Akamai 發表「2015 年第一季網際網路現狀──安全報告」

作者 | 發布日期 2015 年 05 月 21 日 15:10 | 分類 市場動態 , 網路 , 資訊安全 follow us in feedly

Akamai 雲端安全事業單位副總裁 John Summers 表示:「在 2015 年第一季的報告中,我們分析了 PLXrouted 網路上所觀察到的數千起分散式阻斷服務(Distributed Denial of Service;DDoS)的攻擊,以及在 Akamai Edge 網路上觸發近百萬個網路應用程式攻擊的因素。有了網路應用程式攻擊的資料,以及我們所有資安研究團隊的深入報告,我們可以提供更全面地網際網路觀點以及每天發生的攻擊事件。這份報告是我們目前最大型最優秀的安全報告,除提供 DDoS 攻擊的深入分析外,更針對網路應用程式攻擊的觸發因素制定比較基準,以便在未來的報告中探究網路和應用程式層的攻擊趨勢。」



DDoS 攻擊活動大幅攀升

在 2015 年第一季中,PLXrouted 網路上觀察到的 DDoS 攻擊數量創下新紀錄,較 2014 年第一季的紀錄增加超過一倍,而與上一季相較數量也大幅攀升超過 35%。然而,攻擊狀況有所改變:去年較常見的是高頻寬和短期的攻擊,但在 2015 年第一季,典型的 DDoS 均少於每秒 10 GB (Gbps),攻擊時間都維持 24 小時以上。第一季共有八次大型攻擊,每次攻擊都超過 100 Gbps。雖然比 2014 年第四季少一次大型攻擊,但這種大規模的攻擊在一年前其實相當罕見。2015 年第一季被觀察到的最大規模 DDoS 攻擊其高峰流量達到 170 Gbps。

在過去一年 DDoS 攻擊媒介亦有變化,在本季有超過 20% 的攻擊媒介屬於「簡易服務探索通訊協定(Simple Service Discovery Protocol;SSDP)」攻擊,而 SSDP 攻擊在 2014 年第一季和第二季中均未曾出現。SSDP 在全球數百萬台的家用和辦公室裝置上皆是預設啟動,包括路由器、媒體伺服器、網路相機、智慧電視和印表機,讓裝置可以在同個網路上找到彼此,建立通訊和協調活動。這些連接網際網路的家用裝置一旦沒有保護以及/或者設置不當,就可能會被利用成為反射器。

在 2015 年第一季中,遊戲產業又再次遭受比其他任何產業更多的 DDoS 攻擊。遊戲產業自 2014 年第二季起便是最容易成為目標的產業,平均佔 35% 的 DDoS 總攻擊數量。軟體和科技產業的攻擊數量在 2015 年第一季中位居第二,佔攻擊總數的 25%。

與 2014 年第一季相比

  • DDoS 攻擊總數增加 116.5%
  • 應用程式層 (第 7 層) DDoS 攻擊增加 59.83%
  • 基礎架構層 (第 3 和 4 層) DDoS 攻擊增加 124.69%
  • 平均攻擊時間增加 42.8%:24.82 比 17.38 小時

與 2014 年第四季相比

  • DDoS 攻擊總數增加 35.24%
  • 應用程式層 (第 7 層) DDoS 攻擊增加 22.22%
  • 基礎架構層 (第 3 和 4 層) DDoS 攻擊增加 36.74%
  • 平均攻擊時間減少 15.37%:24.82 比 29.33 小時

 

七個常見的網路應用程式攻擊媒介

Akamai 在 2015 年第一季報告中著重分析七個常見的網路應用程式攻擊媒介,在 Akamai Edge 網路上共有 1.7885 億次的網路應用程式攻擊都是透過這些媒介,包括 SQL 插入(SQLi)、本機檔案引入(LFI)、遠端檔案引入(RFI)、PHP 插入(PHPi)、指令插入(CMDi)、OGNL Java 插入 (JAVAi) 和惡意檔案上傳 (MFU)。

2015 年第一季中,超過 66% 的網路應用程式攻擊屬於 LFI 攻擊,尤其在三月鎖定兩個大零售商發動的大規模 WordPress RevSlider 外掛程式的攻擊活動。

SQLi 攻擊同樣相當常見,共佔超過 29% 的網路應用程式攻擊總數,其中絕大部分攻擊與旅遊飯店業中的兩間公司有關。其他五種攻擊媒介則佔剩餘的 5%。

綜上所述,零售業是網路應用程式攻擊的重災區,其次為媒體娛樂業以及飯店旅遊業。

 

工具 (booter)/ 施壓 (stresser) 網站的威脅提升

受雇型 DDoS (DDoS-for-Hire)市場中因存在易用攻擊媒介的清單,容易讓人低估透過這些媒介攻擊的效率。一年前,從工具(booter)/施壓(stresser)網站使用這些手法的最高攻擊流量通常僅有每秒 10 到 20 Gbps,而現在這些攻擊網站變得更加危險,能夠發起超過 100 Gbps 的攻擊。隨著反射攻擊方式不斷新增 (如 SSDP),這些攻擊網站的潛在傷害預計會持續增加。

 

IPv6 的採用帶來新的安全風險

IPv6 DDoS 雖仍不是常見的攻擊事件,但跡象顯示惡意攻擊者已著手測試並研究 IPv6 DDoS 攻擊方法。轉換至 IPv6 時所引起的新風險和挑戰,已經影響許多雲端服務供應商,以及家用與企業網路擁有者。眾多 IPv4 DDoS 攻擊可以透過 IPv6 通訊協定複製,不過有些新的攻擊媒介則是直接與 IPv6 架構有關。IPv6 許多功能都讓攻擊者可以躲過 IPv4 型防護,創造更大且可能更有效的 DDoS 攻擊面。第一季安全報告概述了我們目前面臨的一些風險和挑戰。

 

SQL 插入式攻擊不再只是資料竊取

SQL 插入式攻擊最早出現於 1998 年,而其手法如今已更爐火純青。這種惡意查詢的影響不再只是簡單的資料滲漏,更有可能造成比資料外洩更大的傷害。這些攻擊可被用來提高權限、執行指令、感染或損毀資料、拒絕服務等等。Akamai 研究人員為發掘最頻繁的攻擊方法和目標,共分析 2015 年第一季中的八百多萬起 SQL 插入式攻擊。

 

網站置換和網域劫持

數百間虛擬主機公司提供的虛擬主機月費都將當便宜,所以主機公司通常會將多個帳戶置於同一台伺服器上,其結果就是數百個網域和網站在同個伺服器 IP 位址下運作,間接地允許惡意攻擊者可以一次劫持多個網站。只要一個網站被破壞,惡意攻擊者就可能滲透伺服器目錄,有機會讀取使用者名稱和密碼清單,並存取其他客戶帳戶中的檔案。滲透範圍還可能包括網站資料庫認證,讓攻擊者可以更改伺服器上每個網站的檔案。第一季安全報告包含資安漏洞的說明,並舉出多種建議的防護措施。 

發表迴響