Akamai《互聯(lián)網(wǎng)安全狀況:運營商洞察報告》強調(diào)信息共享對于抵御網(wǎng)絡(luò)威脅的重要性
2018-04-24
全球最大、最值得信賴的云交付平臺阿卡邁技術(shù)公司(Akamai Technologies, Inc.,,以下簡稱:Akamai)(NASDAQ:AKAM)今天正式發(fā)布《2018年春季互聯(lián)網(wǎng)安全狀況:運營商洞察報告》,。該報告通過分析Akamai在2017年9月至2018年2月間從世界各地的通信服務(wù)提供商(CSP)網(wǎng)絡(luò)收集到的超過14萬億次DNS查詢,表明信息共享是抵御網(wǎng)絡(luò)威脅的一個重要助推因素,。
逾19年來,Nominum(于2017年被Akamai收購)一直致力于利用深度DNS數(shù)據(jù)來增強保護,抵御分布式拒絕服務(wù)(DDoS),、勒索軟件、特洛伊木馬和僵尸網(wǎng)絡(luò)等復(fù)雜網(wǎng)絡(luò)攻擊,。Akamai的《運營商洞察報告》以Nominum的專長為基礎(chǔ),,重點解析了基于DNS的安全機制的有效性(這種安全機制可借助來自其它安全防御層的數(shù)據(jù)進一步加強)。這種分層安全方法需要綜合各種安全解決方案來共同保護企業(yè)機構(gòu)的數(shù)據(jù)。
Akamai威脅情報部門數(shù)據(jù)科學(xué)總監(jiān)Yuriy Yuzifovich表示:“如果我們只是孤立地了解單個系統(tǒng)面臨的攻擊,,則不足以做好準(zhǔn)備應(yīng)對如今復(fù)雜的威脅形勢,。因此,跨不同團隊,、系統(tǒng)和數(shù)據(jù)集了解情況,,與不同的平臺進行溝通變得至關(guān)重要。我們相信,,我們所提供的DNS查詢服務(wù)是一個戰(zhàn)略性的組成部分,,能夠為安全團隊提供應(yīng)對整個威脅環(huán)境所需的相關(guān)數(shù)據(jù)?!?/p>
應(yīng)對Mirai僵尸網(wǎng)絡(luò):協(xié)作行動
Akamai內(nèi)部團隊之間的協(xié)作對于發(fā)現(xiàn)Mirai命令和控制(C&C)域起到了關(guān)鍵作用,,使日后的Mirai檢測變得更加全面。Akamai安全智能響應(yīng)團隊(SIRT)自Mirai出現(xiàn)以來就一直密切留意該惡意軟件,,利用蜜罐(Honeypots)檢測出Mirai通信并找到其C&C服務(wù)器,。
2018年1月末,Akamai安全智能響應(yīng)團隊和Nominum團隊共享了一個包含500多個可疑Mirai C&C域的列表,。此舉的目的是為了了解人們是否可以利用DNS數(shù)據(jù)和人工智能來擴充這個C&C列表,,使日后的Mirai檢測更加全面。通過多層分析,,兩個團隊聯(lián)手成功擴充了Mirai C&C數(shù)據(jù)集,,并發(fā)現(xiàn)了Mirai僵尸網(wǎng)絡(luò)與Petya勒索軟件發(fā)布者之間的關(guān)聯(lián)。
這次協(xié)作分析表明,,IoT僵尸網(wǎng)絡(luò)在不斷演變,,從幾乎只是用于發(fā)動DDoS攻擊發(fā)展為從事更復(fù)雜的活動,例如惡意軟件發(fā)布和加密貨幣挖礦,。IoT僵尸網(wǎng)絡(luò)很難檢測,,因為對大多數(shù)用戶來說,它們的威脅跡象極少,。盡管如此,,這些團隊的協(xié)作研究仍證明,Akamai有機會找到并攔截數(shù)十個新出現(xiàn)的C&C域,,從而控制僵尸網(wǎng)絡(luò)的活動,。
Javascript加密貨幣挖礦軟件:一種非法的業(yè)務(wù)模式
由于公眾對加密貨幣的使用率和使用量呈指數(shù)級增長態(tài)勢,加密貨幣挖礦惡意軟件的數(shù)量以及被其感染的設(shè)備數(shù)量也在急劇上升,。
Akamai觀察到兩種不同的大規(guī)模加密貨幣挖礦業(yè)務(wù)模式,。第一種模式利用被感染設(shè)備的處理能力來挖掘加密貨幣代幣(cryptocurrency tokens)。第二種模式利用嵌入到內(nèi)容網(wǎng)站的代碼來使訪問網(wǎng)站的設(shè)備為加密貨幣挖礦軟件工作,。Akamai對第二種業(yè)務(wù)模式進行了大量分析,,因為它給用戶和網(wǎng)站所有者帶來了新的安全挑戰(zhàn),。通過對加密貨幣挖礦軟件的域進行分析,Akamai能夠估計出這項活動在計算能力和金錢收益方面產(chǎn)生的成本,。一個根據(jù)這項研究作出的有趣推斷是,,加密貨幣挖礦可能取代廣告收入成為可行的網(wǎng)站籌資方案。
不斷變化的威脅:惡意軟件和攻擊被用于其它用途
網(wǎng)絡(luò)安全并不是一個靜態(tài)的行業(yè),。研究人員發(fā)現(xiàn),,黑客會將陳舊的技術(shù)重新用于當(dāng)今的數(shù)字環(huán)境中。在Akamai收集這些數(shù)據(jù)的6個月間,,一些廣為人知的惡意軟件活動和攻擊在運作程序上有了明顯變化,,其中包括:
2017年11月24日至12月14日期間,Web代理自動發(fā)現(xiàn)(WPAD)協(xié)議被用于向Windows系統(tǒng)發(fā)起中間人(Man-in-the-Middle)攻擊,。WPAD本應(yīng)該用于受保護的網(wǎng)絡(luò)(即LAN)上,,如果暴露于互聯(lián)網(wǎng)中,會導(dǎo)致計算機容易遭受大型攻擊,。
除了收集財務(wù)信息之外,,惡意軟件開發(fā)者還開始收集社交媒體登錄信息。Terdot是Zeus僵尸網(wǎng)絡(luò)的一個分支,,它會創(chuàng)建本地代理,,使攻擊者可以進行網(wǎng)絡(luò)間諜活動,還會在受害者的瀏覽器中推送虛假新聞,。
僵尸網(wǎng)絡(luò)開發(fā)者開始打造更靈活的工具,Lopai僵尸網(wǎng)絡(luò)就是一例,。這款移動惡意軟件主要針對Android設(shè)備,,通過采用模塊化方法使所有者可以創(chuàng)建帶有新功能的更新。
請點擊此處,,免費下載《2018年春季互聯(lián)網(wǎng)安全狀況:運營商洞察報告》,。
研究方法
Akamai安全研究部門通過分析每日、每周和每季度的數(shù)據(jù)集,,以預(yù)測網(wǎng)絡(luò)犯罪分子的下一步行動,。其目標(biāo)是在海量的DNS數(shù)據(jù)中檢測攻擊信號,并在驗證已知攻擊類型的同時,,檢測新的,、未知的和未命名的惡意活動。除了使用商業(yè)和公共數(shù)據(jù)源之外,,該團隊還每天分析來自Akamai客戶的1000億次查詢,。Akamai與超過40個國家的130多家服務(wù)提供商合作,每天解析1.7萬億次查詢,。本次樣本代表了由世界各地消費者和企業(yè)產(chǎn)生的全球DNS總流量的大約3%,。
關(guān)于Akamai
Akamai是全球最大,、最值得信賴的云交付平臺,幫助客戶更加輕松地在任何時間,、任何地點,、任何設(shè)備上提供最佳、最安全的數(shù)字體驗,。憑借在130多個國家/地區(qū)部署的20多萬臺服務(wù)器,,Akamai廣泛分布的平臺在規(guī)模上無與倫比,可以幫助客戶獲得卓越性能,、抵御網(wǎng)絡(luò)威脅,。出色的客戶服務(wù)和全天候監(jiān)測始終保障著Akamai的Web和移動性能組合以及云安全、企業(yè)訪問和視頻交付解決方案,。想要了解世界頂級金融機構(gòu),、電子商務(wù)領(lǐng)導(dǎo)企業(yè)、媒體與娛樂提供商以及政府機構(gòu)信任Akamai的理由,,請訪問www.akamai.com/cn或blogs.akamai.com,,