黑客复苏已成为企业必须要面对的难题,并且不同于此前的通用型攻击,受攻击的类型和方向也产生变化,让企业防不胜防。
绕过企业安全壁垒 黑客正学会曲线攻击(图片来自lawpracticetoday.org)
Vmware在一份调查中提到,越来越多的攻击者正试图绕过传统安全解决方案。在分析的2000个攻击样本中,90%以上都出现了防御规避行为。勒索软件在过去一年内明显复苏,在占分析样本95%的勒索软件中,防御规避行为继续发挥关键作用。这些勒索软件重点攻击能源、政府和制造业部门,表明勒索软件的复苏已成为地缘政治紧张局势下的不良“副产品”。
这意味着,攻击者正变得善于规避安全解决方案,攻击质量提升,而在指挥和控制方面变得更加隐秘,通用类的安全监测很难察觉。同时,应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。
另一个特点是,中国已成为撞库攻击的前五大目标之一,排在前两位的分别是美国和俄罗斯。去年五月,北京警方破获了一起针对一款流行短视频应用程序的网络攻击案件。其千万级外部账号遭到恶意撞库攻击,其中上百万账号密码与外部泄露密码吻合。这类攻击有多个不同的名称:账密猜测、撞库、证书(凭据)填充或密码填充。
根据Akamai的调查,此类攻击都有一个前提,就是恶意攻击者会使用盗取的用户名和密码组合尝试登录他们的目标网站,他们之所以这么做是因为用户会在多个网站上使用相同的密码。大多数网站会默认使用用户的电子邮件地址作为用户名,这不仅无法起到保护作用,还产生了反复使用同一证书的“疏漏”。
撞库攻击成功后的结果就是账户接管。被盗的有效账户证书可能会出售给暗网上的其他犯罪分子,或被网络窃贼消费账户的储值,亦或是窃取数据。例如,在中国公安部组织部署的“净网2019”专项行动中,前十个月共侦破侵犯公民个人信息类案件近3000起,而被侵犯的个人信息主要来自暗网。
根据Ponemon的“撞库攻击造成的损失”报告,撞库每年会使企业损失数百万美元。有金融机构曾报告称,其因撞库产生的账户接管成本为每个账户1500至2000美元。但攻击者的目标不仅仅是金融服务行业。Akamai通过分析发现,流行的撞库工具可以轻而易举地攻击多个行业的网站,由于高知名度和价值度的原因,黑客对在线直播服务和游戏行业兴趣很大。
同样是Akamai的调查,中国游戏出海企业同样饱受安全问题困扰,不得不面对素来凶险的网络环境。从2017年到2018年,Akamai监测到的DDoS攻击和基础架构层(第三、第四层)攻击数量均上升16%,而应用层攻击的增幅更是高达38%。DDoS攻击、爬虫攻击,以及Web和API攻击,是中国游戏出海企业必需应对三大类型的攻击。在上文所提到的流行短视频应用程序案件中,犯罪分子就承认对时下流行的多个网络平台发起过撞库攻击,累计获利超百万元人民币。
从表面上看, 虽然通用型的勒索软件攻击有下降的趋势,但这些威胁却变得更有针对性,尤其是关注那些情愿投入大笔资金去“赎回”或是恢复数据的企业。这些黑客看重的可能不是一次性的攻击成功,而是背后的数据价值。此时,他们往往也会采取不易察觉的方式,即“小火慢炖”,原因是现在用户个人信息被暴露的越来越多,商家的行为画像反而成为黑客的有利价值。
以流量较小的攻击方式为例,可以通过每秒请求量计算,代表就是针对HTTP和DNS的攻击。早在两年前就有数据表明,网络层DDoS攻击已连续多个季度呈现下降趋势,而应用层攻击每周超过千次。如果企业被加密劫持,那么生产经营活动也会受到不小的影响,如设备性能退化或无法使用,从而导致IT成本增加,耗电量增加,造成成本增加,特别是基于CPU使用量计费的云企业。为此,企业应该部署多个重叠和相互支持的防御系统,以防止任何特定技术或保护方法出现单点故障,包括部署端点、电子邮件和 Web 网关保护技术以及防火墙和漏洞评估解决方案。
不管是规避防范、撞库攻击还是新型勒索,都可看出黑客威胁企业的方式在变化,对此企业也要拿出新的办法才能应对。