網(wǎng)絡(luò)安全攻擊態(tài)勢 復(fù)雜而嚴(yán)峻

近年來，隨著我國互聯(lián)網(wǎng)經(jīng)濟(jì)的飛速發(fā)展，以及電子貨幣和數(shù)字貨幣的興起，勒索病毒、挖礦攻擊、APT攻擊等面向經(jīng)濟(jì)利益的復(fù)雜攻擊行為越來越多，攻擊者也在朝著專業(yè)化、組織化的方向發(fā)展，攻擊影響的領(lǐng)域范圍越來越廣，造成的經(jīng)濟(jì)損失也極為嚴(yán)重。

圖1 APT組織披露次數(shù)分布

圖2 APT攻擊領(lǐng)域分布

數(shù)據(jù)來源：啟明星辰網(wǎng)絡(luò)安全態(tài)勢觀察報(bào)告

安全事故頻繁發(fā)生 取證溯源困難

2018年9月，某組織宣稱其已經(jīng)竊取1.2億個(gè)Facebook用戶賬號(hào)的私人信息，并試圖以每個(gè)賬戶10美分的價(jià)格在網(wǎng)站上出售，截止目前已公布了至少8.1萬個(gè)賬號(hào)，實(shí)際的丟失數(shù)據(jù)量，無法溯源查證。

2018年11月，國際知名酒店集團(tuán)證實(shí)，旗下酒店預(yù)訂系統(tǒng)遭網(wǎng)絡(luò)入侵，泄露大約5億客戶的個(gè)人信息，攻擊者復(fù)制并加密大量數(shù)據(jù)，分步“遷移”復(fù)制，丟失數(shù)據(jù)的詳細(xì)信息，無法溯源查證。

2019年2月，某組織在Market暗網(wǎng)市場上掛出了 6.2 億用戶信息，交易使用比特幣進(jìn)行，賣家宣稱這些數(shù)據(jù)來自Dubsmash、MyFitnessPal、MyHeritage等16 個(gè)被攻擊的網(wǎng)站，包含大量的個(gè)人隱私數(shù)據(jù)，無法追溯查證。

2020年4月，葡萄牙跨國能源公司EDP(Energias de Portugal)遭到勒索軟件攻擊。攻擊組織聲稱， 已獲取EDP公司10TB的敏感數(shù)據(jù)文件，并且索要了1580的比特幣贖金(折合約1090萬美元)，關(guān)于攻擊者聲稱盜取的10TB的敏感數(shù)據(jù)文件的具體信息，無法追溯查證。

......

面對大量不斷頻發(fā)的安全事件，攻擊追溯分析、攻擊受損評估困難等問題如何解決?

攻擊取證和損失評估

上述多個(gè)真實(shí)安全事件案例，已經(jīng)充分證明了當(dāng)前傳統(tǒng)安全產(chǎn)品在分析取證能力方面存在局限性，站在安全事件分析者的角度，在面對網(wǎng)絡(luò)攻擊時(shí)，主要面臨以下問題：

面對海量攻擊告警時(shí)，不知如何下手分析

面對可疑攻擊時(shí)，不知如何判斷攻擊的真實(shí)性

面對復(fù)雜攻擊時(shí)，無法獲取有效的攻擊證據(jù)

面對網(wǎng)絡(luò)被攻破時(shí)，無法判斷攻擊的影響范圍和受害程度

面對數(shù)據(jù)被盜取時(shí)，無法判斷數(shù)據(jù)損失的嚴(yán)重程度

面對0day漏洞時(shí)，無法判斷0day攻擊是否已經(jīng)出現(xiàn)在自己的網(wǎng)絡(luò)中

面對APT攻擊時(shí)，無法確定攻擊的隱蔽程度、攻擊路徑和攻擊渠道

......

圖3 證據(jù)的不完整導(dǎo)致取證和受損評估工作的困難

如圖所示，受近幾年來自國外高級(jí)持續(xù)威脅和內(nèi)部信息泄露的影響，國內(nèi)企事業(yè)單位對安全防護(hù)的關(guān)注程度和投入都在持續(xù)增加，但絕大部分的網(wǎng)絡(luò)防護(hù)重點(diǎn)都是關(guān)注“實(shí)時(shí)防護(hù)”，而忽略了攻擊數(shù)據(jù)留存的重要性。攻擊證據(jù)的不完整性也直接導(dǎo)致了事后取證和受損評估這兩項(xiàng)工作舉步維艱。攻擊者何時(shí)進(jìn)來、何時(shí)離去? 他們帶走了多少數(shù)據(jù)，內(nèi)網(wǎng)還有多少潛伏的安全隱患? 面向?qū)映霾桓F、變化多端的高級(jí)攻擊手法，網(wǎng)絡(luò)防護(hù)者迫切需要為這些問題找到一個(gè)妥善的解決方案。

啟明星辰公司作為國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè)，持續(xù)深耕網(wǎng)絡(luò)安全技術(shù)20余年，積累了深厚的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)。隨著近幾年企事業(yè)單位對網(wǎng)絡(luò)攻擊取證需求越來越強(qiáng)烈，啟明星辰也在攻擊取證技術(shù)上做了持續(xù)的研發(fā)投入，并取得了一系列技術(shù)成果，在大數(shù)據(jù)存儲(chǔ)、壓縮與加密、快速取證檢索、實(shí)時(shí)安全模型分析、未知威脅檢測、深度協(xié)議解析等層面處于行業(yè)領(lǐng)先的地位。作為網(wǎng)絡(luò)安全領(lǐng)域最早研究全流量分析取證能力的公司，啟明星辰全流量分析取證解決方案即將在近日發(fā)布，給企事業(yè)單位在攻擊取證和受損評估層面帶來全新的價(jià)值，敬請期待!