近日，美國(guó)最大燃油管道運(yùn)營(yíng)商科洛尼爾（Colonial Pipeline）因受勒索軟件攻擊，被迫臨時(shí)關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。

公司表明，為遏制威脅，已主動(dòng)切斷部分網(wǎng)絡(luò)連接，暫停所有管道運(yùn)營(yíng)。為解除對(duì)燃料運(yùn)輸?shù)母鞣N限制，保障石油產(chǎn)品的公路運(yùn)輸，美國(guó)政府宣布進(jìn)入緊急狀態(tài)。多方消息證實(shí)，此次勒索軟件名為DarkSide，攻擊者劫持了該公司近100GB的數(shù)據(jù)以索取贖金。

網(wǎng)絡(luò)攻擊屢見(jiàn)不鮮

5月10日，俄羅斯衛(wèi)星中文網(wǎng)報(bào)道稱，CNN援引網(wǎng)絡(luò)安全領(lǐng)域前高官的話報(bào)道，認(rèn)為對(duì)科洛尼爾管道運(yùn)輸公司進(jìn)行網(wǎng)絡(luò)攻擊的黑客可能與俄羅斯有關(guān)。

該消息人士表示，此次網(wǎng)絡(luò)攻擊的背后是來(lái)自俄羅斯的黑客團(tuán)伙DarkSide，這些黑客通常攻擊非俄語(yǔ)國(guó)家，而他們的手段是對(duì)目標(biāo)系統(tǒng)植入惡意軟件，以索要贖金。

這種惡意軟件也被稱為“勒索病毒”。

勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。直至受害者支付贖金，黑客才可能將其解鎖。

《紐約時(shí)報(bào)》表示，這種網(wǎng)絡(luò)犯罪行為好比“對(duì)數(shù)據(jù)的綁架”。

其實(shí)，近年來(lái)，利用勒索軟件進(jìn)行網(wǎng)絡(luò)攻擊的事件屢見(jiàn)不鮮。

據(jù)報(bào)道，2016年勒索軟件攻擊開(kāi)始爆發(fā)，當(dāng)時(shí)至少影響五家美國(guó)和加拿大醫(yī)院，這促使專家再次呼吁使用自動(dòng)備份來(lái)緩解這種攻擊的影響。

例如2016年2月，美國(guó)舊金山好萊塢長(zhǎng)老會(huì)醫(yī)療中心遭受勒索軟件攻擊后，該醫(yī)院支付近17000美元贖金。

2018年1月，美國(guó)印第安納州格林菲爾德的漢考克健康（Hancock Health）遭遇了勒索軟件攻擊。

據(jù)報(bào)道，這讓醫(yī)院失去了部分計(jì)算機(jī)系統(tǒng)的控制權(quán)，當(dāng)時(shí)黑客要求以比特幣作為贖金支付。

從2018年初到9月中旬，勒索病毒總計(jì)對(duì)超過(guò)200萬(wàn)臺(tái)終端發(fā)起過(guò)攻擊，攻擊次數(shù)高達(dá)1700萬(wàn)余次，且整體呈上升趨勢(shì)。

截至當(dāng)?shù)貢r(shí)間2021年4月27日，美國(guó)華盛頓警局內(nèi)部系統(tǒng)遭黑客勒索，美國(guó)已有26個(gè)政府機(jī)構(gòu)遭勒索病毒攻擊。

中國(guó)的網(wǎng)絡(luò)安全防范如何？

相比之下，中國(guó)的網(wǎng)絡(luò)安全防范相對(duì)完善，但威脅依然不少。

一方面是國(guó)內(nèi)網(wǎng)絡(luò)在與全球網(wǎng)絡(luò)連接前，還需通過(guò)另一張“綠網(wǎng)”的檢核；

另一方面，國(guó)內(nèi)對(duì)于企業(yè)有嚴(yán)格的監(jiān)管要求，若觸犯相關(guān)法規(guī)，政府將嚴(yán)懲不貸。

但網(wǎng)絡(luò)攻擊沒(méi)有終點(diǎn)，一山還有一山高。

業(yè)內(nèi)知名安全專家曾向雷鋒網(wǎng)AI掘金志介紹道，網(wǎng)絡(luò)攻擊從弱到強(qiáng)可分為五個(gè)等級(jí)。

第一級(jí)是因內(nèi)部人員管理不當(dāng)，引發(fā)的安全問(wèn)題；

第二級(jí)是早期常見(jiàn)的黑客攻擊，以單兵作戰(zhàn)的形式，通過(guò)潛伏、滲透等手段達(dá)到竊取密碼的目的；

第三級(jí)以DDoS攻擊為主，是有組織、成體系的攻擊，多是由商業(yè)競(jìng)爭(zhēng)對(duì)手發(fā)起；

第四級(jí)是黑產(chǎn)，通過(guò)挖礦、勒索甚至資本聯(lián)動(dòng)等方式盈利。資金流向分散，存證取證極為困難；

第五級(jí)則是網(wǎng)絡(luò)軍隊(duì)。

目前來(lái)看，美國(guó)此次事件則屬于四級(jí)甚至是第五級(jí)的網(wǎng)絡(luò)攻擊。

而近年來(lái)，隨著數(shù)字化轉(zhuǎn)型、聯(lián)網(wǎng)設(shè)備數(shù)量增加以及處理器算力提升，位于第三級(jí)的DDoS攻擊愈趨復(fù)雜，攻擊目標(biāo)大多直指企業(yè)并造成重大財(cái)務(wù)損失。

以全球視角來(lái)看，其最大市場(chǎng)是北美和亞太地區(qū)。

據(jù)統(tǒng)計(jì)，2020年第三季度，中國(guó)遭遇的DDoS攻擊為全球之首，占攻擊總量的72.83%。

時(shí)至今日，國(guó)內(nèi)利用僵尸網(wǎng)絡(luò)的DDoS攻擊仍大行其道。

近日，一個(gè)基于僵尸網(wǎng)絡(luò)“Pareto”的廣告欺詐活動(dòng)被發(fā)現(xiàn)并搗毀。

此次攻擊活動(dòng)中，網(wǎng)絡(luò)犯罪分子利用惡意軟件成功感染了100多萬(wàn)臺(tái)Android移動(dòng)設(shè)備。

據(jù)研究人員稱，該僵尸網(wǎng)絡(luò)利用數(shù)十個(gè)移動(dòng)應(yīng)用程序，模擬了超6000個(gè)CTV應(yīng)用程序，每天提供至少6.5億條廣告訪問(wèn)請(qǐng)求。

攻擊者與被感染后受遠(yuǎn)程控制的“僵尸”計(jì)算機(jī)之間，實(shí)現(xiàn)了可一對(duì)多操控的網(wǎng)絡(luò),就是僵尸網(wǎng)絡(luò)。

就隱蔽性而言，僵尸主機(jī)在未執(zhí)行特點(diǎn)指令時(shí)，與服務(wù)器之間不會(huì)進(jìn)行通訊。

這樣一個(gè)可隱身潛伏在目標(biāo)陣營(yíng)里的工具，很難不受到攻擊者青睞。

使用僵尸網(wǎng)絡(luò)最常發(fā)動(dòng)的攻擊，即分布式拒絕服務(wù)攻擊（DDoS）。

DDoS又稱洪水攻擊，攻擊者利用一臺(tái)臺(tái)僵尸電腦，向受害者系統(tǒng)發(fā)送如洪水般迅猛的合法或偽造的請(qǐng)求，致使其帶寬飽和或資源耗盡，以達(dá)到服務(wù)暫時(shí)中斷、網(wǎng)絡(luò)及系統(tǒng)癱瘓的目的。

安全專家表示，DDoS 是攻擊中的核武器。

攻擊者不僅在攻擊媒介上不斷做出新的嘗試，在攻擊規(guī)模、頻率和目標(biāo)上也不斷進(jìn)行著調(diào)整。

據(jù)檢測(cè)，今年一季度的一大DDoS勒索攻擊，最近一次攻擊的峰值達(dá)800Gbps。

此次攻擊目標(biāo)不是“重災(zāi)區(qū)”內(nèi)的游戲公司，而是一家歐洲賭博公司。

各行各業(yè)，泛濫成災(zāi)

在疫情背景下，各行業(yè)業(yè)務(wù)紛紛轉(zhuǎn)至線上開(kāi)展。

這也招致了大量有勒索動(dòng)機(jī)的攻擊者，打起大型企業(yè)和機(jī)構(gòu)的算盤。

自2020年中下旬起，針對(duì)企業(yè)組織的RDDoS攻擊顯著增加，受害企業(yè)若沒(méi)有備份數(shù)據(jù)，只能以支付勒索金額暫停攻擊。

即使有備份數(shù)據(jù)，也難以避免因攻擊造成的業(yè)務(wù)系統(tǒng)停擺。

據(jù)調(diào)查，有91%的組織由于DDoS攻擊而遭遇業(yè)務(wù)停擺，平均每次停擺帶來(lái)的損失高達(dá)30萬(wàn)美元。

而騰訊安全發(fā)布白皮書指出，2020年的DDoS攻擊次數(shù)創(chuàng)歷史新高。

從行業(yè)分布上看，金融、政務(wù)、互聯(lián)網(wǎng)、零售等領(lǐng)域都成為了DDoS攻擊的戰(zhàn)場(chǎng)，但游戲行業(yè)仍為重災(zāi)區(qū)，在整體DDoS攻擊中占比超7成。

除了對(duì)游戲企業(yè)進(jìn)行勒索，惡意游戲玩家作弊也是攻擊行為的一大動(dòng)機(jī)。

自去年二季度起，國(guó)外一外掛團(tuán)伙開(kāi)發(fā)了一款“炸房掛”，調(diào)用第三方攻擊站點(diǎn)發(fā)起DDoS攻擊，并以數(shù)十美元的價(jià)格，將外掛批量售給惡意玩家，致使多地域游戲玩家掉線、游戲服務(wù)器宕機(jī)等后果。

對(duì)于游戲企業(yè)而言，除了直接的收益損失，還可能流失一大批無(wú)法接受任何延遲的玩家客戶。

同理，在金融行業(yè)，用戶可能無(wú)法完成線上交易，對(duì)平臺(tái)失去信任；

在互聯(lián)網(wǎng)行業(yè)，用戶可能因訪問(wèn)速度過(guò)慢，甚至無(wú)法訪問(wèn)頁(yè)面等體驗(yàn)，對(duì)業(yè)務(wù)失去信任；

在零售行業(yè)，用戶可能因其新品發(fā)布活動(dòng)受阻，對(duì)產(chǎn)品失去信任……

去年八月，就發(fā)生了兩起影響極大的攻擊事件。

被連續(xù)攻擊5日的新西蘭證交所多次被迫中斷交易；白俄國(guó)安委和內(nèi)務(wù)部網(wǎng)站因遭攻擊影響了白俄總統(tǒng)選舉。

十月，Google公開(kāi)宣布，2017年曾遭受峰值流量達(dá)2.54Tb的DDoS攻擊，表示“希望提高人們對(duì)國(guó)家黑客組織濫用 DDoS 攻擊趨勢(shì)的認(rèn)知”。

DDoS攻擊還將攻往哪些領(lǐng)域，難以預(yù)判。

針對(duì)全球DDoS攻擊現(xiàn)狀，華為認(rèn)為，其攻擊強(qiáng)度依然呈增長(zhǎng)態(tài)勢(shì)，攻擊手法將更加復(fù)雜。

「洪水」無(wú)情，「防洪」有眼

隨著攻擊演變不斷，各企從識(shí)別、清洗和黑洞策略三個(gè)層面著手，數(shù)管齊下。

首先是負(fù)載均衡，識(shí)別檢測(cè)。

CDN作為網(wǎng)絡(luò)堵塞的有效緩解方法之一，博得各企業(yè)關(guān)注。

以其擁有的大量節(jié)點(diǎn)，CDN可代替源服務(wù)器為訪問(wèn)者提供就近服務(wù)。

這一特性，實(shí)現(xiàn)了源服務(wù)器減負(fù)，用戶訪問(wèn)快速響應(yīng)，企業(yè)受DDoS攻擊的幾率也在一定程度上降低。

但同時(shí)，各CDN節(jié)點(diǎn)也成為了訪問(wèn)者的把關(guān)人。

為進(jìn)行自動(dòng)識(shí)別調(diào)度，阿里云、華為云等企業(yè)都推出了CDN聯(lián)動(dòng)DDoS高防方案。

高防CDN的原理是利用 CNAME記錄，將攻擊流量引至高防節(jié)點(diǎn)。

而高防節(jié)點(diǎn)IP是對(duì)源站點(diǎn)的業(yè)務(wù)轉(zhuǎn)發(fā)，即使追蹤業(yè)務(wù)交互也無(wú)法得知真正的用戶源站點(diǎn)，從而保障服務(wù)器安全。

其次是清洗閾值與黑洞閾值。

正如人的免疫力再好，也難免會(huì)生病；防護(hù)機(jī)制再完善，也難保就此萬(wàn)無(wú)一失。

就算沒(méi)有生病，也可以買保險(xiǎn)。

以正常流量基線設(shè)置閾值，據(jù)自身防御能力設(shè)置黑洞策略，借“同歸于盡”換最后的安全。

不同于固定閾值，阿里云基于其大數(shù)據(jù)能力，結(jié)合AI智能分析和算法學(xué)習(xí)用戶的業(yè)務(wù)流量基線，以此識(shí)別異常攻擊。

檢測(cè)到DDoS攻擊且請(qǐng)求流量達(dá)到清洗閾值時(shí)，DDoS防護(hù)就會(huì)觸發(fā)清洗。

華為云也有這樣的“底線”。

當(dāng)流量攻擊超出其提供的基礎(chǔ)攻擊防御范圍，華為云將采取黑洞策略封堵IP，屏蔽該僵尸電腦的外網(wǎng)訪問(wèn)。

物聯(lián)未來(lái)，變成僵尸電腦的風(fēng)險(xiǎn)有多大？

小到智能家居，大到智慧城市，在線IoT設(shè)備在各領(lǐng)域已大面積普及，包括配電、通信網(wǎng)絡(luò)等關(guān)鍵設(shè)施設(shè)備。

物聯(lián)網(wǎng)裝置雖逐步完善，但對(duì)于安全運(yùn)維，仍受限于設(shè)備的各種形態(tài)和功能。

從終端、無(wú)線接入、網(wǎng)關(guān)，再到云平臺(tái)，許多設(shè)備使用的操作系統(tǒng)都不是統(tǒng)一的。

運(yùn)維難度因此大大提升。

除此之外，“攻擊工具”的獲取門檻之低，使得DDoS攻擊成為一種“傻瓜式”網(wǎng)絡(luò)攻擊，物聯(lián)網(wǎng)下的各企極易受到威脅。

即便是沒(méi)有充足經(jīng)驗(yàn)的“黑客”，也可借助Mirai等公開(kāi)惡意軟件，植入僵尸病毒發(fā)起攻擊。

據(jù)分析，Mirai和Gafgyt仍是目前主流的兩大僵尸網(wǎng)絡(luò)家族。

而Mirai的主要感染對(duì)象，就是路由器、網(wǎng)絡(luò)攝像頭、DVR設(shè)備等Linux物聯(lián)網(wǎng)設(shè)備。

物聯(lián)網(wǎng)設(shè)備的資源縱深價(jià)值，一方面為企業(yè)和個(gè)體帶來(lái)便利，另一方面也招致攻擊者的覬覦。

美國(guó)東海岸DNS服務(wù)商Dyn，曾因該僵尸網(wǎng)絡(luò)，影響了千萬(wàn)量級(jí)的IP數(shù)量，其中大部分來(lái)自物聯(lián)網(wǎng)和智能設(shè)備。

總結(jié)

目前，對(duì)于DDoS攻擊其門檻低、易操作、高效率的特點(diǎn)，各行各業(yè)仍膽顫心驚。

利用負(fù)載均衡、閾值設(shè)置等方法，建立DDoS防護(hù)和相關(guān)應(yīng)變團(tuán)隊(duì)，定期進(jìn)行安全監(jiān)控演練，并檢視自身營(yíng)運(yùn)風(fēng)險(xiǎn)，是企業(yè)可參考的幾個(gè)方面。

有專家建議，在物聯(lián)網(wǎng)環(huán)境下，切割關(guān)鍵性業(yè)務(wù)、限制聯(lián)機(jī)來(lái)源或隱蔽聯(lián)機(jī)入口等方法，也有助于降低遭受攻擊的風(fēng)險(xiǎn)。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。