Cloudflare Radar對全年在全球和國家/地區(qū)層面觀察到的互聯(lián)網(wǎng)趨勢和模式進行了全面回顧，以下為主要研究結(jié)果及細節(jié)探討。

主要結(jié)果

• 在全球流量中，僅有不到6%的流量因被Cloudflare系統(tǒng)視為潛在惡意流量或因客戶自定義原因而被緩解。在美國，有65%的流量被緩解，而在韓國，這一比例為8.36%。
• 全球三分之一的機器人流量來自美國，同時超過11%的全球機器人流量來自Amazon Web Services。
• 在全球范圍內(nèi)，金融業(yè)是受攻擊最多的行業(yè)，但全年和全球范圍內(nèi)，受攻擊流量激增的時間和目標行業(yè)差別很大。
• 盡管Log4j是一個出現(xiàn)時間已久的漏洞，但在2023年期間仍然是攻擊的首要目標。然而，HTTP/2 Rapid Reset作為一個新的重大漏洞出現(xiàn)，在一開始就導(dǎo)致了大量破紀錄的攻擊。
• 1.7%的TLS 1.3流量使用后量子加密。
• 欺騙性鏈接和勒索企圖是惡意電子郵件中最常見的兩類威脅。
• 2023 年期間，以RPKI有效路由份額衡量的路由安全性在全球范圍內(nèi)得到改善。沙特阿拉伯、阿拉伯聯(lián)合酋長國和越南等國的路由安全性顯著提高。

詳細分析

在全球流量中，僅有不到6%的流量因被Cloudflare系統(tǒng)視為潛在惡意流量或因客戶自定義原因而被緩解。在美國，有3.65%的流量被緩解，而在韓國，這一比例為8.36%。

惡意機器人通常用于攻擊網(wǎng)站和應(yīng)用程序。為了保護客戶免受這些威脅，Cloudflare使用DDoS緩解技術(shù)或Web應(yīng)用程序防火墻（WAF）托管規(guī)則來緩解（阻止）此攻擊流量。然而，出于各種其他原因，客戶也可能選擇讓Cloudflare使用其他技術(shù)來緩解流量，例如速率限制請求，或阻止來自給定位置的所有流量（即使它不是惡意的）。通過分析2023年全年的Cloudflare網(wǎng)絡(luò)流量，研究人員得出了被緩解流量（無論出于何種原因）的總體份額，以及作為DDoS攻擊或被WAF托管規(guī)則緩解的流量份額。

總體而言，只有不到6%的全球流量因潛在惡意或客戶定義的原因而被Cloudflare系統(tǒng)緩解，而其中只有約2%的流量因DDoS/WFA托管而被緩解。百慕大等一些國家的兩個指標的百分比非常接近，而巴基斯坦和南非等其他國家的趨勢線之間的差距要大得多。

【巴基斯坦的流量緩解趨勢】

全球三分之一的機器人流量來自美國，同時超過11%的全球機器人流量來自Amazon Web Services。

機器人流量是指任何非人類的互聯(lián)網(wǎng)流量，監(jiān)控機器人流量水平可以幫助網(wǎng)站和應(yīng)用程序所有者發(fā)現(xiàn)潛在的惡意活動。當然，機器人也會有所幫助，Cloudflare維護著一份經(jīng)過驗證的機器人列表，以幫助保持互聯(lián)網(wǎng)的健康。經(jīng)過驗證的機器人包括那些用于搜索引擎索引、性能測試和可用性監(jiān)控的機器人。無論意圖如何，研究人員都想看看機器人流量來自哪里。為此，研究人員使用請求的IP地址來識別與發(fā)出請求的機器人相關(guān)的網(wǎng)絡(luò)（自治系統(tǒng)）和國家/地區(qū)。

不出所料，研究人員發(fā)現(xiàn)，云平臺是機器人流量的主要來源之一。原因可能包括以下幾點：計算資源的自動供應(yīng)/停用非常容易，而且成本相對較低；云平臺的地理覆蓋范圍十分廣泛；以及高帶寬連接的可用性。

在全球范圍內(nèi)，近12%的機器人流量來自Amazon Web Services，超過7%來自Google。還有一部分來自消費者互聯(lián)網(wǎng)服務(wù)提供商，其中美國寬帶提供商Comcast提供了超過1.5%的全球機器人流量。大量的機器人流量來自美國，占全球機器人流量的近三分之一，是德國的四倍，后者僅占8%。在美國，Amazon的機器人流量總份額僅次于Google。

【按來源網(wǎng)絡(luò)劃分的全球機器人流量分布情況】

【按來源國劃分的全球機器人流量分布情況】

在全球范圍內(nèi)，金融業(yè)是受攻擊最多的行業(yè)，但全年和全球范圍內(nèi)，受攻擊流量激增的時間和目標行業(yè)差別很大。

攻擊目標行業(yè)通常會隨著時間的推移而發(fā)生變化，具體取決于攻擊者的意圖。他們可能試圖通過在繁忙的購物期間攻擊電子商務(wù)網(wǎng)站來造成經(jīng)濟損失，或者他們可能試圖通過攻擊政府相關(guān)網(wǎng)站來發(fā)表政治聲明。為了識別2023年期間針對行業(yè)的攻擊活動，研究人員分析了在其客戶記錄中具有相關(guān)行業(yè)和垂直領(lǐng)域的客戶的緩解流量。每周按來源國家/地區(qū)匯總18個目標行業(yè)的緩解流量。

在全球范圍內(nèi)，金融組織在這一年中受到的攻擊最多，不過研究人員可以看到，周與周之間有很大的波動。有趣的是，一些集群現(xiàn)象很明顯，因為金融業(yè)（包括為移動支付、投資/交易和加密貨幣提供網(wǎng)站和應(yīng)用程序的組織）也是一些歐洲國家（包括奧地利、瑞士、法國、英國、愛爾蘭、意大利和荷蘭）以及北美的加拿大、美國和墨西哥的首要攻擊目標。健康產(chǎn)業(yè)（包括生產(chǎn)運動器材的公司和醫(yī)療檢測設(shè)備制造商）是多個非洲國家的首要目標，包括貝寧、科特迪瓦、喀麥隆、埃塞俄比亞、塞內(nèi)加爾和索馬里。

但總體而言，今年開局緩慢，沒有哪個行業(yè)的流量緩解量超過8%。隨著第一季度的推進，在1月下旬，專業(yè)服務(wù)和新聞/媒體/出版組織緩解流量的份額激增，健康行業(yè)在2月中旬出現(xiàn)了跳躍式增長，在3月初，法律和政府組織的緩解流量急劇增加。藝術(shù)/娛樂/休閑行業(yè)類別的客戶成為了一起為期數(shù)周的攻擊活動的目標，在3月26日、4月2日和4月9日這幾周內(nèi)，流量減少了20%以上。專業(yè)服務(wù)行業(yè)的緩解流量份額在8月6日這一周達到了38.4%，幾乎是1月份峰值的兩倍，是這一年的整體峰值。不同國家/地區(qū)出現(xiàn)峰值的時間和行業(yè)差異很大。

【2023年8月6日當周按行業(yè)劃分的全球緩解流量份額】

盡管Log4j是一個出現(xiàn)時間已久的漏洞，但在2023年期間仍然是攻擊的首要目標。然而HTTP/2 Rapid Reset作為一個新的重大漏洞出現(xiàn)，在一開始就導(dǎo)致了大量破紀錄的攻擊。

2023年8月，研究人員曾發(fā)布過一篇博文，探討了針對聯(lián)合網(wǎng)絡(luò)安全咨詢中列出的“2022年最常被利用的漏洞”。這些漏洞包括基于Log4j Java的日志記錄實用程序、Microsoft Exchange、Atlassian的Confluence平臺、VMWare和F5的BIG-IP流量管理系統(tǒng)中的漏洞。盡管這些是較舊的漏洞，但攻擊者在2023年仍在積極針對和利用這些漏洞，部分原因是企業(yè)在遵循網(wǎng)絡(luò)安全咨詢中提出的建議方面經(jīng)常進展緩慢。

不同地區(qū)針對不同漏洞的攻擊活動各不相同，有些地區(qū)的攻擊只針對部分漏洞。從全球范圍來看，針對Log4j的攻擊數(shù)量一直比針對其他漏洞的攻擊數(shù)量要少，而且在10月最后一周和11月中下旬出現(xiàn)了高峰；針對Atlassian漏洞的攻擊活動在7月下旬有所增加，并在本年度其余時間呈緩慢上升趨勢。從國家/地區(qū)層面來看，Log4j 通常是最受針對的漏洞。在法國、德國、印度和美國等國家/地區(qū)，相關(guān)的攻擊量在全年都保持在一個較高的水平，而其他國家/地區(qū)，這些攻擊在一個國家/地區(qū)的圖表中明顯地表現(xiàn)出罕見的、短暫的峰值，穿插在其他低水平的攻擊量之間。

【最常利用漏洞的全球攻擊活動趨勢】

研究人員預(yù)計，到2024年，攻擊者將繼續(xù)利用10月份披露的HTTP/2 Rapid Reset漏洞。該漏洞濫用了HTTP/2協(xié)議的請求取消功能中的潛在弱點，導(dǎo)致目標Web/代理服務(wù)器上的資源耗盡。8月底到10月初期間，研究人員發(fā)現(xiàn)了多起針對該漏洞的攻擊。在這些攻擊中，平均攻擊速率為每秒3000萬個請求（rps），其中近90個請求峰值超過1億rps，最大的一次達到2.01億rps。這場最大規(guī)模的攻擊比研究人員之前記錄的最大規(guī)模攻擊高出近3倍。

關(guān)于此漏洞的一個值得注意的問題是，攻擊者能夠利用僅由20,000個受感染系統(tǒng)組成的僵尸網(wǎng)絡(luò)發(fā)起如此大規(guī)模的攻擊。這比當今一些包含數(shù)十萬或數(shù)百萬臺主機的大型僵尸網(wǎng)絡(luò)要小得多。由于平均Web流量估計為每秒10到30億個請求，因此使用此方法的攻擊可以將整個Web的請求集中在一些毫無戒心的目標上。

【超體積DDoS攻擊的HTTP/2 Rapid Reset活動】

1.7%的TLS 1.3流量使用后量子加密。

后量子是指一組新的加密技術(shù)，可以保護數(shù)據(jù)免受敵人的攻擊，并能夠捕獲和存儲當今的數(shù)據(jù)，以便將來由足夠強大的量子計算機解密。Cloudflare研究團隊自2017年以來一直在探索后量子密碼學。

2022年10月，Cloudflare默認在邊緣啟用后量子密鑰協(xié)議，但使用該協(xié)議需要瀏覽器的支持。Google的Chrome瀏覽器于2023年8月開始慢慢啟用支持，研究人員預(yù)計其支持將在2024年繼續(xù)增長，其他瀏覽器也將隨著時間的推移增加支持。2023年9月，Cloudflare宣布針對入站和出站連接以及許多內(nèi)部服務(wù)全面推出后量子加密技術(shù)，并預(yù)計在2024年底之前完成所有內(nèi)部服務(wù)的升級。

在8月份首次啟用支持后，Chrome開始增加使用后量子加密技術(shù)的瀏覽器（版本116及更高版本）數(shù)量，從而實現(xiàn)了逐步增長，并在11月8日出現(xiàn)了大幅增長。正是由于這些舉措，在11月底，使用后量子加密的TLS 1.3流量的比例達到了1.7%。隨著Chrome瀏覽器未來的更新，以及其他瀏覽器增加對后量子加密的支持，研究人員預(yù)計這一比例將在2024年繼續(xù)快速增長。

【后量子加密TLS 1.3流量的增長趨勢】

欺騙性鏈接和勒索企圖是惡意電子郵件中最常見的兩類威脅。

作為排名第一的商業(yè)應(yīng)用程序，電子郵件對于攻擊者來說是進入企業(yè)網(wǎng)絡(luò)的一個非常有吸引力的入口點。有針對性的惡意電子郵件可能會試圖冒充合法發(fā)件人、嘗試讓用戶點擊欺騙性鏈接或包含危險附件以及其他類型的威脅。2023 年，在Cloudflare Area 1分析的電子郵件中，平均有2.65%被發(fā)現(xiàn)是惡意的。根據(jù)每周匯總情況，2月初、9月初和10月下旬分別出現(xiàn)超過3.5%、4.5%和超過5%的峰值。

【全球惡意電子郵件占比趨勢】

在使用惡意電子郵件實施攻擊時，攻擊者會使用各種技術(shù)，研究人員將其稱為威脅類別。對惡意電子郵件的分析表明，郵件可能包含多種類型的威脅，這凸顯了對全面電子郵件安全解決方案的需求。通過探索這些類別的威脅活動趨勢，研究人員發(fā)現(xiàn)，在全年按周匯總的威脅活動中，多達80%的郵件包含欺騙性鏈接。

然而，攻擊者似乎在8月份開始轉(zhuǎn)變策略，因為包含欺騙性鏈接的電子郵件比例開始下降，而提出勒索收件人的比例開始上升。到10月底和11月，這兩類威脅的位置發(fā)生了互換，如下圖右側(cè)所示，在分析的惡意電子郵件中，近80%包含勒索威脅，而只有20%包含欺騙性鏈接。不過，這種勒索活動可能曇花一現(xiàn)，因為其比例下降的速度幾乎和上升的速度一樣快。身份欺騙和憑據(jù)收集也是常見的威脅，不過在這一年中發(fā)現(xiàn)這兩種威脅的電子郵件所占比例逐漸下降。

【惡意電子郵件的全球威脅類別趨勢】

2023年期間，以RPKI有效路由份額衡量的路由安全性在全球范圍內(nèi)得到改善。沙特阿拉伯、阿拉伯聯(lián)合酋長國和越南等國的路由安全性顯著提高。

邊界網(wǎng)關(guān)協(xié)議（BGP）是互聯(lián)網(wǎng)的路由協(xié)議，用于在網(wǎng)絡(luò)之間傳遞路由，使流量能夠在源和目的地之間流動。然而，由于它依賴于網(wǎng)絡(luò)之間的信任，因此對等點之間共享的不正確信息（無論是有意還是無意）都可能會將流量發(fā)送到錯誤的位置，從而可能產(chǎn)生惡意結(jié)果。

資源公鑰基礎(chǔ)設(shè)施（RPKI）是一種簽名記錄的加密方法，它將BGP路由公告與正確的來源AS編號相關(guān)聯(lián)。簡而言之，它提供了一種方法來確保所共享的信息最初來自允許這樣做的網(wǎng)絡(luò)。（請注意，這只是實現(xiàn)路由安全的挑戰(zhàn)的一半，因為網(wǎng)絡(luò)提供商還需要驗證這些簽名并過濾掉無效的公告。）在美國，聯(lián)邦政府認識到路由安全的重要性，聯(lián)邦通信委員會于7月31日舉辦了“邊境網(wǎng)關(guān)協(xié)議安全研討會”。

Cloudflare一直是路由安全的堅定支持者，其采取了一系列措施，包括：作為MANRS CDN和Cloud Programme的創(chuàng)始參與者；為網(wǎng)絡(luò)運營商發(fā)布RPKI工具包；提供一個公共工具，使用戶能夠測試其互聯(lián)網(wǎng)提供商是否安全地實施了BGP。

在Cloudflare Radar 7月份發(fā)布的新路由頁面的基礎(chǔ)上，研究人員分析了RIPE NCC的RPKI每日存檔中的數(shù)據(jù)，以確定RPKI有效路由（而不是那些無效或狀態(tài)未知的路由公告）的份額，以及這些份額在2023年期間的變化情況。自今年年初以來，RPKI有效路由的全球份額增長至近45%，較2022年底上升了6個百分點。在國家/地區(qū)層面，美國只有不到三分之一的路由是RPKI有效的。雖然這明顯好于韓國（韓國公告的路由中只有不到1%是RPKI有效的），但它明顯落后于越南，越南的份額在今年上半年增加了35個百分點，達到90%。

【越南的RPKI有效路由增長】

結(jié)語

Cloudflare Radar 2023年度回顧試圖通過趨勢圖和匯總統(tǒng)計提供動態(tài)的互聯(lián)網(wǎng)快照，提供有關(guān)互聯(lián)網(wǎng)安全的獨特視角，以及這些領(lǐng)域的關(guān)鍵指標在世界各地的差異。希望本文可以幫助組織了解可能影響其安全態(tài)勢的關(guān)鍵數(shù)據(jù)，以便為即將到來的2024年做好應(yīng)對準備。

原文鏈接：https://blog.cloudflare.com/radar-2023-year-in-review/