Nella prima metà del 2018, gli attacchi informatici rivolti alle applicazioni cloud e agli host cloud dei principali cloud pubblici nel paese hanno mostrato un'evidente tendenza al rialzo: i tipi di minacce erano principalmente robot e attacchi che causavano collisioni, indirizzando gli host cloud, i nomi di dominio e le cassette postali. La produzione aziendale di risorse grigie esiste ancora in grandi quantità.
Il numero totale di attacchi è generalmente in aumento
Contando il numero di attacchi rilevanti su base mensile, possiamo vedere che dopo l'impatto della deviazione campionaria dei dati causata dalle attività di marketing aziendale su larga scala durante il Festival di Primavera di febbraio, il numero di attacchi grigio-nero sui cloud pubblici è aumentato significativamente. .
Aliyun, Tencent Cloud ha subito il maggior numero di attacchi
Negli fornitori di cloud pubblici nazionali, il numero di attacchi contro Ali nuvola rappresentato il più alto, raggiungendo 55.32%, che rappresentano il numero di attacchi contro Tencent nuvola si classifica al secondo posto con 27.34 per cento, seguita da altri UCLOUD, Huawei nuvola, Albatron, Baidu Nube, Jinshan Yun, Jingdong nuvola. quote di mercato questo domestici fornitori di cloud pubblici hanno rappresentato classificato convergenza di base (qui ignorando la parte di fornitori di cloud pubblici relativamente minore di mercato di differenza azione).
È interessante notare che, se la proporzione del numero di attacchi statistici mensili, pari al Tencent Ali nuvole e nuvole irradiano una leggera tendenza al rialzo nella maggior parte del mese (febbraio Capodanno cinese esclude il campione impatto dei dati deviazione), che è anche associata con una quota di mercato del cloud pubblico La tendenza alla centralizzazione è fondamentalmente la stessa.
Attacco del 5% per robot
Estrapolando le caratteristiche comportamentali del traffico di attacco, abbiamo rilevato che più robot sono stati colpiti per oltre il 50% dagli attacchi: la maggior parte di questi è stata utilizzata per eseguire scansioni di Internet o per sfruttare azioni, la maggior parte delle quali (più del 70%) era la più comune. Circa il 20% degli scanner di porta bulk è derivato da strumenti automatizzati di scansione e utilizzo delle vulnerabilità per obiettivi specifici (come la serie di vulnerabilità Struts2-045 / 048) e circa il 10% deve essere collegato alle autorità nazionali di regolamentazione, ai fornitori di sicurezza e agli istituti di ricerca. Oltre al sistema di rilevamento degli asset, sono presenti pochi robot registrati per le cassette postali aziendali cloud pubbliche.
Inoltre, abbiamo riscontrato anche un fenomeno interessante: circa il 30% delle sorgenti di traffico nei robot di scansione automatizzati o di exploiting indicano Ashburn, Virginia, la sede del campus di cloud computing di Amazon AWS, e vi è una tendenza mensile. come da regolamento la sicurezza della rete interna più stretta, parte dell'infrastruttura di attività produttiva cenere nera sta gradualmente trasferiti all'estero. attacco ha colpito la biblioteca nel suo complesso aumento
Oltre alla scansione automatica o sfruttare il comportamento, ma ci sono 14,36 per cento degli attacchi per colpire l'attacco biblioteca. Tali attacchi su base mensile il numero di statistiche, possiamo vedere v'è una chiara tendenza al rialzo (deviazione esclude l'impatto del nuovo anno cinese nel mese di febbraio, i campioni di dati) .
Inoltre, abbiamo anche scoperto che circa il 30% degli attacchi di collisione utilizzava una nuova libreria di dizionari con un alto grado di sovrapposizione, che si sospetta essere correlata a diversi eventi di trading sotterraneo nel settore sociale che abbiamo monitorato nella prima metà del 2018.
Considerando la perdita di dati dalla fuga verso la rete oscura, il gruppo Q, il gruppo Telegram, ecc., Per le transazioni su piccola scala e quindi per lo spread di massa, il ritardo è in genere di circa 3-6 mesi. Possiamo dedurre che entro la seconda metà del 2018, L'attacco alla biblioteca sarà ulteriormente aumentato.
La produzione grigia di public cloud business è ancora attiva
Attraverso l'analisi dei dati di produzione della cenere nera raccolti dalla piattaforma "TH-Karma", abbiamo scoperto che le attività di lana for per varie attività di cloud pubblico sono ancora attive. Esempi tipici sono: pennello Batch Alibaba Cloud, Tencent Cloud e Meituan Cloud Student Machine L'offerta verrà sottoposta a sublocazione e rivendita oppure la certificazione del nome a dominio di Alibaba Cloud e Tencent Cloud verrà utilizzata in batch, oppure la cassetta postale di public cloud aziendale verrà registrata in blocco attraverso la macchina di registrazione delle cassette postali.
Riteniamo che tali attività abbiano formato una catena di produzione grigia relativamente completa di "produzione-vendita-uso", fornendo supporto infrastrutturale per altre attività di produzione di ceneri nere.
Supplemento di analisi dei dati
A causa della limitazione dei canali di acquisizione dati e del rumore di esempio, i nostri canali di monitoraggio hanno una bassa velocità di acquisizione per gli attacchi DDoS e gli attacchi dei rettili, determinando il numero di attacchi nelle statistiche dei dati inferiori alle aspettative delle nostre esperienze. A giudicare dalla sua direzione di tendenza, non è analizzato in dettaglio in questo rapporto.
Tuttavia, dai dati sugli scambi di black ash ottenuti, il numero di attacchi DDoS contro Alibaba Cloud e Tencent Cloud Server negli ultimi 6 mesi (ovvero, nessun ordine o ordine non è stato completato) è aumentato in modo significativo, riflettendo Alibaba Cloud. Gli sforzi dei fornitori di cloud come Tencent Cloud in anti-DDoS hanno raggiunto determinati risultati.