理�,從漏洞披露、惡意流量監(jiān)控����、惡意軟件的發(fā)展演變多個角度,結(jié)合地區(qū)��、行業(yè)的屬性���,對2017年網(wǎng)絡(luò)安全態(tài)勢進(jìn)行了分析解讀。這些威脅都是日常運維中最常面對的��,這份報告是結(jié)合了NTI最新情報數(shù)據(jù)進(jìn)行的綜合分析�����,希望能夠為企業(yè)用戶以及網(wǎng)絡(luò)安全領(lǐng)域的從業(yè)者提供參考和幫助�。
Web類攻擊的行業(yè)分布
由于各個行業(yè)的業(yè)務(wù)特性都不相同��,黑客攻擊在不同行業(yè)中的呈現(xiàn)側(cè)重點是不一樣的�。在互聯(lián)網(wǎng)企業(yè)中,業(yè)務(wù)環(huán)境復(fù)雜��,大量的業(yè)務(wù)需要提供Web界面為客戶提供服務(wù)�����,其背后還需要架設(shè)復(fù)雜的IT架構(gòu)提供相應(yīng)的技術(shù)支撐����,使得Web類、系統(tǒng)類的攻擊在互聯(lián)網(wǎng)行業(yè)中都非常突出����,對防護(hù)方案的要求也會更加苛刻���。從業(yè)務(wù)流量上看互聯(lián)網(wǎng)Web服務(wù)的流量占比是最高的,但是���,單從行業(yè)自身業(yè)務(wù)特征看���,運營商、教育�����、制造�、政府行業(yè)都應(yīng)該重點關(guān)注Web類的攻擊��,進(jìn)行重點防護(hù)。
屢禁不絕的DDoS攻擊
DDoS攻擊����、Web攻擊、系統(tǒng)漏洞利用這些攻擊始終在互聯(lián)網(wǎng)環(huán)境中逡巡����,不管你是否關(guān)注���,它就在那里����。2017 年同去年同期相比�,攻擊發(fā)生次數(shù)基本保持平穩(wěn),共計發(fā)生20.7 萬次�。但是從攻擊總流量上來看有較為明顯的波動�����,從年初到年中5月份前后���,攻擊總流量有非常顯著的增長�����,而5月份之后攻擊總流量回落至較為平穩(wěn)的水平�����。與2016年相比��,2017年攻擊仍然頻繁��,攻擊總流量大幅上升。
值得關(guān)注的一些新趨勢:
· 今年來自IoT設(shè)備的攻擊占比達(dá)到了12%;
· DDoS攻擊武器庫新增一種攻擊��,反射攻擊類型:Memchached����,從各類反射型攻擊的放大倍率來看���,Memcached 高居榜首���,最高可達(dá)51000 倍;
你知道鬼影嗎?
“鬼影”是一個在中國非�����;钴S的僵尸網(wǎng)絡(luò)���,是基于Windows平臺發(fā)展的一個影響廣泛的僵尸網(wǎng)絡(luò)��。在近期Botnet活動監(jiān)測中�����,我們看到“鬼影”的活動十分頻繁�,這個家族出現(xiàn)時間早、變種多����,具有相當(dāng)成熟的商業(yè)運作���。對此�,我們認(rèn)為需要特別關(guān)注和治理����。
圖:活躍Botnet家族指令數(shù)量統(tǒng)計
“鬼影”目前至少存在10個不同的版本,每個版本與之前一個版本相比都增加了新的功能���,DDoS攻擊技術(shù)也不斷升級迭代�����。目前“鬼影”已經(jīng)成為一個可發(fā)動大流量攻擊��、可大規(guī)模傳播���、支持不同模式商業(yè)運作的成熟軟件。
2017年最突出的惡意軟件——你造嗎?
2017年最突出的惡意軟件類型就是勒索軟件:
2017年5月12日���,WannaCry勒索病毒借助EternalBlue(永恒之藍(lán))漏洞肆虐全球��,影響超過150個國家�,中毒用戶要去在72小時內(nèi)支付價值300美金的比特幣,并且3天后勒索贖金就會翻番�����,7天后拒付贖金����,計算機文件將被永久加密
2017年6月爆發(fā)的NotPetya勒索病毒同樣采用EternalBlue(永恒之藍(lán))漏洞傳播,病毒會修改系統(tǒng)的MBR引導(dǎo)代碼這將使病毒在電腦重啟時得到執(zhí)行���,該病毒會在開機時提示用戶電腦正在進(jìn)行磁盤掃描然而實際上病毒正在執(zhí)行文件加密等操作���。當(dāng)所有加密操作完成后,病毒才彈出勒索軟件�,要求受害者付價值300美金的比特幣。在2017年7月���,病毒作者公布了Petya系列勒索軟件的所有密匙。
2017年10月��,BadRabbit(壞兔子)勒索軟件爆發(fā)���,攻擊者首先入侵新聞媒體類網(wǎng)站�,隨后利用這些新聞類網(wǎng)站發(fā)起水坑攻擊�。BadRabbit要求受害者在40小時內(nèi)支付0.05比特幣(當(dāng)時約合300美元)��。
總結(jié):
《2017年度網(wǎng)絡(luò)安全觀察》報告基于綠盟科技威脅情報中心數(shù)據(jù),從漏洞態(tài)勢�����、攻擊態(tài)勢��、惡意軟件態(tài)勢三個角度���,對2017年度網(wǎng)絡(luò)安全的態(tài)勢變化進(jìn)行了分析。我們分析了攻擊者��、受害者的行業(yè)�、地區(qū)分布等信息,這些基礎(chǔ)威脅統(tǒng)計信息可以作為UEBA/安全行為分析的重要輸入���,建立更智能的安全檢測體系。此外��,2017年��,在我們持續(xù)監(jiān)控的超過390萬個攻擊源中�����,約20%的惡意IP曾對多個目標(biāo)進(jìn)行過攻擊���,0.39%的攻擊源對90%的攻擊事件負(fù)責(zé)�����。對這些“慣犯”的針對性跟蹤、分析�、畫像、對抗等可以有效地提高安全防護(hù)的效率和效果��,相應(yīng)地�,“慣犯”覆蓋也將成為最為核心的威脅情報能力之一���。
同時��,我們對例如DDoS��、系統(tǒng)攻擊�����、Web攻擊等常見攻擊進(jìn)行了觀察�,還把物聯(lián)網(wǎng)設(shè)備漏洞以及借助物聯(lián)網(wǎng)平臺發(fā)動的攻擊等也納入到觀察視野范圍內(nèi)�����。綠盟威脅情報中心數(shù)據(jù)顯示���,物聯(lián)網(wǎng)設(shè)備IP已占有總惡意IP的12%����,物聯(lián)網(wǎng)設(shè)備中惡意IP所占物聯(lián)網(wǎng)總IP數(shù)量的比例達(dá)到4.8%����,是普通IP空間相應(yīng)惡意IP占比的3倍。
不難預(yù)計����,物聯(lián)網(wǎng)設(shè)備帶來的安全威脅將繼續(xù)不斷升高,對物聯(lián)網(wǎng)威脅的相應(yīng)防護(hù)能力將會成為安全防護(hù)體系的標(biāo)配���。
京公網(wǎng)安備 11010502041587號