疫情欺詐郵件,DDos卷土重來,web自動化攻擊,第三方腳本攻擊……
特殊時期,各路公司無不擔憂疫情對業(yè)績的影響,但總有一些公司能夠在逆境中把握市場確定性,實現(xiàn)業(yè)務的逆勢增長。Akamai就是這樣一家公司:2020年第一財季營收同比增長8%,第二財季增長13%。
為什么Akamai的業(yè)績能夠如此搶眼?云安全解決方案在第一財季帶來的收入同比增長26%,第二財季增長27%。毫不夸張的說,云安全解決方案已經是公司業(yè)績增長的第一驅動力。
這家一度以第一大CDN企業(yè)形象出現(xiàn)的公司,在5個Forrester Wave 報告中,在不同安全領域都躋身Leader的行列。這5個報告分別是Web Application Firewalls(WAF), Q1 2020;Bot Management, Q1, 2020;Zero Trust eXtended Ecosystem Providers, Q4 2019;DDoS MitigationSolutions, Q4 2017;Customer Identity & Access Management, Q2 2017。也就是說依托應用層防火墻、爬蟲管理、下一代零信任企業(yè)安全解決方案、分布式拒絕服務(DDoS)防范、用戶身份/訪問管理這5個維度,Akamai已經構建了一套全方位的云防護體系。
疫情時期的安全攻擊
從企業(yè)的角度來看,在疫情期間安全控制經歷了三個階段:第一階段,保持以往的工作模式,利用已有知識和資源來維持這一工作模式;第二階段,突然意識到當前做法會惡化安全漏洞的暴露。為此,安全團隊忙于查缺補漏;第三階段,重新思考如何回到新的正軌上,積極采用零信任策略,盡可能弱化甚至透明化辦公地點對用戶體驗的影響。
到了第三個階段,云防護的價值更加凸顯,因為安全形勢更為嚴峻。總體上來說,疫情催生了更多的攻擊面:一方面是原來在企業(yè)內部的終端現(xiàn)在都直接暴露在互聯(lián)網上,通過互聯(lián)網遠程的方式去接入,這就會產生更多的攻擊面。另一方面是由于遠程辦公,很多互聯(lián)網業(yè)務,甚至一些企業(yè)內部的業(yè)務都暴露在互聯(lián)網上。這導致在疫情下,攻擊的方式更加多樣化,攻擊的頻次和復雜程度都會越來越高,混合型的攻擊越來越多,企業(yè)容易陷入“內外夾擊”的困境,內部的脆弱性和外部的威脅性都在增強。從攻擊本身來看,它們也呈現(xiàn)出四個新特點。
首先是大規(guī)模、復雜的DDoS攻擊卷土重來,在規(guī)模、頻率和持續(xù)時間上都令人防不勝防。2018年被嚴打的DDoS攻擊一度淡出人們的視野,但2020年它來勢洶洶,多家廠商在疫情期間均遇到過Tbps級別的DDoS攻擊;6月,Akamai先后報告兩起令人瞠目結舌的事件:化解針對某英特網托管服務供應商的流量為1.44 Tbps的攻擊,該攻擊有著9個不同的模式,持續(xù)了近2個小時;成功對抗其平臺上有史以來最大每秒數(shù)據(jù)包(每秒8.09億個包)的DDoS攻擊,是之前最高記錄的兩倍多。
其次是針對Web應用的攻擊進化為更加隱秘的自動化攻擊。根據(jù)Akamai的統(tǒng)計,以網頁、API和網絡為目標,Web層面的攻擊比去年增長了42%,深受其害的是電商、高科技等行業(yè)。其中最令人深惡痛絕的是針對高價值目標的撞庫攻擊,其頻次同比翻番。Akamai展示了一個案例,一個游戲行業(yè)的用戶遭受了長達60天的爬蟲攻擊,惡意爬蟲請求和惡意登錄請求均達上億次。
再次是新型第三方腳本攻擊開始流行。這類攻擊抓住許多網站為了提高交互能力和用戶體驗的契機,瞄準容易被疏忽的界面進行攻擊,即在瀏覽器端對用戶提交的數(shù)據(jù)進行攔截和劫持,這對因為疫情而成為常態(tài)的遠程辦公和遠程交易危害極大,而且又因為第三方腳本的訪問鏈長且復雜,這類安全攻擊的影響面往往很大。Akamai表示,Web盜用在今年增長了26%。英航就因為一次此類攻擊使得超過30萬名用戶的敏感數(shù)據(jù),包括個人身份、信用卡等信息,被泄露。最后是打著疫情名號的欺詐郵件攻擊。此類攻擊利用人們對疫情主題的關注度和缺少防備心理,在很多國家和地區(qū)蔓延開來。根據(jù)Akamai的觀測,3月15日以來,受害者成倍增長,美國勞工部就被冒名發(fā)送過多封這樣的欺詐郵件。
穿上“防護服”
互聯(lián)網是脆弱的,在多樣化攻擊的威脅下,到底怎樣才能逃過一劫?
對DDoS攻擊,有效緩解需要從兩個方面入手:一是平臺規(guī)??梢赃m應日益增長的大流量攻擊;二是技術手段要跟上。Akamai采用主動防御的措施,提前探測,設置防護,在前面兩個創(chuàng)記錄的DDoS攻擊中實現(xiàn)了零秒緩解的承諾。對于針對Web應用的攻擊和爬蟲攻擊,Akamai設立了一個專門的研究團隊,分析并跟蹤這些攻擊的變異和轉型,以應對它們演化速度快的痛點。對于第三方腳本攻擊,Akamai強調頁面完整性,并提出了在企業(yè)邊緣端進行插碼來實現(xiàn)防護的整體方案。對于釣魚郵件攻擊,Akamai跟蹤用于構建釣魚網站和實施釣魚攻擊的工具箱Question Quiz,做到知己知彼,并在零信任安全架構中提供含有針對于企業(yè)防護的解決方案,包括通過在終端側的部署、通過DNS解析的方式去分析企業(yè)的終端和互聯(lián)網交互的行為,支持零日釣魚攻擊防護。對于整個信息安全行業(yè)經過疫情的特殊時期之后,Akamai基于過去20多年的精準技術研發(fā),重新思考如何部署安全控制、部署在哪里。深思熟慮之后,Akamai選擇把安全控制盡可能地部署到離終端用戶較近的地方,并為此構建了智能邊緣平臺。對用戶進行檢測,區(qū)分攻擊者和非攻擊者,并在終端進行決策分類,識別哪些流量來自攻擊者,哪些來自非攻擊者。通過這樣的分類讓用戶的整體業(yè)務流程變得非常順暢,即使不可避免地遭到一些漏洞的侵害,依然能夠非常穩(wěn)健地運行業(yè)務。