中新網安安全研究院2017Q2威脅情報總結報告解讀

近年來,伴隨“云大物移智”(即云計算、大數據、物聯網、移動互聯網、智慧城市)等新興IT技術的全面覆蓋,網絡威脅也變得日趨復雜,在網絡安全攻擊“常態化”的當下,如何及早洞察網絡威脅局勢、了解網絡攻擊技術的發展以作出有效應對成為了大眾關注的焦點。

近日,NTT Security及其全球威脅情報中心(GTIC)發布了《全球威脅情報中心(GTIC)2017Q2威脅情報報告》(以下簡稱“該報告”)報告介紹了NTT Security研究人員、安全專家以及分析師在過去三個月的研究成果。除了各種各樣的開源智能工具和蜜罐外,GTIC-威脅研究(TR)還分析了全球NTT Security管理安全服務(MSS)平臺的數據,為用戶更深入地了解整體威脅形勢提供數據支持。

NTT Security及其全球威脅情報中心(GTIC)通過對現存的和新出現的安全威脅進行研究和分析,為用戶提供及時和可操作的信息,就安全態勢進行了總結和盤點,并提供了針對性的防護措施與解決方案。

安全威脅盤點

總體而言,本季度針對客戶的攻擊事件增加了24%(與上一季度相比)。惡意軟件在2016.Q4和2017.Q2之間下降了41%;病毒、蠕蟲、廣告以及勒索軟件在2017.Q2均有所增加,而其他惡意軟件變種數量均呈下降趨勢,如下圖所示:

該報告指出,在所有攻擊類型中,Web應用程序攻擊占據21%;應用程序特定攻擊占據16%;惡意軟件攻擊占據12%;偵察攻擊占據12%;DoS/DDoS攻擊占據10%,如下圖所示:

Web應用程序攻擊中,97%是SQL注入;3%是PHP注入,如下圖所示:

漏洞大致可以分為3種攻擊方式:代碼執行(73%);數據竊?。?0%);拒絕服務(7%),如下圖所示:

基于Adobe Flash Player漏洞的攻擊占據所有Adobe產品活動的98%,如下圖所示:

遭受攻擊的前五大行業包括:制造業34%、金融25%、醫療健康13%、商業服務6% 以及科技公司5%,如下圖所示:


攻擊現狀趨勢

該報告指出,攻擊者主要使用ZmEu、metasploit、Muieblackcat等工具來掃描相關系統;而在針對制造業的攻擊中,75%的工作目標是基于PHP;14%為DNS服務器;7%為SNMP與ICMP協議;2%為Web服務器;0.7%為Word press;0.05%為NetBIOS 端口;1.25%為其他,如下圖所示:



金融、互聯網成Struts2相關高危漏洞主要“受害者”

2017年7月,Struts2官方公布最新的Struts2遠程代碼執行漏洞,在一定前置條件下,該漏洞允許攻擊者遠程執行代碼。

【風險等級】高危

【影響版本】Struts 2.3.x

【威脅描述】Struts是Apache軟件基金會負責維護的一個開源項目,是一套用于創建企業級Java Web應用的開源MVC框架。Showcase插件ActionMessage類中,通過構建不可信的輸入實現遠程命令攻擊,存在安全風險。

【攻擊流程】

該漏洞在發現一周內就迅速入圍“Top5”攻擊類型之列,針對Apache Struts的所有攻擊活動中有76%的IP地址屬于中國。 

安全建議
  1. 周期性進行漏洞掃描和滲透測試;

  2. 堅持縱深防御體系的建設,包括定義安全邊界,部署抗拒絕服務攻擊系統增加攻擊者攻擊的難度;

  3. 建立應急響應機制,部署APT系統等產品;

  4. 自動和手動補丁管理;

  5. 建立應用程序白名單;

  6. 關鍵數據備份、脫機存儲。

解決方案

中新金盾高持續威脅防御平臺-“獵潛者”

中新金盾高持續威脅防御平臺-“獵潛者”包括對于未知文件的沙箱檢測技術、國際常見黑客的攻擊行為指紋技術以及通過大數據算法實現機器學習技術,通過三維立體的風險定位模型刻畫了攻擊行為的路線,有助于發現潛在和未知的安全攻擊行為及新型勒索軟件。

通過對流量進行協議識別,經過行為分析,通過與內置的黑客攻擊行為模型、IP信譽庫進行匹配,分析流量中的異常行為,發現未知攻擊,對于數據中的文件,沙箱可以模擬真實的操作環境,運行數據中的文件,并進行病毒查殺木馬檢測、勒索軟件及其變種進行攔截。

中新金盾抗拒絕服務攻擊“云+端”立體防御平臺


{_F4K3J9CL9U_$1D6`)RPGN.png

中新網安具備十五年的DDoS攻擊防護經驗及技術積累,擁有覆蓋全國90%以上的IDC及互聯網客戶DDoS防護服務。為應對日益復雜的DDoS攻擊,尤其是同時通過多個向量的攻擊,提出了新型態的立體協同防護體系-新一代中新金盾抗拒絕服務攻擊“云+端”立體防御平臺-“安道者”。

中新金盾抗拒絕服務攻擊立體防御平臺-“安道者區別于傳統的云清洗服務產品,方案設計之初,中新網安就站在用戶和廠商的雙重視角,既深度了解IDC及互聯網企業客戶真實DDoS防護需求與實踐痛點,亦深知傳統DDoS設備廠商和云防護提供商在DDoS防護領域的瓶頸與不足,開拓創新。采用的立體協同技術,安道者平臺初期具備2TDDoS云清洗防護能力, 并且持續不斷的提升,采用分布式智能清洗技術,在不改變客戶端真實源IP情況下,滿足業務服務器數據交互需求同時提供不同業務所需的本地精細化策略部署。