本文來(lái)自微信公眾號(hào)星河互聯(lián)(ID:xinghehulian),作者:星河研究院。
今年上半年,勒索病毒全球肆虐,為各大企業(yè)和機(jī)構(gòu)敲響了網(wǎng)絡(luò)安全的警鐘。我國(guó)是遭受網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),據(jù)監(jiān)測(cè),2016年合計(jì)給企業(yè)造成的真實(shí)損失遠(yuǎn)遠(yuǎn)超過(guò)百億元。
近日,全球領(lǐng)先的安全公司Positive Technologies發(fā)布了2017年第二季度對(duì)Web應(yīng)用進(jìn)行的攻擊的統(tǒng)計(jì)數(shù)據(jù)。描述了最常見(jiàn)的攻擊類(lèi)型以及攻擊的目標(biāo)、強(qiáng)度和時(shí)間分布,還包含行業(yè)統(tǒng)計(jì)。通過(guò)這些信息,公司和組織可以在后續(xù)的web應(yīng)用開(kāi)發(fā)和維護(hù)中更針對(duì)性地對(duì)抗網(wǎng)絡(luò)威脅。
要點(diǎn):
-
跨站腳本攻擊和SQL注入是最常見(jiàn)的攻擊類(lèi)型;
-
政府、IT、醫(yī)療、教育、能源和制造公司最常受到攻擊;
-
企業(yè)設(shè)計(jì)安全措施時(shí),要考慮攻擊者活動(dòng)高峰期;
-
由于新出現(xiàn)的內(nèi)容管理系統(tǒng)中的漏洞,預(yù)計(jì)下季度攻擊次數(shù)將會(huì)上漲;
-
及時(shí)的軟件更新和主動(dòng)措施,才能形成有效保護(hù)。
1、跨站腳本攻擊和SQL注入最常見(jiàn)
在2017年第二季度,跨站腳本攻擊(Cross-Site Scripting)是最常見(jiàn)的攻擊類(lèi)型,占總威脅量的近40%。SQL注入(SQL Injection),用于訪問(wèn)敏感信息或運(yùn)行操作系統(tǒng)命令從而進(jìn)一步滲透系統(tǒng),占總攻擊數(shù)的約四分之一,與第一季度持平。
我們預(yù)計(jì)跨站腳本攻擊和SQL注入將繼續(xù)占有web應(yīng)用總攻擊量的一半以上。此外,第二季度的頻繁攻擊列表還包括信息泄漏(Information Leak)和XML注入(XML Injection),這兩者都需要披露信息。
201年第二季度web應(yīng)用攻擊top10
2、政府、IT、醫(yī)療行業(yè)最易受到攻擊
在每天的平均攻擊次數(shù)方面,IT和政府領(lǐng)域領(lǐng)先,其次是醫(yī)療、教育、能源和制造公司。
與前幾個(gè)季度相比,政府web應(yīng)用的攻擊次數(shù)在減少,這一趨勢(shì)可能與web應(yīng)用的性質(zhì)有關(guān):大多數(shù)網(wǎng)站都是提供信息,攻擊者感興趣的功能越來(lái)越少。
對(duì)制造業(yè)公司網(wǎng)站的攻擊針對(duì)性比較強(qiáng),基本都是由經(jīng)驗(yàn)豐富的黑客進(jìn)行,所以盡管這個(gè)領(lǐng)域的攻擊次數(shù)很少,但這些攻擊實(shí)際上是最危險(xiǎn)的。
不同行業(yè)每天的平均攻擊數(shù)量
下面我們來(lái)看看這些行業(yè)的web應(yīng)用受攻擊的情況。
a.對(duì)政府的攻擊大都是直接獲取數(shù)據(jù)
與第一季度相似,對(duì)政府的大部分攻擊都是用于直接獲取數(shù)據(jù)。個(gè)人數(shù)據(jù)是政府部門(mén)擁有的最關(guān)鍵的資源,因此攻擊傾向于直接關(guān)注數(shù)據(jù)庫(kù)或應(yīng)用程序的用戶(hù)。因?yàn)檎W(wǎng)站會(huì)被用戶(hù)高度信任,而這些網(wǎng)站的用戶(hù)比其他領(lǐng)域的用戶(hù)更不懂如何保證網(wǎng)絡(luò)安全,因此當(dāng)政府網(wǎng)站受到跨站腳本攻擊時(shí),就會(huì)很容易感染用戶(hù)的計(jì)算機(jī)。
第二季度另一種常見(jiàn)攻擊是信息泄漏,它利用各種web應(yīng)用程序漏洞,以獲取有關(guān)用戶(hù)、系統(tǒng)本身和其他敏感信息的數(shù)據(jù)。
2017年第二季度政府行業(yè)web應(yīng)用攻擊top5
b、對(duì)醫(yī)療行業(yè)的攻擊也主要是用于竊取信息
對(duì)醫(yī)療行業(yè)幾乎一半以上的攻擊是用來(lái)獲取數(shù)據(jù)。醫(yī)療機(jī)構(gòu)最近遭遇了幾個(gè)重大的數(shù)據(jù)泄漏事件:
-
5月,一個(gè)叫做Dark Overlord的黑客組織公布了三個(gè)醫(yī)療中心的約18萬(wàn)名患者的病歷記錄;
-
另一個(gè)事件發(fā)生在立陶宛的整形外科診所,超過(guò)2.5萬(wàn)張整容前后的照片(甚至包括裸照)被公布于眾。黑客的本意是要從診所和客戶(hù)那里都進(jìn)行勒索,金額分別為34.4萬(wàn)歐元和刪除一條紀(jì)錄2000歐元。
-
另一個(gè)受到攻擊的是Molina Healthcare公司,約有500萬(wàn)患者的病歷記錄被公開(kāi)。
大約有四分之一的攻擊來(lái)自DoS拒絕服務(wù)攻擊。現(xiàn)代醫(yī)療網(wǎng)絡(luò)應(yīng)用程序讓患者有機(jī)會(huì)了解更多關(guān)于診所及其服務(wù)的情況、安排醫(yī)生見(jiàn)面或電話會(huì)診、購(gòu)買(mǎi)保險(xiǎn)或服務(wù),并能獲得在線咨詢(xún)。
在這些應(yīng)用程序已經(jīng)普遍被使用的情況下,DoS攻擊不僅會(huì)損害公司的聲譽(yù),而且會(huì)對(duì)患者造成不便,甚至?xí)?duì)公司造成直接的經(jīng)濟(jì)損失。
2017年第二季度醫(yī)療行業(yè)web應(yīng)用攻擊top5
c、對(duì)IT企業(yè)的攻擊會(huì)影響企業(yè)聲譽(yù)
第二季度對(duì)IT行業(yè)企業(yè)最常見(jiàn)的攻擊是跨站腳本攻擊和SQL注入。這種攻擊主要會(huì)影響IT企業(yè)的聲譽(yù)。SQL注入可用于獲得信息或有其他用途,例如羞辱企業(yè)網(wǎng)站等。跨站腳本攻擊可以用于讓用戶(hù)工作站感染惡意軟件。
教育機(jī)構(gòu)的攻擊通常用來(lái)訪問(wèn)數(shù)據(jù)(例如考試材料)或修改數(shù)據(jù)(例如考試結(jié)果)。在第二季度,超過(guò)一半的攻擊都是用來(lái)獲取信息,路徑遍歷(Path Traversal)是最常見(jiàn)的方法。還有幾乎六分之一的攻擊是針對(duì)操作系統(tǒng)命令的攻擊。
而對(duì)于能源和制造業(yè)領(lǐng)域,攻擊者的目標(biāo)是獲得對(duì)企業(yè)基礎(chǔ)設(shè)施的全面控制。因此,最常見(jiàn)的攻擊是運(yùn)行任意操作系統(tǒng)命令并獲取對(duì)服務(wù)器的控制,或獲取有關(guān)系統(tǒng)的信息。相比之下,對(duì)用戶(hù)的攻擊很少。通過(guò)對(duì)目標(biāo)公司的內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊,攻擊者可以訪問(wèn)關(guān)鍵系統(tǒng)組件并干擾操作。
3、企業(yè)設(shè)計(jì)安全措施時(shí),要考慮攻擊者活動(dòng)高峰期
我們來(lái)看一下隨著時(shí)間的推移,一家公司平均每天遇到的每種類(lèi)型的攻擊次數(shù)。下圖顯示的是黑客使用的每個(gè)web應(yīng)用攻擊方法的頻率和強(qiáng)度。
不同種類(lèi)的攻擊每天的平均攻擊數(shù)量
跨站腳本攻擊在整個(gè)季度持續(xù)高漲,每天記錄100到250個(gè)。SQL注入在下面這個(gè)圖表上也使非常明顯的,每天的攻擊量在40到200次。當(dāng)查找由SQL查詢(xún)輸入過(guò)濾不足引起的漏洞時(shí),攻擊者往往會(huì)集中搜索。第二季度最強(qiáng)大的web應(yīng)用攻擊是通過(guò)強(qiáng)制所有可能的參數(shù)搜索SQL注入漏洞,攻擊者發(fā)送的請(qǐng)求超過(guò)3.5萬(wàn)個(gè)。
與上一季度相比,攻擊者的活躍程度略有下降。Web應(yīng)用每天平均受到300-800次攻擊,最低的時(shí)候是140次。單一公司在一天內(nèi)的最大攻擊次數(shù)為35135次,是上一季度頂峰數(shù)字的兩倍,實(shí)際上所有這些攻擊來(lái)自同一個(gè)IP地址。
在設(shè)計(jì)企業(yè)的安全措施時(shí),最好要考慮到攻擊者活動(dòng)處于高峰期的時(shí)間。這些高峰時(shí)間可能與企業(yè)或者行業(yè)強(qiáng)相關(guān)。第二季度攻防的強(qiáng)度很穩(wěn)定,但某些時(shí)間段的活動(dòng)有所上升。特別是在非工作時(shí)間內(nèi)進(jìn)行攻擊時(shí),及時(shí)反應(yīng)和預(yù)防需要智能的web應(yīng)用保護(hù)工具,以及合格的安全事故負(fù)責(zé)人員。
4、及時(shí)的軟件更新和主動(dòng)措施才能形成有效保護(hù)
攻擊者在整個(gè)第二季度都保持活躍的狀態(tài),然而與上一季度類(lèi)似,與2016年同比略有下降。嘗試訪問(wèn)敏感信息并攻擊web應(yīng)用用戶(hù)是主要的攻擊目的,政府機(jī)構(gòu)和IT公司的網(wǎng)站仍然是攻擊者最喜歡的,我們預(yù)測(cè)下個(gè)季度的情況應(yīng)該會(huì)保持不變。此外,我們預(yù)計(jì)攻擊次數(shù)將會(huì)上漲,主要是由于新出現(xiàn)的內(nèi)容管理系統(tǒng)中的漏洞。
在檢測(cè)并公布漏洞之后,由于無(wú)法及時(shí)更新系統(tǒng)和修補(bǔ)程序,許多web應(yīng)用仍然易受攻擊。攻擊者會(huì)很快利用新發(fā)現(xiàn)的漏洞,在數(shù)天內(nèi)將其“武器化”。有效的保護(hù)需要及時(shí)的軟件更新和主動(dòng)措施,例如web應(yīng)用程序防火墻,以檢測(cè)和防止對(duì)web應(yīng)用的攻擊。
參考來(lái)源:Positive Technologies, “Web Application Attack Statistics: Q2 2017”.
本文來(lái)自微信公眾號(hào)星河互聯(lián)(ID:xinghehulian),作者:星河研究院。
今年上半年,勒索病毒全球肆虐,為各大企業(yè)和機(jī)構(gòu)敲響了網(wǎng)絡(luò)安全的警鐘。我國(guó)是遭受網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),據(jù)監(jiān)測(cè),2016年合計(jì)給企業(yè)造成的真實(shí)損失遠(yuǎn)遠(yuǎn)超過(guò)百億元。
近日,全球領(lǐng)先的安全公司Positive Technologies發(fā)布了2017年第二季度對(duì)Web應(yīng)用進(jìn)行的攻擊的統(tǒng)計(jì)數(shù)據(jù)。描述了最常見(jiàn)的攻擊類(lèi)型以及攻擊的目標(biāo)、強(qiáng)度和時(shí)間分布,還包含行業(yè)統(tǒng)計(jì)。通過(guò)這些信息,公司和組織可以在后續(xù)的web應(yīng)用開(kāi)發(fā)和維護(hù)中更針對(duì)性地對(duì)抗網(wǎng)絡(luò)威脅。
要點(diǎn):
跨站腳本攻擊和SQL注入是最常見(jiàn)的攻擊類(lèi)型;
政府、IT、醫(yī)療、教育、能源和制造公司最常受到攻擊;
企業(yè)設(shè)計(jì)安全措施時(shí),要考慮攻擊者活動(dòng)高峰期;
由于新出現(xiàn)的內(nèi)容管理系統(tǒng)中的漏洞,預(yù)計(jì)下季度攻擊次數(shù)將會(huì)上漲;
及時(shí)的軟件更新和主動(dòng)措施,才能形成有效保護(hù)。
1、跨站腳本攻擊和SQL注入最常見(jiàn)
在2017年第二季度,跨站腳本攻擊(Cross-Site Scripting)是最常見(jiàn)的攻擊類(lèi)型,占總威脅量的近40%。SQL注入(SQL Injection),用于訪問(wèn)敏感信息或運(yùn)行操作系統(tǒng)命令從而進(jìn)一步滲透系統(tǒng),占總攻擊數(shù)的約四分之一,與第一季度持平。
我們預(yù)計(jì)跨站腳本攻擊和SQL注入將繼續(xù)占有web應(yīng)用總攻擊量的一半以上。此外,第二季度的頻繁攻擊列表還包括信息泄漏(Information Leak)和XML注入(XML Injection),這兩者都需要披露信息。
201年第二季度web應(yīng)用攻擊top10
2、政府、IT、醫(yī)療行業(yè)最易受到攻擊
在每天的平均攻擊次數(shù)方面,IT和政府領(lǐng)域領(lǐng)先,其次是醫(yī)療、教育、能源和制造公司。
與前幾個(gè)季度相比,政府web應(yīng)用的攻擊次數(shù)在減少,這一趨勢(shì)可能與web應(yīng)用的性質(zhì)有關(guān):大多數(shù)網(wǎng)站都是提供信息,攻擊者感興趣的功能越來(lái)越少。
對(duì)制造業(yè)公司網(wǎng)站的攻擊針對(duì)性比較強(qiáng),基本都是由經(jīng)驗(yàn)豐富的黑客進(jìn)行,所以盡管這個(gè)領(lǐng)域的攻擊次數(shù)很少,但這些攻擊實(shí)際上是最危險(xiǎn)的。
不同行業(yè)每天的平均攻擊數(shù)量
下面我們來(lái)看看這些行業(yè)的web應(yīng)用受攻擊的情況。
a.對(duì)政府的攻擊大都是直接獲取數(shù)據(jù)
與第一季度相似,對(duì)政府的大部分攻擊都是用于直接獲取數(shù)據(jù)。個(gè)人數(shù)據(jù)是政府部門(mén)擁有的最關(guān)鍵的資源,因此攻擊傾向于直接關(guān)注數(shù)據(jù)庫(kù)或應(yīng)用程序的用戶(hù)。因?yàn)檎W(wǎng)站會(huì)被用戶(hù)高度信任,而這些網(wǎng)站的用戶(hù)比其他領(lǐng)域的用戶(hù)更不懂如何保證網(wǎng)絡(luò)安全,因此當(dāng)政府網(wǎng)站受到跨站腳本攻擊時(shí),就會(huì)很容易感染用戶(hù)的計(jì)算機(jī)。
第二季度另一種常見(jiàn)攻擊是信息泄漏,它利用各種web應(yīng)用程序漏洞,以獲取有關(guān)用戶(hù)、系統(tǒng)本身和其他敏感信息的數(shù)據(jù)。
2017年第二季度政府行業(yè)web應(yīng)用攻擊top5
b、對(duì)醫(yī)療行業(yè)的攻擊也主要是用于竊取信息
對(duì)醫(yī)療行業(yè)幾乎一半以上的攻擊是用來(lái)獲取數(shù)據(jù)。醫(yī)療機(jī)構(gòu)最近遭遇了幾個(gè)重大的數(shù)據(jù)泄漏事件:
5月,一個(gè)叫做Dark Overlord的黑客組織公布了三個(gè)醫(yī)療中心的約18萬(wàn)名患者的病歷記錄;
另一個(gè)事件發(fā)生在立陶宛的整形外科診所,超過(guò)2.5萬(wàn)張整容前后的照片(甚至包括裸照)被公布于眾。黑客的本意是要從診所和客戶(hù)那里都進(jìn)行勒索,金額分別為34.4萬(wàn)歐元和刪除一條紀(jì)錄2000歐元。
另一個(gè)受到攻擊的是Molina Healthcare公司,約有500萬(wàn)患者的病歷記錄被公開(kāi)。
大約有四分之一的攻擊來(lái)自DoS拒絕服務(wù)攻擊。現(xiàn)代醫(yī)療網(wǎng)絡(luò)應(yīng)用程序讓患者有機(jī)會(huì)了解更多關(guān)于診所及其服務(wù)的情況、安排醫(yī)生見(jiàn)面或電話會(huì)診、購(gòu)買(mǎi)保險(xiǎn)或服務(wù),并能獲得在線咨詢(xún)。
在這些應(yīng)用程序已經(jīng)普遍被使用的情況下,DoS攻擊不僅會(huì)損害公司的聲譽(yù),而且會(huì)對(duì)患者造成不便,甚至?xí)?duì)公司造成直接的經(jīng)濟(jì)損失。
2017年第二季度醫(yī)療行業(yè)web應(yīng)用攻擊top5
c、對(duì)IT企業(yè)的攻擊會(huì)影響企業(yè)聲譽(yù)
第二季度對(duì)IT行業(yè)企業(yè)最常見(jiàn)的攻擊是跨站腳本攻擊和SQL注入。這種攻擊主要會(huì)影響IT企業(yè)的聲譽(yù)。SQL注入可用于獲得信息或有其他用途,例如羞辱企業(yè)網(wǎng)站等。跨站腳本攻擊可以用于讓用戶(hù)工作站感染惡意軟件。
教育機(jī)構(gòu)的攻擊通常用來(lái)訪問(wèn)數(shù)據(jù)(例如考試材料)或修改數(shù)據(jù)(例如考試結(jié)果)。在第二季度,超過(guò)一半的攻擊都是用來(lái)獲取信息,路徑遍歷(Path Traversal)是最常見(jiàn)的方法。還有幾乎六分之一的攻擊是針對(duì)操作系統(tǒng)命令的攻擊。
而對(duì)于能源和制造業(yè)領(lǐng)域,攻擊者的目標(biāo)是獲得對(duì)企業(yè)基礎(chǔ)設(shè)施的全面控制。因此,最常見(jiàn)的攻擊是運(yùn)行任意操作系統(tǒng)命令并獲取對(duì)服務(wù)器的控制,或獲取有關(guān)系統(tǒng)的信息。相比之下,對(duì)用戶(hù)的攻擊很少。通過(guò)對(duì)目標(biāo)公司的內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊,攻擊者可以訪問(wèn)關(guān)鍵系統(tǒng)組件并干擾操作。
3、企業(yè)設(shè)計(jì)安全措施時(shí),要考慮攻擊者活動(dòng)高峰期
我們來(lái)看一下隨著時(shí)間的推移,一家公司平均每天遇到的每種類(lèi)型的攻擊次數(shù)。下圖顯示的是黑客使用的每個(gè)web應(yīng)用攻擊方法的頻率和強(qiáng)度。
不同種類(lèi)的攻擊每天的平均攻擊數(shù)量
跨站腳本攻擊在整個(gè)季度持續(xù)高漲,每天記錄100到250個(gè)。SQL注入在下面這個(gè)圖表上也使非常明顯的,每天的攻擊量在40到200次。當(dāng)查找由SQL查詢(xún)輸入過(guò)濾不足引起的漏洞時(shí),攻擊者往往會(huì)集中搜索。第二季度最強(qiáng)大的web應(yīng)用攻擊是通過(guò)強(qiáng)制所有可能的參數(shù)搜索SQL注入漏洞,攻擊者發(fā)送的請(qǐng)求超過(guò)3.5萬(wàn)個(gè)。
與上一季度相比,攻擊者的活躍程度略有下降。Web應(yīng)用每天平均受到300-800次攻擊,最低的時(shí)候是140次。單一公司在一天內(nèi)的最大攻擊次數(shù)為35135次,是上一季度頂峰數(shù)字的兩倍,實(shí)際上所有這些攻擊來(lái)自同一個(gè)IP地址。
在設(shè)計(jì)企業(yè)的安全措施時(shí),最好要考慮到攻擊者活動(dòng)處于高峰期的時(shí)間。這些高峰時(shí)間可能與企業(yè)或者行業(yè)強(qiáng)相關(guān)。第二季度攻防的強(qiáng)度很穩(wěn)定,但某些時(shí)間段的活動(dòng)有所上升。特別是在非工作時(shí)間內(nèi)進(jìn)行攻擊時(shí),及時(shí)反應(yīng)和預(yù)防需要智能的web應(yīng)用保護(hù)工具,以及合格的安全事故負(fù)責(zé)人員。
4、及時(shí)的軟件更新和主動(dòng)措施才能形成有效保護(hù)
攻擊者在整個(gè)第二季度都保持活躍的狀態(tài),然而與上一季度類(lèi)似,與2016年同比略有下降。嘗試訪問(wèn)敏感信息并攻擊web應(yīng)用用戶(hù)是主要的攻擊目的,政府機(jī)構(gòu)和IT公司的網(wǎng)站仍然是攻擊者最喜歡的,我們預(yù)測(cè)下個(gè)季度的情況應(yīng)該會(huì)保持不變。此外,我們預(yù)計(jì)攻擊次數(shù)將會(huì)上漲,主要是由于新出現(xiàn)的內(nèi)容管理系統(tǒng)中的漏洞。
在檢測(cè)并公布漏洞之后,由于無(wú)法及時(shí)更新系統(tǒng)和修補(bǔ)程序,許多web應(yīng)用仍然易受攻擊。攻擊者會(huì)很快利用新發(fā)現(xiàn)的漏洞,在數(shù)天內(nèi)將其“武器化”。有效的保護(hù)需要及時(shí)的軟件更新和主動(dòng)措施,例如web應(yīng)用程序防火墻,以檢測(cè)和防止對(duì)web應(yīng)用的攻擊。
參考來(lái)源:Positive Technologies, “Web Application Attack Statistics: Q2 2017”.
京公網(wǎng)安備 11010502049343號(hào)