本文转载自雷锋网。如需转载,请到雷锋网官网申请授权。近日,美国最大的燃料管道运营商ColonialPipeline因勒索软件攻击而被迫暂时关闭其向美国东海岸各州供应燃料的关键燃料网络。该公司表示已主动切断部分网络连接并暂停所有管道运营以遏制威胁。为解除对燃料运输的各种限制,确保石油产品的道路运输,美国政府宣布进入紧急状态。多方消息证实,该勒索软件名为DarkSide,攻击者劫持了该公司近100GB的数据用于勒索。网络攻击很常见。5月10日,俄罗斯卫星中文网报道称,美国有线电视新闻网援引前网络安全领域高级官员的报道称,对殖民地管道运输公司实施网络攻击的黑客可能与俄罗斯有关。消息人士称,来自俄罗斯的黑客组织DarkSide是这次网络攻击的幕后黑手。这些黑客通常攻击非俄语国家,他们的手段是在目标系统上植入恶意软件以索取赎金。这种类型的恶意软件也称为“勒索软件”。勒索病毒文件进入本地后,会自动运行并删除勒索病毒样本,避免查杀和分析。该病毒使用各种加密算法对文件进行加密,感染者一般无法解密。只有解密的私钥才能被破解。在受害者支付赎金之前,黑客无法解锁它。《纽约时报》说这种网络犯罪就像是“数据绑架”。事实上,近年来,利用勒索软件进行网络攻击的事件屡见不鲜。据报道,2016年勒索软件攻击的爆发当时至少影响了美国和加拿大的五家医院,这促使专家再次呼吁使用自动备份来减轻此类攻击的影响。例如,2016年2月,旧金山好莱坞长老会医疗中心遭到勒索软件攻击后,医院支付了近17,000美元的赎金。2018年1月,位于美国印第安纳州格林菲尔德的HancockHealth遭受勒索软件攻击。据报道,当黑客要求使用比特币作为赎金时,这导致医院失去了对其部分计算机系统的控制。2018年初至9月中旬,该勒索病毒累计对超过200万台终端发起攻击,攻击次数超过1700万次,总体呈上升趋势。截至当地时间2021年4月27日,美国华盛顿警察局内部系统遭到黑客勒索,美国26个政府机构遭到勒索软件攻击。中国网络安全防御如何?相比之下,我国网络安全防御较为完备,但威胁依然不少。一方面,国内网络要接入全球网络,还需要再通过一次“绿网”检查;另一方面,国家对企业有严格的监管要求。如果他们违反相关法律法规,政府将对其进行严厉处罚。但网络攻击永无止境,任重而道远。业内知名安全专家曾向雷锋网AI掘金介绍,网络攻击从弱到强分为五个等级。第一级是内部人员管理不当导致的安全问题;第二层是早期常见的黑客攻击,以单兵作战的形式,通过潜伏、渗透等手段达到窃取密码的目的;第三层以DDoS攻击为主,是一种有组织、有系统的攻击,大部分是商业竞争者发起的;第四层是黑产,通过挖矿、勒索甚至资本联动来获取利润。资金流向分散,存证取证难度极大;第五层是网络军。目前,美国发生的事件属于四级甚至五级网络攻击。近年来,随着数字化转型、联网设备数量的增加、处理器计算能力的提升,第三级DDoS攻击变得越来越复杂。大部分攻击目标针对企业,造成重大经济损失。从全球范围来看,其最大的市场是北美和亚太地区。据统计,2020年第三季度,中国遭受全球DDoS攻击最多,占总攻击量的72.83%。如今,国内利用僵尸网络进行的DDoS攻击依然盛行。最近,发现并捣毁了一个基于僵尸网络“Pareto”的广告欺诈活动。在这次活动中,网络罪犯设法用恶意软件感染了超过100万台Android移动设备。据研究人员称,该僵尸网络利用了数十个移动应用程序,模拟了6,000多个CTV应用程序,每天至少处理6.5亿次广告访问请求。在攻击者与被远程感染和控制的“僵尸”计算机之间,实现了一对多的可控网络,这就是僵尸网络。在隐蔽性方面,僵尸主机在不执行特定指令时不会与服务器通信。这样一款可以隐藏潜伏在目标阵营中的工具,很难不受到攻击者的青睐。使用僵尸网络的最常见攻击是分布式拒绝服务攻击(DDoS)。DDoS也称为洪水攻击。攻击者利用僵尸计算机向受害系统发送大量合法或伪造的请求,造成带宽饱和或资源耗尽,以达到暂时中断服务、网络和系统瘫痪的目的。安全专家称DDoS是攻击的核武器。攻击者不仅在攻击向量上不断进行新的尝试,而且在攻击规模、频率、目标等方面也不断进行调整。据检测,今年第一季度曾发生过一次较大的DDoS勒索攻击,最近一次攻击的峰值达到了800Gbps。这次攻击的目标不是“重灾区”的游戏公司,而是一家欧洲博彩公司。各行各业都被淹没了。疫情背景下,各行各业的业务纷纷转向线上。这也引来了大批怀揣敲诈勒索动机的攻击者,为大型企事业单位打算盘。2020年中后期以来,针对企业组织的RDDoS攻击明显增多。如果受害企业没有备份数据,只能通过支付勒索金额来中止攻击。即使有备份数据,也难以避免因攻击导致的业务系统宕机。一项调查显示,91%的组织因DDoS攻击而遭受业务中断,平均每次中断造成的损失高达30万美元。腾讯安全发布白皮书称,2020年DDoS攻击次数创历史新高。从行业分布来看,金融、政务、互联网、零售等领域已成为DDoS攻击的战场,但游戏行业仍是重灾区,占整体DDoS攻击的70%以上。除了敲诈游戏公司,恶意游戏玩家的作弊行为也是攻击的一大动机。从去年二季度开始,国外某黑客组织开发了“爆楼”,调用第三方攻击站点发起DDoS攻击,将外挂以几十元的价格批量卖给恶意玩家,导致多个地区的玩家出现掉线、游戏服务器宕机等后果。对于游戏公司来说,除了收入的直接损失外,还可能失去大量无法接受任何延迟的玩家客户。同样,在金融行业,用户可能无法完成在线交易,从而失去对平台的信任;在互联网行业,用户可能会因为访问速度慢甚至无法访问页面而失去对企业的信任;在零售行业,用户可能会因为新品发布受阻,对产品失去信任……去年8月,发生了两起影响较大的攻击事件。连续5天遭袭的纽交所数次被迫停牌;白俄罗斯安全委员会和内务部网站遭到攻击,影响白俄罗斯总统选举。10月,谷歌公开宣布其在2017年遭受了峰值流量为2.54Tb的DDoS攻击,并表示“希望提高对各国黑客组织滥用DDoS攻击趋势的认识”。很难预测DDoS攻击会攻击哪些领域。对于全球DDoS攻击的现状,华为认为其攻击强度仍在上升,攻击手段也将更加复杂。“洪水”无情,“防汛”引人注目。随着攻击的不断演进,各企业从识别、清洗和黑洞策略三个层面入手。首先是负载均衡、识别和检测。CDN作为缓解网络拥塞的有效手段之一,受到了各企业的关注。CDN节点数量多,可以替代源服务器为访问者提供就近服务。该特性减轻了源服务器的负载,能够快速响应用户访问,一定程度上降低了企业被DDoS攻击的几率。但同时,每个CDN节点也成为访问者的看门人。在自动识别和调度方面,阿里云、华为云等公司推出了CDN联动的DDoS高防方案。防卫CDN的原理是利用CNAME记录将攻击流量导向防卫节点。高防节点IP是业务转发到源站,即使业务交互被跟踪,也无法获知用户的真实源站,从而保证服务器的安全。其次是清洗阈值和黑洞阈值。就像一个人的免疫力再好,生病也是难免的;再完善的防御机制,也不能保证万无一失。即使您没有生病,您仍然可以购买保险。基于正常流量基线设置阈值,根据自身防御能力设置黑洞策略,以“同归于尽”换取最终的安全。不同于固定门槛,阿里云利用大数据能力,结合AI智能分析和算法,学习用户业务流量基线,识别异常攻击。当检测到DDoS攻击且请求流量达到清洗阈值时,DDoS防护将触发清洗。华为云也有这样的“底线”。当流量攻击超出其提供的基本攻击防御范围时,华为云将采用黑洞策略封禁IP,阻断僵尸电脑的外网访问。物联网的未来,变成僵尸电脑的风险有多大?从小型智能家居到大型智慧城市,在线物联网设备已广泛应用于各个领域,包括配电、通信网络等关键设施设备。尽管物联网设备在逐步完善,但安全运维仍受制于设备形式多样、功能多样。从终端、无线接入、网关到云平台,很多设备使用的操作系统并不统一。因此大大提高了运维难度。此外,“攻击工具”获取门槛低,使得DDoS攻击成为“傻瓜式”网络攻击,物联网下的企业极易受到威胁。即使是没有足够经验的“黑客”也可以利用Mirai等公开的恶意软件植入僵尸病毒发动攻击。据分析,Mirai和Gafgyt仍是两大主流僵尸网络家族。Mirai感染的主要目标是LinuxIoT设备,例如路由器、网络摄像头和DVR设备。物联网设备深厚的资源价值,一方面给企业和个人带来了便利,另一方面也吸引了攻击者。美国东海岸的DNS服务商Dyn曾因这个僵尸网络影响了数千万IP,其中大部分来自物联网和智能设备。综上所述,目前各行各业对DDoS攻击门槛低、操作简便、效率高等特点仍心存畏惧。采用负载均衡和阈值设置等方法,建立DDoS防护和相关响应团队,定期进行安全监控演练,排查自身运营风险,是企业可以参考的几个方面。有专家建议,在物联网环境下,通过切断关键服务、限制连接源、隐藏连接入口等方式,也有助于降低被攻击的风险。雷
