近年來,安全事件逐漸成為媒體的寵兒,尤其是個人信息洩露、銀行資金竊取和IoT 設備的攻擊利用事件 牽動著眾人的眼球。
在公眾關注度方面,從近兩年的百度指數就能看出,“個人信息洩露”和“黑客”等關鍵詞的整體日均值都在歷史中高位波動,網絡安全和信息安全已經不僅僅是一個技術問題,而是關乎普羅大眾的民生問題。
執行摘要
與此同時,安全廠商的視角也在慢慢變化。從RSA 近年的主題上看,2016 年的“Connect to Protect”,2017 的“Power of OpportUNITY”到2018 年的“Now Matters”,同時,關鍵詞也從往年的威脅情報、人工智能到今年的應急響應和威脅狩獵,可以看出,安全廠商們不再滿足於概念性的奔走呼號,聯動防禦和破除孤島已成共識,在多年的技術積累上厚積薄發,真真正正化被動為主動,切切實實關注落地實效和響應時效。
漏洞發現,攻擊利用和應急響應,是攻防雙方角力的主戰場。兵者詭變,從去年的臭名昭著的Wannacry 事件到後來的WannaMine和Smominru,永恆之藍漏洞相繼被用在勒索軟件和挖礦殭屍網絡中,攻擊的目標和攻擊的手段在變,唯一不變的是攻擊者對利益的訴求。兵貴神速,安全的戰役,難就難在防禦者如何才能在攻防條件不對等的情況下,快速地跟進形勢,擴充自己的武器庫和提前佈局。孫子曰“知彼良知,勝乃不殆;知天知地,勝乃不窮”。威脅情報的
核心正是一個“知”字,從數據到信息到知識,這幾年來的落地實踐逐漸讓安全廠商能夠從海量的攻擊數據、基礎數據和外部情報中,去偽存真,抽絲剝繭,對攻擊者個體能夠形成多個剖面的詳盡刻畫,同時對攻擊者群體能夠快速提取共性及關聯,構建出網絡空間的深層感知體系。
據綠盟威脅情報中心觀測,近20% 的攻擊源發起過多種類型的攻擊,其攻擊類型的轉換時序滿足攻擊鏈逐步深入的特性,例如百分之五十的Web 攻擊者會在隨後嘗試更為複雜的漏洞利用攻擊。殭屍主機也有相當部分具備蠕蟲的特性,在被感染後相繼進行掃描和漏洞利用操作,快速補充殭屍軍團的新生力量。同時,不同類型的攻擊資源存在複用的情況,例如發起惡意掃描的攻擊源,其中的44% 在之後成為垃圾郵件源。一方面可以看出,攻擊者較為關注自身的攻擊成本,儘可能榨乾獲取的肉雞價值。另一方面也可以看出,時間成本和規模效應也是攻擊者關心的重點。
從攻擊流量來看,挖礦病毒、蠕蟲和木馬等類型的惡意軟件的活躍數量在2月下旬到3 月上旬期間均有一定程度的回落或在低位徘徊,當時正逢新春佳節,一定程度上說明監測範圍內的大部分攻擊者應為華人。另一方面,比特幣價格的持續萎縮似乎並沒有影響攻擊者對加密貨幣的投機偏好,挖礦類惡意程序在春節過後持續升溫,其活躍狀況暗合加密貨幣的漲跌趨勢。在各類挖礦病毒中,針對門羅幣的WannaMine 尤為活躍,在挖礦活動中佔比超過70%。Palo AltoNetworks 研究1 也表明門羅幣是惡意程序最為青睞的幣種,5% 的門羅幣經由惡意程序開採出來。
2018 年上半年,在我們持續監控到的超2700 萬攻擊源IP 中,有25% 在歷史上曾被監測到多次攻擊行為,我們稱之為“慣犯”。慣犯產生的可能原因有二,其一為攻擊資源的複用,其二是暴露在公網上大量IP 基礎設施的安全狀況長期得不到改善,被不同的攻擊者利用。慣犯承擔了40% 的攻擊事件,其中殭屍網絡活動和DDoS 攻擊是慣犯們的主流攻擊方式。今年上半年披露的漏洞主要集中在中危漏洞,高危和漏洞比例與去年同期相比均有所下降。值得關注的是,其中獲取和利用難度低、危害程度大的漏洞主要集中在數個移動設備或者網關類設備製造商的相關產品中。設備類和網關類產品通常覆蓋面廣,一旦被攻擊者利用,影響面會快速擴大。網絡空間可以說是全世界的軟件開發者構建起來的,軟件開發流程越來越依賴世界各地的開發者通力合作,在這期間形成了各種包管理器、版本管理工具和代碼分享與託管平臺等軟件開發基礎設施。據觀測,Pastebin 和GitHub 等代碼分享與託管平臺日漸成為惡意軟件的溫床,許多惡意可執行文件經base64 編碼後上傳,同時此類平臺往往全站使用HTTPS,使得該類行為在流量層面更加難以檢測。同時,我們也監測到此類平臺造成大量的信息洩露,例如開發者的代碼段,電子郵件用戶名密碼,數據庫結構等。
威脅觀察
按照攻擊源IP 的地區分佈來看,北京、江蘇、浙江、山東、廣東等幾個省份惡意IP 最為集中,在全球範圍內,中美兩國仍然是攻擊源最為集中的地區。攻擊受害者的分佈略有不同,從中國看,受害者集中於東南沿海地區,而在全球範圍內,除中美兩個網絡大國,東南亞、歐洲地區也出現了較多的受害者。經濟活動越頻繁,受到攻擊的可能性就越大,這體現出攻擊者逐利、逐名的攻擊訴求。
從攻擊源具體攻擊行為看,約佔19.3% 的惡意IP 進行過多類型攻擊行為。
漏洞觀察
截止2018-06-19 日,NVD 官網公佈的2018 年CVE 漏洞數量為3731 個,其中高危漏洞850 個,中危漏洞
2437 個,低危漏洞445 個。與去年同期相比,數量有所減少,其中漏洞數量向中危漏洞集中,高危、低危漏洞比例都有所下降。
中危漏洞相對其他漏洞而言,對系統信息的完整性(Integrity) 和系統功能的可用性(Availability) 都有較大的影響,只是利用難度相對較高,因此漏洞評級為中級威脅,但若存在PoC 或利用工具,中危漏洞依然能夠造成非常嚴重的大規模破壞。
惡意流量觀察
關鍵發現
- 在所有利用漏洞進行的攻擊中,以設備漏洞作為對象的利用佔比超過50%
- 路由器漏洞仍然普遍被治理者忽視
- 從漏洞利用攻擊的角度,Windows 服務器、Java 應用服務器、Apache 服務器、郵件服務器、DNS服務器屬於高危服務器類型,這類服務器的漏洞需要重點防禦
- 試探性掃描在網絡中從未停止,因此,一旦有脆弱設備對外暴露,在極短時間
我們按照漏洞所在的主機環境或業務場景,將漏洞粗略的劃分為服務器漏洞、桌面應用漏洞和設備漏洞。其中服務器漏洞主要為服務器上的系統服務與程序,用於支撐或提供網絡管理與實際業務,常見的服務包括郵件、HTTP、網站腳本語言解析等;桌面應用主要提供文檔、多媒體、主機管理等功能,常見的包括各類客戶端(例如瀏覽器、郵件客戶端)、殺軟、Office 辦公軟件、Flash 播放器、PDF 閱讀器等,這類軟件漏洞常常被利用,常見的是通過惡意郵件、惡意網頁的方式傳播,通過誘使用戶執行來感染目標主機;設備漏洞屬於比較特殊和新晉的漏洞類型,包括各類移動終端、物聯網設備等,他們共同構成一種新的威脅類型。
閱讀更多 網絡安全焦點 的文章
