• ?

    安全研究

    研究報告
    2017網絡安全觀察




    孫子曰“知己知彼,百戰不殆”,話又說“知易行難”。知己 已是不易,各種開源軟件涌入信息系統,各種 API 調來調去供應鏈 越來越長,各種微服務“一言不合”就上線。這種動態環境下,知己―― 清楚地了解洞悉自身網絡中的資產、價值和安全屬性、邏輯分布和 依賴關系等無疑很挑戰。 但知彼是更難的挑戰。“彼”的識別就是 個大問題。什么目標和動機?定向的,還是非定向的;什么技術水 平?高級的,還是一般的;當前什么趨向,什么漏洞和利用在流行? 數百萬的安全告警背后分別是什么威脅?


    從名義和定義上看,威脅情報是一個很好的“知彼”渠道。一 般來說,市場上可以獲得的數十數百種威脅情報,包括免費開源的、 商業的,在實際安全運營活動中,有時候顯得太多,數以千萬的各 種威脅信息,需要占用大量資源才能加以分析利用;有時候又顯得 太少,當重大或特定安全事件發生時,又發現諸多威脅情報“面面 相覷”,都不能提供有價值強關聯的可行動信息。 幾年的實踐下來, 業界意識到威脅情報只有在消費分析閉環里的不斷”提煉 " 中才能展 現價值,自身也才能越變越精準。 在這個閉環中,消費到分析的階 段最為關鍵。威脅情報的消費過程本身也構成了新的“情報”,新 的情報再次加入新的“消費”環節,于是威脅情報的用戶和提供商 一起構成了一種事實上的網絡防護生態, 這種“生態”能帶給成員 最為鮮活的威脅動態和動力,實現一種可持續的、可運營的知“彼” 手段。


    如果說 2016 年發生在 Dyn 攻擊事件是物聯網威脅的“叫醒”鈴 聲的話,那么到了 2017 年,物聯網設備已經是網絡攻擊的常客。綠 盟威脅情報中心數據顯示,物聯網設備 IP 已占有總惡意 IP 的 12%, 物聯網設備中惡意 IP 所占物聯網總 IP 數量的比例達到 4.8%, 是普 通 IP 空間相應惡意 IP 占比的 3 倍。不難預計,物聯網設備帶來的安 全威脅將繼續不斷升高,對物聯網威脅的相應防護能力將會成為安 全防護體系的標配。

    2017 年,在我們持續監控的超過 390 萬個攻擊源中,大約 20%的惡意 IP 曾對多個目標進行過攻擊,0.39% 的攻擊源對 90% 的攻擊事件負責。對這些“慣犯”的針對性跟蹤、分析、畫像、對抗等可 以有效地提高安全防護的效率和效果,相應地,“慣犯”覆蓋也將 成為最為核心的威脅情報能力之一。






    如年中安全觀察所報告的,我們發現惡意 IP 在一個國家總 IP 數 量中的占比與該國家的整體經濟發展水平有非常明顯的線性關聯關 系,也就是說,經濟程度發展較低的地區,互聯網安全治理水平也 相對落后,安全防護提升跟不上電腦的普及速度,從而計算機被感 染成為被控主機、攻擊其它系統的概率更高,例如,越南惡意 IP 占 比高達 17%, 印度高達 11%......這些基礎威脅統計信息可以作為UEBA/ 安全行為分析的重要輸入,建立更智能的安全檢測體系。同時, 我們應該看到,追逐利潤的安全威脅越來越體現出全球化運作的特 點,這也要求威脅情報也具備全球化運作的監視、分析和響應能力。


    2017 年,我們監測到的拒絕服務攻擊的總流量達 64 萬 TB,相比 2016 年增長 79.4%。全年 DDoS 平均攻擊峰值為 14.1Gbps,比2016 年增長 39.1%。單次 DDoS 攻擊規模最大的一次發生在 2017年 5 月份,峰值達 1.4Tbps,而 2016 年的攻擊峰值是 730Gbps。


    反射放大型攻擊依然占據了拒絕服務攻擊類型的主流位置,值得注意的是,反射攻擊武器庫里又有新的致命武器。幾天前,著名代碼托管站點 GitHub 遭受高達 1.3Tbps 的拒絕服務攻擊。這次攻擊了利用 Memcached 的反射拒絕服務攻擊漏洞。綠盟威脅情報中心NTI 數據顯示,全球有 10 萬多的 Memcached 服務器在互聯網上開放, 考慮到這些服務器的大帶寬、高在線時長,Memcached 有可能成為新的反射 DDoS 攻擊大殺器。


    點滴分享,幫助您洞察威脅......


    查看完整內容請下載報告

    《2017網絡安全觀察》


    瀏覽次數:

    關 閉
    破解11选5的密码出号