4月12日，阿里云安全團(tuán)隊正式對外發(fā)布《2015年度云盾態(tài)勢感知報告》（以下簡稱《報告》）。

　　此次《報告》主要聚焦數(shù)據(jù)中心云計算用戶面臨安全問題，包括高級持續(xù)威脅、定向Web應(yīng)用攻擊、面向系統(tǒng)的暴力破解以及主機(jī)惡意文件等四個方面。

　　同時，分享了2015年度互聯(lián)網(wǎng)Web安全方面的研究和發(fā)現(xiàn)，重點(diǎn)對新型威脅——“撞庫”攻擊進(jìn)行了分析，并發(fā)布撞庫攻擊預(yù)警。

新型Web網(wǎng)站入侵手段——“撞庫”受攻擊者青睞

　　整體來看，2015年互聯(lián)網(wǎng)Web安全形勢不容樂觀。根據(jù)《報告》，Web應(yīng)用攻擊總體呈現(xiàn)上升趨勢，全年攻擊次數(shù)超過80億次。按季度進(jìn)行統(tǒng)計，從第一季度不到6億次/月上升到第四季度高于8億次/月。在雙十一當(dāng)天，Web應(yīng)用攻擊達(dá)到了全年的峰值8000萬次/天。

 

　　圖1 Web應(yīng)用攻擊趨勢

　　具體到黑客的攻擊手段，阿里云安全團(tuán)隊通過對大量攻擊數(shù)據(jù)和案例的分析發(fā)現(xiàn)，一種新型的Web網(wǎng)站入侵手段——“撞庫”逐漸受到攻擊者的青睞，值得云計算用戶重點(diǎn)關(guān)注和防范。

　　撞庫攻擊，通俗地講就是黑客拿著互聯(lián)網(wǎng)上所謂的“社工庫”（里面包含上億用戶名和登錄密碼）對網(wǎng)站用戶登錄界面不停的嘗試登錄，只要有一次匹配成功，就可以進(jìn)入用戶系統(tǒng)。雖然表面上看上去像博彩票，實(shí)質(zhì)上隨著社工庫規(guī)模的壯大和精準(zhǔn)度的不斷完善，成功率較傳統(tǒng)暴力破解攻擊已有質(zhì)的提升。

　　當(dāng)前，阿里云云盾系統(tǒng)監(jiān)控的“撞庫”事件日均數(shù)量達(dá)數(shù)千起，平均每起攻擊事件包括數(shù)千次撞庫登錄請求，而在這些事件中，賬號密碼組合去重后仍有幾十萬對，足見攻擊者已經(jīng)具備了完善和龐大的社工庫。

金融、游戲行業(yè)是黑客攻擊重災(zāi)區(qū)

　　過去一年，在經(jīng)常遭遇撞庫攻擊的網(wǎng)站里，排名前三的行業(yè)分別為金融(19.68%)、社區(qū)論壇(16.03%)、游戲(13.87%)，幾乎占據(jù)了全部攻擊的一半，接著為影音娛樂、教育、新聞、廣告、旅游等行業(yè)。

 

　　圖2 撞庫網(wǎng)站行業(yè)分布

　　阿里云安全專家預(yù)測，2016年，隨著互聯(lián)網(wǎng)金融的蓬勃發(fā)展，金融類網(wǎng)站可能仍然是黑客首要攻擊目標(biāo)，針對金融類網(wǎng)站的撞庫攻擊將越來越多，風(fēng)險形勢將加劇。

忽略態(tài)勢感知告警 客戶遭遇撞庫攻擊

　　在2015年年末，阿里云安全團(tuán)隊接到用戶求助，其運(yùn)營網(wǎng)站的大量用戶賬號被惡意登陸，部分用戶賬號內(nèi)的代金券和余額被黑客消費(fèi)。

　　安全專家立即配合客戶進(jìn)行安全響應(yīng)，在云盾態(tài)勢感知系統(tǒng)中發(fā)現(xiàn)曾經(jīng)檢測到了來自黑客的撞庫攻擊，請求有數(shù)百萬之多。詢問得知，客戶認(rèn)為其登陸頁面增加了驗證碼挑戰(zhàn)便可防御黑客的自動化腳本登陸，忽視了撞庫攻擊的可能，從而對來自態(tài)勢感知的告警采取了忽略的態(tài)度。

　　經(jīng)過進(jìn)一步的深入調(diào)查，黑客持有一份數(shù)百萬條用戶賬號和明文密碼數(shù)據(jù)庫，這個數(shù)據(jù)庫和之前某門戶網(wǎng)站數(shù)據(jù)泄露有關(guān)。

　　同時黑客購買了大量的代理服務(wù)器，繞過網(wǎng)站對登陸次數(shù)限制和風(fēng)控策略。結(jié)果是，在網(wǎng)站管理者看來，就像不同的用戶在登陸，很難察覺到異常。最關(guān)鍵的一點(diǎn)，黑客用到了“打碼平臺”，這種平臺提供人工或者智能識別驗證碼技術(shù)，黑客只需要交納一定費(fèi)用，就可以實(shí)現(xiàn)高效的破解驗證碼。

 

　　圖3 安全專家梳理出的此次“撞庫”事件攻擊過程

葉敏解讀：如何更好的防御黑客撞庫攻擊

　　阿里云云盾安全攻防團(tuán)隊負(fù)責(zé)人葉敏認(rèn)為，“撞庫攻擊表面看非常簡單，但是黑客依托高效率掃號軟件（自動化嘗試登錄的軟件），能夠每秒鐘用幾十對帳號密碼組合嘗試登錄，在一個小時內(nèi)就可以嘗試近10萬個帳號密碼組合，潛在的風(fēng)險還是相當(dāng)高的”

　　與傳統(tǒng)暴力破解攻擊相比，用于撞庫的用戶名和密碼均是有人使用過的組合，再次被使用的可能性很高。對比另一種采用類似攻擊手段的暴力破解攻擊，由于撞庫攻擊的賬號密碼組合比暴力破解字典的精準(zhǔn)度高，因此攻擊的效率和效果比暴力破解高很多。”

　　事實(shí)上，“撞庫”攻擊只是在瞬息萬變的互聯(lián)網(wǎng)和云計算安全發(fā)展背景下眾多新型安全威脅中的一個代表。對于此類攻擊的防御，由于攻擊一方無論在手段的豐富程度上，還是攻擊源的開放性，或是攻擊效率提升上（自動化）均有了不小的發(fā)展，傳統(tǒng)以基于特征為核心的阻斷和防御策略已經(jīng)不再適合，數(shù)據(jù)驅(qū)動安全已成共識，只有在基于大規(guī)模安全數(shù)據(jù)被有效挖掘、關(guān)聯(lián)和分析的基礎(chǔ)上才能真正看到和處置威脅。

　　站在用戶的立場看，無論是機(jī)器學(xué)習(xí)方法進(jìn)行自動偵測異常行為，還是大數(shù)據(jù)技術(shù)提高擴(kuò)展性、靈活性以及處理性能，這些“高大上”的手段最終目的是讓企業(yè)減少處理繁縟的數(shù)據(jù)源、規(guī)則和事件的成本，讓IT運(yùn)營部門受益。