引:风暴中心将会陆续在安全客平台,发布各类专题技术报告、年度安全报告及最新技术研究,欢迎各位关注我们,参与交流和讨论。
本次我们用数据说话,依据安恒十一月先后参加的中国国际进口博览会、第五届世界互联网大会以及联合国世界地理信息大会这三大国际型会议的安全态势报告,带大家走进安恒技术!安恒提供专业、稳定的云防护服务,网站所有攻击均被有效阻断,未造成攻击成功或篡改成功的安全事件,有效地保障网站安全、平稳地运行。
中国国际进口博览会
2018-10-23至2018-11-11, 玄武盾参与防护上海区域网站群共计受到攻击448.27万次。
以下是部分攻击趋势图:
注:深红色段为进博会举办期间攻击趋势
根据风暴中心拦截攻击趋势分析,会议期间的攻击数据保持较高的态势,而在活动前的预热阶段与活动闭幕后的余热阶段,每日攻击态势依旧不容乐观。如图,攻击时间段趋势如下:
根据时间段攻击趋势分析,白天的攻击量明显高于夜晚,且白天的攻击量与活动举办的时间段有关,如9:00-11:00,13:00-17:00这两阶段的攻击数据明显高于其他时间段。17:00-23:00,攻击态势依旧保持较高的状态,介于15万-20万之间,而在凌晨的0:00-8:00,攻击态势处于全天中的低谷阶段。
与此同时,根据风暴中心数据大脑安全分析,境外攻击源主要是通过肉鸡、跳板机对网站发起恶意攻击,具体攻击区域分布见下图:
此间,网站群累计遭受515个IP的扫描攻击,封锁次数为11,632次,玄武盾识别到扫描行为后立即封锁IP,未对网站造成影响。
第五届世界互联网大会
2018-11-01至2018-11-10,玄武盾对省重点网站开展远程安全扫描监测,根据后台统计数据显示,期间监测防护站点累计遭受866.99万次攻击。
注:深红色段为世界互联网大会举办期间攻击趋势
上图是11月1日-10日重点网站所受到的攻击趋势图,可以看出:会议筹备前夕,网络攻击趋势比较平稳,平均保持在50万次/天;在世界互联网大会开幕的前一天,攻击量开始攀升,达到112.71万次,同比增长约2倍。
而在世界互联网大会举办期间,网络攻击数量大增,攻防对抗激烈,攻击态势整体保持在170万次左右。大会闭幕期间,相比会议期间,网络攻击的数据下降,但总体攻击依旧较高,平均处于65万次/天,依旧高于前期会议筹备阶段的攻击数量。
由此可见,在大型国际会议或活动时期,网络空间的安全威胁不容小觑,网络攻击流量巨大,网络攻防势力对抗激烈。
值守全天总体态势分析:攻击数据最高时段集中在10:00—12:00,14:00—17:00,18:00—20:00;攻击低时段处于凌晨2:00—7:00,该时段的攻击数量均处于30万以下;其中,12:00,13:00,17:00,这三个节点明显出现洼地现象。
趋势解析:全天候时间段攻击数量的多少,与大会召开的时间段相关,也与网络攻击者的生活习性有关。
期间Web攻击类型以SQL注入攻击、命令注入攻击、漏洞防护等居多,主要攻击类型分布如图:
根据风暴中心数据大脑安全分析,境外攻击源主要是通过肉鸡、跳板机对网站发起恶意攻击,具体攻击区域分布见下图:
联合国世界地理信息大会
2018-11-18至2018-11-23,玄武盾省重点网站开展远程安全扫描监测,根据后台统计数据显示,期间监测防护网站群共计遭受1817.29万次攻击。以下是部分时间段网站群安全态势:
注:深红色段为联合国世界地理信息大会举办期间攻击趋势
本届联合国世界地理信息大会的网络攻击趋势严峻,从11月18-23日,网络攻击态势一直居高不下,平均保持在300万/天,网络空间的安全保障攻坚战异常艰巨。
安恒信息安保小组实行7×24小时全天候的安全值守,制定周密的应急响应机制,结合机器学习技术、网络攻防技术、威胁情报技术与人工经验分析,积极打击网络攻击势头,确保防护站点的安全性。攻击时间段趋势如下:
从时间分布上看,9:00-11:00,14:00-17:00,23:00-凌晨1:00,是网络安全攻防的高峰期;凌晨2:00-8:00,网络攻击相对较为平缓,保持在65万/小时左右。
本次时间分布趋势图比较独特的地方在于:午夜时间段,网络攻击态势处于猛烈状态,22:00-23:00的攻击量超过100万次,与白天攻击态势最高峰的数据量几乎持平。
扫描攻击详情:累计遭受1,014个IP的扫描攻击,封锁次数为43,885次,玄武盾识别到扫描行为后立即封锁IP,未对网站造成影响。
根据风暴中心数据大脑安全分析,境外攻击源主要是通过肉鸡、跳板机对网站发起恶意攻击,具体攻击区域分布见下图:
安全建议
从以上三次大型安全保重事件中得出经验,风暴中心建议网络运营方应该多关注攻击者常用的攻击类型,查漏补缺,定期对网络资产进行风险扫描与分析,及时修补漏洞;重视代码审计与渗透测试技术的重要性,有效管理网络资产安全;同时,注重安全能力的提升,完善安全机制。
♣ 加固网站服务器安全
加强网站服务器的日常维护,做好网站服务器的访问控制,限定开放访问IP白名单,限定开放高危端口/服务,定期对网站服务器进行安全体检,及时消除可能存在的安全隐患。
♣ 加强网站弱点修复
定期对网站开展安全风险评估,进行风险扫描与分析,及时消除网站的漏洞风险,提升网站本身的安全性。
♣ 及时清理网页后门
网站发布、升级、迁移前和日常运维过程中,都要对网站源文件进行网页后门扫描和彻底清理。
♣ 加强管理账号管理
加强对网站管理后台账号、FTP/SSH/VNC/远程桌面等远程维护工具账号的管理,尽量使用强密码,并定期更新密码。