有网络才有网络攻击,有攻击才有网络安全。攻击是安全行业发展的根本动力。
从第一个病毒——Creeper于1971年被无意间开发出来到今天,网络攻击手段越来越丰富,根据技术原理,可大致分为两类:直接攻击和间接攻击。直接攻击是攻击者渗透进目标主机后直接执行恶意操作,典型的有黑客攻击、内部人攻击,统称入侵者威胁。间接攻击是攻击者将恶意代码通过某种媒介部署到目标终端,由恶意代码自主实施打击,典型的有我们熟知的病毒、木马、蠕虫(统称为“恶意软件”),还有Web攻击、DDoS攻击、APT攻击。
这些攻击除技术原理不一样外,造成的损失、攻击频率也不一样。基于DREAD模型可以对不同攻击的风险程度排序,将APT(危害程度大数量多)与入侵者攻击(危害程度大)归为高风险攻击,DDoS归为中度风险攻击,恶意软件与Web攻击归为低风险攻击:
1.恶意软件以office、exe文件为媒介向终端传播恶意代码,劫持系统资源。比如CPU内存占用、文件加密、带宽占用等,一般很少造成直接损失,比如“熊猫烧香”,感染了国内大量电脑,其制作者李俊(高中都没上的打工青年)不但没有获利反而被关了几年。此类攻击是最传统的攻击类型,手法灵活多样,所以数量多。根据CNCERT,2019年捕获的恶意程序样本数量6200万。但危害性在降低,2015年感染主机数量1978万台,2019年582万台。值得注意的是随着比特币出现,勒索病毒可以直接获利成为热点,2019年样本数量73.1万个,比2018年增长4倍。
2.Web攻击以天然开放的网站为媒介将恶意代码传播给客户浏览器或服务器,主要目标是篡改网站内容或窃取用户数据。一般不造成直接损失,影响范围也限于单个终端或网页。因为网站数量多,此类攻击数量也多。根据CNCERT,2019年篡改网站(包括“暗链”)18.6万个(其中政府网站515个),仿冒网站8.5万个,网站后门8.5万个;2015年篡改网站2.5万个(其中政府网站898个),仿冒网站18万个,网站后门3万多个。
3.DDoS攻击是在恶意软件的基础上发展出来的攻击方式,利用已经被恶意软件劫持的终端(“肉鸡”),集中访问目标服务器致崩溃。原理简单粗暴,目的明确。对DNS服务器、电商、网游等互联网应用的威胁特别直接,其危害是系统级的。比如我国发生过DNSPod服务器、新疆DNS服务器被攻击事件,造成区域或省内用户上网受影响。由于“肉鸡”资源可以在网上轻易获得,所以DDoS攻击门槛低,导致数量多。2019年峰值超过10Gbps的攻击数量平均每日220起,同比增加40%。
4.入侵者攻击是攻击者利用操作系统漏洞、弱口令,或社会工程学获取他人账号密码,甚至是内部员工,直接操控目标系统实施的打击。此类攻击的主要目的是窃取或篡改数据。入侵者攻击也是传统攻击方式之一,数量比较多,根据CNCERT,2019年我国重要数据泄露事件3000余起。这些事件可分为两类,一类是自身秘密泄露,比如波音被内部人窃取工程文档。另一类是第三方数据,比如Facebook、万豪等泄露了大量用户个人数据,比如315晚会曝光APP非法收集用户数据。第二类特别受关注,欧洲2018年出GDPR、中国《个人隐私信息保护法》正在制定中。被关注的原因是大量的个人数据不仅用来诈骗,还被用来影响政治舆论。这一点在Facebook的案例中集中体现:Cambridge Analytics被证明利用从FB获取的5000万用户数据进行个性分析(psychographic modeling),然后针对性得推送信息,进而影响美国16年大选。另有证据证明CA还参与了英国脱欧公投事件。这家公司18年停止运营但核心团队创建了一家新公司Emerdata。
5.APT攻击是恶意软件与入侵者攻击的结合实现定向攻击。会同时使用“鱼叉邮件”与“0day”漏洞等高级手段。这类攻击有很强的政治诉求,比如获取国家机密或破坏关键基础设施。攻击者有国家背景,会长期对特定目标实施攻击。比如美国Equation Group攻击伊朗核设施,越南“海莲花”组织窃取我国海事和科研单位信息。此类攻击的数量很多,根据CNCERT,2019年我国重要党政机关遭受钓鱼邮件攻击数量达50多万次。
通过分析攻击过程,可以发现防御的核心是拦截“渗透”或阻止恶意代码“执行”。其中渗透是执行的必要条件,而执行是损失的必要条件:
1.恶意软件能够造成损失,首先需要“渗透”——恶意代码附着在文件中,这些文件再通过U盘、邮件等传播到不特定目标。还需要“执行”——文件启动时恶意代码自动运行。
2.Web攻击能够造成损失,首先需要“渗透”——恶意代码上传目标网站服务器。还需要“执行”——用户对网站执行Get操作时恶意代码自动运行。
3.DDoS攻击能够造成损失,“渗透”与“执行”过程合一——控制“肉鸡”向特定目标服务器发送请求。
4.入侵者攻击能够造成损失,首先需要“渗透”——利用心怀不满的员工、暴力破解得来的账号密码、操作系统的远程登陆漏洞,直接登录目标终端。还需要“执行”——对文件进行读、写操作。
5.APT攻击能够造成损失,首先需要“渗透”——利用“鱼叉邮件”和恶意软件将恶意代码传播给特定目标。还需要“执行”——文件启动时恶意代码自动运行。