網絡安全最新報告：自動化和貨幣化趨勢愈演愈烈

本刊記者|舒文瓊

網絡安全最新報告：自動化和貨幣化趨勢愈演愈烈

本刊記者|舒文瓊

根據報告，網絡攻擊和網絡犯罪行為變得越來越自動化，分布式拒絕服務（DDoS）與網絡應用攻擊帶來的威脅持續增加，同時DDoS的貨幣化趨勢愈演愈烈。

所謂“道高一尺，魔高一丈”，從互聯網誕生之日起，網絡安全問題就隨之產生；而在安全防護技術不斷提升的同時，各種網絡攻擊和犯罪行為也是花樣不斷更新，形成了攻擊和防攻擊對陣的形勢。

在對抗網絡攻擊的過程中，了解和洞察互聯網上的各種安全威脅尤為重要。在此方面，Akamai公司依托遍布全球的分布式平臺，持續跟蹤網絡安全狀況并發布分析報告。近日，Akamai發布了2015年第二季度互聯網發展狀況安全報告。根據報告，網絡攻擊和網絡犯罪行為變得越來越自動化，分布式拒絕服務（DDoS）與網絡應用攻擊帶來的威脅持續增加，同時DDoS的貨幣化趨勢愈演愈烈。

技術進步成“雙刃劍”

John Ellis，Akamai亞太及日本區域首席網絡安全戰略專家，從事IT安全研究20年，他告訴記者，網絡攻擊和網絡犯罪行為的簡單化及自動化是網絡安全呈現出的最新特征。

“軟件和技術的進步，使得現在進行網絡攻擊和網絡犯罪的人員專業程度并不需要很高，提供給攻擊者的資源也越來越豐富和多樣，使得網絡犯罪這一原本屬于資源密集型的工作變得越來越簡單和自動化，攻擊來源也日益分散化。”John Ellis表示，“在互聯網黑市上，各種用于攻擊的軟件和設備自由交易，網絡攻擊者無需了解復雜的編碼編程，而是只了解如何使用這些工具，即可發動大規模網絡攻擊。由此也導致互聯網犯罪越來越多。”

分布式拒絕服務（DDoS）通過眾多合法的請求占用大量網絡資源，以達到癱瘓網絡服務的目的。根據Akamai的調查，DDoS最近也呈現出了新的趨勢，不僅在量上有持續增加的趨勢，而且攻擊的目的也變得貨幣化。

根據Akamai的調查，在過去3個季度內，DDoS攻擊量同比增長了132%。盡管攻擊者傾向于發起不太強烈但持續時間較長的攻擊，但危險的大規模攻擊數量也在持續上升。2015年第二季度，12起攻擊的峰值流量超過了100Gbps，5起攻擊的包轉發率峰值超過了50Mpps，只有極少數企業能夠以一己之力承受住這樣的攻擊。

同時，DDoS攻擊行為的貨幣化趨勢越來越明顯。John Ellis表示，以前DDoS攻擊的主要目的是用來打擊競爭者，或者表明某些政治立場，但是現在DDoS攻擊團體會利用這種行為對企業進行勒索，他們會發動一些小型攻擊，以互聯網虛擬貨幣的形式進行勒索，這比現實的貨幣更容易支付，被勒索的受害人也比較容易支付這種貨幣。這就導致許多以前認為自己不太可能成為DDoS攻擊目標的企業，如今變成了DDoS攻擊的目標。

網絡攻擊方式和來源

以安全為目標的超文本傳輸協議HTTPS正在規模普及，而根據Akamai的調查，一種名為Shellshock的攻擊在2015年第一季度僅有9%通過HTTPS展開，在第二季度則升至56%。為什么HTTPS成為了網絡犯罪分子的最新攻擊對象？

John Ellis從兩個方面進行了分析：首先，從協議本身看，HTTPS是在HTTP原始協議基礎上增加TLS加密協議，HTTP環境下管道里的數據未經過加密是可見的，在HTTPS環境下管道里的數據流量經過加密不可見；其次，目前所使用的防火墻和防入侵軟件無法解密經過HTTPS加密的流量，無法通過傳統方式來阻止對Web應用發動的攻擊。

“從攻擊的角度看，HTTP和HTTPS對于黑客而言沒有本質上的區別，反而讓黑客們知道用HTTPS協議有一些敏感信息，從而讓他在發動攻擊時更有針對性。黑客會針對HTTPS采取解密工具和惡意流量注入的方式，從Web應用源頭入手混淆視聽，而用戶由于采用HTTPS而無法在傳輸過程中分辨流量內容，反而為黑客分子大開方便之門。”

此外另一個值得注意的現象是，根據Akamai的統計，2015年第二季度DDoS攻擊的十大來源國和地區中，中國居然高居榜首，占比高達37%，比位于第二名美國的占比高出20%。

John Ellis認為，中國占比高首先是因為中國人口基數大；其次中國設備被惡意軟件感染的比例非常高，接近50%；再次，來自其他國家的黑客通過惡意代碼入侵中國的系統，將其組成僵尸網絡，這樣表面上看似來自中國的攻擊，其實背后的操縱者位于其他國家，這種被控制的機器在中國被叫做“肉機”。由于各國法律層面對此問題的規定并不健全，因此即使中國官方掌握了這一情況，也無法將真正的犯罪分子繩之以法。

需加強分析和預判

掌握網絡攻擊的最新動向并有針對性地采取措施，是行之有效的網絡防攻擊做法。

針對網絡攻擊自動化的趨勢，John Ellis建議相關公司加強對大數據的收集和分析，提升對于自動化機器的學習能力，并聘用足夠多的數據科學家，及時捕捉網絡異常狀況并采取防控措施。對于HTTPS成為網絡攻擊新對象的問題，John Ellis建議網絡架構師從架構方面入手，改變網絡架構，以方便卸載加密協議，從而方便自己觀察到進入管道中流量的具體情況。而對于“肉機”的問題，John Ellis認為隨著個人聯網終端數量的不斷增多，被各種病毒入侵的風險也與日俱增，因此他建議用戶經常為系統做升級、打補丁，盡可能消滅有可能被惡意人士利用的突破口。

在網絡安全方面，Akamai擁有遍布全球的CDN和服務器平臺，通過這一平臺，Akamai可以做到以下幾點：第一，Akamai的平臺可以近距離地觀察網絡攻擊行為，收集相關數據，并對惡意行為進行分析判斷；第二，Akamai的邊緣服務器分布在世界各地，可以隨時根據觀察到的惡意攻擊行為完善安全策略，并把更完善的安全策略反饋給平臺上的用戶；第三，DDoS攻擊中夾雜著正常業務流量，Akamai可以采取清洗中心的方式，除去惡意流量，留下正常流量，以保證數據中心應用的可用性。而由于Akamai的平臺分布在全球各地，無論用戶處在世界哪個角落，無論使用怎樣的設備，所有的Akamai邊緣服務器會同時執行一致的安全策略。