2015年11月,南非第一國(guó)民銀行收到了一封來(lái)自于黑客組織Armada Collective(無(wú)敵艦隊(duì))的勒索郵件,隨后銀行便遭受了一次具有挑釁性質(zhì)的洪泛攻擊(flood attack),但是銀行所部屬的安全防御系統(tǒng)成功地緩解了這次攻擊。實(shí)際上,網(wǎng)絡(luò)犯罪分子之所以要發(fā)動(dòng)這次攻擊,主要是為了讓銀行知道他們這一次是認(rèn)真的。
當(dāng)然了,銀行的高層也并沒(méi)有因此而退縮。根據(jù)Radware最新發(fā)布的《全球應(yīng)用與安全調(diào)查報(bào)告》顯示,該銀行在收到勒索郵件之前就檢測(cè)到了此次的洪泛攻擊,并且迅速對(duì)攻擊進(jìn)行了響應(yīng)。由于銀行系統(tǒng)部署了混合DDoS緩解方案,而系統(tǒng)在檢測(cè)到惡意流量之后迅速將其轉(zhuǎn)移到了數(shù)據(jù)清洗中心,所以此次攻擊并沒(méi)有對(duì)銀行系統(tǒng)造成任何影響。
報(bào)告顯示,勒索攻擊已經(jīng)成為了目前最為普遍的一種網(wǎng)絡(luò)安全威脅,勒索攻擊在2015年的網(wǎng)絡(luò)攻擊占比僅有25%,但2016年這個(gè)比例增長(zhǎng)到了41%。到底是什么驅(qū)動(dòng)著這種攻擊的增長(zhǎng)?毫無(wú)疑問(wèn),勒索攻擊絕對(duì)是一種非常暴利“產(chǎn)業(yè)”。而且與過(guò)去相比,現(xiàn)在發(fā)動(dòng)這種攻擊的成本也越來(lái)越低,實(shí)現(xiàn)起來(lái)也越來(lái)越容易了。需要注意的是,這種類型的勒索郵件攻擊與普通的勒索軟件攻擊有很大的不同,普通的勒索軟件攻擊主要是通過(guò)竊取或加密企業(yè)數(shù)據(jù)來(lái)勒索錢財(cái),但我們現(xiàn)在所說(shuō)的勒索攻擊更像是一種恐嚇與威脅,如果你不給錢,我們就要攻擊你。
一位資深的網(wǎng)絡(luò)架構(gòu)師在報(bào)告中解釋到,由于該銀行地處南非,所以在地理位置上它就處于一個(gè)相對(duì)來(lái)說(shuō)較為偏遠(yuǎn)的地方。這也會(huì)對(duì)攻擊者可用的攻擊方式以及惡意流量的大小產(chǎn)生一定的限制,但是銀行是否有能力來(lái)應(yīng)對(duì)這種攻擊,仍然取決于其自身所部屬的安全防護(hù)措施。
這位網(wǎng)絡(luò)架構(gòu)師表示:
“對(duì)于我們來(lái)說(shuō),這種攻擊一次性最多只能有300MB的惡意流量。當(dāng)我們檢測(cè)到了攻擊流量并收到了勒索信息之后,為了安全起見(jiàn),我們?cè)诶账髭H金的最后支付期限到來(lái)之前,將惡意流量重定向到了我們的DDoS防護(hù)服務(wù)商(Radware)的數(shù)據(jù)清洗中心。我們相信攻擊者肯定會(huì)發(fā)現(xiàn)他們的惡意流量被轉(zhuǎn)移到了別的地方,而這次攻擊也就變得毫無(wú)意義了。”
銀行方面也打算通過(guò)這一次來(lái)向包括Armada Collective在內(nèi)的黑客組織傳遞一個(gè)信息:我們會(huì)積極采取各種保護(hù)措施來(lái)應(yīng)對(duì)你們的勒索攻擊,我們也不是那么好欺負(fù)的。
根據(jù)Radware應(yīng)急響應(yīng)團(tuán)隊(duì)給出的報(bào)告,在2016年4月,該銀行又收到了一封據(jù)稱來(lái)自于Lizard Squad黑客組織的勒索郵件。銀行方面從當(dāng)?shù)氐你y行風(fēng)險(xiǎn)管理協(xié)會(huì)那里了解到,這封郵件其實(shí)是從別處抄襲來(lái)的。由于此次事件被認(rèn)定為一場(chǎng)騙局,所以銀行決定對(duì)此不予理會(huì)。但是,在此之后他們確實(shí)遭受了一次小規(guī)模的DoS攻擊。
從2016年初開(kāi)始,犯罪分子的攻擊方式也逐漸多樣化,而銀行所經(jīng)歷的突發(fā)性安全事件也增加了四倍之多,但是持續(xù)一個(gè)多小時(shí)的攻擊活動(dòng)次數(shù)在減少。所以,這類攻擊似乎正在朝著“打了就跑”的趨勢(shì)發(fā)展。
但是,并非所有的攻擊都是突襲。在2016年9月,該銀行經(jīng)歷了一次相對(duì)來(lái)說(shuō)規(guī)模較小的DDoS攻擊,此次攻擊流量?jī)H有2G-3Gbps,但是整個(gè)攻擊過(guò)程卻持續(xù)了超過(guò)四個(gè)小時(shí),而且攻擊是分階段的,每一階段的攻擊流量會(huì)逐漸增加。首先,銀行方面發(fā)現(xiàn)此次攻擊中的一部分為Pingback攻擊,攻擊中大約出現(xiàn)了16000多條SYN鏈接,但我們的DDoS防護(hù)系統(tǒng)并沒(méi)有給犯罪分子任何機(jī)會(huì)。除了SYN攻擊之外,攻擊中也有HTTP攻擊,但這些都無(wú)足輕重,麻煩的是基于HTTPS的惡意請(qǐng)求,因?yàn)殂y行目前所部屬的防護(hù)系統(tǒng)無(wú)法有效地對(duì)HTTPS洪泛攻擊進(jìn)行響應(yīng)。
Radware的研究人員在報(bào)告中指出:
“我們也不是第一次遇到這種加密流量的攻擊了,這類惡意流量可以利用SSL標(biāo)準(zhǔn)來(lái)繞過(guò)目前的安全控制系統(tǒng),所以我們需要設(shè)計(jì)出一套專門針對(duì)加密流量的防護(hù)系統(tǒng)。通常情況下,銀行面臨的都是一些普通的UDP攻擊,但是這一次我們遇到了典型的SSL攻擊,所以我們很明顯沒(méi)有做好準(zhǔn)備。”
通常在這種類型的攻擊中,每個(gè)階段一般只會(huì)持續(xù)三到四分鐘,但是這種SSL攻擊可以持續(xù)一個(gè)半小時(shí)左右,這就會(huì)使銀行的服務(wù)系統(tǒng)和安全防御系統(tǒng)承受巨大的負(fù)載,因?yàn)檫@種攻擊會(huì)將銀行系統(tǒng)中的計(jì)算資源全部耗盡。銀行系統(tǒng)產(chǎn)生了大量的響應(yīng)負(fù)載,這也就導(dǎo)致系統(tǒng)的出站連接受到了限制,而系統(tǒng)的吞吐量與往常相比也暴增了三倍之多。
吸取教訓(xùn),總結(jié)經(jīng)驗(yàn)
我們可以看到,2016年是勒索攻擊爆發(fā)性增長(zhǎng)的一年,它的“光芒”已經(jīng)完全掩蓋住了其他類型的網(wǎng)絡(luò)攻擊。Radware在經(jīng)過(guò)調(diào)查之后發(fā)現(xiàn),大約有56%的組織曾遭受過(guò)網(wǎng)絡(luò)勒索攻擊,而41%的組織將勒索攻擊視為他們最大的網(wǎng)絡(luò)安全威脅(這個(gè)比例在2015年僅有25%)。那么,我們應(yīng)該如何更好地去應(yīng)對(duì)這種安全威脅呢?
1.相比于限速分析,行為分析也許才是最好的方法
在此之前,銀行主要通過(guò)對(duì)流量進(jìn)行限速來(lái)緩解DDoS攻擊。但是研究發(fā)現(xiàn),利用行為分析技術(shù)來(lái)抵御DDoS攻擊也許會(huì)更加的有效。因?yàn)檫@種技術(shù)并不會(huì)屏蔽合法的通信流量,這樣就可以讓銀行維持正常的服務(wù)運(yùn)轉(zhuǎn)。
2.攻擊緩解時(shí)間的重要性
如果能夠及時(shí)利用簽名來(lái)標(biāo)識(shí)攻擊流量的話,銀行就可以在攻擊發(fā)生后的20秒之內(nèi)緩解攻擊。
京公網(wǎng)安備 11010502049343號(hào)