当前,全国IT基础设施投资不断增加,攻击面不断扩张,攻击来源更加多样,攻击场景也进一步复杂化。截止到2019年11月,深信服全网安全监测平台累计发现恶意程序样本385261个,累计发现攻击超过188.09亿次,平均每天拦截恶意程序近5千万次。监测到全国30000+个IP在2019年受到网络攻击总量45.2亿次,平均每台主机每月受到的攻击次数高达1.25万次以上。显然,当前网络安全形势依旧非常严峻。
网络攻击者和攻击动机不断在变化,网络攻击者的概念已经从原来单纯的网络安全爱好者演变成了网络犯罪分子、APT组织和专业渗透测试人员,攻击动机也从单纯的炫耀技术变成了90%以上和金钱或数据盗窃间谍行为有关。针对今年发生的众多勒索案例,我们发现勒索病毒攻击团伙不再像以前那样遍地撒网,更多的将目标锁定在全球各国的政府、企业、相关组织机构等,具有很强的针对性。勒索病毒攻击团伙越来越专业,会通过各种渠道收集信息,查找出一些安全防范措施相对比较薄弱的政府、企业、组织机构进行定向攻击,通过钓鱼邮件或漏洞传播勒索病毒加密数据。例如今年多家网络托管提供商就遭受到勒索病毒的定向攻击。随着全国IT基础设施投资不断增加,传统的PC、服务器已经远不能满足黑客胃口,新的技术(5G\区块链\IOT\AI)带来了新的攻击面,攻击面已从传统的网站及系统扩展到各类暴露于互联网的业务应用(WebApp、文件共享服务)、各类新的互联网业务(区块链等)、移动应用、电信基础设施等以及供应链的各个环节,除传统的僵尸网络以及面向web应用的各类漏洞利用攻击之外,新的场景有各种自动化的批量黑帽SEO篡改攻击、勒索病毒、数据窃取、钓鱼、挖矿、面向IoT的僵尸网络攻击(DDoS)等。攻击者的攻击方式从弱口令渐渐升级到了现在使用自建的武器库、0day库,从单打独斗到合作,自动化程度越来越高,形成了完整的黑色产业链。
安全是相对的、动态的,时刻处于对抗的状态。在对抗中,最重要的就是情报时差,在2019年跟踪到的数据泄露、重大黑产攻击事件通常早期就有先期预兆。相关情报的抓取对于事件预防或调查取证很有价值,加快事件响应速度的关键在于提前事件响应窗口(如补丁对比、云端日志捕获),不仅仅带来防御能力优势,也将带来攻击能力优势。快速响应的关键是在于团队的协作分工和按照标准化流程的执行,对于深信服来说,当发现到一个可疑的情报就会上报,通过自动化应急响应机制传递到对应的团队去进行定级响应,按照对应的定级去分发对应的任务给到其他团队。主要任务包含复现、分析、扫描方案、检测方案、查杀方案、修补方案、防御方案等,各团队按照模板进行对应响应工作的执行,做好处置和详情记录,做好事件发生、发展、处置的记录和证据留存。当确认情报的级别后会迅速同步监管单位,主动提交我们对应的分析报告和样本或者构造好的POC,并配合监管单位发布通告,与此同时进行全系列产品的升级,实现云网端联动方案。发布方案后通过订阅、更新公告等方式迅速触达用户,同时在云端做好监控和运营,针对事件后续的影响做持续的跟进,对云端运营结果进行分析,一旦发现状况及时更新预警等级,循环快速响应里面提到的定级响应。(本文刊登于《中国信息安全》杂志2020年第3期)
