根據CNCERT監測數據,雖然國內主流雲平臺使用的IP地址數量僅佔我國境內全部IP地址數量的7.7% ,但云平臺已成爲發生網絡攻擊的重災區, 在各類型網絡安全事件數量中,雲平臺上的DDoS攻擊次數、被植入後門的網站數量、被篡改網站數量均佔比超過50%。
不久前,國家計算機網絡應急技術處理協調中心(以下使用:CNCERT)發佈了《2018年我國互聯網網絡安全態勢綜述》。報告顯示,國內主流雲平臺上承載的惡意程序種類數量佔境內互聯網上承載的惡意程序種類數量的53.7%,木馬和殭屍網絡惡意程序控制端IP地址數量佔境內全部惡意程序控制端IP地址數量的59%,表明攻擊者經常利用雲平臺來發起網絡攻擊。
當然,這並不代表相比本地平臺,雲平臺更易受到攻擊。根據報告分析,雲平臺成爲網絡攻擊重要目標的原因在於如今有大量系統部署到雲,涉及國計民生、企業運營數據和用戶個人信息,這成爲攻擊者攫取經濟利益的目標。從雲平臺發出的攻擊增多是因爲雲服務使用存在便捷性、可靠性、低成本、高帶寬和高性能等特性,且雲網絡流量的複雜性有利於攻擊者隱藏真實身份,攻擊者更多利用雲平臺設備作爲跳板機或控制端發起網絡攻擊。
DDoS攻擊頻次下降,峯值流量攀升
分佈式拒絕服務(DDoS)攻擊通常是指多個系統(通常是被惡意操控的系統,即傀儡機)淹沒某個目標系統(通常是一個或多個Web服務器)的帶寬或資源。DDoS攻擊通過對目標服務器造成這類惡意擁塞,導致服務器運行緩慢甚至宕機。
由於許多原因,DDoS攻擊是一種常年普遍存在的惡意網絡攻擊方式。同時,惡意攻擊者不斷改進攻擊策略和技術,使得DDoS攻擊越來越難以被檢測和阻止,並逐步形成“DDoS即服務”的互聯網黑色產業服務,普遍用於行業惡意競爭、敲詐勒索等網絡犯罪。得益於我國網絡空間環境治理取得的有效成果,經過對DDoS攻擊資源的專項治理,我國境內DDoS攻擊頻次總體呈現下降趨勢。
根據第三方分析報告,2018年我國境內全年DDoS攻擊次數同比下降超過20%,特別是反射攻擊較去年減少了80%。
雖然攻擊頻次呈現下降趨勢,但峯值流量持續攀升。根據阿里雲去年發佈的《網絡氣象標(阿里雲安全報告)》,DDoS攻擊的強度由其生成的流量峯值來度量。由於DDoS攻擊的主要目標是佔用目標系統的帶寬或資源,因此它的峯值必須大於目標服務器的峯值容量。
根據阿里雲的統計,從2016年10月至2018年11月份,峯值流量逐月增加的趨勢非常明顯(下圖節選自阿里雲報告,數據僅針對阿里雲並被阿里雲阻止的部分攻擊,對於每次攻擊,都可能有部分流量在同一時間內路由到其他提供商,因此,全球峯值情況要更加嚴重):
CNCERT抽樣監測發現,2018年,我國境內峯值流量超過Tbps級的DDoS攻擊次數較往年增加較多,達68起。其中,2018年12月浙江省某IP地址遭DDoS攻擊的峯值流量達1.27Tbps。具體到每個月,阿里雲平臺阻止的DDoS攻擊事件數如下:
由圖可見,2018年8月份達到了最高峯,這與CNCERT的監測結果完全吻合。從全年來看,CNCERT 共監測發現利用殭屍網絡進行攻擊的 DDoS 攻擊團伙 50 個。其中,控制肉雞數量較大的較活躍攻擊團伙有 16 個,涉及 C&C 控制服務器有 358 個,攻擊目標有 2.8 萬個。通過 對全年攻擊活動進行分析,發現不同攻擊團伙之間相互較爲獨立,同一攻擊團伙的攻擊目標非常集中,不同攻擊團伙間 的攻擊目標重合度較小。
雖然這些攻擊背後的目標各不相同,但絕對不是隨機的,DDoS攻擊者是受僱傭爲獲取利益才發動攻擊的,因此可以從攻擊的行業分佈中判斷出過去一年競爭較爲激烈的垂直行業(數據來源於阿里雲):
綜上,雲服務商和雲用戶都應加大對網絡安全的重視和投入,尤其是上競爭較爲激烈的遊戲行業,分工協作提升網絡安全防範能力。雲服務商應提供基礎性的網絡安全防護措施並保障雲平臺安全運行,全面提高雲平臺的安全性和可控性。
針對工業控制系統的定向性攻擊趨勢明顯
2018年,CNCERT不斷升級監測手段,擴大監測範圍,進一步加強了針對聯網工業設備和工業雲平臺的網絡安全問題跟蹤。報告顯示,全年累計發現境外對我國暴露工業資產的惡意嗅探事件約4,451萬起,較2017年數量暴增約17倍;發現我國境內暴露的聯網工業設備數量共計6,020個,涉及西門子、韋益可自控、羅克韋爾等37家國內外知名廠商產品,主要是這些聯網設備的廠商、型號、版本、參數等信息遭惡意嗅探。
另外,CNCERT發現具有一定規模的工業雲平臺30多家,業務涉及能源、金融、物流、智能製造、智慧等方面,並監測發現根雲、航天雲網、COSMOPlat、OneNET、OceanConnect等大型工業雲平臺持續遭受漏洞利用、拒絕服務、暴力破解等網絡攻擊,工業雲平臺正逐漸成爲網絡攻擊的重點目標。
防禦手段
深度學習
如果在黑客計劃攻擊時就能預先得知可能遇到的防護攻擊,攻擊者就有知己知彼的優勢,從而找到繞過這些防護工具的方法。雖然WAF被視爲一種可以有效阻止絕大多數應用層攻擊的安全工具,但精明的攻擊者仍然可以找到繞過防護的方法,互聯網上可以找到各種教程。阿里雲在報告中指出,WAF規則防護非常高效,但其缺點就是對人腦力的高度依賴,而“人”恰好是信息安全鏈中最薄弱的環節,基於深度學習的WAF可以解決這一問題,可以將基於深度學習的WAF理解爲一個神經網絡的黑盒模型,而非一長串正則表達式模式,這使得攻擊者更難理解其決策過程並找到合適的繞過方法。
加強用戶名和密碼管理
如今,企業越來越多使用Linux作爲服務器操作系統,而SSH是各Linux系統常用的登錄方法(而非Windows操作系統)。其次,物聯網設備也是基於Linux的,並且越來越流行,這些設備大多使用弱密碼或者常見的用戶名密碼組合,從而使得其更容易成爲暴力破解的目標。阿里雲研究人員發現在暴力破解中,最常見的用戶名分別是admin、root、sa、administrator、user等,企業應該注意避免使用這樣的用戶名,並加強用戶名和密碼的管理。
漏洞檢測和修復
2018 年,CNVD 收錄的安全漏洞中關於聯網智能設備安 全漏洞有 2,244 個,同比增長 8.0%。這些安全漏洞涉及的類型主要包括設備信息泄露、權限繞過、遠程代碼執行、弱口令等,涉及的設備類型主要包括家用路由器、網絡攝像頭等。根據阿里雲此前的調查,應用層存在更多高危漏洞:
因此,應用開發人員在進行開發時需要重點關注安全問題,安全服務提供商必須把應用層漏洞放在更重要的位置。
結束語
過去一年,雖然各個雲平臺都遭受並阻止了不同程度、不同類型的攻擊,但全年未發生大規模病毒爆發、大規模網絡癱瘓等重大事件,整體可用性維持在較高水平。此外,國家層面進一步健全網絡安全法律體系,完善網絡安全管理體制機制,網絡安全應急響應能力不斷提升,傳統的安全問題已經得到有效控制。