隨着互聯網、移動互聯網以及企業在線業務的發展,人們不斷加深對數據價值的認識,也審視數據資產的保護。爲透視網絡攻擊內在機制與安全趨勢,幫助企業從容應對風險與挑戰,數世諮詢、白山雲科技及上海雲盾4月16日聯合發佈《2019年DDoS威脅態勢與攻防產業鏈研究報告》與《2019年全球互聯網安全態勢報告》。
依託全網安全威脅情報儲備與大數據分析能力,兩份報告帶來了哪些觀點與建議?閱讀全文,一探究竟。
DDoS攻擊是形形色色網絡攻擊中極具破壞力的一種,破解DDoS攻防產業鏈各個環節,才能最大程度制定防禦的萬全之策。報告基於2019年DDoS攻擊數據,透視DDoS威脅態勢與攻防產業鏈。
攻 黑灰產業鏈研究
- 攻擊思路:與其硬碰硬,不如“繞過防守”直擊目標
爲避免與CDN/雲廠商資源對抗場景下DDoS攻擊的高成本消耗,黑客更傾向於“繞過防守”直擊目標。
Ø 結合TCP反射攻擊可以將反射服務器IP加入DDoS防火牆白名單的特性,繞過防守後,僞裝反射服務器IP,發起大規模SYN Flood攻擊,直擊後端服務器;
Ø 通過敏感頁面抓取、歷史DNS解析記錄查詢、子域名查詢、證書信息查詢、郵箱MX記錄查詢、漏洞利用等方式,獲取源服務器真實IP地址,繞過CDN/雲廠商的“替身式防禦”,發動DDoS攻擊,直擊源IP;
Ø 通過敏感頁面抓取、歷史DNS解析記錄查詢、子域名查詢、證書信息查詢、郵箱MX記錄查詢、漏洞利用等方式,獲取源服務器真實IP地址,繞過CDN/雲廠商的“替身式防禦”,發動DDoS攻擊,直擊源IP;
Ø 針對App場景,藉助非殭屍網羣控技術模擬真實用戶訪問行爲,繞過傳統動態黑名單攔截的防禦模式,實施針對性CC攻擊;
Ø 針對屬於同一網段的單個IP進行小流量的DDoS攻擊,繞過單IP的黑洞封禁策略,實現針對整體IP段流量壓制,最終封堵整個節點帶寬。
- 攻擊模式:從“單挑”到“羣毆”到“嫁禍”
DDoS攻擊形態由起初一對一的DoS攻擊,向藉助C/S系統技術的DDoS攻擊模式演進;近年來已形成不需要配備大量肉雞、利用廣播地址與迴應請求實現拒絕服務的DRDoS攻擊模式。
- DDoS組織形態:是什麼催生了龐大的黑灰產業鏈?
DDoS攻擊鏈上下游均已形成細分產業鏈,如殭屍網肉雞、自制網資源、反射服務器資源等攻擊資源的傳播與售賣;渠道一般爲百度搜索,或海外網站、黑客論壇、淘寶、QQ羣、郵件等。
同時出現集成自動化的DDoS攻擊軟件、平臺化的SaaS服務。且逐漸團伙化發展,形成DDoS完整攻擊鏈閉環。
守 防禦對抗研究
- 互聯網威脅情報及線索挖掘使攻擊溯源更爲精準便捷
得益於互聯網威脅情報系統的建設,通過整合多維情報數據源,基於大數據和AI技術,進行歸納、推理、關聯等。可以將攻擊事件、受害者、殭屍網絡、嫌疑人、金主構建全景情報關係網。從而對攻擊事件進行全鏈路溯源分析,抓出攻擊團伙,提升成功率。
精準溯源,不僅依託於事前威脅情報系統的建設,同時需要挖掘事中“防守”過程中的突破點。參考ATT&CK框架,DDoS與APT攻擊相似,有其攻擊鏈特徵模型。“捕獲”攻擊鏈各階段線索,將爲DDoS攻擊的精準溯源提供至關重要的突破點。
上海雲盾DDoS攻擊鏈簡要模型:
踩點階段:瀏覽網站尋找弱點,掃描域名解析記錄,抓包分析,原生App逆向;
攻擊階段:操作控制檯輸入攻擊指令(IP、Domain、URL);
確認階段:PING、Telnet、打開網頁、登錄App。
- 面向業務的創新三階複合對抗模型
隨着攻擊數量級不斷提高,整個安全行業都致力於在資源不對等的情況下完成面向最終客戶業務的防禦模式創新。上海雲盾創新三階複合對抗模型,助力客戶從容應對互聯網新環境。
模型基於零信任安全理念,默認不信任任何終端,建立端邊雲一體化架構。在終端部署安全SDK,預認證設備及用戶可信度。安全大腦持續評估終端環境、用戶行爲等是否可信,動態調整信任等級,未通過可信認證的終端將被拒絕服務,實現面向客戶業務的主動、有效、精準防禦。
目前企業要應對的數據安全風險與日俱增,大流量 DDoS 攻擊已成常態化,T 級時代來臨;業務層威脅兩極化分明,爬蟲攻擊穩步上升。報告從Web應用攻擊、DDoS攻擊、業務層攻擊三方面,結合六個典型安全事件覆盤,解析2019年全球互聯網安全態勢。
- Web應用攻擊持續增長,高危攻擊常態化
2019年上海雲盾安全運營中心監測到Web應用攻擊12.6億次,同比上升 20%。
對於影響程度,大多數攻擊可能的影響集中在造成業務波動 (5 檔),但造成業務無法運行(10 檔)的攻擊依舊存在,需專注防護。
- 大流量DDoS攻擊已成常態,T級攻擊不斷涌現
超過300Gbps的DDoS攻擊佔比超15%,月平均峯值帶寬接近1Tbps。
遊戲行業受DDoS攻擊影響最爲嚴重。
- 業務層攻擊威脅總數增長翻番,安全態勢依然嚴峻
2019年白山ATD平臺監測到網絡攻擊9566.5億次,攻擊源24.5億個,攻擊次數和攻擊源數量保持高速增長。
對於影響程度,2019年業務攻擊威脅程度分佈與2018年分佈相似,業務層威脅兩極化。
- 數據及敏感文件的安全性將成爲企業的核心關注對象
20%的Web應用攻擊類型來源於敏感文件訪問。
電子商務、媒體、政府機構受Web應用攻擊影響嚴重;
資訊行業受爬蟲攻擊影響最爲嚴重。
- 自動化攻擊應用廣泛,黑灰產攻擊手段不斷升級
超過75%的攻擊流量來源於掃描器。
攻擊者更偏向於在請求地址、請求頭部、請求主體中插入攻擊點。
縱觀2019年的安全態勢和攻擊案例,目前企業針對數字資產的保護,安全手段仍有一定侷限:
傳統安全技術忽視“爬蟲”,但爬蟲其實是造成數據資產泄露的主要途徑;
大多企業應用點防禦,缺少對數字資產的梳理和基於流量/數據的縱深防禦;
依賴規則,維護成本高,且覆蓋不全,只能解決已知威脅;
安全產品使用不當,帶來安全威脅。
而AI、IPv6、5G等新技術的發展與應用,或將給企業安全防護帶來新的機遇與挑戰。
- AI
傳統基於規則的防火牆面臨嚴峻挑戰,基於領域知識的規則不僅難以應對新型攻擊而且維護難度高、成本大。另外,業務增長令行爲分析和事件關聯越發龐雜。自動化網絡安全解決方案,依靠大數據和機器學習,將推動網絡安全技術不斷升級。
- IPv6
IPv6的設計對安全性有一定的提升,但並未徹底解決IPv4中存在的安全隱患,IPv6的一些新特性甚至帶來新風險。
- 5G
5G將大大促進人工智能、大數據、物聯網等新興技術的不斷髮展,但其中存在的安全缺陷不容忽視。
更多解讀
白山與上海雲盾安全專家針對兩份報告的解讀直播,現已開放回看通道。報告全文內含更詳實的數據、更細緻的分析、更生動的案例,爲你撥開網絡迷霧,另闢安全蹊徑。
