一起有組織的網絡攻擊事件預警 | 内附企業網絡安全建設實用指南

近期，阿裡雲安全團隊發現一起針對電商行業的勒索事件，其手法是以對攻擊目标發起 CC 攻擊為威脅，要求企業支付一定贖金。大部分拒絕支付的企業都遭受到了不同程度的 CC 攻擊。

在協助受攻擊使用者進行排查的過程中，阿裡雲安全團隊發現這次攻擊事件具有以下特征：

目标明确<b>，</b>目前大部分受到攻擊的目标為電商企業。

攻擊迅猛<b>，</b>排查中發現，針對受攻擊目标的CC攻擊攻擊最大已達到60W qps，相當于60萬人同時通路對伺服器造成的負荷。

具有一定的持久性，根據客戶回報，攻擊者的首次攻擊被阿裡雲雲盾Web應用防火牆成功防禦了後，攻擊者再次發送勒索資訊，表示會繼續進行攻擊。

是以推斷，本次事件有較大可能為一次有組織的團夥勒索事件。

此次攻擊事件的影響非常惡劣，電商企業需格外注意，提前做好應對攻擊的防禦方案，避免因為攻擊遭受損失。

攻擊事件相關分析

什麼是CC攻擊？

CC攻擊是DDoS攻擊的一種，其原理就是攻擊者控制某些主機不停地發大量資料包給對方伺服器造成伺服器資源耗盡，一直到當機崩潰。會直接造成業務不可通路的，對企業有非常大的影響。

如何抵禦CC攻擊？

發生攻擊時通過日志找到目前通路頻率較高的IP和URL，然後對高頻IP進行封禁。

檢查User-Agent、URL、Cookie、Referer等字段，識别惡意請求并封禁。

對高頻通路頁面，增加人機識别政策，如驗證碼、JS校驗等。

使用專業的網絡安全産品應對攻擊，是非常高效的解決方案，現在已有不少專業的網絡安全防禦産品都具備防禦CC攻擊的能力。

以阿裡雲·雲盾Web應用防火牆（後簡稱阿裡雲·雲盾WAF）為例，針對此次CC攻擊事件，使用者使用阿裡雲·雲盾WAF成功抵禦攻擊，避免了攻擊對業務造成影響。阿裡雲·雲盾WAF通過精準防護控制，對惡意通路進行了阻斷；同時攻擊檢測模型通過機器學習對曆史流量模組化，在遭受攻擊後能夠自動生成攻擊者攻擊的URL、防護門檻值資訊，對針請求頻率異常IP進行人機校驗，阻斷了攻擊流量。

通過對攻擊事件進行深度分析，一個使用者被攻擊之後，攻擊源、攻擊特征、防護政策可以快速應用到同行業的其他使用者上，實作協同防禦能力。應對此類針對某一行業的攻擊事件，阿裡雲·雲盾WAF的協同防禦能力能夠幫助使用者快速反應并進行精準防禦。

年末為何網絡攻擊頻發

随着一年工作總結時刻即将到來，很多企業會選擇在年末進行營銷活動，為即将過去的一年做最後的工作沖刺。

活動期間，企業的業務流量遠高于平時，此時若發生網絡安全事故，企業遭受的影響也會非常大。是以有不少有惡意目的攻擊者會選擇在年末時段發起攻擊。

從近期的安全事件與攻擊趨勢看，除了CC攻擊，通過應用程式漏洞如反序列化漏洞、資料庫未授權通路等，導緻的勒索、挖礦入侵事件發生頻率也呈明顯的上升趨勢。

安全專家提醒，年末，企業在保障業務正常運作的同時，也需要提高對網絡安全的重視，做好網絡安全建設工作。

企業網絡的安全建設實用指南

定期備份資料

建議企業開啟鏡像和快照，每天進行備份，并儲存3份以上的版本。這樣即使遇到勒索軟體病毒入侵，也可以迅速恢複到1天前的業務資料。

對伺服器進行合理的安全域規劃

采用VPC服務，隔離不同租戶間業務應用。

同時将不同安全級别的伺服器，劃分到不同的安全域。以免低安全域的伺服器中招後，感染高安全域的其它伺服器。

服務密碼和遠端通路權限管理

伺服器的密碼建議至少8位以上，同時必須包含複雜的字元。

不向外網直接開放伺服器的遠端通路權限。 

伺服器對外隻開放必要的端口，控制伺服器的主動外聯通路

可以在VPC 網關處的防火牆，或阿裡雲安全組防火牆上，設定伺服器對外通路端口。

隻開放必要的端口，減少攻擊面，保護伺服器的安全。 

Web應用漏洞的防護 

建議自建網站的企業選擇相應的安全産品過濾可能出現的海量惡意通路，避免網站資産資料洩露，保障網站的安全與可用性。

防病毒管理

在雲伺服器上安裝最新商業的反病毒和惡意軟體檢測軟體。

建設安全應急響應能力

再完善的安全建設也不能保證百分百的網絡安全，發生安全事件時快速響應與抵禦入侵的能力也非常重要。大型營銷活動期間，尤其應該做好安全應急響應的工作準備。

使用适宜的安全産品

使用專業的網絡安全産品也是應對攻擊的一種有效方案。年末，許多網絡安全服務商也會有促銷活動，此時根據需要購買專業的網絡安全産品，不僅可解年末網絡攻擊泛濫的燃眉之急，還能享受到優惠的價格。

原文釋出時間為：2017-12-11