阿里云：2020上半年安全攻防態勢報告（22頁）.pdf

《阿里云：2020上半年安全攻防態勢報告（22頁）.pdf》由會員分享，可在線閱讀，更多相關《阿里云：2020上半年安全攻防態勢報告（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、2.1 代理攻擊已成為常態，企業需要足夠重視代理攻擊在所有攻擊事件中占比最高，而攻擊源個數僅占12.40%。對攻擊者而言，此類攻擊源性價比最高，攻擊IP易獲得且成本低廉，用于攻擊時攻擊性能較好，所以成為攻擊中的主力軍。 對企業而言，我們建議在放行業務相關代理的基礎上，對無需使用代理訪問的網站封禁代理，可在防御中起到“四兩撥千斤”的效果。2.2 感染肉雞攻擊源分散，企業應動態調整防御策略通過感染肉雞發起的攻擊事件占比為20.65%，但攻擊源個數最多，占比達87.42%。這類攻擊的攻擊源極為分散，且對應IP往往為寬帶/基站出口IP。對攻擊者而言，此類攻擊源在線情況并不穩定，單個攻擊源攻擊性能一般。

2、 對于這類攻擊源發起的攻擊，不建議企業采用IP粒度的防御方式。感染肉雞對應的IP往往是寬帶/基站出口IP，背后的正常用戶很多，封禁一個歷史攻擊IP的代價有可能是阻止成百上千的潛在用戶正常訪問。 更進一步來講，感染肉雞的IP變化較快，設備位置的變化以及運營商的IP動態分配機制都會改變它們的IP，從而容易繞過封禁。 防護此類攻擊，需要基于正常業務請求特性，事前封禁不可能出現的請求特征，如純APP業務可封禁來自PC端的請求;或事中基于正常業務請求及攻擊請求的差異性，動態地調整策略。2.3 借云平臺發起攻擊量明顯降低借助各大云平臺服務器發起的攻擊事件占比最少，僅為0.68%，且攻擊源個數僅為0.18%

3、。這得益于各大云平臺針對DDoS攻擊做了嚴格管控，也造成攻擊者使用此類攻擊源攻擊的固定成本較高。 因此，我們建議如果發現攻擊源IP來自少數幾個C段，且正常情況下很少有該IP段的請求來訪問，可以考慮將其封禁，避免潛在的惡意請求。2.4 百G反射類攻擊成為主流攻擊手法UDP反射攻擊類型在DDoS攻擊威脅中還是占據著重要的比重，由于其攻擊利用方法簡單，利用方式平臺化，成為了為主流的攻擊手段。100Gbps左右反射類攻擊已經成為了主流流量型攻擊手段。網絡應用資產是安全管理體系中最基礎最重要的載體，同時也是業務系統中最基本的組成單元。隨著企業業務的高速發展，各類業務系統逐年增多，同時也存在員工私建站點、

4、測試環境未及時回收等情況，由于沒有專職安全人員”打理”，長年累月下去就會產生大量“僵尸”資產。當我們建議用戶接入未防護的高危應用資產時，通常用戶的第一反應是吃驚于這些資產是何時開放出去的，很顯然，大部分企業用戶對于資產缺少一個全局的視角。我們有統計用戶保有網站數量的分布情況如下。經過統計，當前WAF的用戶還存在很大比例未接入防護的資產，在我們調研了一些用戶為何不做全資產接入時， 除去成本上的考慮，“主業務已接入，邊緣業務無需接入”似乎成為一個標準答復。 企業需要注意信息安全體系是很典型的木桶效應，安全防護的水位由最薄弱的一環決定，在攻擊者的虎視眈眈之下，不受重視的業務由于年久失修很可能會成為入侵的突破口，然后作為“跳板”繞過企業的網絡邊界防護，進而使得整個企業內網淪陷。當前網絡對抗的自動化程度、攻擊探測的時效性都在逐步提高，如果攻擊者比企業更了解自身的業務屬性，那么就會落入非常被動的局面。應用指紋是資產畫像的重要組成，是網絡對抗中的關鍵基礎信息，精準的指紋信息可以幫助企業在0day漏洞爆發時快速定位影響范圍，做到及時止損。