??

[[267081]]

雖然網(wǎng)絡上經(jīng)常報道黑客大戰(zhàn)、某國V.S.某國的網(wǎng)絡攻擊戰(zhàn)，但是網(wǎng)絡攻擊這個概念對普通人來說還是過于抽象。原因不僅是因為人們不能理解網(wǎng)絡攻擊的方法，還在于網(wǎng)絡攻擊的規(guī)模是一般人較難徹底理解的。但是，隨著網(wǎng)絡攻擊地圖的開發(fā)，這一問題有了最直觀的解決方法。

網(wǎng)絡攻擊地圖可能看起來很有趣，但它們真的能夠發(fā)揮效用嗎？通常來說，當涉及到安全問題時，上下文就成了關(guān)鍵，因此，我們?yōu)榇蠹铱偨Y(jié)了網(wǎng)絡上最受歡迎的8大網(wǎng)絡攻擊地圖。雖然地圖本身很大程度上是上下文有限的養(yǎng)眼產(chǎn)品，但卻也有一些創(chuàng)新性的方式可供使用。

頑固老派的安全專家習慣以一種厭倦的眼光看待網(wǎng)絡攻擊地圖。他們將其稱之為“pew pew”（擬聲詞）地圖，模擬小孩子玩玩具槍時發(fā)出的聲音。事實上，其中一個地圖確實用這種聲音來當音效。

一些安全專家在接受采訪時表示，如果他們知道有客戶要來的話，就會在SOC（安全運營中心）的屏幕上播放炫酷的全球網(wǎng)絡攻擊地圖，但僅僅是為了實現(xiàn)視覺震撼的目的。事實上，大多數(shù)安全專家都曾使用過這種地圖，但除了“視覺藝術(shù)”之外，它們并沒有發(fā)揮任何真正的價值。

其實，關(guān)于網(wǎng)絡攻擊地圖的一個常見誤解是，其數(shù)據(jù)是即時或?qū)崟r的。然而事實并非如此。大多數(shù)網(wǎng)絡攻擊地圖都只是已記錄攻擊的一個子集，或是已消毒數(shù)據(jù)包捕獲的回放。

雖然，安全圈內(nèi)人士普遍認為這種網(wǎng)絡攻擊地圖華而不實，數(shù)據(jù)也并不準確及時，但是，千萬不要忽略視覺因素的有用性：一位安全專家稱，他就是利用了網(wǎng)絡攻擊地圖的視覺效果讓高中生對安全行業(yè)產(chǎn)生了濃厚的興趣。這種想法和做法可謂十分聰明，因為屏幕上展示的視覺效果和數(shù)據(jù)類型可以引申出關(guān)于攻擊類型、方法和威脅參與者的討論點。

一些SOC運營者正在對客戶做同樣的事，他們使用這種網(wǎng)絡攻擊地圖來可視化攻擊類型，并嘗試在此基礎上回答客戶的問題。同樣地，這些網(wǎng)絡攻擊地圖的價值不在于它們所展示的數(shù)據(jù)，而在于它們作為對話啟動器所發(fā)揮的吸引人眼球和興趣的作用。這是制作這些地圖的供應商們所熟知的信息，因為地圖本身就是銷售工具。

接下來，我們將為大家介紹8個最流行的網(wǎng)絡攻擊地圖，其中不乏一些實用性很高的產(chǎn)品：

1. Norse

Norse可能是最早也是最知名的網(wǎng)絡攻擊動態(tài)地圖了。據(jù)了解，Norse公司通過搜集全球40個國家的將近150個數(shù)據(jù)中心的數(shù)據(jù)，每天要處理130TB數(shù)據(jù)。Norse的大多數(shù)數(shù)據(jù)來自Norse公司所有并監(jiān)視的800萬臺“蜜罐”計算機，這些計算機通過運行多達6000多種偽程序，吸引全球的網(wǎng)絡攻擊，偽程序包括ATM程序和公司電子郵箱，而其實時地圖只是代表了Norse采集數(shù)據(jù)的1%。

有意思的一點是，Norse的動態(tài)地圖還允許用戶添加自己公司的logo，方便在辦公區(qū)域進行展示。

??http://map.norsecorp.com/#/??

2. Kaspersky

??

就視覺效果和互動性而言，卡巴斯基“網(wǎng)絡威脅實時地圖”當屬最佳，其地圖中附加了全局旋轉(zhuǎn)和縮放功能，用戶可以任意旋轉(zhuǎn)、縮小和放大地圖。

卡巴斯基地圖上顯示的攻擊來自按需掃描和按訪問掃描，以及Web和電子郵件檢測。但其實時展示數(shù)據(jù)具備多少實時性尚不清楚。

??https://cybermap.kaspersky.com/??

3. Fortinet

Fortinet的網(wǎng)絡攻擊地圖看起來與Norse的比較類似，顯示的都好像只是已記錄事件的回放。當顯示攻擊的時候，屏幕左下方會出現(xiàn)循環(huán)播放的各類統(tǒng)計數(shù)據(jù)。此外，據(jù)該產(chǎn)品文檔介紹，飛塔還支持客戶地圖的定制化。

??https://threatmap.fortiguard.com/??

4. Check Point Software

??

Checkpoint Software開發(fā)的“威脅云”（ThreatCloud）網(wǎng)絡攻擊地圖展示每天太平洋標準時間12:00 a.m就重置的歷史數(shù)據(jù)。該地圖比Norse的地圖更為直觀，但基本結(jié)構(gòu)是相同的。除了觀看回放之外，用戶還可以按照時間段（包括每月和每周統(tǒng)計數(shù)據(jù)）選擇來展示歷史數(shù)據(jù)，例如“攻”和“受”的TOP榜單數(shù)據(jù)。

??https://threatmap.checkpoint.com/ThreatPortal/livemap.html??

5. FireEye

??

FireEye的網(wǎng)絡攻擊地圖缺乏其他地圖所提供的細節(jié)，但是顯得更為簡單明了。它不僅可以追蹤歷史數(shù)據(jù)，還可以按照行業(yè)和攻擊者歸屬地來分類統(tǒng)計“攻/受”數(shù)據(jù)。其展示的數(shù)據(jù)是“基于真實攻擊數(shù)據(jù)的一個子集，并為了實現(xiàn)更好的視覺效果進行了優(yōu)化?！?/p>

??https://www.fireeye.com/cyber-map/threat-map.html??

6. Arbor Networks

??

Arbor Networks的網(wǎng)絡攻擊地圖是與Google Ideas合作的一款混合地圖，通過展現(xiàn)匿名的攻擊數(shù)據(jù)向用戶提供歷史性的攻擊數(shù)據(jù)和報告。該數(shù)字攻擊地圖使用源自Arbor ATLAS威脅情報系統(tǒng)的數(shù)據(jù)來跟蹤DDoS攻擊。原始數(shù)據(jù)源自300多家ISP客戶和130Tbps全球流量。該地圖還允許根據(jù)規(guī)模大小和類型來篩選展示DDoS攻擊數(shù)據(jù)。除此之外，該地圖還可以幫用戶及時追查先前的網(wǎng)絡攻擊，最早可追溯到2013年的6月。

??http://www.digitalattackmap.com/??

7. Trend Micro

趨勢科技的“僵尸網(wǎng)絡連接儀表板”（Botnet Connection Dashboard）是一個小型化的網(wǎng)絡攻擊地圖，專注于跟蹤全球僵尸網(wǎng)絡（及其目標）所用的C&C（命令與控制）服務器。其所顯示數(shù)據(jù)的年齡尚不明確，但歷史數(shù)據(jù)可以回溯14天。

??https://botnet-cd.trendmicro.com/??

8. Akamai

Akamai全球網(wǎng)絡流量實時監(jiān)視地圖并非一個典型的網(wǎng)絡攻擊地圖，但因為其除了互聯(lián)網(wǎng)上的流量外，還可以跟蹤攻擊，所以我們也將其概括進來。

據(jù)悉，一旦加載了Akamai，便可以看到世界上哪些地區(qū)流量規(guī)模最大；在另一個標簽頁中，用戶還可以看到哪些地區(qū)正在經(jīng)受最多的攻擊。除此之外，Akamai方面還表示，這些數(shù)據(jù)是實時呈現(xiàn)的。

??https://www.akamai.com/us/en/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp??