黑客復(fù)蘇已成為企業(yè)必須要面對(duì)的難題，并且不同于此前的通用型攻擊，受攻擊的類型和方向也產(chǎn)生變化，讓企業(yè)防不勝防。

[[318263]]

繞過企業(yè)安全壁壘 黑客正學(xué)會(huì)曲線攻擊(圖片來自lawpracticetoday.org)

Vmware在一份調(diào)查中提到，越來越多的攻擊者正試圖繞過傳統(tǒng)安全解決方案。在分析的2000個(gè)攻擊樣本中，90%以上都出現(xiàn)了防御規(guī)避行為。勒索軟件在過去一年內(nèi)明顯復(fù)蘇，在占分析樣本95%的勒索軟件中，防御規(guī)避行為繼續(xù)發(fā)揮關(guān)鍵作用。這些勒索軟件重點(diǎn)攻擊能源、政府和制造業(yè)部門，表明勒索軟件的復(fù)蘇已成為地緣政治緊張局勢(shì)下的不良“副產(chǎn)品”。

這意味著，攻擊者正變得善于規(guī)避安全解決方案，攻擊質(zhì)量提升，而在指揮和控制方面變得更加隱秘，通用類的安全監(jiān)測(cè)很難察覺。同時(shí)，應(yīng)用層、協(xié)議級(jí)的攻擊正在成為主要威脅，攻擊者可以發(fā)起多維的向量攻擊。調(diào)查顯示，在DDoS保護(hù)服務(wù)遇到的攻擊中有86%以上使用了兩個(gè)或多個(gè)威脅媒介，其中8%包含五個(gè)或多個(gè)媒介。

另一個(gè)特點(diǎn)是，中國已成為撞庫攻擊的前五大目標(biāo)之一，排在前兩位的分別是美國和俄羅斯。去年五月，北京警方破獲了一起針對(duì)一款流行短視頻應(yīng)用程序的網(wǎng)絡(luò)攻擊案件。其千萬級(jí)外部賬號(hào)遭到惡意撞庫攻擊，其中上百萬賬號(hào)密碼與外部泄露密碼吻合。這類攻擊有多個(gè)不同的名稱：賬密猜測(cè)、撞庫、證書(憑據(jù))填充或密碼填充。

根據(jù)Akamai的調(diào)查，此類攻擊都有一個(gè)前提，就是惡意攻擊者會(huì)使用盜取的用戶名和密碼組合嘗試登錄他們的目標(biāo)網(wǎng)站，他們之所以這么做是因?yàn)橛脩魰?huì)在多個(gè)網(wǎng)站上使用相同的密碼。大多數(shù)網(wǎng)站會(huì)默認(rèn)使用用戶的電子郵件地址作為用戶名，這不僅無法起到保護(hù)作用，還產(chǎn)生了反復(fù)使用同一證書的“疏漏”。

撞庫攻擊成功后的結(jié)果就是賬戶接管。被盜的有效賬戶證書可能會(huì)出售給暗網(wǎng)上的其他犯罪分子，或被網(wǎng)絡(luò)竊賊消費(fèi)賬戶的儲(chǔ)值，亦或是竊取數(shù)據(jù)。例如，在中國公安部組織部署的“凈網(wǎng)2019”專項(xiàng)行動(dòng)中，前十個(gè)月共偵破侵犯公民個(gè)人信息類案件近3000起，而被侵犯的個(gè)人信息主要來自暗網(wǎng)。

根據(jù)Ponemon的“撞庫攻擊造成的損失”報(bào)告，撞庫每年會(huì)使企業(yè)損失數(shù)百萬美元。有金融機(jī)構(gòu)曾報(bào)告稱，其因撞庫產(chǎn)生的賬戶接管成本為每個(gè)賬戶1500至2000美元。但攻擊者的目標(biāo)不僅僅是金融服務(wù)行業(yè)。Akamai通過分析發(fā)現(xiàn)，流行的撞庫工具可以輕而易舉地攻擊多個(gè)行業(yè)的網(wǎng)站，由于高知名度和價(jià)值度的原因，黑客對(duì)在線直播服務(wù)和游戲行業(yè)興趣很大。

同樣是Akamai的調(diào)查，中國游戲出海企業(yè)同樣飽受安全問題困擾，不得不面對(duì)素來兇險(xiǎn)的網(wǎng)絡(luò)環(huán)境。從2017年到2018年，Akamai監(jiān)測(cè)到的DDoS攻擊和基礎(chǔ)架構(gòu)層(第三、第四層)攻擊數(shù)量均上升16%，而應(yīng)用層攻擊的增幅更是高達(dá)38%。DDoS攻擊、爬蟲攻擊，以及Web和API攻擊，是中國游戲出海企業(yè)必需應(yīng)對(duì)三大類型的攻擊。在上文所提到的流行短視頻應(yīng)用程序案件中，犯罪分子就承認(rèn)對(duì)時(shí)下流行的多個(gè)網(wǎng)絡(luò)平臺(tái)發(fā)起過撞庫攻擊，累計(jì)獲利超百萬元人民幣。

從表面上看， 雖然通用型的勒索軟件攻擊有下降的趨勢(shì)，但這些威脅卻變得更有針對(duì)性，尤其是關(guān)注那些情愿投入大筆資金去“贖回”或是恢復(fù)數(shù)據(jù)的企業(yè)。這些黑客看重的可能不是一次性的攻擊成功，而是背后的數(shù)據(jù)價(jià)值。此時(shí)，他們往往也會(huì)采取不易察覺的方式，即“小火慢燉”，原因是現(xiàn)在用戶個(gè)人信息被暴露的越來越多，商家的行為畫像反而成為黑客的有利價(jià)值。

以流量較小的攻擊方式為例，可以通過每秒請(qǐng)求量計(jì)算，代表就是針對(duì)HTTP和DNS的攻擊。早在兩年前就有數(shù)據(jù)表明，網(wǎng)絡(luò)層DDoS攻擊已連續(xù)多個(gè)季度呈現(xiàn)下降趨勢(shì)，而應(yīng)用層攻擊每周超過千次。如果企業(yè)被加密劫持，那么生產(chǎn)經(jīng)營活動(dòng)也會(huì)受到不小的影響，如設(shè)備性能退化或無法使用，從而導(dǎo)致IT成本增加，耗電量增加，造成成本增加，特別是基于CPU使用量計(jì)費(fèi)的云企業(yè)。為此，企業(yè)應(yīng)該部署多個(gè)重疊和相互支持的防御系統(tǒng)，以防止任何特定技術(shù)或保護(hù)方法出現(xiàn)單點(diǎn)故障，包括部署端點(diǎn)、電子郵件和 Web 網(wǎng)關(guān)保護(hù)技術(shù)以及防火墻和漏洞評(píng)估解決方案。

不管是規(guī)避防范、撞庫攻擊還是新型勒索，都可看出黑客威脅企業(yè)的方式在變化，對(duì)此企業(yè)也要拿出新的辦法才能應(yīng)對(duì)。