孫子曰“知己知彼，百戰(zhàn)不殆”，古語有云“知易行難”。知己已是不易，各種開源軟件涌入信息系統(tǒng)，各種API調來調去供應鏈越來越長，各種微服務“一言不合”就上線。

這種動態(tài)環(huán)境下，知己 ——清楚地了解洞悉自身網絡中的資產、價值和安全屬性、邏輯分布和依賴關系等無疑很難挑戰(zhàn)。 但知彼更難挑戰(zhàn)。“彼”的識別就是個大問題。什么目標和動機?定向的，還是非定向的;什么技術水平?高級的，還是一般的;什么漏洞和利用在流行?數百萬的安全告警背后分別是什么威脅?

綠盟權威發(fā)布

《2017年度網絡安全觀察》，結合綠盟科技威脅情報中心(NTI)豐富的威脅情報數據，針對攻防中最重要的關注點對2017年網絡安全態(tài)勢進行了梳理，從漏洞披露、惡意流量監(jiān)控、惡意軟件的發(fā)展演變多個角度，結合地區(qū)、行業(yè)的屬性，對2017年網絡安全態(tài)勢進行了分析解讀。這些威脅都是日常運維中最常面對的，這份報告是結合了NTI最新情報數據進行的綜合分析，希望能夠為企業(yè)用戶以及網絡安全領域的從業(yè)者提供參考和幫助。

Web類攻擊的行業(yè)分布

由于各個行業(yè)的業(yè)務特性都不相同，黑客攻擊在不同行業(yè)中的呈現側重點是不一樣的。在互聯(lián)網企業(yè)中，業(yè)務環(huán)境復雜，大量的業(yè)務需要提供Web界面為客戶提供服務，其背后還需要架設復雜的IT架構提供相應的技術支撐，使得Web類、系統(tǒng)類的攻擊在互聯(lián)網行業(yè)中都非常突出，對防護方案的要求也會更加苛刻。從業(yè)務流量上看互聯(lián)網Web服務的流量占比是最高的，但是，單從行業(yè)自身業(yè)務特征看，運營商、教育、制造、政府行業(yè)都應該重點關注Web類的攻擊，進行重點防護。

屢禁不絕的DDoS攻擊

DDoS攻擊、Web攻擊、系統(tǒng)漏洞利用這些攻擊始終在互聯(lián)網環(huán)境中逡巡，不管你是否關注，它就在那里。2017 年同去年同期相比，攻擊發(fā)生次數基本保持平穩(wěn)，共計發(fā)生20.7 萬次。但是從攻擊總流量上來看有較為明顯的波動，從年初到年中5月份前后，攻擊總流量有非常顯著的增長，而5月份之后攻擊總流量回落至較為平穩(wěn)的水平。與2016年相比，2017年攻擊仍然頻繁，攻擊總流量大幅上升。

值得關注的一些新趨勢：

· 今年來自IoT設備的攻擊占比達到了12%;

· DDoS攻擊武器庫新增一種攻擊，反射攻擊類型：Memchached，從各類反射型攻擊的放大倍率來看，Memcached 高居榜首，最高可達51000 倍;

你知道鬼影嗎?

“鬼影”是一個在中國非常活躍的僵尸網絡，是基于Windows平臺發(fā)展的一個影響廣泛的僵尸網絡。在近期Botnet活動監(jiān)測中，我們看到“鬼影”的活動十分頻繁，這個家族出現時間早、變種多，具有相當成熟的商業(yè)運作。對此，我們認為需要特別關注和治理。

圖：活躍Botnet家族指令數量統(tǒng)計

“鬼影”目前至少存在10個不同的版本，每個版本與之前一個版本相比都增加了新的功能，DDoS攻擊技術也不斷升級迭代。目前“鬼影”已經成為一個可發(fā)動大流量攻擊、可大規(guī)模傳播、支持不同模式商業(yè)運作的成熟軟件。

2017年最突出的惡意軟件——你造嗎?

2017年最突出的惡意軟件類型就是勒索軟件：

2017年5月12日，WannaCry勒索病毒借助EternalBlue(永恒之藍)漏洞肆虐全球，影響超過150個國家，中毒用戶要去在72小時內支付價值300美金的比特幣，并且3天后勒索贖金就會翻番，7天后拒付贖金，計算機文件將被永久加密

2017年6月爆發(fā)的NotPetya勒索病毒同樣采用EternalBlue(永恒之藍)漏洞傳播，病毒會修改系統(tǒng)的MBR引導代碼這將使病毒在電腦重啟時得到執(zhí)行，該病毒會在開機時提示用戶電腦正在進行磁盤掃描然而實際上病毒正在執(zhí)行文件加密等操作。當所有加密操作完成后，病毒才彈出勒索軟件，要求受害者付價值300美金的比特幣。在2017年7月，病毒作者公布了Petya系列勒索軟件的所有密匙。

2017年10月，BadRabbit(壞兔子)勒索軟件爆發(fā)，攻擊者首先入侵新聞媒體類網站，隨后利用這些新聞類網站發(fā)起水坑攻擊。BadRabbit要求受害者在40小時內支付0.05比特幣(當時約合300美元)。

總結：

《2017年度網絡安全觀察》報告基于綠盟科技威脅情報中心數據，從漏洞態(tài)勢、攻擊態(tài)勢、惡意軟件態(tài)勢三個角度，對2017年度網絡安全的態(tài)勢變化進行了分析。我們分析了攻擊者、受害者的行業(yè)、地區(qū)分布等信息，這些基礎威脅統(tǒng)計信息可以作為UEBA/安全行為分析的重要輸入，建立更智能的安全檢測體系。此外，2017年，在我們持續(xù)監(jiān)控的超過390萬個攻擊源中，約20%的惡意IP曾對多個目標進行過攻擊，0.39%的攻擊源對90%的攻擊事件負責。對這些“慣犯”的針對性跟蹤、分析、畫像、對抗等可以有效地提高安全防護的效率和效果，相應地，“慣犯”覆蓋也將成為最為核心的威脅情報能力之一。

同時，我們對例如DDoS、系統(tǒng)攻擊、Web攻擊等常見攻擊進行了觀察，還把物聯(lián)網設備漏洞以及借助物聯(lián)網平臺發(fā)動的攻擊等也納入到觀察視野范圍內。綠盟威脅情報中心數據顯示，物聯(lián)網設備IP已占有總惡意IP的12%，物聯(lián)網設備中惡意IP所占物聯(lián)網總IP數量的比例達到4.8%，是普通IP空間相應惡意IP占比的3倍。

不難預計，物聯(lián)網設備帶來的安全威脅將繼續(xù)不斷升高，對物聯(lián)網威脅的相應防護能力將會成為安全防護體系的標配。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。