岁末年初,各行各业都在总结成绩和教训在过去的一年里。回顾刚刚过去的鼠年,COVID-19疫情无疑成为各行各业的关键词。大流行导致人们大规模转向远程工作和学习,并增加了对在线服务的依赖,为网络犯罪分子提供了更多的攻击机会。在网络安全领域,过去的一年可以说是见证了由来已久的分布式拒绝服务(DDoS)攻击方式的爆发。与往年相比,去年网络犯罪分子针对各行业发起的DDoS攻击在规模、频率和复杂性上均创历史新高,攻击动机更是不可告人。随着人们进入后疫情时代,DDoS攻击始作俑者的野心未必能填满。企业需要以面对“疫情常态化”的心态应对“增强型”DDoS攻击的常态化。AkamaiIntelligentEdgeSecurityPlatform去年成功抵御了多次DDoS攻击,包括迄今为止最大的带宽和吞吐量。基于此,下文总结了Akamai平台观察到的DDoS攻击新趋势,并提出解决方案,以帮助企业在后疫情时代的安全环境中,以史为鉴,更好地为自身业务发展保驾护航。此次攻击规模空前,攻击手段多种多样。图1.Akamai成功帮助客户抵御DDoS攻击的历史。上图中灰色部分代表带宽——数字越大,被攻击企业的互联网出入口压力越大;蓝色有颜色的部分代表吞吐量,即数据包的数量——数量越大,对网络设备处理能力的压力就越大。从图中可以看出,“灰色和蓝色”这两个指标在过去十年基本呈指数级增长,增长了20倍左右,去年又再次刷新了这两个指标。具体来说,在2020年6月的第一周,Akamai响应了有史以来最大带宽的DDoS攻击(灰色)。它针对一家互联网托管服务提供商,共有5个IP地址作为主要攻击目标,使用了9种不同的攻击向量,包括ACKFlood、CLDAP反射和NTPFlood,以及各种僵??尸网络攻击工具。攻击流量来自全球各地,持续近两个小时。最终峰值达到了1.44Tbps和385Mpps,超过1Tbps的带宽超过了一个小时。Akamai上一次观察到如此大带宽的DDoS攻击是在2018年,当时攻击带宽仅为1.3Tbps。从这次攻击可以看出,攻击者为了达到目的,非常重视DDoS攻击技术的发展变化。事实上,多向量DDoS攻击在去年非常普遍,以至于Akamai平台缓解的攻击中约有33%包含三个或更多攻击向量,峰值为14个不同向量。另一次破纪录的DDoS攻击(蓝色)发生在去年6月,目标是欧洲一家主要银行。Akamai观察到其带宽在几秒钟内从正常流量水平飙升至418Gbps,然后在大约两分钟内达到809Mpps的吞吐量峰值。整个攻击过程虽然持续了不到十分钟,但独特之处在于Akamai观察到的数据包的源IP地址数量明显增加,这意味着在攻击过程中,攻击者向银行注册的源IP地址数量目的地显着增加。说明攻击源高度分散。Akamai观察到的每分钟源IP数量是通常观察到的客户目标地址数量的600多倍。以上述两次破纪录的DDoS攻击为代表的去年的几次攻击,反映出虽然部分攻击失败,但攻击者愿意付出的成本和代价是巨大的。如果企业没有经验丰富的技术、人员和流程,就会不堪重负,最终被压垮。以敲诈勒索为威胁,存在误导的情况。2020年8月以来,部分Akamai客户陆续收到多家攻击组织的DDoS攻击信件。信中的措辞与此前公开的勒索内容相同:赎金信中警告称,如果勒索请求被外界曝光,将立即展开攻击。攻击不仅会破坏基础设施,还会对声誉造成更大的影响。可见敲诈者对信件内容进行了精心策划,希望达到“不战而降”的效果。一些赎金信表明了他们的身份。比如以勒索金融机构为主的FancyBear(APT28)和ArmadaCollective,要求支付10个比特币(现价12万美元)和20个比特币(约24万美元)。美元),如果超过付款期限,将会有额外的勒索要求。还有一些勒索字条指明了攻击目标,并威胁要发动小型“测试”攻击,以证明事态的严重性和攻击的决心。图2.Akamai使用信号识别假冒赎金恐吓公司加快付款。而这种浑水摸鱼的敲诈勒索,在去年的勒索软件DDoS攻击中更是屡见不鲜。上图利用Akamai平台的数据和专家的经验,提取勒索DDoS攻击中的向量、被利用的漏洞等技术特征,即“攻击信号”,进而识别攻击是否出现在平台。和未知的威胁。最后,Akamai发现,去年的勒索DDoS攻击并非都是信中所称的组织发起的。虽然很多人自称是黑客组织,但他们使用的安全信号却截然不同。有些攻击甚至被Akamai平台自动阻止。根据Akamai的数据,信中宣称的组织实际发起的勒索DDoS攻击只占所有攻击的10%左右;从另一个角度来看,并不是去年发生的每一次DDoS攻击都会告知勒索需求。全行业组织大扫除,敲诈勒索难免。总的来说,Akamai发现北美、亚太地区、欧洲、中东和非洲的公司去年收到了越来越多的勒索信。金融服务行业最初是受威胁最大的行业,但随后的勒索信已针对其他行业,影响范围广泛,包括电子商务、社交媒体、制造业、酒店和旅游。敲诈勒索组织扫描整个行业,从最赚钱的行业开始,敲诈一个之后,再将枪口转向另一个行业。图3:根据Akamai的统计,各行业遭受的DDoS攻击,最终发动攻击也反映出没有一个行业能够幸免。从上图可以看出,去年8月之前,DDoS攻击主要针对游戏行业。但从8月开始,攻击突然转向金融业,进而波及多个行业。由于疫情期间需要在线学习,教育行业成为去年DDoS攻击的重灾区。DDoS攻击会让学生无法上课,造成非常恶劣的后果。“新时代”应对勒索DDoS攻击的五大举措去年被攻击的多家大公司表示,勒索信被系统过滤为垃圾邮件,所以没有收到勒索邮件的公司并不代表它是免疫的。中小型企业经常在勒索成本和他们支付的安全投资之间左右为难。可以肯定的是,勒索型DDoS攻击将长期存在,攻击者不断变换更新攻击方式,不断躲避网络安全从业人员和执法部门。那么面对“新常态”下的网络环境,企业应该如何应对DDoS攻击呢?首先,面对DDoS攻击,企业和组织绝不能妥协或帮助作恶者。支付攻击者索要的赎金,既不能保证攻击者停止攻击,也不能保证以后不会威胁到其他攻击。其次,组织可以向有经验的组织寻求帮助,依靠专家,寻求适当级别的咨询和安全建议,以及应急服务来应对突发事件。组织可以以情报研判、实战经验、缓解能力、缓解能力为评价标准,寻找合适的合作伙伴。第三,一旦发生DDoS攻击,可能造成数万美元的经济损失。因此,企业应该随时做好面对它的准备,结合合适的防护解决方案和安全合作伙伴,主动缓解DDoS流??量,让攻击者难以乘虚而入。第四,企业和组织要优化自身的安全流程和技术,提升自身的安全态势,建立有针对性的防御层级。根据自身业务形态和风险承受能力,确定应采用的安全形态,形成闭环,不断优化,更好地保护自身资产。第五,企业组织要协调好技术、流程和人员的关系,召集相关职能部门,做好充分的准备,了解一旦发生攻击应该采取的措施。组织可以定期进行桌面演练,以确保合适的人员、流程和技术到位,从而可以实施对技术和工具的投资以实现价值最大化。2020年当“老鼠”不容易,DDoS攻击带来的威胁从未像现在这样严重。只有做到以上五点,通过“人+流程+技术”的结合,建立起应对DDoS攻击的全方位安全网络,企业组织才能有序应对不断升级的DDoS攻击,打好DDoS反击。2021年“牛”转身。
