所謂“道高一尺,魔高一丈”,從互聯(lián)網(wǎng)誕生之日起,網(wǎng)絡安全問題就隨之產(chǎn)生;而在各種安全防護技術不斷提升的同時,各種網(wǎng)絡攻擊和犯罪行為也是花樣不斷更新,形成了攻擊和防攻擊對陣的形勢。
在對抗網(wǎng)絡攻擊的過程中,了解和洞察互聯(lián)網(wǎng)上的各種安全威脅尤為重要。在此方面,Akamai公司依托遍布全球的分布式平臺,持續(xù)跟蹤網(wǎng)絡安全狀況并發(fā)布分析報告,近日,Akamai發(fā)布了2015年第二季度互聯(lián)網(wǎng)發(fā)展狀況安全報告。根據(jù)報告,網(wǎng)絡攻擊和網(wǎng)絡犯罪行為變得越來越自動化,分布式拒絕服務(DDoS)與網(wǎng)絡應用攻擊帶來的威脅持續(xù)不斷增加,同時DDoS的貨幣化趨勢愈演愈烈。
技術進步成“雙刃劍”
John Ellis,Akamai亞太及日本區(qū)域首席網(wǎng)絡安全戰(zhàn)略專家,從事IT安全研究20年,他告訴記者,網(wǎng)絡攻擊和網(wǎng)絡犯罪行為的簡單化和自動化是網(wǎng)絡安全呈現(xiàn)出的最新特征。
“軟件和技術的進步,使得現(xiàn)在進行網(wǎng)絡攻擊和網(wǎng)絡犯罪的人員專業(yè)程度并不需要很高,提供給攻擊者的資源也越來越豐富和多樣,使得網(wǎng)絡犯罪這一原本屬于資源密集型的工作變得越來越簡單和自動化,攻擊來源也日益分散化。”John Ellis表示,“在互聯(lián)網(wǎng)黑市上,各種用于攻擊的軟件和設備自由交易,網(wǎng)絡攻擊者無需了解復雜的編碼編程,而是只了解如何使用這些工具,即可發(fā)動大規(guī)模網(wǎng)絡攻擊。由此也導致互聯(lián)網(wǎng)犯罪越來越多。”
分布式拒絕服務(DDoS)通過大量合法的請求占用大量網(wǎng)絡資源,以達到癱瘓網(wǎng)絡服務的目的。根據(jù)Akamai的調查,DDoS最近也呈現(xiàn)出了新的趨勢,不僅在量上有持續(xù)增加的趨勢,而且攻擊的目的也變得貨幣化。
根據(jù)Akamai的調查,在過去3個季度內,DDoS攻擊量同比增長了132%。盡管攻擊者傾向于發(fā)起不太強烈但持續(xù)時間較長的攻擊,但危險的大規(guī)模攻擊數(shù)量也在持續(xù)上升。2015年第二季度,12起攻擊的峰值流量超過了100Gbps,5起攻擊的包轉發(fā)率峰值超過了50Mpps,只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。
同時,DDoS攻擊行為的貨幣化趨勢越來越明顯。John Ellis表示,以前DDoS攻擊的主要目的是用來打擊競爭者,或者表明某些政治立場,但是現(xiàn)在DDoS攻擊團體會利用這種行為來對企業(yè)進行勒索,他們會發(fā)動一些小型攻擊,以互聯(lián)網(wǎng)虛擬貨幣的形式進行勒索,這比現(xiàn)實的貨幣更容易支付,被勒索的受害人也比較容易支付這種貨幣。這就導致許多以前認為自己不太可能成為DDoS攻擊目標的企業(yè)變成了DDoS攻擊的目標。
網(wǎng)絡攻擊方式和來源
以安全為目標的超文本傳輸協(xié)議HTTPS正在規(guī)模普及,而根據(jù)Akamai的調查,一種名為Shellshock的攻擊,2015年第一季度僅有9%通過HTTPS展開,而在第二季度則升至56%。為什么HTTPS成為了網(wǎng)絡犯罪分子的最新攻擊對象?
John Ellis從3個方面進行了分析:首先,從協(xié)議本身看,HTTPS是在HTTP原始協(xié)議基礎上加上TLS加密協(xié)議,HTTP環(huán)境下管道里的數(shù)據(jù)未經(jīng)過加密是可見的,在HTTPS環(huán)境下管道里的數(shù)據(jù)流量經(jīng)過加密不可見;其次,目前所使用的防火墻和防入侵軟件無法解密經(jīng)過HTTPS加密的流量,無法通過傳統(tǒng)方式來阻止對Web應用發(fā)動的攻擊。
“從攻擊的角度看,HTTP和HTTPS對于黑客而言沒有本質上的區(qū)別,反而讓黑客們知道用HTTPS協(xié)議有一些敏感信息,從而讓他在發(fā)動攻擊時更有針對性。黑客會針對HTTPS采取解密工具和惡意流量注入的方式,從Web應用源頭入手混淆視聽,而用戶由于采用HTTPS而無法在傳輸過程種分辨流量內容,反而為黑客分子大開方便之門。”
此外另一個值得注意的現(xiàn)象是,根據(jù)Akamai的統(tǒng)計,2015年第二季度DDoS攻擊的十大來源國和地區(qū)中,中國居然高居榜首,占比高達37%,比位于第二名的美國的占比高出20%。
John Ellis認為,中國占比高,首先是因為中國人口基數(shù)大;其次中國設備被惡意軟件感染的比例非常高,接近50%;再次,來自其他國家的黑客通過惡意代碼入侵中國的系統(tǒng),將其組成僵尸網(wǎng)絡,這樣表面上看來是來自中國的攻擊,其實背后的操縱者位于其他國家,這種被控制的機器在中國被叫做“肉雞”。由于各國法律層面對此問題的規(guī)定并不健全,因此即使中國官方掌握了這一情況,也無法將真正的犯罪分子繩之以法。
需加強分析和預判
掌握網(wǎng)絡攻擊的最新動向并有針對性地采取措施,是行之有效的網(wǎng)絡防攻擊做法。
針對網(wǎng)絡攻擊自動化的趨勢,John Ellis建議相關公司加強對大數(shù)據(jù)的收集和分析,提升對于自動化機器的學習能力,并聘用足夠多的數(shù)據(jù)科學家,及時捕捉網(wǎng)絡異常狀況并采取防控措施。對于HTTPS成為網(wǎng)絡攻擊新對象的問題,John Ellis建議網(wǎng)絡架構師從架構方面入手,改變網(wǎng)絡架構,以方便卸載加密協(xié)議,以方便自己觀察到進入管道中的流量的具體情況。而對于“肉機”的問題,John Ellis認為隨著個人聯(lián)網(wǎng)終端數(shù)量的不斷增多,被各種病毒入侵的風險也與日俱增,因此他建議用戶經(jīng)常為系統(tǒng)做升級、打補丁,盡可能消滅有可能被惡意人士利用的突破口。
在網(wǎng)絡安全方面,Akamai擁有遍布全球的CDN和服務器平臺,通過這一平臺,Akamai可以做到以下幾點:第一,Akamai的平臺可以近距離地觀察網(wǎng)絡攻擊行為,收集相關數(shù)據(jù),并對惡意行為進行分析判斷;第二,Akamai的邊緣服務器分布在世界各地,可以隨時根據(jù)觀察到的惡意攻擊行為來完善安全策略,并把更完善的安全策略反饋給平臺上的用戶;第三,DDoS攻擊中夾雜著正常業(yè)務流量,Akamai可以采取清洗中心的方式,除去惡意流量,留下正常流量,以保證數(shù)據(jù)中心應用的可用性。而由于Akamai的平臺分布在全球各地,無論用戶處在世界哪個角落,無論使用怎樣的設備,所有的Akamai邊緣服務器會同時執(zhí)行一致的安全策略。
京公網(wǎng)安備 11010502049343號