Au premier semestre 2018, les cyberattaques ciblant les applications cloud et les hébergeurs cloud des principaux clouds publics du pays ont affiché une tendance à la hausse: les robots et les attaques de collision, ciblant les hôtes cloud, les noms de domaine et les boîtes aux lettres. La production grise des ressources de l'entreprise existe toujours en grand nombre.
Le nombre total d'attaques est généralement à la hausse
En comptant le nombre d'attaques pertinentes sur une base mensuelle, nous constatons qu'après l'impact de l'écart de données causé par les activités de marketing d'entreprise à grande échelle pendant la Fête du Printemps en février, le nombre d'attaques noires sur les nuages publics a considérablement augmenté. .
Aliyun, Tencent Cloud a subi le plus d'attaques
Dans les fournisseurs de cloud publics nationaux, le nombre d'attaques contre Ali nuage a représenté le plus élevé, atteignant 55,32%, ce qui représente le nombre d'attaques contre Tencent nuage se classe deuxième avec 27,34 pour cent, suivi par d'autres UCLOUD, nuage Huawei, Albatron, Baidu nuage, Yun Jinshan, nuage Jingdong. ce fournisseurs de cloud publics nationaux de la part de marché occupée classé convergence de base (ici sans tenir compte de la part des fournisseurs de cloud public de différence de part de marché relativement faible).
Il est à noter que, si la proportion du nombre d'attaques statistiques mensuelles, représentant Tencent nuages Ali et de nuages rayonnent une légère tendance à la hausse dans la plupart du mois (Février Nouvel An chinois exclut l'échantillon de données d'écart d'impact), qui est également associée à une part de marché de cloud public La tendance à la centralisation est fondamentalement la même.
Super attaque de cinq pour cent pour les robots
En extrayant les caractéristiques comportementales du trafic d'attaque, nous avons constaté que plus de 50% des attaques étaient faites par des robots dont la plupart étaient utilisés pour scanner ou exploiter des actions Internet, dont la plupart (plus de 70%) étaient les plus courantes. Environ 20% des scanners de port en vrac sont dérivés d'outils automatisés de scan et d'utilisation de vulnérabilités pour des cibles spécifiques (telles que Struts2-045 / 048), et environ 10% doivent être reliés aux autorités réglementaires nationales, aux fournisseurs de sécurité et aux instituts de recherche. En plus du système de détection d'actifs, très peu de robots sont enregistrés pour les boîtes aux lettres d'entreprise de cloud public.
En outre, nous avons également trouvé un phénomène intéressant: environ 30% des sources de trafic dans les robots automatisés de balayage ou d'exploitation indiquent Ashburn, en Virginie, l'emplacement du campus de cloud computing Amazon AWS, et il y a une tendance mensuelle. En raison du renforcement de la surveillance de la sécurité des réseaux domestiques, une partie de l'infrastructure des activités de production noire et grise se déplace progressivement à l'étranger, l'impact global de l'attaque par collision étant en hausse.
En plus du scan automatisé ou du comportement d'exploitation, 14,36% des attaques sont des attaques par collision, les statistiques sur le nombre de ces attaques par mois sont clairement orientées à la hausse (excluant l'impact des déviations d'échantillons lors de la Fête du Printemps) .
En outre, nous avons également constaté qu'environ 30% des attaques par collision utilisaient une nouvelle bibliothèque de dictionnaires avec un degré élevé de chevauchement, soupçonné d'être lié à plusieurs événements commerciaux souterrains du secteur social que nous avons surveillés au premier semestre 2018.
Considérant la fuite de données de la fuite vers le réseau noir, le groupe Q, le groupe Telegram, etc., pour les transactions à petite échelle, puis pour la propagation de masse, le délai est généralement de trois à six mois. L'attaque de la bibliothèque sera encore augmentée.
La production de gris d'affaires de nuage public est toujours active
Grâce à l'analyse des données de production de cendres noires collectées par la plate-forme TH-Karma, nous avons constaté que les activités 薅 laine pour diverses activités de cloud public sont toujours actives: Brosse Batch Alibaba Cloud, Tencent Cloud et Meituan Cloud Student Machine L'offre sera sous-louée et revendue, ou bien la certification du nom de domaine Alibaba Cloud et Tencent Cloud sera utilisée par lots, ou la boîte aux lettres d'entreprise publique en nuage sera enregistrée en vrac via la machine d'enregistrement de boîte aux lettres.
Nous croyons que de telles activités ont formé une chaîne de production grise «production-vente-utilisation» relativement complète, fournissant un soutien d'infrastructure pour d'autres activités de production de cendres noires.
Supplément d'analyse de données
En raison de la limitation des canaux d'acquisition de données et du bruit d'échantillonnage, nos canaux de surveillance ont des taux de capture faibles pour les attaques DDoS et les attaques de reptiles, ce qui réduit le nombre d'attaques dans les statistiques. En jugeant sa direction de tendance, il n'est pas analysé en détail dans ce rapport.
Cependant, à partir des données de trading de cendres noires obtenues, le nombre d'attaques DDoS contre Alibaba Cloud et Tencent Cloud Server au cours des 6 derniers mois (c'est-à-dire aucune commande ou commande non terminée) a considérablement augmenté, reflétant Alibaba Cloud. Les efforts des fournisseurs de cloud tels que Tencent Cloud en anti-DDoS ont atteint certains résultats.
