В первой половине 2018 года кибератаки, нацеленные на облачные приложения и облачные узлы основных общественных облаков в стране, показали очевидную тенденцию к повышению. Типы угроз были в основном роботами и атаками, вызывающими конфликты, с таргетингом на облачные узлы, имена доменов и почтовые ящики. Серийное производство ресурсов по-прежнему существует в большом количестве.
Общее количество атак, как правило, растет
Считая количество соответствующих атак ежемесячно, мы можем видеть, что после воздействия отклонения выборки данных, вызванного крупномасштабной корпоративной маркетинговой деятельностью во время Весеннего фестиваля в феврале, число черно-серых атак на общественные облака значительно возросло. ,
Aliyun, Tencent Cloud оказали наибольшее количество наград
Среди отечественных поставщиков облачных облаков число атак на Alibaba Cloud было самым высоким, достигнув 55,32%, а число атак Tencent Cloud было вторым - 27,34%. Другие были UCLOUD, Huawei Cloud, Qingyun, Baidu Cloud, Jinshan Yun, Jingdong Yun. Это в основном то же самое, что и рыночная доля отечественных поставщиков облачных облачных услуг (это игнорирует небольшую разницу в доле рынка от некоторых публичных поставщиков облачных услуг).
Стоит отметить, что, если доля атак в месяц статистически значима, доля Alibaba Cloud и Tencent Cloud в большинстве месяцев имеет небольшую восходящую тенденцию (исключая предвзятость выборки данных февральского весеннего фестиваля), что также связано с долей рынка публичного облака. Тенденция централизации в основном одинакова.
Супер пятипроцентная атака для роботов
Извлекая поведенческие характеристики атакующего трафика, мы обнаружили, что более 50% атак были сделаны роботами. Большинство из этих роботов использовались для сканирования Интернета или использования действий, большинство из которых (более 70%) были наиболее распространенными. Около 20% сканеров массового порта основаны на автоматизированных инструментах сканирования и использования уязвимостей для конкретных целей (таких как уязвимости Struts2-045 / 048), а около 10% должны быть связаны с национальными регулирующими органами, поставщиками безопасности и исследовательскими институтами. В дополнение к системе обнаружения активов очень мало роботов, зарегистрированных для общедоступных почтовых ящиков корпоративных приложений.
Кроме того, мы также обнаружили интересный феномен. Около 30% источников трафика в автоматическом сканировании или использовании роботов указывают на Эшбурн, штат Вирджиния, местоположение кампуса облачных вычислений Amazon AWS, и существует ежемесячная тенденция. Из-за ограничения внутреннего контроля безопасности сети часть инфраструктуры черно-серой производственной деятельности постепенно смещается за рубеж. Общее влияние атаки на столкновение растет.
В дополнение к автоматическому сканированию или поведению, 14,36% атак являются атаками атаки на столкновение. Статистические данные о количестве таких атак в месяц, как видно, имеют четкую тенденцию к повышению (исключая влияние отклонений выборки данных на февральском Весеннем фестивале) ,
Кроме того, мы также обнаружили, что около 30% атак на столкновение использовало новую библиотеку словарей с высокой степенью перекрытия, которая, как предполагается, связана с несколькими общественными секторальными торговыми событиями, которые мы контролировали в первой половине 2018 года.
Учитывая утечку данных из утечки в темную сеть, группу Q, группу Telegram и т. Д. Для мелкомасштабных транзакций, а затем к массовому распространению, задержка обычно составляет от трех до шести месяцев. Мы можем сделать вывод, что ко второй половине 2018 года, Атака библиотеки будет еще больше увеличена.
Общественное облачное бизнесное серое производство по-прежнему активно
Благодаря анализу данных о производстве черной золы, собранных платформой «TH-Karma», мы обнаружили, что активность 薅 шерсти для различных общественных облачных работ по-прежнему активна. Типичными примерами являются: Патч-кисть Alibaba Cloud, Tencent Cloud и Meituan Cloud Student Machine Предложение будет сдано в субаренду и перепродано, или сертификация реального имени домена Alibaba Cloud и Tencent Cloud будет использоваться партиями, или почтовый ящик предприятия общего пользования будет зарегистрирован навалом через машину регистрации почтового ящика.
Мы считаем, что такая деятельность сформировала относительно полную серо-производственную цепочку «производство-продажа-использование», обеспечив инфраструктурную поддержку других видов деятельности по производству черных зол.
Приложение для анализа данных
Из-за ограничения каналов сбора данных и шума выборки, наши каналы мониторинга имеют низкую скорость захвата как для DDoS-атак, так и для рептилий, что приводит к количеству атак в статистике данных, которые ниже наших ожиданий. Судя по его направлению тренда, он не анализируется подробно в этом отчете.
Однако из полученных нами данных о торговле черной золой количество DDoS-атак против Alibaba Cloud и Tencent Cloud Server за последние 6 месяцев (то есть, никто не заказывает или заказы не завершены) значительно увеличилось, отражая Alibaba Cloud. Усилия облачных вендоров, таких как Tencent Cloud в анти-DDoS, достигли определенных результатов.