網(wǎng)絡(luò)安全攻擊態(tài)勢(shì) 復(fù)雜而嚴(yán)峻

近年來(lái)，隨著我國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展，以及電子貨幣和數(shù)字貨幣的興起，勒索病毒、挖礦攻擊、APT攻擊等面向經(jīng)濟(jì)利益的復(fù)雜攻擊行為越來(lái)越多，攻擊者也在朝著專(zhuān)業(yè)化、組織化的方向發(fā)展，攻擊影響的領(lǐng)域范圍越來(lái)越廣，造成的經(jīng)濟(jì)損失也極為嚴(yán)重。

圖1 APT組織披露次數(shù)分布

圖2 APT攻擊領(lǐng)域分布

數(shù)據(jù)來(lái)源：?jiǎn)⒚餍浅骄W(wǎng)絡(luò)安全態(tài)勢(shì)觀察報(bào)告

安全事故頻繁發(fā)生 取證溯源困難

2018年9月，某組織宣稱(chēng)其已經(jīng)竊取1.2億個(gè)Facebook用戶(hù)賬號(hào)的私人信息，并試圖以每個(gè)賬戶(hù)10美分的價(jià)格在網(wǎng)站上出售，截止目前已公布了至少8.1萬(wàn)個(gè)賬號(hào)，實(shí)際的丟失數(shù)據(jù)量，無(wú)法溯源查證。

2018年11月，國(guó)際知名酒店集團(tuán)證實(shí)，旗下酒店預(yù)訂系統(tǒng)遭網(wǎng)絡(luò)入侵，泄露大約5億客戶(hù)的個(gè)人信息，攻擊者復(fù)制并加密大量數(shù)據(jù)，分步“遷移”復(fù)制，丟失數(shù)據(jù)的詳細(xì)信息，無(wú)法溯源查證。

2019年2月，某組織在Market暗網(wǎng)市場(chǎng)上掛出了 6.2 億用戶(hù)信息，交易使用比特幣進(jìn)行，賣(mài)家宣稱(chēng)這些數(shù)據(jù)來(lái)自Dubsmash、MyFitnessPal、MyHeritage等16 個(gè)被攻擊的網(wǎng)站，包含大量的個(gè)人隱私數(shù)據(jù)，無(wú)法追溯查證。

2020年4月，葡萄牙跨國(guó)能源公司EDP(Energias de Portugal)遭到勒索軟件攻擊。攻擊組織聲稱(chēng)， 已獲取EDP公司10TB的敏感數(shù)據(jù)文件，并且索要了1580的比特幣贖金(折合約1090萬(wàn)美元)，關(guān)于攻擊者聲稱(chēng)盜取的10TB的敏感數(shù)據(jù)文件的具體信息，無(wú)法追溯查證。

......

面對(duì)大量不斷頻發(fā)的安全事件，攻擊追溯分析、攻擊受損評(píng)估困難等問(wèn)題如何解決?

攻擊取證和損失評(píng)估

上述多個(gè)真實(shí)安全事件案例，已經(jīng)充分證明了當(dāng)前傳統(tǒng)安全產(chǎn)品在分析取證能力方面存在局限性，站在安全事件分析者的角度，在面對(duì)網(wǎng)絡(luò)攻擊時(shí)，主要面臨以下問(wèn)題：

面對(duì)海量攻擊告警時(shí)，不知如何下手分析

面對(duì)可疑攻擊時(shí)，不知如何判斷攻擊的真實(shí)性

面對(duì)復(fù)雜攻擊時(shí)，無(wú)法獲取有效的攻擊證據(jù)

面對(duì)網(wǎng)絡(luò)被攻破時(shí)，無(wú)法判斷攻擊的影響范圍和受害程度

面對(duì)數(shù)據(jù)被盜取時(shí)，無(wú)法判斷數(shù)據(jù)損失的嚴(yán)重程度

面對(duì)0day漏洞時(shí)，無(wú)法判斷0day攻擊是否已經(jīng)出現(xiàn)在自己的網(wǎng)絡(luò)中

面對(duì)APT攻擊時(shí)，無(wú)法確定攻擊的隱蔽程度、攻擊路徑和攻擊渠道

......

圖3 證據(jù)的不完整導(dǎo)致取證和受損評(píng)估工作的困難

如圖所示，受近幾年來(lái)自國(guó)外高級(jí)持續(xù)威脅和內(nèi)部信息泄露的影響，國(guó)內(nèi)企事業(yè)單位對(duì)安全防護(hù)的關(guān)注程度和投入都在持續(xù)增加，但絕大部分的網(wǎng)絡(luò)防護(hù)重點(diǎn)都是關(guān)注“實(shí)時(shí)防護(hù)”，而忽略了攻擊數(shù)據(jù)留存的重要性。攻擊證據(jù)的不完整性也直接導(dǎo)致了事后取證和受損評(píng)估這兩項(xiàng)工作舉步維艱。攻擊者何時(shí)進(jìn)來(lái)、何時(shí)離去? 他們帶走了多少數(shù)據(jù)，內(nèi)網(wǎng)還有多少潛伏的安全隱患? 面向?qū)映霾桓F、變化多端的高級(jí)攻擊手法，網(wǎng)絡(luò)防護(hù)者迫切需要為這些問(wèn)題找到一個(gè)妥善的解決方案。

啟明星辰公司作為國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè)，持續(xù)深耕網(wǎng)絡(luò)安全技術(shù)20余年，積累了深厚的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)。隨著近幾年企事業(yè)單位對(duì)網(wǎng)絡(luò)攻擊取證需求越來(lái)越強(qiáng)烈，啟明星辰也在攻擊取證技術(shù)上做了持續(xù)的研發(fā)投入，并取得了一系列技術(shù)成果，在大數(shù)據(jù)存儲(chǔ)、壓縮與加密、快速取證檢索、實(shí)時(shí)安全模型分析、未知威脅檢測(cè)、深度協(xié)議解析等層面處于行業(yè)領(lǐng)先的地位。作為網(wǎng)絡(luò)安全領(lǐng)域最早研究全流量分析取證能力的公司，啟明星辰全流量分析取證解決方案即將在近日發(fā)布，給企事業(yè)單位在攻擊取證和受損評(píng)估層面帶來(lái)全新的價(jià)值，敬請(qǐng)期待!