美國宣布進(jìn)入緊急狀態(tài)!網(wǎng)絡(luò)攻擊,別只看這冰山一角
本文轉(zhuǎn)自雷鋒網(wǎng),如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。
近日,美國最大燃油管道運(yùn)營商科洛尼爾(Colonial Pipeline)因受勒索軟件攻擊,被迫臨時(shí)關(guān)閉其美國東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。
公司表明,為遏制威脅,已主動(dòng)切斷部分網(wǎng)絡(luò)連接,暫停所有管道運(yùn)營。為解除對(duì)燃料運(yùn)輸?shù)母鞣N限制,保障石油產(chǎn)品的公路運(yùn)輸,美國政府宣布進(jìn)入緊急狀態(tài)。多方消息證實(shí),此次勒索軟件名為DarkSide,攻擊者劫持了該公司近100GB的數(shù)據(jù)以索取贖金。
網(wǎng)絡(luò)攻擊屢見不鮮
5月10日,俄羅斯衛(wèi)星中文網(wǎng)報(bào)道稱,CNN援引網(wǎng)絡(luò)安全領(lǐng)域前高官的話報(bào)道,認(rèn)為對(duì)科洛尼爾管道運(yùn)輸公司進(jìn)行網(wǎng)絡(luò)攻擊的黑客可能與俄羅斯有關(guān)。
該消息人士表示,此次網(wǎng)絡(luò)攻擊的背后是來自俄羅斯的黑客團(tuán)伙DarkSide,這些黑客通常攻擊非俄語國家,而他們的手段是對(duì)目標(biāo)系統(tǒng)植入惡意軟件,以索要贖金。
這種惡意軟件也被稱為“勒索病毒”。
勒索病毒文件一旦進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。直至受害者支付贖金,黑客才可能將其解鎖。
《紐約時(shí)報(bào)》表示,這種網(wǎng)絡(luò)犯罪行為好比“對(duì)數(shù)據(jù)的綁架”。
其實(shí),近年來,利用勒索軟件進(jìn)行網(wǎng)絡(luò)攻擊的事件屢見不鮮。
據(jù)報(bào)道,2016年勒索軟件攻擊開始爆發(fā),當(dāng)時(shí)至少影響五家美國和加拿大醫(yī)院,這促使專家再次呼吁使用自動(dòng)備份來緩解這種攻擊的影響。
例如2016年2月,美國舊金山好萊塢長老會(huì)醫(yī)療中心遭受勒索軟件攻擊后,該醫(yī)院支付近17000美元贖金。
2018年1月,美國印第安納州格林菲爾德的漢考克健康(Hancock Health)遭遇了勒索軟件攻擊。
據(jù)報(bào)道,這讓醫(yī)院失去了部分計(jì)算機(jī)系統(tǒng)的控制權(quán),當(dāng)時(shí)黑客要求以比特幣作為贖金支付。
從2018年初到9月中旬,勒索病毒總計(jì)對(duì)超過200萬臺(tái)終端發(fā)起過攻擊,攻擊次數(shù)高達(dá)1700萬余次,且整體呈上升趨勢(shì)。
截至當(dāng)?shù)貢r(shí)間2021年4月27日,美國華盛頓警局內(nèi)部系統(tǒng)遭黑客勒索,美國已有26個(gè)政府機(jī)構(gòu)遭勒索病毒攻擊。
中國的網(wǎng)絡(luò)安全防范如何?
相比之下,中國的網(wǎng)絡(luò)安全防范相對(duì)完善,但威脅依然不少。
一方面是國內(nèi)網(wǎng)絡(luò)在與全球網(wǎng)絡(luò)連接前,還需通過另一張“綠網(wǎng)”的檢核;
另一方面,國內(nèi)對(duì)于企業(yè)有嚴(yán)格的監(jiān)管要求,若觸犯相關(guān)法規(guī),政府將嚴(yán)懲不貸。
但網(wǎng)絡(luò)攻擊沒有終點(diǎn),一山還有一山高。
業(yè)內(nèi)知名安全專家曾向雷鋒網(wǎng)AI掘金志介紹道,網(wǎng)絡(luò)攻擊從弱到強(qiáng)可分為五個(gè)等級(jí)。
第一級(jí)是因內(nèi)部人員管理不當(dāng),引發(fā)的安全問題;
第二級(jí)是早期常見的黑客攻擊,以單兵作戰(zhàn)的形式,通過潛伏、滲透等手段達(dá)到竊取密碼的目的;
第三級(jí)以DDoS攻擊為主,是有組織、成體系的攻擊,多是由商業(yè)競(jìng)爭(zhēng)對(duì)手發(fā)起;
第四級(jí)是黑產(chǎn),通過挖礦、勒索甚至資本聯(lián)動(dòng)等方式盈利。資金流向分散,存證取證極為困難;
第五級(jí)則是網(wǎng)絡(luò)軍隊(duì)。
目前來看,美國此次事件則屬于四級(jí)甚至是第五級(jí)的網(wǎng)絡(luò)攻擊。
而近年來,隨著數(shù)字化轉(zhuǎn)型、聯(lián)網(wǎng)設(shè)備數(shù)量增加以及處理器算力提升,位于第三級(jí)的DDoS攻擊愈趨復(fù)雜,攻擊目標(biāo)大多直指企業(yè)并造成重大財(cái)務(wù)損失。
以全球視角來看,其最大市場(chǎng)是北美和亞太地區(qū)。
據(jù)統(tǒng)計(jì),2020年第三季度,中國遭遇的DDoS攻擊為全球之首,占攻擊總量的72.83%。
時(shí)至今日,國內(nèi)利用僵尸網(wǎng)絡(luò)的DDoS攻擊仍大行其道。
近日,一個(gè)基于僵尸網(wǎng)絡(luò)“Pareto”的廣告欺詐活動(dòng)被發(fā)現(xiàn)并搗毀。
此次攻擊活動(dòng)中,網(wǎng)絡(luò)犯罪分子利用惡意軟件成功感染了100多萬臺(tái)Android移動(dòng)設(shè)備。
據(jù)研究人員稱,該僵尸網(wǎng)絡(luò)利用數(shù)十個(gè)移動(dòng)應(yīng)用程序,模擬了超6000個(gè)CTV應(yīng)用程序,每天提供至少6.5億條廣告訪問請(qǐng)求。
攻擊者與被感染后受遠(yuǎn)程控制的“僵尸”計(jì)算機(jī)之間,實(shí)現(xiàn)了可一對(duì)多操控的網(wǎng)絡(luò),就是僵尸網(wǎng)絡(luò)。
就隱蔽性而言,僵尸主機(jī)在未執(zhí)行特點(diǎn)指令時(shí),與服務(wù)器之間不會(huì)進(jìn)行通訊。
這樣一個(gè)可隱身潛伏在目標(biāo)陣營里的工具,很難不受到攻擊者青睞。
使用僵尸網(wǎng)絡(luò)最常發(fā)動(dòng)的攻擊,即分布式拒絕服務(wù)攻擊(DDoS)。
DDoS又稱洪水攻擊,攻擊者利用一臺(tái)臺(tái)僵尸電腦,向受害者系統(tǒng)發(fā)送如洪水般迅猛的合法或偽造的請(qǐng)求,致使其帶寬飽和或資源耗盡,以達(dá)到服務(wù)暫時(shí)中斷、網(wǎng)絡(luò)及系統(tǒng)癱瘓的目的。
安全專家表示,DDoS 是攻擊中的核武器。
攻擊者不僅在攻擊媒介上不斷做出新的嘗試,在攻擊規(guī)模、頻率和目標(biāo)上也不斷進(jìn)行著調(diào)整。
據(jù)檢測(cè),今年一季度的一大DDoS勒索攻擊,最近一次攻擊的峰值達(dá)800Gbps。
此次攻擊目標(biāo)不是“重災(zāi)區(qū)”內(nèi)的游戲公司,而是一家歐洲賭博公司。
各行各業(yè),泛濫成災(zāi)
在疫情背景下,各行業(yè)業(yè)務(wù)紛紛轉(zhuǎn)至線上開展。
這也招致了大量有勒索動(dòng)機(jī)的攻擊者,打起大型企業(yè)和機(jī)構(gòu)的算盤。
自2020年中下旬起,針對(duì)企業(yè)組織的RDDoS攻擊顯著增加,受害企業(yè)若沒有備份數(shù)據(jù),只能以支付勒索金額暫停攻擊。
即使有備份數(shù)據(jù),也難以避免因攻擊造成的業(yè)務(wù)系統(tǒng)停擺。
據(jù)調(diào)查,有91%的組織由于DDoS攻擊而遭遇業(yè)務(wù)停擺,平均每次停擺帶來的損失高達(dá)30萬美元。
而騰訊安全發(fā)布白皮書指出,2020年的DDoS攻擊次數(shù)創(chuàng)歷史新高。
從行業(yè)分布上看,金融、政務(wù)、互聯(lián)網(wǎng)、零售等領(lǐng)域都成為了DDoS攻擊的戰(zhàn)場(chǎng),但游戲行業(yè)仍為重災(zāi)區(qū),在整體DDoS攻擊中占比超7成。
除了對(duì)游戲企業(yè)進(jìn)行勒索,惡意游戲玩家作弊也是攻擊行為的一大動(dòng)機(jī)。
自去年二季度起,國外一外掛團(tuán)伙開發(fā)了一款“炸房掛”,調(diào)用第三方攻擊站點(diǎn)發(fā)起DDoS攻擊,并以數(shù)十美元的價(jià)格,將外掛批量售給惡意玩家,致使多地域游戲玩家掉線、游戲服務(wù)器宕機(jī)等后果。
對(duì)于游戲企業(yè)而言,除了直接的收益損失,還可能流失一大批無法接受任何延遲的玩家客戶。
同理,在金融行業(yè),用戶可能無法完成線上交易,對(duì)平臺(tái)失去信任;
在互聯(lián)網(wǎng)行業(yè),用戶可能因訪問速度過慢,甚至無法訪問頁面等體驗(yàn),對(duì)業(yè)務(wù)失去信任;
在零售行業(yè),用戶可能因其新品發(fā)布活動(dòng)受阻,對(duì)產(chǎn)品失去信任……
去年八月,就發(fā)生了兩起影響極大的攻擊事件。
被連續(xù)攻擊5日的新西蘭證交所多次被迫中斷交易;白俄國安委和內(nèi)務(wù)部網(wǎng)站因遭攻擊影響了白俄總統(tǒng)選舉。
十月,Google公開宣布,2017年曾遭受峰值流量達(dá)2.54Tb的DDoS攻擊,表示“希望提高人們對(duì)國家黑客組織濫用 DDoS 攻擊趨勢(shì)的認(rèn)知”。
DDoS攻擊還將攻往哪些領(lǐng)域,難以預(yù)判。
針對(duì)全球DDoS攻擊現(xiàn)狀,華為認(rèn)為,其攻擊強(qiáng)度依然呈增長態(tài)勢(shì),攻擊手法將更加復(fù)雜。
「洪水」無情,「防洪」有眼
隨著攻擊演變不斷,各企從識(shí)別、清洗和黑洞策略三個(gè)層面著手,數(shù)管齊下。
首先是負(fù)載均衡,識(shí)別檢測(cè)。
CDN作為網(wǎng)絡(luò)堵塞的有效緩解方法之一,博得各企業(yè)關(guān)注。
以其擁有的大量節(jié)點(diǎn),CDN可代替源服務(wù)器為訪問者提供就近服務(wù)。
這一特性,實(shí)現(xiàn)了源服務(wù)器減負(fù),用戶訪問快速響應(yīng),企業(yè)受DDoS攻擊的幾率也在一定程度上降低。
但同時(shí),各CDN節(jié)點(diǎn)也成為了訪問者的把關(guān)人。
為進(jìn)行自動(dòng)識(shí)別調(diào)度,阿里云、華為云等企業(yè)都推出了CDN聯(lián)動(dòng)DDoS高防方案。
高防CDN的原理是利用 CNAME記錄,將攻擊流量引至高防節(jié)點(diǎn)。
而高防節(jié)點(diǎn)IP是對(duì)源站點(diǎn)的業(yè)務(wù)轉(zhuǎn)發(fā),即使追蹤業(yè)務(wù)交互也無法得知真正的用戶源站點(diǎn),從而保障服務(wù)器安全。
其次是清洗闕值與黑洞闕值。
正如人的免疫力再好,也難免會(huì)生病;防護(hù)機(jī)制再完善,也難保就此萬無一失。
就算沒有生病,也可以買保險(xiǎn)。
以正常流量基線設(shè)置闕值,據(jù)自身防御能力設(shè)置黑洞策略,借“同歸于盡”換最后的安全。
不同于固定闕值,阿里云基于其大數(shù)據(jù)能力,結(jié)合AI智能分析和算法學(xué)習(xí)用戶的業(yè)務(wù)流量基線,以此識(shí)別異常攻擊。
檢測(cè)到DDoS攻擊且請(qǐng)求流量達(dá)到清洗闕值時(shí),DDoS防護(hù)就會(huì)觸發(fā)清洗。
華為云也有這樣的“底線”。
當(dāng)流量攻擊超出其提供的基礎(chǔ)攻擊防御范圍,華為云將采取黑洞策略封堵IP,屏蔽該僵尸電腦的外網(wǎng)訪問。
物聯(lián)未來,變成僵尸電腦的風(fēng)險(xiǎn)有多大?
小到智能家居,大到智慧城市,在線IoT設(shè)備在各領(lǐng)域已大面積普及,包括配電、通信網(wǎng)絡(luò)等關(guān)鍵設(shè)施設(shè)備。
物聯(lián)網(wǎng)裝置雖逐步完善,但對(duì)于安全運(yùn)維,仍受限于設(shè)備的各種形態(tài)和功能。
從終端、無線接入、網(wǎng)關(guān),再到云平臺(tái),許多設(shè)備使用的操作系統(tǒng)都不是統(tǒng)一的。
運(yùn)維難度因此大大提升。
除此之外,“攻擊工具”的獲取門檻之低,使得DDoS攻擊成為一種“傻瓜式”網(wǎng)絡(luò)攻擊,物聯(lián)網(wǎng)下的各企極易受到威脅。
即便是沒有充足經(jīng)驗(yàn)的“黑客”,也可借助Mirai等公開惡意軟件,植入僵尸病毒發(fā)起攻擊。
據(jù)分析,Mirai和Gafgyt仍是目前主流的兩大僵尸網(wǎng)絡(luò)家族。
而Mirai的主要感染對(duì)象,就是路由器、網(wǎng)絡(luò)攝像頭、DVR設(shè)備等Linux物聯(lián)網(wǎng)設(shè)備。
物聯(lián)網(wǎng)設(shè)備的資源縱深價(jià)值,一方面為企業(yè)和個(gè)體帶來便利,另一方面也招致攻擊者的覬覦。
美國東海岸DNS服務(wù)商Dyn,曾因該僵尸網(wǎng)絡(luò),影響了千萬量級(jí)的IP數(shù)量,其中大部分來自物聯(lián)網(wǎng)和智能設(shè)備。
總結(jié)
目前,對(duì)于DDoS攻擊其門檻低、易操作、高效率的特點(diǎn),各行各業(yè)仍膽顫心驚。
利用負(fù)載均衡、闕值設(shè)置等方法,建立DDoS防護(hù)和相關(guān)應(yīng)變團(tuán)隊(duì),定期進(jìn)行安全監(jiān)控演練,并檢視自身營運(yùn)風(fēng)險(xiǎn),是企業(yè)可參考的幾個(gè)方面。
有專家建議,在物聯(lián)網(wǎng)環(huán)境下,切割關(guān)鍵性業(yè)務(wù)、限制聯(lián)機(jī)來源或隱蔽聯(lián)機(jī)入口等方法,也有助于降低遭受攻擊的風(fēng)險(xiǎn)。雷
