绿盟科技NTI持续监控数千万攻击源 让“惯犯”无所遁形

　　孙子曰“知己知彼，百战不殆”，古语有云“知易行难”。知己已是不易，各种开源软件涌入信息系统，各种API调来调去供应链越来越长，各种微服务“一言不合”就上线。

　　这种动态环境下，知己 ——清楚地了解洞悉自身网络中的资产、价值和安全属性、逻辑分布和依赖关系等无疑很难挑战。 但知彼更难挑战。“彼”的识别就是个大问题。什么目标和动机?定向的，还是非定向的;什么技术水平?高级的，还是一般的;什么漏洞和利用在流行?数百万的安全告警背后分别是什么威胁?

　　绿盟权威发布

　　《2017年度网络安全观察》，结合绿盟科技威胁情报中心(NTI)丰富的威胁情报数据，针对攻防中最重要的关注点对2017年网络安全态势进行了梳理，从漏洞披露、恶意流量监控、恶意软件的发展演变多个角度，结合地区、行业的属性，对2017年网络安全态势进行了分析解读。这些威胁都是日常运维中最常面对的，这份报告是结合了NTI最新情报数据进行的综合分析，希望能够为企业用户以及网络安全领域的从业者提供参考和帮助。

　　Web类攻击的行业分布

　　由于各个行业的业务特性都不相同，黑客攻击在不同行业中的呈现侧重点是不一样的。在互联网企业中，业务环境复杂，大量的业务需要提供Web界面为客户提供服务，其背后还需要架设复杂的IT架构提供相应的技术支撑，使得Web类、系统类的攻击在互联网行业中都非常突出，对防护方案的要求也会更加苛刻。从业务流量上看互联网Web服务的流量占比是最高的，但是，单从行业自身业务特征看，运营商、教育、制造、政府行业都应该重点关注Web类的攻击，进行重点防护。

　　屡禁不绝的DDoS攻击

　　DDoS攻击、Web攻击、系统漏洞利用这些攻击始终在互联网环境中逡巡，不管你是否关注，它就在那里。2017 年同去年同期相比，攻击发生次数基本保持平稳，共计发生20.7 万次。但是从攻击总流量上来看有较为明显的波动，从年初到年中5月份前后，攻击总流量有非常显著的增长，而5月份之后攻击总流量回落至较为平稳的水平。与2016年相比，2017年攻击仍然频繁，攻击总流量大幅上升。

　　值得关注的一些新趋势：

　　· 今年来自IoT设备的攻击占比达到了12%;

　　· DDoS攻击武器库新增一种攻击，反射攻击类型：Memchached，从各类反射型攻击的放大倍率来看，Memcached 高居榜首，最高可达51000 倍;

　　你知道鬼影吗?

　　“鬼影”是一个在中国非常活跃的僵尸网络，是基于Windows平台发展的一个影响广泛的僵尸网络。在近期Botnet活动监测中，我们看到“鬼影”的活动十分频繁，这个家族出现时间早、变种多，具有相当成熟的商业运作。对此，我们认为需要特别关注和治理。

　　图：活跃Botnet家族指令数量统计

　　“鬼影”目前至少存在10个不同的版本，每个版本与之前一个版本相比都增加了新的功能，DDoS攻击技术也不断升级迭代。目前“鬼影”已经成为一个可发动大流量攻击、可大规模传播、支持不同模式商业运作的成熟软件。

　　2017年最突出的恶意软件——你造吗?

　　2017年最突出的恶意软件类型就是勒索软件：

　　2017年5月12日，WannaCry勒索病毒借助EternalBlue(永恒之蓝)漏洞肆虐全球，影响超过150个国家，中毒用户要去在72小时内支付价值300美金的比特币，并且3天后勒索赎金就会翻番，7天后拒付赎金，计算机文件将被永久加密

　　2017年6月爆发的NotPetya勒索病毒同样采用EternalBlue(永恒之蓝)漏洞传播，病毒会修改系统的MBR引导代码这将使病毒在电脑重启时得到执行，该病毒会在开机时提示用户电脑正在进行磁盘扫描然而实际上病毒正在执行文件加密等操作。当所有加密操作完成后，病毒才弹出勒索软件，要求受害者付价值300美金的比特币。在2017年7月，病毒作者公布了Petya系列勒索软件的所有密匙。

　　2017年10月，BadRabbit(坏兔子)勒索软件爆发，攻击者首先入侵新闻媒体类网站，随后利用这些新闻类网站发起水坑攻击。BadRabbit要求受害者在40小时内支付0.05比特币(当时约合300美元)。

　　总结：

　　《2017年度网络安全观察》报告基于绿盟科技威胁情报中心数据，从漏洞态势、攻击态势、恶意软件态势三个角度，对2017年度网络安全的态势变化进行了分析。我们分析了攻击者、受害者的行业、地区分布等信息，这些基础威胁统计信息可以作为UEBA/安全行为分析的重要输入，建立更智能的安全检测体系。此外，2017年，在我们持续监控的超过390万个攻击源中，约20%的恶意IP曾对多个目标进行过攻击，0.39%的攻击源对90%的攻击事件负责。对这些“惯犯”的针对性跟踪、分析、画像、对抗等可以有效地提高安全防护的效率和效果，相应地，“惯犯”覆盖也将成为最为核心的威胁情报能力之一。

　　同时，我们对例如DDoS、系统攻击、Web攻击等常见攻击进行了观察，还把物联网设备漏洞以及借助物联网平台发动的攻击等也纳入到观察视野范围内。绿盟威胁情报中心数据显示，物联网设备IP已占有总恶意IP的12%，物联网设备中恶意IP所占物联网总IP数量的比例达到4.8%，是普通IP空间相应恶意IP占比的3倍。

　　不难预计，物联网设备带来的安全威胁将继续不断升高，对物联网威胁的相应防护能力将会成为安全防护体系的标配。