近日，美國(guó)最大燃油管道運(yùn)營(yíng)商科洛尼爾(Colonial Pipeline)因受勒索軟件攻擊，被迫臨時(shí)關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。

公司表明，為遏制威脅，已主動(dòng)切斷部分網(wǎng)絡(luò)連接，暫停所有管道運(yùn)營(yíng)。為解除對(duì)燃料運(yùn)輸?shù)母鞣N限制，保障石油產(chǎn)品的公路運(yùn)輸，美國(guó)政府宣布進(jìn)入緊急狀態(tài)。多方消息證實(shí)，此次勒索軟件名為 DarkSide，攻擊者劫持了該公司近 100GB 的數(shù)據(jù)以索取贖金。

網(wǎng)絡(luò)攻擊屢見(jiàn)不鮮

5 月 10 日，俄羅斯衛(wèi)星中文網(wǎng)報(bào)道稱，CNN 援引網(wǎng)絡(luò)安全領(lǐng)域前高官的話報(bào)道，認(rèn)為對(duì)科洛尼爾管道運(yùn)輸公司進(jìn)行網(wǎng)絡(luò)攻擊的黑客可能與俄羅斯有關(guān)。

該消息人士表示，此次網(wǎng)絡(luò)攻擊的背后是來(lái)自俄羅斯的黑客團(tuán)伙 DarkSide，這些黑客通常攻擊非俄語(yǔ)國(guó)家，而他們的手段是對(duì)目標(biāo)系統(tǒng)植入惡意軟件，以索要贖金。

這種惡意軟件也被稱為“勒索病毒”。

勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。直至受害者支付贖金，黑客才可能將其解鎖。

《紐約時(shí)報(bào)》表示，這種網(wǎng)絡(luò)犯罪行為好比“對(duì)數(shù)據(jù)的綁架”。

其實(shí)，近年來(lái)，利用勒索軟件進(jìn)行網(wǎng)絡(luò)攻擊的事件屢見(jiàn)不鮮。

據(jù)報(bào)道，2016 年勒索軟件攻擊開(kāi)始爆發(fā)，當(dāng)時(shí)至少影響五家美國(guó)和加拿大醫(yī)院，這促使專家再次呼吁使用自動(dòng)備份來(lái)緩解這種攻擊的影響。

例如 2016 年 2 月，美國(guó)舊金山好萊塢長(zhǎng)老會(huì)醫(yī)療中心遭受勒索軟件攻擊后，該醫(yī)院支付近 17000 美元贖金。

2018 年 1 月，美國(guó)印第安納州格林菲爾德的漢考克健康(Hancock Health)遭遇了勒索軟件攻擊。

據(jù)報(bào)道，這讓醫(yī)院失去了部分計(jì)算機(jī)系統(tǒng)的控制權(quán)，當(dāng)時(shí)黑客要求以比特幣作為贖金支付。

從 2018 年初到 9 月中旬，勒索病毒總計(jì)對(duì)超過(guò) 200 萬(wàn)臺(tái)終端發(fā)起過(guò)攻擊，攻擊次數(shù)高達(dá) 1700 萬(wàn)余次，且整體呈上升趨勢(shì)。

截至當(dāng)?shù)貢r(shí)間 2021 年 4 月 27 日，美國(guó)華盛頓警局內(nèi)部系統(tǒng)遭黑客勒索，美國(guó)已有 26 個(gè)政府機(jī)構(gòu)遭勒索病毒攻擊。

中國(guó)的網(wǎng)絡(luò)安全防范如何?

相比之下，中國(guó)的網(wǎng)絡(luò)安全防范相對(duì)完善，但威脅依然不少。

一方面是國(guó)內(nèi)網(wǎng)絡(luò)在與全球網(wǎng)絡(luò)連接前，還需通過(guò)另一張“綠網(wǎng)”的檢核;

另一方面，國(guó)內(nèi)對(duì)于企業(yè)有嚴(yán)格的監(jiān)管要求，若觸犯相關(guān)法規(guī)，政府將嚴(yán)懲不貸。

但網(wǎng)絡(luò)攻擊沒(méi)有終點(diǎn)，一山還有一山高。

業(yè)內(nèi)知名安全專家曾向雷 鋒網(wǎng) AI 掘金志介紹道，網(wǎng)絡(luò)攻擊從弱到強(qiáng)可分為五個(gè)等級(jí)。

第一級(jí)是因內(nèi)部人員管理不當(dāng)，引發(fā)的安全問(wèn)題;

第二級(jí)是早期常見(jiàn)的黑客攻擊，以單兵作戰(zhàn)的形式，通過(guò)潛伏、滲透等手段達(dá)到竊取密碼的目的;

第三級(jí)以 DDoS 攻擊為主，是有組織、成體系的攻擊，多是由商業(yè)競(jìng)爭(zhēng)對(duì)手發(fā)起;

第四級(jí)是黑產(chǎn)，通過(guò)挖礦、勒索甚至資本聯(lián)動(dòng)等方式盈利。資金流向分散，存證取證極為困難;

第五級(jí)則是網(wǎng)絡(luò)軍隊(duì)。

目前來(lái)看，美國(guó)此次事件則屬于四級(jí)甚至是第五級(jí)的網(wǎng)絡(luò)攻擊。

而近年來(lái)，隨著數(shù)字化轉(zhuǎn)型、聯(lián)網(wǎng)設(shè)備數(shù)量增加以及處理器算力提升，位于第三級(jí)的 DDoS 攻擊愈趨復(fù)雜，攻擊目標(biāo)大多直指企業(yè)并造成重大財(cái)務(wù)損失。

以全球視角來(lái)看，其最大市場(chǎng)是北美和亞太地區(qū)。

據(jù)統(tǒng)計(jì)，2020 年第三季度，中國(guó)遭遇的 DDoS 攻擊為全球之首，占攻擊總量的 72.83%。

時(shí)至今日，國(guó)內(nèi)利用僵尸網(wǎng)絡(luò)的 DDoS 攻擊仍大行其道。

近日，一個(gè)基于僵尸網(wǎng)絡(luò)“Pareto”的廣告欺詐活動(dòng)被發(fā)現(xiàn)并搗毀。

此次攻擊活動(dòng)中，網(wǎng)絡(luò)犯罪分子利用惡意軟件成功感染了 100 多萬(wàn)臺(tái) Android 移動(dòng)設(shè)備。

據(jù)研究人員稱，該僵尸網(wǎng)絡(luò)利用數(shù)十個(gè)移動(dòng)應(yīng)用程序，模擬了超 6000 個(gè) CTV 應(yīng)用程序，每天提供至少 6.5 億條廣告訪問(wèn)請(qǐng)求。

攻擊者與被感染后受遠(yuǎn)程控制的“僵尸”計(jì)算機(jī)之間，實(shí)現(xiàn)了可一對(duì)多操控的網(wǎng)絡(luò)，就是僵尸網(wǎng)絡(luò)。

就隱蔽性而言，僵尸主機(jī)在未執(zhí)行特點(diǎn)指令時(shí)，與服務(wù)器之間不會(huì)進(jìn)行通訊。

這樣一個(gè)可隱身潛伏在目標(biāo)陣營(yíng)里的工具，很難不受到攻擊者青睞。

使用僵尸網(wǎng)絡(luò)最常發(fā)動(dòng)的攻擊，即分布式拒絕服務(wù)攻擊(DDoS)。

DDoS 又稱洪水攻擊，攻擊者利用一臺(tái)臺(tái)僵尸電腦，向受害者系統(tǒng)發(fā)送如洪水般迅猛的合法或偽造的請(qǐng)求，致使其帶寬飽和或資源耗盡，以達(dá)到服務(wù)暫時(shí)中斷、網(wǎng)絡(luò)及系統(tǒng)癱瘓的目的。

安全專家表示，DDoS 是攻擊中的核武器。

攻擊者不僅在攻擊媒介上不斷做出新的嘗試，在攻擊規(guī)模、頻率和目標(biāo)上也不斷進(jìn)行著調(diào)整。

據(jù)檢測(cè)，今年一季度的一大 DDoS 勒索攻擊，最近一次攻擊的峰值達(dá) 800Gbps。

此次攻擊目標(biāo)不是“重災(zāi)區(qū)”內(nèi)的游戲公司，而是一家歐洲賭博公司。

各行各業(yè)，泛濫成災(zāi)

在疫情背景下，各行業(yè)業(yè)務(wù)紛紛轉(zhuǎn)至線上開(kāi)展。

這也招致了大量有勒索動(dòng)機(jī)的攻擊者，打起大型企業(yè)和機(jī)構(gòu)的算盤。

自 2020 年中下旬起，針對(duì)企業(yè)組織的 RDDoS 攻擊顯著增加，受害企業(yè)若沒(méi)有備份數(shù)據(jù)，只能以支付勒索金額暫停攻擊。

即使有備份數(shù)據(jù)，也難以避免因攻擊造成的業(yè)務(wù)系統(tǒng)停擺。

據(jù)調(diào)查，有 91% 的組織由于 DDoS 攻擊而遭遇業(yè)務(wù)停擺，平均每次停擺帶來(lái)的損失高達(dá) 30 萬(wàn)美元。

而騰訊安全發(fā)布白皮書指出，2020 年的 DDoS 攻擊次數(shù)創(chuàng)歷史新高。

從行業(yè)分布上看，金融、政務(wù)、互聯(lián)網(wǎng)、零售等領(lǐng)域都成為了 DDoS 攻擊的戰(zhàn)場(chǎng)，但游戲行業(yè)仍為重災(zāi)區(qū)，在整體 DDoS 攻擊中占比超 7 成。

除了對(duì)游戲企業(yè)進(jìn)行勒索，惡意游戲玩家作弊也是攻擊行為的一大動(dòng)機(jī)。

自去年二季度起，國(guó)外一外掛團(tuán)伙開(kāi)發(fā)了一款“炸房掛”，調(diào)用第三方攻擊站點(diǎn)發(fā)起 DDoS 攻擊，并以數(shù)十美元的價(jià)格，將外掛批量售給惡意玩家，致使多地域游戲玩家掉線、游戲服務(wù)器宕機(jī)等后果。

對(duì)于游戲企業(yè)而言，除了直接的收益損失，還可能流失一大批無(wú)法接受任何延遲的玩家客戶。

同理，在金融行業(yè)，用戶可能無(wú)法完成線上交易，對(duì)平臺(tái)失去信任;

在互聯(lián)網(wǎng)行業(yè)，用戶可能因訪問(wèn)速度過(guò)慢，甚至無(wú)法訪問(wèn)頁(yè)面等體驗(yàn)，對(duì)業(yè)務(wù)失去信任;

在零售行業(yè)，用戶可能因其新品發(fā)布活動(dòng)受阻，對(duì)產(chǎn)品失去信任……

去年八月，就發(fā)生了兩起影響極大的攻擊事件。

被連續(xù)攻擊 5 日的新西蘭證交所多次被迫中斷交易;白俄國(guó)安委和內(nèi)務(wù)部網(wǎng)站因遭攻擊影響了白俄總統(tǒng)選舉。

十月，Google 公開(kāi)宣布，2017 年曾遭受峰值流量達(dá) 2.54Tb 的 DDoS 攻擊，表示“希望提高人們對(duì)國(guó)家黑客組織濫用 DDoS 攻擊趨勢(shì)的認(rèn)知”。

DDoS 攻擊還將攻往哪些領(lǐng)域，難以預(yù)判。

針對(duì)全球 DDoS 攻擊現(xiàn)狀，華為認(rèn)為，其攻擊強(qiáng)度依然呈增長(zhǎng)態(tài)勢(shì)，攻擊手法將更加復(fù)雜。

「洪水」無(wú)情，「防洪」有眼

隨著攻擊演變不斷，各企從識(shí)別、清洗和黑洞策略三個(gè)層面著手，數(shù)管齊下。

首先是負(fù)載均衡，識(shí)別檢測(cè)。

CDN 作為網(wǎng)絡(luò)堵塞的有效緩解方法之一，博得各企業(yè)關(guān)注。

以其擁有的大量節(jié)點(diǎn)，CDN 可代替源服務(wù)器為訪問(wèn)者提供就近服務(wù)。

這一特性，實(shí)現(xiàn)了源服務(wù)器減負(fù)，用戶訪問(wèn)快速響應(yīng)，企業(yè)受 DDoS 攻擊的幾率也在一定程度上降低。

但同時(shí)，各 CDN 節(jié)點(diǎn)也成為了訪問(wèn)者的把關(guān)人。

為進(jìn)行自動(dòng)識(shí)別調(diào)度，阿里云、華為云等企業(yè)都推出了 CDN 聯(lián)動(dòng) DDoS 高防方案。

高防 CDN 的原理是利用 CNAME 記錄，將攻擊流量引至高防節(jié)點(diǎn)。

而高防節(jié)點(diǎn) IP 是對(duì)源站點(diǎn)的業(yè)務(wù)轉(zhuǎn)發(fā)，即使追蹤業(yè)務(wù)交互也無(wú)法得知真正的用戶源站點(diǎn)，從而保障服務(wù)器安全。

其次是清洗闕值與黑洞闕值。

正如人的免疫力再好，也難免會(huì)生病;防護(hù)機(jī)制再完善，也難保就此萬(wàn)無(wú)一失。

就算沒(méi)有生病，也可以買保險(xiǎn)。

以正常流量基線設(shè)置闕值，據(jù)自身防御能力設(shè)置黑洞策略，借“同歸于盡”換最后的安全。

不同于固定闕值，阿里云基于其大數(shù)據(jù)能力，結(jié)合 AI 智能分析和算法學(xué)習(xí)用戶的業(yè)務(wù)流量基線，以此識(shí)別異常攻擊。

檢測(cè)到 DDoS 攻擊且請(qǐng)求流量達(dá)到清洗闕值時(shí)，DDoS 防護(hù)就會(huì)觸發(fā)清洗。

華為云也有這樣的“底線”。

當(dāng)流量攻擊超出其提供的基礎(chǔ)攻擊防御范圍，華為云將采取黑洞策略封堵 IP，屏蔽該僵尸電腦的外網(wǎng)訪問(wèn)。

物聯(lián)未來(lái)，變成僵尸電腦的風(fēng)險(xiǎn)有多大?

小到智能家居，大到智慧城市，在線 IoT 設(shè)備在各領(lǐng)域已大面積普及，包括配電、通信網(wǎng)絡(luò)等關(guān)鍵設(shè)施設(shè)備。

物聯(lián)網(wǎng)裝置雖逐步完善，但對(duì)于安全運(yùn)維，仍受限于設(shè)備的各種形態(tài)和功能。

從終端、無(wú)線接入、網(wǎng)關(guān)，再到云平臺(tái)，許多設(shè)備使用的操作系統(tǒng)都不是統(tǒng)一的。

運(yùn)維難度因此大大提升。

除此之外，“攻擊工具”的獲取門檻之低，使得 DDoS 攻擊成為一種“傻瓜式”網(wǎng)絡(luò)攻擊，物聯(lián)網(wǎng)下的各企極易受到威脅。

即便是沒(méi)有充足經(jīng)驗(yàn)的“黑客”，也可借助 Mirai 等公開(kāi)惡意軟件，植入僵尸病毒發(fā)起攻擊。

據(jù)分析，Mirai 和 Gafgyt 仍是目前主流的兩大僵尸網(wǎng)絡(luò)家族。

而 Mirai 的主要感染對(duì)象，就是路由器、網(wǎng)絡(luò)攝像頭、DVR 設(shè)備等 Linux 物聯(lián)網(wǎng)設(shè)備。

物聯(lián)網(wǎng)設(shè)備的資源縱深價(jià)值，一方面為企業(yè)和個(gè)體帶來(lái)便利，另一方面也招致攻擊者的覬覦。

美國(guó)東海岸 DNS 服務(wù)商 Dyn，曾因該僵尸網(wǎng)絡(luò)，影響了千萬(wàn)量級(jí)的 IP 數(shù)量，其中大部分來(lái)自物聯(lián)網(wǎng)和智能設(shè)備。

總結(jié)

目前，對(duì)于 DDoS 攻擊其門檻低、易操作、高效率的特點(diǎn)，各行各業(yè)仍膽顫心驚。

利用負(fù)載均衡、闕值設(shè)置等方法，建立 DDoS 防護(hù)和相關(guān)應(yīng)變團(tuán)隊(duì)，定期進(jìn)行安全監(jiān)控演練，并檢視自身營(yíng)運(yùn)風(fēng)險(xiǎn)，是企業(yè)可參考的幾個(gè)方面。

有專家建議，在物聯(lián)網(wǎng)環(huán)境下，切割關(guān)鍵性業(yè)務(wù)、限制聯(lián)機(jī)來(lái)源或隱蔽聯(lián)機(jī)入口等方法，也有助于降低遭受攻擊的風(fēng)險(xiǎn)。

關(guān)鍵詞： 美國(guó) 黑客