孫子曰“知己知彼，百戰(zhàn)不殆”，古語(yǔ)有云“知易行難”。知己已是不易，各種開(kāi)源軟件涌入信息系統(tǒng)，各種API調(diào)來(lái)調(diào)去供應(yīng)鏈越來(lái)越長(zhǎng)，各種微服務(wù)“一言不合”就上線。

這種動(dòng)態(tài)環(huán)境下，知己 ——清楚地了解洞悉自身網(wǎng)絡(luò)中的資產(chǎn)、價(jià)值和安全屬性、邏輯分布和依賴關(guān)系等無(wú)疑很難挑戰(zhàn)。 但知彼更難挑戰(zhàn)。“彼”的識(shí)別就是個(gè)大問(wèn)題。什么目標(biāo)和動(dòng)機(jī)?定向的，還是非定向的;什么技術(shù)水平?高級(jí)的，還是一般的;什么漏洞和利用在流行?數(shù)百萬(wàn)的安全告警背后分別是什么威脅?

綠盟權(quán)威發(fā)布

《2017年度網(wǎng)絡(luò)安全觀察》，結(jié)合綠盟科技威脅情報(bào)中心(NTI)豐富的威脅情報(bào)數(shù)據(jù)，針對(duì)攻防中最重要的關(guān)注點(diǎn)對(duì)2017年網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了梳理，從漏洞披露、惡意流量監(jiān)控、惡意軟件的發(fā)展演變多個(gè)角度，結(jié)合地區(qū)、行業(yè)的屬性，對(duì)2017年網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行了分析解讀。這些威脅都是日常運(yùn)維中最常面對(duì)的，這份報(bào)告是結(jié)合了NTI最新情報(bào)數(shù)據(jù)進(jìn)行的綜合分析，希望能夠?yàn)槠髽I(yè)用戶以及網(wǎng)絡(luò)安全領(lǐng)域的從業(yè)者提供參考和幫助。

Web類(lèi)攻擊的行業(yè)分布

由于各個(gè)行業(yè)的業(yè)務(wù)特性都不相同，黑客攻擊在不同行業(yè)中的呈現(xiàn)側(cè)重點(diǎn)是不一樣的。在互聯(lián)網(wǎng)企業(yè)中，業(yè)務(wù)環(huán)境復(fù)雜，大量的業(yè)務(wù)需要提供Web界面為客戶提供服務(wù)，其背后還需要架設(shè)復(fù)雜的IT架構(gòu)提供相應(yīng)的技術(shù)支撐，使得Web類(lèi)、系統(tǒng)類(lèi)的攻擊在互聯(lián)網(wǎng)行業(yè)中都非常突出，對(duì)防護(hù)方案的要求也會(huì)更加苛刻。從業(yè)務(wù)流量上看互聯(lián)網(wǎng)Web服務(wù)的流量占比是最高的，但是，單從行業(yè)自身業(yè)務(wù)特征看，運(yùn)營(yíng)商、教育、制造、政府行業(yè)都應(yīng)該重點(diǎn)關(guān)注Web類(lèi)的攻擊，進(jìn)行重點(diǎn)防護(hù)。

屢禁不絕的DDoS攻擊

DDoS攻擊、Web攻擊、系統(tǒng)漏洞利用這些攻擊始終在互聯(lián)網(wǎng)環(huán)境中逡巡，不管你是否關(guān)注，它就在那里。2017 年同去年同期相比，攻擊發(fā)生次數(shù)基本保持平穩(wěn)，共計(jì)發(fā)生20.7 萬(wàn)次。但是從攻擊總流量上來(lái)看有較為明顯的波動(dòng)，從年初到年中5月份前后，攻擊總流量有非常顯著的增長(zhǎng)，而5月份之后攻擊總流量回落至較為平穩(wěn)的水平。與2016年相比，2017年攻擊仍然頻繁，攻擊總流量大幅上升。

值得關(guān)注的一些新趨勢(shì)：

· 今年來(lái)自IoT設(shè)備的攻擊占比達(dá)到了12%;

· DDoS攻擊武器庫(kù)新增一種攻擊，反射攻擊類(lèi)型：Memchached，從各類(lèi)反射型攻擊的放大倍率來(lái)看，Memcached 高居榜首，最高可達(dá)51000 倍;

你知道鬼影嗎?

“鬼影”是一個(gè)在中國(guó)非?；钴S的僵尸網(wǎng)絡(luò)，是基于Windows平臺(tái)發(fā)展的一個(gè)影響廣泛的僵尸網(wǎng)絡(luò)。在近期Botnet活動(dòng)監(jiān)測(cè)中，我們看到“鬼影”的活動(dòng)十分頻繁，這個(gè)家族出現(xiàn)時(shí)間早、變種多，具有相當(dāng)成熟的商業(yè)運(yùn)作。對(duì)此，我們認(rèn)為需要特別關(guān)注和治理。

圖：活躍Botnet家族指令數(shù)量統(tǒng)計(jì)

“鬼影”目前至少存在10個(gè)不同的版本，每個(gè)版本與之前一個(gè)版本相比都增加了新的功能，DDoS攻擊技術(shù)也不斷升級(jí)迭代。目前“鬼影”已經(jīng)成為一個(gè)可發(fā)動(dòng)大流量攻擊、可大規(guī)模傳播、支持不同模式商業(yè)運(yùn)作的成熟軟件。

2017年最突出的惡意軟件——你造嗎?

2017年最突出的惡意軟件類(lèi)型就是勒索軟件：

2017年5月12日，WannaCry勒索病毒借助EternalBlue(永恒之藍(lán))漏洞肆虐全球，影響超過(guò)150個(gè)國(guó)家，中毒用戶要去在72小時(shí)內(nèi)支付價(jià)值300美金的比特幣，并且3天后勒索贖金就會(huì)翻番，7天后拒付贖金，計(jì)算機(jī)文件將被永久加密

2017年6月爆發(fā)的NotPetya勒索病毒同樣采用EternalBlue(永恒之藍(lán))漏洞傳播，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)代碼這將使病毒在電腦重啟時(shí)得到執(zhí)行，該病毒會(huì)在開(kāi)機(jī)時(shí)提示用戶電腦正在進(jìn)行磁盤(pán)掃描然而實(shí)際上病毒正在執(zhí)行文件加密等操作。當(dāng)所有加密操作完成后，病毒才彈出勒索軟件，要求受害者付價(jià)值300美金的比特幣。在2017年7月，病毒作者公布了Petya系列勒索軟件的所有密匙。

2017年10月，BadRabbit(壞兔子)勒索軟件爆發(fā)，攻擊者首先入侵新聞媒體類(lèi)網(wǎng)站，隨后利用這些新聞?lì)惥W(wǎng)站發(fā)起水坑攻擊。BadRabbit要求受害者在40小時(shí)內(nèi)支付0.05比特幣(當(dāng)時(shí)約合300美元)。

總結(jié)：

《2017年度網(wǎng)絡(luò)安全觀察》報(bào)告基于綠盟科技威脅情報(bào)中心數(shù)據(jù)，從漏洞態(tài)勢(shì)、攻擊態(tài)勢(shì)、惡意軟件態(tài)勢(shì)三個(gè)角度，對(duì)2017年度網(wǎng)絡(luò)安全的態(tài)勢(shì)變化進(jìn)行了分析。我們分析了攻擊者、受害者的行業(yè)、地區(qū)分布等信息，這些基礎(chǔ)威脅統(tǒng)計(jì)信息可以作為UEBA/安全行為分析的重要輸入，建立更智能的安全檢測(cè)體系。此外，2017年，在我們持續(xù)監(jiān)控的超過(guò)390萬(wàn)個(gè)攻擊源中，約20%的惡意IP曾對(duì)多個(gè)目標(biāo)進(jìn)行過(guò)攻擊，0.39%的攻擊源對(duì)90%的攻擊事件負(fù)責(zé)。對(duì)這些“慣犯”的針對(duì)性跟蹤、分析、畫(huà)像、對(duì)抗等可以有效地提高安全防護(hù)的效率和效果，相應(yīng)地，“慣犯”覆蓋也將成為最為核心的威脅情報(bào)能力之一。

同時(shí)，我們對(duì)例如DDoS、系統(tǒng)攻擊、Web攻擊等常見(jiàn)攻擊進(jìn)行了觀察，還把物聯(lián)網(wǎng)設(shè)備漏洞以及借助物聯(lián)網(wǎng)平臺(tái)發(fā)動(dòng)的攻擊等也納入到觀察視野范圍內(nèi)。綠盟威脅情報(bào)中心數(shù)據(jù)顯示，物聯(lián)網(wǎng)設(shè)備IP已占有總惡意IP的12%，物聯(lián)網(wǎng)設(shè)備中惡意IP所占物聯(lián)網(wǎng)總IP數(shù)量的比例達(dá)到4.8%，是普通IP空間相應(yīng)惡意IP占比的3倍。

不難預(yù)計(jì)，物聯(lián)網(wǎng)設(shè)備帶來(lái)的安全威脅將繼續(xù)不斷升高，對(duì)物聯(lián)網(wǎng)威脅的相應(yīng)防護(hù)能力將會(huì)成為安全防護(hù)體系的標(biāo)配。

關(guān)鍵詞： 慣犯 數(shù)千 科技