隨著互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)以及企業(yè)在線業(yè)務(wù)的發(fā)展，人們不斷加深對(duì)數(shù)據(jù)價(jià)值的認(rèn)識(shí)，也審視數(shù)據(jù)資產(chǎn)的保護(hù)。為透視網(wǎng)絡(luò)攻擊內(nèi)在機(jī)制與安全趨勢，幫助企業(yè)從容應(yīng)對(duì)風(fēng)險(xiǎn)與挑戰(zhàn)，數(shù)世咨詢、白山云科技及上海云盾4月16日聯(lián)合發(fā)布《2019年DDoS威脅態(tài)勢與攻防產(chǎn)業(yè)鏈研究報(bào)告》與《2019年全球互聯(lián)網(wǎng)安全態(tài)勢報(bào)告》。

　　依托全網(wǎng)安全威脅情報(bào)儲(chǔ)備與大數(shù)據(jù)分析能力，兩份報(bào)告帶來了哪些觀點(diǎn)與建議?閱讀全文，一探究竟。

　　《2019年DDoS威脅態(tài)勢與攻防產(chǎn)業(yè)鏈研究報(bào)告》詳解

　　DDoS攻擊是形形色色網(wǎng)絡(luò)攻擊中極具破壞力的一種，破解DDoS攻防產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié)，才能最大程度制定防御的萬全之策。報(bào)告基于2019年DDoS攻擊數(shù)據(jù)，透視DDoS威脅態(tài)勢與攻防產(chǎn)業(yè)鏈。

　　攻：黑灰產(chǎn)業(yè)鏈研究

　　1、攻擊思路：與其硬碰硬，不如“繞過防守”直擊目標(biāo)

　　為避免與CDN/云廠商資源對(duì)抗場景下DDoS攻擊的高成本消耗，黑客更傾向于“繞過防守”直擊目標(biāo)。

　　1.1 結(jié)合TCP反射攻擊可以將反射服務(wù)器IP加入DDoS防火墻白名單的特性，繞過防守后，偽裝反射服務(wù)器IP，發(fā)起大規(guī)模SYN Flood攻擊，直擊后端服務(wù)器;

　　1.2 通過敏感頁面抓取、歷史DNS解析記錄查詢、子域名查詢、證書信息查詢、郵箱MX記錄查詢、漏洞利用等方式，獲取源服務(wù)器真實(shí)IP地址，繞過CDN/云廠商的“替身式防御”，發(fā)動(dòng)DDoS攻擊，直擊源IP;

　　1.3 應(yīng)用攻擊+DDoS攻擊的組合，讓防御方疲于應(yīng)對(duì)DDoS攻擊，使Web應(yīng)用攻擊繞過防守主力，達(dá)到最終的攻擊目的;

　　1.4 針對(duì)App場景，借助非僵尸網(wǎng)群控技術(shù)模擬真實(shí)用戶訪問行為，繞過傳統(tǒng)動(dòng)態(tài)黑名單攔截的防御模式，實(shí)施針對(duì)性CC攻擊;

　　1.5 針對(duì)屬于同一網(wǎng)段的單個(gè)IP進(jìn)行小流量的DDoS攻擊，繞過單IP的黑洞封禁策略，實(shí)現(xiàn)針對(duì)整體IP段流量壓制，最終封堵整個(gè)節(jié)點(diǎn)帶寬。

　　2、攻擊模式：從“單挑”到“群毆”到“嫁禍”

　　DDoS攻擊形態(tài)由起初一對(duì)一的DoS攻擊，向借助C/S系統(tǒng)技術(shù)的DDoS攻擊模式演進(jìn);近年來已形成不需要配備大量肉雞、利用廣播地址與回應(yīng)請求實(shí)現(xiàn)拒絕服務(wù)的DRDoS攻擊模式。

　　3、DDoS組織形態(tài)：是什么催生了龐大的黑灰產(chǎn)業(yè)鏈?

　　DDoS攻擊鏈上下游均已形成細(xì)分產(chǎn)業(yè)鏈，如僵尸網(wǎng)肉雞、自制網(wǎng)資源、反射服務(wù)器資源等攻擊資源的傳播與售賣;渠道一般為百度搜索，或海外網(wǎng)站、黑客論壇、淘寶、QQ群、郵件等。

　　同時(shí)出現(xiàn)集成自動(dòng)化的DDoS攻擊軟件、平臺(tái)化的SaaS服務(wù)。且逐漸團(tuán)伙化發(fā)展，形成DDoS完整攻擊鏈閉環(huán)。

　　守：防御對(duì)抗研究

　　1、互聯(lián)網(wǎng)威脅情報(bào)及線索挖掘使攻擊溯源更為精準(zhǔn)便捷

　　得益于互聯(lián)網(wǎng)威脅情報(bào)系統(tǒng)的建設(shè)，通過整合多維情報(bào)數(shù)據(jù)源，基于大數(shù)據(jù)和AI技術(shù)，進(jìn)行歸納、推理、關(guān)聯(lián)等?？梢詫⒐羰录?、受害者、僵尸網(wǎng)絡(luò)、嫌疑人、金主構(gòu)建全景情報(bào)關(guān)系網(wǎng)。從而對(duì)攻擊事件進(jìn)行全鏈路溯源分析，抓出攻擊團(tuán)伙，提升成功率。

　　精準(zhǔn)溯源，不僅依托于事前威脅情報(bào)系統(tǒng)的建設(shè)，同時(shí)需要挖掘事中“防守”過程中的突破點(diǎn)。參考ATT&CK框架，DDoS與APT攻擊相似，有其攻擊鏈特征模型。“捕獲”攻擊鏈各階段線索，將為DDoS攻擊的精準(zhǔn)溯源提供至關(guān)重要的突破點(diǎn)。

　　上海云盾DDoS攻擊鏈簡要模型：

　　1.1 踩點(diǎn)階段：瀏覽網(wǎng)站尋找弱點(diǎn)，掃描域名解析記錄，抓包分析，原生App逆向;

　　1.2 攻擊階段：操作控制臺(tái)輸入攻擊指令(IP、Domain、URL);

　　確認(rèn)階段：PING、Telnet、打開網(wǎng)頁、登錄App。

　　2、面向業(yè)務(wù)的創(chuàng)新三階復(fù)合對(duì)抗模型

　　隨著攻擊數(shù)量級(jí)不斷提高，整個(gè)安全行業(yè)都致力于在資源不對(duì)等的情況下完成面向最終客戶業(yè)務(wù)的防御模式創(chuàng)新。上海云盾創(chuàng)新三階復(fù)合對(duì)抗模型，助力客戶從容應(yīng)對(duì)互聯(lián)網(wǎng)新環(huán)境。

　　模型基于零信任安全理念，默認(rèn)不信任任何終端，建立端邊云一體化架構(gòu)。在終端部署安全SDK，預(yù)認(rèn)證設(shè)備及用戶可信度。安全大腦持續(xù)評(píng)估終端環(huán)境、用戶行為等是否可信，動(dòng)態(tài)調(diào)整信任等級(jí)，未通過可信認(rèn)證的終端將被拒絕服務(wù)，實(shí)現(xiàn)面向客戶業(yè)務(wù)的主動(dòng)、有效、精準(zhǔn)防御。

　　《2019年全球互聯(lián)網(wǎng)安全態(tài)勢報(bào)告》詳解

　　目前企業(yè)要應(yīng)對(duì)的數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增，大流量DDoS攻擊已成常態(tài)化，T級(jí)時(shí)代來臨;業(yè)務(wù)層威脅兩極化分明，爬蟲攻擊穩(wěn)步上升。報(bào)告從Web應(yīng)用攻擊、DDoS攻擊、業(yè)務(wù)層攻擊三方面，結(jié)合六個(gè)典型安全事件復(fù)盤，解析2019年全球互聯(lián)網(wǎng)安全態(tài)勢。

　　3、Web應(yīng)用攻擊持續(xù)增長，高危攻擊常態(tài)化

　　2019年上海云盾安全運(yùn)營中心監(jiān)測到Web應(yīng)用攻擊12.6億次，同比上升 20%。

　　對(duì)于影響程度，大多數(shù)攻擊可能的影響集中在造成業(yè)務(wù)波動(dòng)(5檔)，但造成業(yè)務(wù)無法運(yùn)行(10檔)的攻擊依舊存在，需專注防護(hù)。

　　4、大流量DDoS攻擊已成常態(tài)，T級(jí)攻擊不斷涌現(xiàn)

　　超過300Gbps的DDoS攻擊占比超15%，月平均峰值帶寬接近1Tbps。

　　游戲行業(yè)受DDoS攻擊影響最為嚴(yán)重。

　　5、業(yè)務(wù)層攻擊威脅總數(shù)增長翻番，安全態(tài)勢依然嚴(yán)峻

　　2019年白山云ATD平臺(tái)監(jiān)測到網(wǎng)絡(luò)攻擊9566.5億次，攻擊源24.5億個(gè)，攻擊次數(shù)和攻擊源數(shù)量保持高速增長。

　　對(duì)于影響程度，2019年業(yè)務(wù)攻擊威脅程度分布與2018年分布相似，業(yè)務(wù)層威脅兩極化。

　　6、數(shù)據(jù)及敏感文件的安全性將成為企業(yè)的核心關(guān)注對(duì)象

　　20%的Web應(yīng)用攻擊類型來源于敏感文件訪問。

　　電子商務(wù)、媒體、政府機(jī)構(gòu)受Web應(yīng)用攻擊影響嚴(yán)重;

　　資訊行業(yè)受爬蟲攻擊影響最為嚴(yán)重。

　　7、自動(dòng)化攻擊應(yīng)用廣泛，黑灰產(chǎn)攻擊手段不斷升級(jí)

　　超過75%的攻擊流量來源于掃描器。

　　攻擊者更偏向于在請求地址、請求頭部、請求主體中插入攻擊點(diǎn)。

　　縱觀2019年的安全態(tài)勢和攻擊案例，目前企業(yè)針對(duì)數(shù)字資產(chǎn)的保護(hù)，安全手段仍有一定局限：

　　7.1傳統(tǒng)安全技術(shù)忽視“爬蟲”，但爬蟲其實(shí)是造成數(shù)據(jù)資產(chǎn)泄露的主要途徑;

　　7.2大多企業(yè)應(yīng)用點(diǎn)防御，缺少對(duì)數(shù)字資產(chǎn)的梳理和基于流量/數(shù)據(jù)的縱深防御;

　　7.3依賴規(guī)則，維護(hù)成本高，且覆蓋不全，只能解決已知威脅;

　　7.4安全產(chǎn)品使用不當(dāng)，帶來安全威脅。

　　8、AI、IPv6、5G帶來新機(jī)遇與挑戰(zhàn)。

　　8.1 AI：傳統(tǒng)基于規(guī)則的防火墻面臨嚴(yán)峻挑戰(zhàn)，基于領(lǐng)域知識(shí)的規(guī)則不僅難以應(yīng)對(duì)新型攻擊而且維護(hù)難度高、成本大。另外，業(yè)務(wù)增長令行為分析和事件關(guān)聯(lián)越發(fā)龐雜。自動(dòng)化網(wǎng)絡(luò)安全解決方案，依靠大數(shù)據(jù)和機(jī)器學(xué)習(xí)，將推動(dòng)網(wǎng)絡(luò)安全技術(shù)不斷升級(jí)。

　　8.2 IPv6：IPv6的設(shè)計(jì)對(duì)安全性有一定的提升，但并未徹底解決IPv4中存在的安全隱患，IPv6的一些新特性甚至帶來新風(fēng)險(xiǎn)。

　　8.3 5G：5G將大大促進(jìn)人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷發(fā)展，但其中存在的安全缺陷不容忽視。

　　白山云與上海云盾安全專家針對(duì)兩份報(bào)告的解讀直播，現(xiàn)已開放回看通道。報(bào)告全文內(nèi)含更詳實(shí)的數(shù)據(jù)、更細(xì)致的分析、更生動(dòng)的案例，為你撥開網(wǎng)絡(luò)迷霧，另辟安全蹊徑。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。