In der ersten Hälfte des Jahres 2018 zeigten die Cyberangriffe auf Cloud-basierte Anwendungen und Cloud-Hosts der großen öffentlichen Clouds einen deutlichen Aufwärtstrend: Die Bedrohungstypen waren hauptsächlich Roboter und kollisionsverursachende Angriffe auf Cloud-Hosts, Domainnamen und Postfächer. Die betriebliche Grauproduktion von Ressourcen besteht nach wie vor in großer Zahl.
Die Gesamtzahl der Angriffe nimmt generell zu
Durch die Zählung der relevanten Angriffe auf monatlicher Basis können wir sehen, dass nach den Auswirkungen von Datenstichprobenabweichungen, die durch groß angelegte Marketingaktivitäten des Unternehmens während des Frühlingsfests im Februar verursacht wurden, die Anzahl der Schwarz-Grau-Angriffe auf öffentliche Clouds deutlich angestiegen ist. .
Aliyun, Tencent Cloud erlitt die meisten Angriffe
In den inländischen öffentlichen Cloud-Anbieter entfielen auf die Zahl der Angriffe gegen Ali Wolke für die höchste erreichte 55,32%, die Zahl der Angriffe auf Tencent Cloud-Accounting an zweiter Stelle mit 27,34 Prozent, gefolgt von anderen UCLOUD, Huawei Wolke, Albatron, Baidu Wolke, Jinshan Yun, Jingdong Wolke. Dieser inländische öffentliche Cloud-Anbieter bilanzierte Marktanteil grundlegende Konvergenz gewählt (hier der Teil der öffentlichen Cloud-Anbieter relativ geringen Marktanteil Unterschied zu ignorieren).
Es ist bemerkenswert, dass, wenn der Anteil der Anzahl der monatlichen statistischen Angriffe, Bilanzierung von Tencent Ali Wolken und Wolken einen leichten Aufwärtstrend in den meisten des Monats (Februar Chinese New Year, die Auswirkungen Abweichungsdaten Probe ausschließen) ausstrahlen, die auch mit öffentlichen Cloud-Marktanteil verbunden ist, Der Trend zur Zentralisierung ist im Wesentlichen derselbe.
Super fünf Prozent Angriff für Roboter
Durch Extrahieren Eigenschaften Angriff Verkehrsverhalten, fanden wir mehr als die Hälfte des Angriffs für den Roboter, dass ist. Die meisten dieser Roboter werden verwendet, Scannen des Internet durchzuführen oder die Aktion ausnutzen, von denen die meisten (über 70%) ist die häufigste Bulk-Port-Scanner für etwa zwei Prozent von automatisierten Vulnerability Scanning-Tools und die Verwendung eines spezifischen Ziel (wie Struts2-045 / 048-Reihe von Lücken), während etwa ein Prozent des Internets mit den nationalen Regulierungsbehörden, Sicherheitsunternehmen und Forschungseinrichtungen sollten Neben dem Asset-Erkennungssystem gibt es nur sehr wenige Roboter, die für öffentliche Cloud-Unternehmenspostfächer registriert sind.
Darüber hinaus haben wir auch ein interessantes Phänomen gefunden: Etwa 30% der Traffic-Quellen in automatisierten Scans oder Robotern weisen auf Ashburn, Virginia, den Standort des Amazon AWS Cloud Computing Campus hin, und es gibt einen monatlichen Trend Durch die Verschärfung der inländischen Aufsicht über die Netzsicherheit verlagert sich ein Teil der Infrastruktur der Schwarz- und Grauproduktion allmählich ins Ausland, wodurch sich die Gesamtwirkung des Kollisionsangriffs erhöht.
Zusätzlich zum automatisierten Scanning- oder Auswertungsverhalten stellen 14,36% der Angriffe Kollisionsangriffe dar. Statistiken über die Anzahl solcher Angriffe pro Monat weisen einen klaren Aufwärtstrend auf (mit Ausnahme der Auswirkungen von Datenstichprobenabweichungen beim Februar-Frühlingsfest). .
Darüber hinaus fanden wir auch, dass etwa drei Prozent der Angriffe die Bibliothek trafen ein hohes Maß an Überlappung der neuen Wörterbuchdatenbank zu nutzen, uns die Zahl der Sozialarbeiter von den U-Bahn-Repository Transaktion Ereignissen im ersten Halbjahr 2018 im Verdacht zu überwachen.
Unter Berücksichtigung von Daten an die Dunkelheit entweicht mit dem Netzwerk, Q-Gruppe, Telegrammgruppen wie Kleinhandel, zu groß angelegten Ausbreitung der Verzögerung sind in der Regel etwa drei bis sechs Monate, können wir daraus schließen, dass die zweite Hälfte 2018 getroffen Der Angriff auf die Bibliothek wird weiter verstärkt.
Die graue Produktion des öffentlichen Cloud-Geschäfts ist immer noch aktiv
Durch die Produktion von schwarzen und Sammelplattform ‚TH-Karma‘ graue Daten für die Analyse, fanden wir, dass Wolle alle Arten von Aktivitäten für die öffentliche Cloud ist noch aktiv sind Aktionen typisch herausziehen: durch Massen Bürste Ali Wolke, Wolke und Schönheit Gruppe Tencent Cloud Schülercomputer Rabatt und verkauft dann sublet oder Batch-Generation Wolke über Ali und Tencent Cloud-Domain-Namen real-name-Authentifizierung, Bulk-Registrierung oder öffentlichen Cloud-Unternehmen Mailbox über einen Mailbox RI und so weiter.
Wir sind der Ansicht, dass solche Aktivitäten eine relativ vollständige "Produktion-Verkauf-Nutzung" graue Produktionskette gebildet haben, die Infrastruktur-Unterstützung für andere Schwarzasche-Produktionsaktivitäten bietet.
Datenanalyse ergänzen
Aufgrund der begrenzten Datenerfassungskanäle und des Sample-Rauschens haben unsere Überwachungskanäle sowohl bei DDoS-Angriffen als auch bei Reptilienangriffen niedrige Erfassungsraten, was dazu führt, dass die Anzahl der Angriffe in den Datenstatistiken niedriger ist als von unseren Erwartungen erwartet. Der Trend wird in diesem Bericht nicht detailliert analysiert.
Aus den Black Ash Trading-Daten, die wir erhalten haben, ist die Anzahl der DDoS-Angriffe gegen Alibaba Cloud und Tencent Cloud Server in den letzten 6 Monaten (dh keine Bestellungen oder Bestellungen sind nicht abgeschlossen) signifikant gestiegen, was Alibaba Cloud widerspiegelt. Die Bemühungen von Cloud-Anbietern wie Tencent Cloud in Anti-DDoS haben bestimmte Ergebnisse erzielt.
