<b>點評:</b>遊戲行業内,2016年,全球有記錄的DDoS峰值已近600G,300G以上的DDoS攻擊,在遊戲行業内已經毫不稀奇。
為什麼遊戲會是DDoS攻擊的重災區呢?這裡說幾點主要的原因。
首先是因為遊戲行業的攻擊成本低廉,是防護成本的1/N,攻防兩端極度不平衡。随着攻擊方的打法越來越複雜、攻擊點越來越多,基本的靜态防護政策無法達到較好的效果,也就加劇了這種不平衡。
其次,遊戲行業生命周期短。一款遊戲從出生,到消亡,很多都是半年的時間,如果抗不過一次大的攻擊,很可能就死在半路上。黑客也是瞄中了這一點,認定:隻要發起攻擊,遊戲公司一定會給“保護費”。
再次,遊戲行業對連續性的要求很高,需要7*24線上,是以如果受到DDoS攻擊,遊戲業務很容易會造成大量的玩家流失。我曾經見過在被攻擊的2-3天後,遊戲公司的玩家數量,從幾萬人掉到幾百人。
最後,遊戲公司之間的惡性競争,也加劇了針對行業的DDoS攻擊。
【每周遊戲行業DDoS态勢】
概要:ESG與ISSA協作釋出了一份題為《網絡安全人員的生活與時代》的新研究報告。該項研究表明,網絡安全技能缺乏所能導緻的後果,遠不止“網絡安全職位數超過具有合适技能和背景的人群數量”這一條明顯結論。343位網絡安全從業者(大部分是ISSA成員),被問及自家公司在過去2年中是否經曆過安全事件,比如:系統破壞、惡意軟體感染、DDoS攻擊、正對性攻擊、資料洩露等等。超過半數(53%)的受訪者承認,他們的公司自2015年來經曆了至少1起安全事件。值得注意的是,有34%的受訪者回答稱“不知道/不想說”,于是,實際經曆了安全事件的公司占比,可能會比明确承認的比例高得多。
<b>點評:</b>在遊戲行業内,安全專業人才短缺的現象普遍存在,遊戲行業業務發展非常迅速,許多遊戲公司有先往前跑,後再顧及安全的思維模式,而網絡攻擊帶來的業務的損失往往猝不及防。
中國遊戲業規模17年将突破2000億,商機無限,但是另一方面,遊戲業也成為黑産聚集地,屬于攻擊高發區,像DDoS攻擊、遊戲外挂、遊戲盜号等每每發生,這樣就使得安全人才在遊戲行業更加緊缺,除了增加外部的安全防護外,也需要增加運維團隊的安全意識和技能教育訓練。
<b>概要:</b>四年之後,OWASP釋出新版本OWASP Top10。OWASP項目最具權威的就是其”十大安全漏洞清單”。這個清單總結了Web應用程式最可能、最常見、最危險的十大漏洞,可以幫助IT公司和開發團隊規範應用程式開發流程和測試流程,提高Web産品的安全性。
OWASP Top 10則是OWASP項目總結的10大最關鍵Web應用安全隐患清單。 OWASP多年來經曆了幾次疊代。 OWASP Top 10的版本分别在2004年,2007年,2010年,2013年和2017年釋出。
與往年一樣,注入仍然是應用程式安全風險的首要問題,但排名卻出現了一些混亂,出現了三名新成員
- XML外部實體(XXE)、不安全的反序列化、不足的記錄和監控。
<b>A1:2017-注入 </b>
注入漏洞,包括SQL,NoSQL,OS,LDAP注入等,這些攻擊發生在當不可信的資料作為指令或查詢語句的一部分,被發送給解釋器的時候。攻擊者發送的惡意資料可以欺騙解釋器,以執行計劃外的指令或未被恰當授權時通路資料。
<b>A2:2017-失效的身份認證 </b>
與認證和會話管理相關的應用函數經常被錯誤地應用,這就允許攻擊者竊取密碼、密鑰、會話token,或者利用其他的應用錯誤來暫時或者永久地擷取使用者身份資訊。
<b>A3:2017-敏感資訊洩露 </b>
許多web應用和API不能合理的保護敏感資料,比如金融、醫療資料和PII。攻擊者可能竊取或篡改這些弱保護的資料進行信用卡詐騙、身份竊取或者其他犯罪。敏感資料需要額外的保護,比如在存放和傳輸過程中的加密,在與浏覽器進行交換時也需要特殊的預防措施。
<b>A4:2017-外部處理器漏洞(XXE) </b>
許多過時的或者配置不當的XML處理器在XML文檔内進行外部實體引用。外部實體可以被用來洩露内部檔案,比如使用檔案URI handler,内部檔案共享,内部端口掃描,遠端代碼執行和拒絕服務攻擊。
<b>A5:2017-無效的通路控制 </b>
僅允許認證的使用者的限制沒有得到适當的強制執行。攻擊者可以利用這些權限來通路未經授權的功能和資料,例如通路其他使用者的賬戶,檢視敏感檔案,修改其他使用者的資料,更改通路權限等。
<b>A6:2017-錯誤的安全配置 </b>
安全配置錯誤是常見的問題,這是不安全的預設配置、不完整或者ad hoc網絡配置、開放雲存儲、錯誤配置的HTTP頭、含有敏感資訊的冗長錯誤資訊造成的。除了要安全設定所有的作業系統、架構、庫、應用外,還要及時進行系統更新和更新。
<b>A7:2017-跨站腳本攻擊(XSS) </b>
當應用程式在新網頁中包含不受信任的資料而無需正确的驗證或轉義時,或使用可以建立HTML或者JavaScript的浏覽器API并使用使用者提供的資料更新現有網頁就會發生XSS缺陷。XSS允許攻擊者在受害者的浏覽器上執行腳本,進而劫持使用者會話、危害網站、或者将使用者轉向惡意網站。
<b>A8:2017-不安全的反序列化 </b>
不安全的反序列化漏洞經常導緻遠端代碼執行。即使反序列化錯誤不導緻遠端代碼執行,也可以被用于發起攻擊,例如重播攻擊、注入攻擊和權限提升攻擊等。
<b>A9:2017-使用含有已知漏洞的元件 </b>
元件,比如庫、架構和其他軟體子產品,是與應用相同權限運作的。如果一個有漏洞的元件被利用,這種攻擊可以造成更為嚴重的資料丢失或伺服器接管。使用已知漏洞元件的應用和API可能會破壞應用程式的防禦系統,并使一系列可能的攻擊和影響成為可能。
<b>A10:2017-不完善的日志記錄和監控 </b>
記錄和監控不足,加上沒有與應急響應有效的結合,讓攻擊者可以進一步攻擊系統、篡改、提取或者銷毀資料。大多數的資料洩露研究顯示,通常要經過200天以上,使用者才能察覺到資料洩露事件的發生,而且往往是外部機構而不是内部的監控系統發現資料洩露的事實。
<b>概要:</b>2017年10月30日,Mongodb資料庫爆出記憶體破壞漏洞 ,CVE編号CVE-2017-15535,攻擊者可以利用此問題導緻拒絕服務條件或修改記憶體。由于這個問題的性質,代碼執行可能是可能的,但這還沒有得到證明。MongoDB
Mongodb 3.4.10 以下受影響,MongoDB Mongodb 3.6.0-rc0也受影響。
<b>點評:</b>由于在2017年上半年,多次發生MongoDB被黑客資料勒索對象,為了業務安全,建議企業關注MongoDB漏洞,及時修補漏洞,防止發生資料被删除等嚴重影響業務穩定性的安全事件。 開發人員可以檢查是否使用了受影響版本範圍内的MongoDB。
<b>漏洞修複建議(或緩解措施): </b>
<b></b>
·
目前官方已經釋出新版本,建議更新到3.4.10版本以上修複該漏洞;
<b>訂閱 NEWS FROM THE LAB</b>
<a href="https://yq.aliyun.com/teams/119?spm=5176.100244.0.0.SRRqRC" target="_blank">雲栖社群專欄擷取最新資訊</a>
<a href="https://weibo.com/p/1008081c9287a684f5322d71f11c3a9dc406e6?k=%E5%85%A8%E7%90%83%E5%AE%89%E5%85%A8%E8%B5%84%E8%AE%AF%E7%B2%BE%E9%80%89&from=501&_from_=huati_topic" target="_blank">微網誌專欄擷取最新資訊</a>
<a href="https://www.yidianzixun.com/channel/m236274" target="_blank">一點号擷取最新資訊</a>
掃碼參與全球安全資訊精選
讀者調研回報
掃碼加入THE LAB讀者釘釘群
(需身份驗證)