近日,美國(guó)最大燃油管道運(yùn)營(yíng)商科洛尼爾(Colonial Pipeline)因受勒索軟件攻擊,被迫臨時(shí)關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。
公司表明,為遏制威脅,已主動(dòng)切斷部分網(wǎng)絡(luò)連接,暫停所有管道運(yùn)營(yíng)。為解除對(duì)燃料運(yùn)輸?shù)母鞣N限制,保障石油產(chǎn)品的公路運(yùn)輸,美國(guó)政府宣布進(jìn)入緊急狀態(tài)。多方消息證實(shí),此次勒索軟件名為 DarkSide,攻擊者劫持了該公司近 100GB 的數(shù)據(jù)以索取贖金。
網(wǎng)絡(luò)攻擊屢見(jiàn)不鮮
5 月 10 日,俄羅斯衛(wèi)星中文網(wǎng)報(bào)道稱,CNN 援引網(wǎng)絡(luò)安全領(lǐng)域前高官的話報(bào)道,認(rèn)為對(duì)科洛尼爾管道運(yùn)輸公司進(jìn)行網(wǎng)絡(luò)攻擊的黑客可能與俄羅斯有關(guān)。
該消息人士表示,此次網(wǎng)絡(luò)攻擊的背后是來(lái)自俄羅斯的黑客團(tuán)伙 DarkSide,這些黑客通常攻擊非俄語(yǔ)國(guó)家,而他們的手段是對(duì)目標(biāo)系統(tǒng)植入惡意軟件,以索要贖金。
這種惡意軟件也被稱為“勒索病毒”。
勒索病毒文件一旦進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。直至受害者支付贖金,黑客才可能將其解鎖。
《紐約時(shí)報(bào)》表示,這種網(wǎng)絡(luò)犯罪行為好比“對(duì)數(shù)據(jù)的綁架”。
其實(shí),近年來(lái),利用勒索軟件進(jìn)行網(wǎng)絡(luò)攻擊的事件屢見(jiàn)不鮮。
據(jù)報(bào)道,2016 年勒索軟件攻擊開(kāi)始爆發(fā),當(dāng)時(shí)至少影響五家美國(guó)和加拿大醫(yī)院,這促使專家再次呼吁使用自動(dòng)備份來(lái)緩解這種攻擊的影響。
例如 2016 年 2 月,美國(guó)舊金山好萊塢長(zhǎng)老會(huì)醫(yī)療中心遭受勒索軟件攻擊后,該醫(yī)院支付近 17000 美元贖金。
2018 年 1 月,美國(guó)印第安納州格林菲爾德的漢考克健康(Hancock Health)遭遇了勒索軟件攻擊。
據(jù)報(bào)道,這讓醫(yī)院失去了部分計(jì)算機(jī)系統(tǒng)的控制權(quán),當(dāng)時(shí)黑客要求以比特幣作為贖金支付。
從 2018 年初到 9 月中旬,勒索病毒總計(jì)對(duì)超過(guò) 200 萬(wàn)臺(tái)終端發(fā)起過(guò)攻擊,攻擊次數(shù)高達(dá) 1700 萬(wàn)余次,且整體呈上升趨勢(shì)。
截至當(dāng)?shù)貢r(shí)間 2021 年 4 月 27 日,美國(guó)華盛頓警局內(nèi)部系統(tǒng)遭黑客勒索,美國(guó)已有 26 個(gè)政府機(jī)構(gòu)遭勒索病毒攻擊。
中國(guó)的網(wǎng)絡(luò)安全防范如何?
相比之下,中國(guó)的網(wǎng)絡(luò)安全防范相對(duì)完善,但威脅依然不少。
一方面是國(guó)內(nèi)網(wǎng)絡(luò)在與全球網(wǎng)絡(luò)連接前,還需通過(guò)另一張“綠網(wǎng)”的檢核;
另一方面,國(guó)內(nèi)對(duì)于企業(yè)有嚴(yán)格的監(jiān)管要求,若觸犯相關(guān)法規(guī),政府將嚴(yán)懲不貸。
但網(wǎng)絡(luò)攻擊沒(méi)有終點(diǎn),一山還有一山高。
業(yè)內(nèi)知名安全專家曾向雷 鋒網(wǎng) AI 掘金志介紹道,網(wǎng)絡(luò)攻擊從弱到強(qiáng)可分為五個(gè)等級(jí)。
第一級(jí)是因內(nèi)部人員管理不當(dāng),引發(fā)的安全問(wèn)題;
第二級(jí)是早期常見(jiàn)的黑客攻擊,以單兵作戰(zhàn)的形式,通過(guò)潛伏、滲透等手段達(dá)到竊取密碼的目的;
第三級(jí)以 DDoS 攻擊為主,是有組織、成體系的攻擊,多是由商業(yè)競(jìng)爭(zhēng)對(duì)手發(fā)起;
第四級(jí)是黑產(chǎn),通過(guò)挖礦、勒索甚至資本聯(lián)動(dòng)等方式盈利。資金流向分散,存證取證極為困難;
第五級(jí)則是網(wǎng)絡(luò)軍隊(duì)。
目前來(lái)看,美國(guó)此次事件則屬于四級(jí)甚至是第五級(jí)的網(wǎng)絡(luò)攻擊。
而近年來(lái),隨著數(shù)字化轉(zhuǎn)型、聯(lián)網(wǎng)設(shè)備數(shù)量增加以及處理器算力提升,位于第三級(jí)的 DDoS 攻擊愈趨復(fù)雜,攻擊目標(biāo)大多直指企業(yè)并造成重大財(cái)務(wù)損失。
以全球視角來(lái)看,其最大市場(chǎng)是北美和亞太地區(qū)。
據(jù)統(tǒng)計(jì),2020 年第三季度,中國(guó)遭遇的 DDoS 攻擊為全球之首,占攻擊總量的 72.83%。
時(shí)至今日,國(guó)內(nèi)利用僵尸網(wǎng)絡(luò)的 DDoS 攻擊仍大行其道。
近日,一個(gè)基于僵尸網(wǎng)絡(luò)“Pareto”的廣告欺詐活動(dòng)被發(fā)現(xiàn)并搗毀。
此次攻擊活動(dòng)中,網(wǎng)絡(luò)犯罪分子利用惡意軟件成功感染了 100 多萬(wàn)臺(tái) Android 移動(dòng)設(shè)備。
據(jù)研究人員稱,該僵尸網(wǎng)絡(luò)利用數(shù)十個(gè)移動(dòng)應(yīng)用程序,模擬了超 6000 個(gè) CTV 應(yīng)用程序,每天提供至少 6.5 億條廣告訪問(wèn)請(qǐng)求。
攻擊者與被感染后受遠(yuǎn)程控制的“僵尸”計(jì)算機(jī)之間,實(shí)現(xiàn)了可一對(duì)多操控的網(wǎng)絡(luò),就是僵尸網(wǎng)絡(luò)。
就隱蔽性而言,僵尸主機(jī)在未執(zhí)行特點(diǎn)指令時(shí),與服務(wù)器之間不會(huì)進(jìn)行通訊。
這樣一個(gè)可隱身潛伏在目標(biāo)陣營(yíng)里的工具,很難不受到攻擊者青睞。
使用僵尸網(wǎng)絡(luò)最常發(fā)動(dòng)的攻擊,即分布式拒絕服務(wù)攻擊(DDoS)。
DDoS 又稱洪水攻擊,攻擊者利用一臺(tái)臺(tái)僵尸電腦,向受害者系統(tǒng)發(fā)送如洪水般迅猛的合法或偽造的請(qǐng)求,致使其帶寬飽和或資源耗盡,以達(dá)到服務(wù)暫時(shí)中斷、網(wǎng)絡(luò)及系統(tǒng)癱瘓的目的。
安全專家表示,DDoS 是攻擊中的核武器。
攻擊者不僅在攻擊媒介上不斷做出新的嘗試,在攻擊規(guī)模、頻率和目標(biāo)上也不斷進(jìn)行著調(diào)整。
據(jù)檢測(cè),今年一季度的一大 DDoS 勒索攻擊,最近一次攻擊的峰值達(dá) 800Gbps。
此次攻擊目標(biāo)不是“重災(zāi)區(qū)”內(nèi)的游戲公司,而是一家歐洲賭博公司。
各行各業(yè),泛濫成災(zāi)
在疫情背景下,各行業(yè)業(yè)務(wù)紛紛轉(zhuǎn)至線上開(kāi)展。
這也招致了大量有勒索動(dòng)機(jī)的攻擊者,打起大型企業(yè)和機(jī)構(gòu)的算盤(pán)。
自 2020 年中下旬起,針對(duì)企業(yè)組織的 RDDoS 攻擊顯著增加,受害企業(yè)若沒(méi)有備份數(shù)據(jù),只能以支付勒索金額暫停攻擊。
即使有備份數(shù)據(jù),也難以避免因攻擊造成的業(yè)務(wù)系統(tǒng)停擺。
據(jù)調(diào)查,有 91% 的組織由于 DDoS 攻擊而遭遇業(yè)務(wù)停擺,平均每次停擺帶來(lái)的損失高達(dá) 30 萬(wàn)美元。
而騰訊安全發(fā)布白皮書(shū)指出,2020 年的 DDoS 攻擊次數(shù)創(chuàng)歷史新高。
從行業(yè)分布上看,金融、政務(wù)、互聯(lián)網(wǎng)、零售等領(lǐng)域都成為了 DDoS 攻擊的戰(zhàn)場(chǎng),但游戲行業(yè)仍為重災(zāi)區(qū),在整體 DDoS 攻擊中占比超 7 成。
除了對(duì)游戲企業(yè)進(jìn)行勒索,惡意游戲玩家作弊也是攻擊行為的一大動(dòng)機(jī)。
自去年二季度起,國(guó)外一外掛團(tuán)伙開(kāi)發(fā)了一款“炸房掛”,調(diào)用第三方攻擊站點(diǎn)發(fā)起 DDoS 攻擊,并以數(shù)十美元的價(jià)格,將外掛批量售給惡意玩家,致使多地域游戲玩家掉線、游戲服務(wù)器宕機(jī)等后果。
對(duì)于游戲企業(yè)而言,除了直接的收益損失,還可能流失一大批無(wú)法接受任何延遲的玩家客戶。
同理,在金融行業(yè),用戶可能無(wú)法完成線上交易,對(duì)平臺(tái)失去信任;
在互聯(lián)網(wǎng)行業(yè),用戶可能因訪問(wèn)速度過(guò)慢,甚至無(wú)法訪問(wèn)頁(yè)面等體驗(yàn),對(duì)業(yè)務(wù)失去信任;
在零售行業(yè),用戶可能因其新品發(fā)布活動(dòng)受阻,對(duì)產(chǎn)品失去信任……
去年八月,就發(fā)生了兩起影響極大的攻擊事件。
被連續(xù)攻擊 5 日的新西蘭證交所多次被迫中斷交易;白俄國(guó)安委和內(nèi)務(wù)部網(wǎng)站因遭攻擊影響了白俄總統(tǒng)選舉。
十月,Google 公開(kāi)宣布,2017 年曾遭受峰值流量達(dá) 2.54Tb 的 DDoS 攻擊,表示“希望提高人們對(duì)國(guó)家黑客組織濫用 DDoS 攻擊趨勢(shì)的認(rèn)知”。
DDoS 攻擊還將攻往哪些領(lǐng)域,難以預(yù)判。
針對(duì)全球 DDoS 攻擊現(xiàn)狀,華為認(rèn)為,其攻擊強(qiáng)度依然呈增長(zhǎng)態(tài)勢(shì),攻擊手法將更加復(fù)雜。
「洪水」無(wú)情,「防洪」有眼
隨著攻擊演變不斷,各企從識(shí)別、清洗和黑洞策略三個(gè)層面著手,數(shù)管齊下。
首先是負(fù)載均衡,識(shí)別檢測(cè)。
CDN 作為網(wǎng)絡(luò)堵塞的有效緩解方法之一,博得各企業(yè)關(guān)注。
以其擁有的大量節(jié)點(diǎn),CDN 可代替源服務(wù)器為訪問(wèn)者提供就近服務(wù)。
這一特性,實(shí)現(xiàn)了源服務(wù)器減負(fù),用戶訪問(wèn)快速響應(yīng),企業(yè)受 DDoS 攻擊的幾率也在一定程度上降低。
但同時(shí),各 CDN 節(jié)點(diǎn)也成為了訪問(wèn)者的把關(guān)人。
為進(jìn)行自動(dòng)識(shí)別調(diào)度,阿里云、華為云等企業(yè)都推出了 CDN 聯(lián)動(dòng) DDoS 高防方案。
高防 CDN 的原理是利用 CNAME 記錄,將攻擊流量引至高防節(jié)點(diǎn)。
而高防節(jié)點(diǎn) IP 是對(duì)源站點(diǎn)的業(yè)務(wù)轉(zhuǎn)發(fā),即使追蹤業(yè)務(wù)交互也無(wú)法得知真正的用戶源站點(diǎn),從而保障服務(wù)器安全。
其次是清洗闕值與黑洞闕值。
正如人的免疫力再好,也難免會(huì)生病;防護(hù)機(jī)制再完善,也難保就此萬(wàn)無(wú)一失。
就算沒(méi)有生病,也可以買保險(xiǎn)。
以正常流量基線設(shè)置闕值,據(jù)自身防御能力設(shè)置黑洞策略,借“同歸于盡”換最后的安全。
不同于固定闕值,阿里云基于其大數(shù)據(jù)能力,結(jié)合 AI 智能分析和算法學(xué)習(xí)用戶的業(yè)務(wù)流量基線,以此識(shí)別異常攻擊。
檢測(cè)到 DDoS 攻擊且請(qǐng)求流量達(dá)到清洗闕值時(shí),DDoS 防護(hù)就會(huì)觸發(fā)清洗。
華為云也有這樣的“底線”。
當(dāng)流量攻擊超出其提供的基礎(chǔ)攻擊防御范圍,華為云將采取黑洞策略封堵 IP,屏蔽該僵尸電腦的外網(wǎng)訪問(wèn)。
物聯(lián)未來(lái),變成僵尸電腦的風(fēng)險(xiǎn)有多大?
小到智能家居,大到智慧城市,在線 IoT 設(shè)備在各領(lǐng)域已大面積普及,包括配電、通信網(wǎng)絡(luò)等關(guān)鍵設(shè)施設(shè)備。
物聯(lián)網(wǎng)裝置雖逐步完善,但對(duì)于安全運(yùn)維,仍受限于設(shè)備的各種形態(tài)和功能。
從終端、無(wú)線接入、網(wǎng)關(guān),再到云平臺(tái),許多設(shè)備使用的操作系統(tǒng)都不是統(tǒng)一的。
運(yùn)維難度因此大大提升。
除此之外,“攻擊工具”的獲取門(mén)檻之低,使得 DDoS 攻擊成為一種“傻瓜式”網(wǎng)絡(luò)攻擊,物聯(lián)網(wǎng)下的各企極易受到威脅。
即便是沒(méi)有充足經(jīng)驗(yàn)的“黑客”,也可借助 Mirai 等公開(kāi)惡意軟件,植入僵尸病毒發(fā)起攻擊。
據(jù)分析,Mirai 和 Gafgyt 仍是目前主流的兩大僵尸網(wǎng)絡(luò)家族。
而 Mirai 的主要感染對(duì)象,就是路由器、網(wǎng)絡(luò)攝像頭、DVR 設(shè)備等 Linux 物聯(lián)網(wǎng)設(shè)備。
物聯(lián)網(wǎng)設(shè)備的資源縱深價(jià)值,一方面為企業(yè)和個(gè)體帶來(lái)便利,另一方面也招致攻擊者的覬覦。
美國(guó)東海岸 DNS 服務(wù)商 Dyn,曾因該僵尸網(wǎng)絡(luò),影響了千萬(wàn)量級(jí)的 IP 數(shù)量,其中大部分來(lái)自物聯(lián)網(wǎng)和智能設(shè)備。
總結(jié)
目前,對(duì)于 DDoS 攻擊其門(mén)檻低、易操作、高效率的特點(diǎn),各行各業(yè)仍膽顫心驚。
利用負(fù)載均衡、闕值設(shè)置等方法,建立 DDoS 防護(hù)和相關(guān)應(yīng)變團(tuán)隊(duì),定期進(jìn)行安全監(jiān)控演練,并檢視自身營(yíng)運(yùn)風(fēng)險(xiǎn),是企業(yè)可參考的幾個(gè)方面。
有專家建議,在物聯(lián)網(wǎng)環(huán)境下,切割關(guān)鍵性業(yè)務(wù)、限制聯(lián)機(jī)來(lái)源或隱蔽聯(lián)機(jī)入口等方法,也有助于降低遭受攻擊的風(fēng)險(xiǎn)。
