Durante o primeiro semestre de 2018, com os principais aplicativos de nuvem anfitrião domésticos de nuvem pública e ataques cibernéticos alvo como um todo apresentou uma tendência crescente, o tipo de ameaça para o robô, bateu os ataques baseados em bibliotecas, como por nuvem de hospedagem, domínios e caixas de correio A produção cinza de recursos de negócios ainda existe em grande número.
O número total de ataques geralmente está aumentando
Através de comportamento agressivo relacionado com o número de vezes que as estatísticas mensais, podemos ver que a exclusão do viés amostra de dados durante o Festival da Primavera em fevereiro, as atividades de marketing corporativo em grande escala após o impacto, cinza negra produzida clara tendência ascendente no número de ataques em nuvens públicas .
Aliyun, Tencent Cloud sofreu mais ataques
Nos fornecedores nacionais de nuvem pública, o número de ataques contra Ali nuvem representaram a maior, atingindo 55,32%, representando o número de ataques contra Tencent nuvem aparece em segundo lugar com 27,34 por cento, seguido por outro UCLOUD, Huawei nuvem, Albatron, Baidu Nuvem, Jinshan Yun, Jingdong nuvem. quota de mercado este domésticos fornecedores de nuvem pública representaram classificou convergência básica (aqui ignorando a parte de fornecedores de nuvem pública mercado relativamente menor diferença ação).
É de salientar que, se a proporção do número de ataques estatísticos mensais, representando Tencent Ali nuvens e nuvens irradiam uma ligeira tendência ascendente na maior parte do mês (ano novo fevereiro chinês excluir a amostra impacto dados desvio), que também está associada com participação de mercado de nuvem pública A tendência de centralização é basicamente a mesma.
Super cinco por cento de ataque por robôs
Ao extrair as características comportamentais do tráfego de ataque, descobrimos que mais de 50% dos ataques foram feitos por robôs.A maioria desses robôs foi usada para realizar varreduras na Internet ou ações de exploração, sendo a maioria (mais de 70%) a mais comum. Cerca de 20% dos scanners de grandes volumes são derivados de ferramentas automatizadas de varredura e utilização de vulnerabilidades para alvos específicos (como a série de vulnerabilidades Struts2-045 / 048) e cerca de 10% devem estar vinculados às autoridades reguladoras nacionais, fornecedores de segurança e instituições de pesquisa. Além do sistema de detecção de ativos, há muito poucos robôs registrados para caixas de correio corporativas de nuvem pública.
Além disso, também encontramos um fenômeno interessante: cerca de 30% das fontes de tráfego em varredura automatizada ou robôs exploradores apontam para Ashburn, Virginia, a localização do campus de computação em nuvem da Amazon AWS, e há uma tendência mensal. Devido ao reforço da supervisão de segurança da rede doméstica, parte da infra-estrutura de atividades de produção de preto e cinza está gradualmente mudando para o exterior.O impacto geral do ataque de colisão está em ascensão.
Além do escaneamento automatizado ou do comportamento de exploração, 14,36% dos ataques são ataques de colisão e estatísticas sobre o número de ataques por mês podem ter uma clara tendência de aumento (excluindo o impacto dos desvios da amostra de dados no Festival da Primavera de fevereiro) .
Além disso, também descobrimos que cerca de 30% dos ataques de colisão-ataque usavam uma nova biblioteca de dicionários com um alto grau de sobreposição, suspeita-se que estivesse relacionada a vários eventos comerciais do subsolo social que monitoramos no primeiro semestre de 2018.
Considerando o vazamento de dados do vazamento para a rede escura, o grupo Q, o grupo Telegram, etc., para transações de pequena escala e depois para o spread de massa, o atraso é geralmente de três a seis meses. O ataque da biblioteca será aumentado ainda mais.
A produção cinza de negócios em nuvem pública ainda está ativa
Através da análise dos dados de produção de cinzas recolhidos pela plataforma 'TH-Karma', descobrimos que as atividades de lã para várias atividades de nuvem pública ainda estão ativas. Exemplos típicos são: Escova em lote Alibaba Cloud, Tencent Cloud e Meituan Cloud Student Machine A oferta será sublocada e revendida, ou a certificação de nome real do nome de domínio Alibaba Cloud e Tencent Cloud será usada em lotes, ou a caixa de correio da empresa de nuvem pública será registrada em massa por meio da máquina de registro de caixa de correio.
Acreditamos que tais atividades formaram uma cadeia produtiva cinza relativamente completa de 'produção-venda-uso', fornecendo suporte de infraestrutura para outras atividades de produção de cinza-negra.
Suplemento de análise de dados
Devido à limitação de canais de aquisição de dados e ruído amostral, nossos canais de monitoramento têm baixas taxas de captura para ataques DDoS e ataques de répteis, resultando no número de ataques nas estatísticas de dados inferiores às nossas expectativas de experiência. Julgando sua direção de tendência, ela não é analisada em detalhe neste relatório.
No entanto, a partir dos dados de negociação de cinzas que obtivemos, o número de ataques DDoS contra o Alibaba Cloud e o Tencent Cloud Server nos últimos 6 meses (ou seja, nenhum pedido ou pedido não foi concluído) aumentou significativamente, refletindo o Alibaba Cloud. Os esforços dos fornecedores de nuvem, como o Tencent Cloud no anti-DDoS, alcançaram certos resultados.