近日,卡巴斯基发布了2017 Q2 DDoS报告。该季度出现了史上持续时间最长DDoS攻击――277小时(超过11天),超过了Q1的最长记录的131%。另外,值得注意的一点是,中国成为了DDoS受灾最严重的国家,占了整个季度DDoS攻击的58.07%!
Q2 DDoS 概况:
- 86个国家遭受DDoS攻击,比Q1增加了14个国家
- 和Q1一样,接近一半的攻击对象在中国
- 中国、韩国和美国依然是攻击数量和目标数量的领头者
- DDoS攻击持续时长记录被打破,这季度是277小时,比Q1增加了131%。持续时长少于50小时的攻击占比99.7%,与Q1的99.8%基本无差
- TCP和ICPM DDoS攻击数量明显减少(TCP从Q1的26.6%减少到18.2%,ICPM从8.2%减少到7.3%)。而SYN floods和UDP、HTTP攻击数量上升
- Linux僵尸网络数量上升,由Q1的43.4%上升到Q2的51.23%
Q2 DDoS攻击事件一览
- 半岛电视台 Al Jazeera
- 世界报 Le Monde
- 费加罗报 Figaro newspaper
- Skype
- Bitfinex(最大的比特币交易中心)
- BTC-E (比特币交易中心)
DDoS攻击的地理位置
86个国家在Q2遭到了DDoS攻击,最大数量的攻击针对的是中国 (58.07% 的攻击), 比前一个季度高出了3倍。韩国从22.41% 下降到14.17% 排名第二, 而美国从11.37% 上升了到 14.03%, 几乎赶上韩国。前十名国家就占了所有攻击的94.6%。
DDoS攻击的数量动态
2017年Q2, 每天攻击的次数从最少131次 (4月17日) 到最多904次 (4月13日)。峰值发生在 4月24日 (581), 5月7日 (609), 6月10日 (614) 和 6月16日 (621)。相对低迷的次数发生在 4月14日 (192), 5月31日 (240) 和 6月23日 (281)。
星期一所遭受的攻击相对较少 (占所有攻击的11.74%), 而星期日则是最易受攻击的日子(占比15.57%)
DDoS攻击类型和持续时间
SYN Floods攻击从Q1的48.07% 上升到Q2的53.26%。UDP攻击 (从8.71% 到 11.91%) 和 HTTP攻击 (从8.43% 到 9.38%) 的百分比都在增加。同时, TCP攻击的比例从26.62% 下降到 18.18%, 而ICMP攻击的流行程度从8.17% 下降到 7.27% (在所有注册的攻击中都有所减少)。
0.07% 的攻击持续时间超过100小时。记录是277小时, 比上一季度的记录要长157小时。与此同时, 持续4小时或更少时间的攻击比例从Q1的82.21%增加到了Q2的85.93%。
更多报告详细内容,请点击kaspersky 2017 Q2 DDoS查看完整报告。
DDoS防护的必要性
Q2的数据清楚的告诉我们:我国DDoS攻击威胁形势严峻。
绿盟科技建议,何需要通过网络提供服务的业务系统,不论是经济原因还是其他方面,都应该把DDoS攻击防护纳入投资考虑。大型企业、政府组织以及服务提供商需要保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,确保业务系统运行的连续性。虽然DDoS防护增加了运营成本,但是从投资回报率的分析结果证明,这项投资是值得的。
企业/政府网络――对于企业或政府的网络系统(通常是内部业务系统或网站的Internet出口),虽然不涉及大量的Internet用户的访问,但是如果遭到DDoS攻击,仍然会带来巨大的损失。对于企业而言,DDoS攻击意味着业务系统不能正常对外提供服务,势必影响企业的正常生产;政府网络的出口如果遭到攻击,将带来重大的政治影响,这些损失都可以通过部署DDoS防护系统进行规避。
电子商务网站、在线游戏、支付业务等互联网业务――电子商务网站、游戏业务、网上支付等互联网业务经常是黑客实施DDoS攻击的对象,而DDoS防护是网络建设的重点之一。该类业务系统遭受DDoS攻击时,系统将无法提供正常服务,而由此引起的业务无法访问、支付错误、交易量下降、广告损失、品牌损失、网站恢复的代价等等,都会?div style="border-bottom:1px solid #aaa;margin-bottom:25px">暗网系列之:在暗网中暴露的顶级信息安全公司(Black Hat 2017) 阅读原文»
前情提要
OWL网络安全公司是一家专门从事暗网情报分析和服务的公司,他们定期会对世界财富 500 强和重要行业的公司进行安全评估,评估依据主要是这些公司在暗网中被交易的数据的可用性、质量(对潜在的攻击者而言)和新鲜度。如果数据有更高的可用性,或者在暗网中出现的时间较短,那么就意味着具有更高的风险,存在更多潜在的对抗该组织的攻击向量。
这一份报告的重点是对Black Hat USA 2017参展商们(共计283家)的暗网指数进行估算,直白的说,就是分析一下比其他行业的公司相比,网络安全公司在暗网足迹方面的表现如何。(Tips:OWL刚刚对世界财富500强和德国大型的公司进行了重新排名)
通过检测这些参展商的企业在暗网中泄露数据的数量、可用性、时间等信息,利用我们专有的算法进行计算,得出了网络安全行业公司和其他行业公司的异同。
至于结果,总体而言,安全企业比其他行业的企业表现地更好,但也有一些明显的例外。
评估所依据的情报是通过监测暗网(Tor、IRC、I2P、ZeroNet、其他黑客论坛)、FTP服务器,粘贴网站,互联网高风险的攻击面和其他临时网站而获得的,我们把这些成为"暗网情报"。情报收集的范围,对于试图出售、购买或公开被盗数据的恶意攻击者而言,都是非常有吸引力的地方。
分析要点
- 与美国的大型公司相比,黑帽参展商的得分比预期的好。暗网指数平均值仅为6,而财富500强公司的暗网指数的平均值为6.7。所有的财富500强公司都在暗网中存在痕迹,但只有75%的黑帽子参展商在暗网中有相关的数据泄露,到目前为止,黑帽参展商是所有已经测试过的公在类别里,比例最低。
- Microsoft(微软)位居黑帽暗网指数排行榜的榜首,其后是Hewitt Packard (惠普)和Accenture(埃森哲)。微软目前的暗网指数接近7,高于它3个月前的得分(12.2,在世界五百强中排名12)。微软评分的升高可能是由于我们的威胁情报平台收集的数据量有所增加。与以往的暗网指数相比,我们看到其他公司的得分也呈现增长趋势。例如,IBM在世界财富500中的暗网指数已经在短短的几个月内增加了一倍多。
- 政府成绩并不好看。美国国土安全部在Black Hat暗网指数排名榜中位居第四名,考虑到该部门的使命,这个结果令人惊讶。2017年8月,我们将发布美国政府高级机构的暗网指数排行榜。(剧透警告:美国政府做得并不好)。
- 大型组织扩展网络安全是首要目标。在黑帽暗网指数中,排名前十的公司有四家也名列财富500强。额外的两个在黑帽暗网指数排行前十的公司是大型的私营咨询公司,他们会定期提出信息安全建议。世界上最大的三家反病毒公司都上榜top 20。虽然我们预计从整体上,更大、更成熟的公司会有更大的暗网足迹,不过我们对评估结果依然感到惊讶,他们占据着黑帽暗网指数排行榜的顶部位置。
- 有被攻击价值的数据=增长的风险。排行榜中得分最高的公司都有用户凭据和/或知识产权暴露在暗网中,攻击者借此谋利。可悲的是,这种类型的敏感信息在我们的数据库中是很常见的。
- 安全警惕得到了回报,正如行业的整体地位所显示的那样,投资网络安全得到了有形的指数收益(暗网指数相对会下降)。虽然也有例外,不过应当认真考虑,即使是信息安全公司(例如黑帽参展商)也会具有较小的暗网足迹,因此,较低的评级指数,已经是对这些公司(安全行业)的高警惕性的嘉奖,而检测结果也证实了这一点。
方法论
对暗网活动有广泛而全面认识的最大障碍之一就是缺乏任何可靠的指标。暗网不像公开的网站那样允许许多组织不断的捕捉和记录网络活动,暗网被故意设计成是难以跟踪的,通常需要使用特殊浏览器和首选访问。没有针对暗网的综合搜索引擎,暗网中的站点为了保持匿名性,可以在几分钟之内上线又下线。
如今,暗网已经成为那些希望保持个人在线隐私的安全港湾,不管他们的意图是好还是坏。同时,也必须认识到,越多来多的的犯罪活动已经迁移到暗网。
我们利用自己的SaaS平台、API、数据收集和分析服务,在暗网中检索各类数据,并依此为依据,评估每一个黑帽参展商的暗网指数,最终为每家公司得出了一个暗网足迹的综合评分。结合我们的专利hackishness算法(使用了机器学习对暗网中的泄露的数据内容进行评估,主要依据是这些数据被犯罪份子利用的潜力),过程中我们收集快照并执行静态索引分析,每次计算都产生了显著的效果。
为了得出各公司的指数和排行结果,我们对每个黑帽参展商进行了分析。专注于特定的暗网内容:与各个公司有关的数据,如网站、电子邮件域名等,在hackishness算法计算的结果上进一步调整。另外,近期被放置在暗网中的数据也是重要的加权因素;尤其是最近90天内的结果被认为是最有分量的,因为最近的入侵或数据泄露通常会包含了一个组织的当下特有的信息,这些信息对目标组织而言往往是最有用的。
"当然了,最重要的一项就是各参展商的排名。以赛门铁克、趋势科技、和Kapersky实验室为例,如果他们彼此之间把对方当作竞争对手的话,也会重视自己和竞争对手的暗网指数。"
算法
我们对黑帽参展商的暗网指数排名的重要依据是hackishness算法的计算结果,hackishness算法能够有效的排除无关的内容。我们对在暗网中搜索到的各类相关数据都赋予了一定的权重,简单起见,算法中对Tor隐藏服务和临时站点的权重最大。具体的算法公式如下所示:
H90(ln RDS + ln RTS) = HATR(ln ATR)
H90 = Hackishness of last 90 days results(最近90天内的高攻击价值的数据泄露结果)
HATR = Hackishness of all time breach results (所有时间段内的高攻击价值的数据泄露结果)
RDS = # results from Darknet Sites(源于暗网站点的数据泄露结果)
RTS = # results from Transitory Paste Sites (源于临时的&粘贴网站的数据泄露结果)
ATR = # results from all time breach results (所有时间段内的数据泄露结果)
方法论的关键点
- 黑帽暗网指数的构建对最近的数据更为关注;
- 指数既简单,又客观,不受公司名号、新闻报道、公司规模、高管/高级官员的威望即其他主管因素的影响。
- 针对指表取其对数。假设hackishness得分具有可比性(通常是没有的,尤其是在不同的时间阶段内),取对数意味着每个指标的影响被压缩了至少三分之一,但不会改变指标的性质和相互之间的关系,同时有助于消除异方差的问题(这是统计学中常用的方法)。
- 暗网指数排名反应了目标的吸引力。它不单单是数据泄漏的风险,它更接近目标对攻击者的吸引力,同时也考虑到了他们网络安全防御的有效性。
- 与单一的一次数据泄露的规模相比,这里更多的考虑了在数据收集期间数据泄露的频率。
黑帽参展商暗网指数排行榜:TOP20
我们对283为黑帽2017参展商进行了分析,并对结果进行了排名, TOP20的榜单信息如下图所示:
TOP20 的分析
- 与财富500强的暗网指数(TOP10以科技公司为主)相比,黑帽暗网指数排行榜的TOP20主要由技术咨询和更大、更成熟的公司组成。。
- 黑帽暗网指数前10名的总分数(283)低于财富500强的前10的暗网指数总分数(500)。财富500强的TOP10的暗网指数的最高值和最低值相对而言都更高,前10的平均得分(7)也比黑帽暗网指数前10的平均得分(12.2)要高。
- 最重要的是关注有竞争关系的各个公司的暗网指数评分结果。
- 规模较小的、新型的公司可能会受到媒体或投资界的关注,但仍有许多公司尚未在我们的指数中有正数得分。由此可见,恶意攻击者更关心的是交易大型企业的信息,而不是密谋攻击众多的较小的信息安全行家的玩家。
结论
我们生活在一个网络安全事件经常会上新闻头条的时代。任何公司或组织都面临着数据泄露的挑战/威胁,很多公司每年花费数十亿美元试图保护他们所拥有的宝贵数据,甚至连网络安全行业本身也不例外。因此,衡量网络安全风险,对于任何寻求实施全面网络安全战略的公司来说,都是非常重要的。
暗网指数(2017黑帽版)是我们暗网数据库中的一部分,数据库里还包括了成千上万个其他组织和个人的信息。我们承认这份分析报告有局限性,想要得到更准备的快照,需要包含更具体的公司数据。我们定期向客户提供定制的报告。
只有通过监测特定企业在固定时间段内的暗网情报足迹,才能对一个组织在网络安全方面努力作出有效的合理评价。
数据泄漏不可避免,恶意软件的攻击对一个公司品牌的诋毁能力前所未有的强大,因此,将暗网情报作为整体网络安全计划的一个关键部分,这一点至关重要。
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论