• ?

    安全研究

    研究報告
    2018上半年網絡安全觀察


    近年來,安全事件逐漸成為媒體的寵兒,尤其是個人信息泄露、銀行資金竊取和IoT 設備的攻擊利用事件 牽動著眾人的眼球。在公眾關注度方面,從近兩年的百度指數就能看出,“個人信息泄露”和“黑客”等關鍵詞的整體日均值都在歷史中高位波動,網絡安全和信息安全已經不僅僅是一個技術問題,而是關乎普羅大眾的民生問題。

    與此同時,安全廠商的視角也在慢慢變化。從RSA 近年的主題上看,2016 年的“Connect to Protect”,2017 的“Power of OpportUNITY”到2018 年的“Now Matters”,同時,關鍵詞也從往年的威脅情報、人工智能到今年的應急響應和威脅狩獵,可以看出,安全廠商們不再滿足于概念性的奔走呼號,聯動防御和破除孤島已成共識,在多年的技術積累上厚積薄發,真真正正化被動為主動,切切實實關注落地實效和響應時效。
    漏洞發現,攻擊利用和應急響應,是攻防雙方角力的主戰場。兵者詭變,從去年的臭名昭著的Wannacry 事件到后來的WannaMine和Smominru,永恒之藍漏洞相繼被用在勒索軟件和挖礦僵尸網絡中,攻擊的目標和攻擊的手段在變,唯一不變的是攻擊者對利益的訴求。兵貴神速,安全的戰役,難就難在防御者如何才能在攻防條件不對等的情況下,快速地跟進形勢,擴充自己的武器庫和提前布局。孫子曰“知彼良知,勝乃不殆;知天知地,勝乃不窮”。威脅情報的
    核心正是一個“知”字,從數據到信息到知識,這幾年來的落地實踐逐漸讓安全廠商能夠從海量的攻擊數據、基礎數據和外部情報中,去偽存真,抽絲剝繭,對攻擊者個體能夠形成多個剖面的詳盡刻畫,同時對攻擊者群體能夠快速提取共性及關聯,構建出網絡空間的深層感知體系。

    據綠盟威脅情報中心觀測,近20% 的攻擊源發起過多種類型的攻擊,其攻擊類型的轉換時序滿足攻擊鏈逐步深入的特性,例如百分之五十的Web 攻擊者會在隨后嘗試更為復雜的漏洞利用攻擊。僵尸主機也有相當部分具備蠕蟲的特性,在被感染后相繼進行掃描和漏洞利用操作,快速補充僵尸軍團的新生力量。同時,不同類型的攻擊資源存在復用的情況,例如發起惡意掃描的攻擊源,其中的44% 在之后成為垃圾郵件源。一方面可以看出,攻擊者較為關注自身的攻擊成本,盡可能榨干獲取的肉雞價值。另一方面也可以看出,時間成本和規模效應也是攻擊者關心的重點。


    從攻擊流量來看,挖礦病毒、蠕蟲和木馬等類型的惡意軟件的活躍數量在2月下旬到3 月上旬期間均有一定程度的回落或在低位徘徊,當時正逢新春佳節,一定程度上說明監測范圍內的大部分攻擊者應為華人。另一方面,比特幣價格的持續萎縮似乎并沒有影響攻擊者對加密貨幣的投機偏好,挖礦類惡意程序在春節過后持續升溫,其活躍狀況暗合加密貨幣的漲跌趨勢。在各類挖礦病毒中,針對門羅幣的WannaMine 尤為活躍,在挖礦活動中占比超過70%。Palo AltoNetworks 研究1 也表明門羅幣是惡意程序最為青睞的幣種,5% 的門羅幣經由惡意
    程序開采出來。


    2018 年上半年,在我們持續監控到的超2700 萬攻擊源IP 中,有25% 在歷史上曾被監測到多次攻擊行為,我們稱之為“慣犯”。慣犯產生的可能原因有二,其一為攻擊資源的復用,其二是暴露在公網上大量IP 基礎設施的安全狀況長期得不到改善,被不同的攻擊者利用。慣犯承擔了40% 的攻擊事件,其中僵尸網絡活動和DDoS 攻擊是慣犯們的主流攻擊方式。今年上半年披露的漏洞主要集中在中危漏洞,高危和漏洞比例與去年同期相比均有所下降。值得關注的是,其中獲取和利用難度低、危害程度大的漏洞主要集中在數個移動設備或者網關類設備制造商的相關產品中。設備類和網關類產品通常覆蓋面廣,一旦被攻擊者利用,影響面會快速擴大。網絡空間可以說是全世界的軟件開發者構建起來的,軟件開發流程越來越依賴世界各地的開發者通力合作,在這期間形成了各種包管理器、版本管理工具和代碼分享與托管平臺等軟件開發基礎設施。據觀測,Pastebin 和GitHub 等代碼分享與托管平臺日漸成為惡意軟件的溫床,許多惡意可執行文件經base64 編碼后上傳,同時此類平臺往往全站使用HTTPS,使得該類行為在流量層面更加難以檢測。同時,我們也監測到此類平臺造成大量的信息泄露,例如開發者的代碼段,電子郵件用戶名密碼,數據庫結構等。

    <<2018上半年網絡安全觀察>>


    瀏覽次數:

    關 閉
    破解11选5的密码出号