1.DDOS攻击
在信息技术高速革新的背景下,网络空间面临的安全威胁不断升级,越来越多的服务器、个人电脑以及IOT设备沦为黑客的攻击目标。在企业面临的网络安全威胁中,DDOS攻击凭借其技术门槛低、攻击速度快等特点,成为了大量黑产的“核武器”,通过恶意流量挤占网络资源,扰乱正常运营,给企业发展带来极大威胁。
DDOS攻击的历史由来已久,同时在云生态环境下愈演愈烈。一方面,随着云计算和物联网技术的发展,越来越多的可利用设备暴露在公共网络中;另一方面,某些国外用户甚至以个人名义申请成为通信服务运营商,以此来获取更多的带宽资源以及自行配置路由器选项的权限。这都导致攻击者对 DDOS 资源的获取变得更加容易。同时,随着云服务提供商对网络外部资源的使用增加,DDOS攻击对云服务提供商网络级别上的威胁也同步增强。
在攻击目标方面,根据数据显示,约三分之二的 DDOS 攻击事件以云平台上的IP作为攻击目标,云平台已成为DDOS攻击事件发生的重灾区;超过四分之一的目标IP是专门的IDC机房IP或高防机房IP,针对个人或单独组织的相对较少。
当前 DDOS 的攻击趋势整体呈现攻击目标所属行业分布广泛、超大流量规模性攻击次数上升、整体攻击次数降低、目标攻击越发精准等趋势。在攻击目标所属行业分布方面,DDOS对包含互联网、游戏、电商、金融等多个行业都造成了极大的威胁,其中遭受DDOS攻击最多的行业分别是行业工具、游戏、电商。
从全年的攻击流量分布情况上看,98.8%以上的攻击流量为小于100G的流量,99.6%以上的攻击为小于200G流量。2019年度300-400G梯度的大流量攻击与往年相比基本持平,而大于400G的超大型流量攻击的次数明显超过往年。
结合数据分析发现,虽然基于超大流量的规模性攻击次数有所上升,但全年对云平台的流量攻击总次数有所减少。目前的 DDOS 攻击呈现出高度集成管理的态势,攻击者通过不断优化手段,试图以最小的攻击成本达到最优的攻击效果。从结果来看,攻击者的尝试也确实取得了一定效果,全年总体的攻击次数虽有所回落,但攻击成效大大提升。据此可推断,随着云平台的广泛使用,攻击者对云服务平台防御手段和防御策略的研究投入了大量的精力。为实现以最小攻击成本达到最佳效果,通过对 DDOS 攻击策略实现个性化定制提升攻击精准化水平将是今后DDOS攻击的一大趋势。
2.BGP劫持
BGP 劫持即伪造网络层可达性信息,云服务提供商为了实现快速网络查找目标,使得路由尽可能高效查找到目标 IP 并进行通信,会使用 BGP 协议,即边界网关协议。在 BGP劫持的情况下,某个独立运营的网络或自治系统(AS)公告实际上不属于其控制的自治系统地址空间,而此公告未被过滤,传播到正常的 BGP 路由表中,从而引发全球性的路由查找错误。这种错误通常是由于配置错误而发生的,但一旦发生有很大可能影响云资源的可用性。
还有企业网络终端安全威胁:
像2019 年针对企业网络终端的攻击依然未有放缓。企业的终端安全威胁主要来源于三方面,一是攻击者通过漏洞利用、爆破攻击、社工钓鱼等方式攻陷企业服务器,通过内网横向渗透进一步攻陷更多办公机器;二是企业员工不良的上网习惯也给企业带来了巨大的安全威胁,比如使用盗版系统、破解补丁、游戏外挂等;三是针对Linux平台的攻击活动逐渐增加。
1.终端的安全性
数据显示在平均每周都拦截到病毒木马的终端中,约12%的机器为企业终端。全年内拦截过病毒木马攻击的企业终端中,40%的机器平均每周拦截至少一次病毒木马攻击。在企业终端染毒类型分布方面,占比前两位的分别是风险类软件和后门远控类木马,占比分别为44%和21%。从各行业的感染病毒类型分布情况来看,风险木马类软件在各行业的染毒事件中占比最高,均在 40%以上。风险木马软件感染主要是由不良的上网习惯及缺乏安全意识引起,如使用盗版软件或外挂工具等。因此,相较于政府、金融、医疗和教育行业,科技行业感染风险木马软件的比例更小。后门远控类木马是除了风险软件之外感染量最大的染毒类型,占比在 20%左右。后门远控类木马有着极高的隐蔽性,可接受远程指令执行信息窃取、截屏、文件上传等操作,造成信息泄露等严重后果。
2.终端的脆弱性当前,数量庞大且安全性薄弱的智能终端设备已然成为攻击者的新目标。漏洞利用及端口爆破是攻陷终端设备的重要手段,攻击者通过漏洞利用或爆破攻击公网环境下的服务器,随后进行内网横向渗透。从企业终端漏洞修复角度来看,数据显示截至2019年12月底,有 79%的企业终端上至少存在一个未修复的高危漏洞。在主要的高危漏洞中,LNK漏洞(CVE-2017-8464)补丁安装比例最高,RTF漏洞(CVE-2017-0199)补丁安装比例最低,仍有74%的机器未安装该补丁。而RTF漏洞文档常被攻击者通过邮件钓鱼的方式利用,进而发起APT攻击,一旦机器失陷将会给企业造成极大的损失。
从常见服务器漏洞攻击类型来看,如果企业、政府开放的服务器存在高危漏洞,可能导致灾难性的后果,其实许多黑客攻击和恶意软件入侵是可以预防的。通过对暴露在公网的服务器做抽样分析发现,常见的攻击类型中,远程代码执行(RCE)、SQL 注入、XSS 攻击类型比例较高,探测性扫描(Probe Scan)发生的频率也较高。
从高危端口开放情况来看,我们将黑客攻击频次较高且较为常见的端口(如21、22、53 等端口)定义为高危端口,并对 Web 服务器等互联网空间资产做抽样空间测绘,发现有大量网络资产开放了高危端口,存在较高的安全隐患。除了22、1900等端口之外,还有较大比例的邮件服务、数据库服务等端口暴露在公共互联网上。
3.病毒的横向扩散
迄今为止,绝大多数企业都还是通过部署防火墙进行内外网隔离构建安全体系。企业内网被认为是可信区间,为了便于日常工作的开展,通常不会严格限制员工对内网资源的访问。因此,当病毒突破外围防火墙进入内网环境之后,将会在内网肆意扩散。病毒为了让其自身恶意行为实现效益最大化,首先会通过开机启动实现用户系统常驻,进而尝试内网横向传播。
常见的攻击形式主要包括漏洞利用传播、弱口令爆破以及文件共享传播等:
漏洞利用传播:从针对系统组件的漏洞攻击情况来看,2019年发生频率最高的内网病毒传播事件仍然是利用内网SMB共享服务漏洞进行传播的“永恒之蓝”木马下载器,该木马通过多种方式在企业内网攻击传播,以组建僵尸网络挖矿为主要目的。有多个企业因未及时修补“永恒之蓝漏洞”而被反复攻陷。
弱口令爆破:弱密码爆破攻击在入侵内网以及作为横向扩散的手段上效果显著。对部分已检测的服务器做抽样分析发现,弱密码爆破攻击集中发生在凌晨12点到6点之间的非工作时段。实际上,黑客成功入侵局域网之后对内网的爆破攻击,使用的协议与外网有较大不同,SMB 攻击最为常见,其次是远程桌面连接爆破和SSH爆破。
文件共享传播:根据企业的应急处置经验发现,文件共享目录、可移动介质是蠕虫病毒、感染型病毒、Office文档病毒在内网的感染重灾区。这三类病毒一般都以窃取敏感信息为主要目的。
咨询QQ:2658513168
(小蚁云安全)是一家致力于为企业提供网络安全服务商。公司花重金打造大禹抗D立体防御、小蚁游戏盾、高防IP、蚁骑士WAF、小蚁卫士入侵防御、高防CDN、棋牌抗D等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等,我们秉承"客户第一、诚信创新"的经营理念
小蚁网络为客户提供DDoS流量监控、WAF防护、漏洞扫描、入侵检测、网络安全态势感知、主机加固、等保整改建设等安全业务服务。接入简单、秒级生效。为政府、金融、高校、医疗、支付、游戏、直播等各行业客户保驾护航。 www.bgpddos.com 全国服务热线:400-901-5608
咨询
24小时技术QQ:1767559921
24小时技术电话:13221000030
