計世網

騰訊安全團隊披露:醫療、教育、電商行業近期成黑客重點攻擊對象
作者:騰訊科技 | 來源:騰訊科技
2020-02-28
騰訊安全平臺部天幕團隊聯合騰訊云安全、桌面安全產品、云鼎實驗室、安全專家咨詢等團隊,共同推出了針對云上業務的網絡攻擊趨勢解析。

 


  新冠肺炎疫情期間,大量企業依托云實現了遠程辦公、信息發布及各類研發業務的快速上線和迭代。在享受云帶來的業務彈性高效交付的同時,企業面臨的安全風險也如影隨形,云服務使用過程中的不當安全配置,很容易成為黑客的重點“攻擊面”。

針對疫情期間的網絡安全動向,騰訊安全平臺部天幕團隊聯合騰訊云安全、桌面安全產品、云鼎實驗室、安全專家咨詢等團隊,共同推出了針對云上業務的網絡攻擊趨勢解析,并為企業如何做好遠程辦公的網絡安全防護進行支招。

醫療、教育、電商行業成黑客重點攻擊對象

春節前期是大多數企業的“封網”時期,也正是黑客的“騷動期”。據介紹, “封網”期間安全策略更新的時效性較平日差,因此引來黑客試圖乘虛而入,攻擊量達到高峰節點。

而在春節過后,眾多企業開啟遠程辦公模式,一本(字典)萬利(權限)的認證暴力猜解成為黑客最常采用的攻擊手段。
 


RDP\SQL Server成熱門暴力拆解目標,隨年關返工潮突增

醫療行業在此次疫情中扮演著重要角色,大量前沿互聯網醫療技術被用于抗疫一線,云上醫療行業因此迎來井噴式發展。但與此同時,醫療行業也面臨著前所未有的網絡安全威脅。在往年開工日正月初七(1月31日)這天,網絡黑客對醫療行業的攻擊達到了單日80萬次的高峰。Windows生態中的遠程桌面服務RDP和數據庫服務SQL Server成為占絕對大頭的“軟柿子”。

從攻擊來源上看,針對云上醫療行業客戶的認證暴力猜解攻擊超過70%來自境外125個國家。因為日益趨嚴的機房管控措施,美國成為攻擊源的“冷門片區”,而印度、俄羅斯、越南則躍居前列,成為最主要的黑客攻擊來源地區。
 


認證暴力猜解攻擊源:境外異常活躍,美國成冷門片區

此外,醫療行業客戶上線抗疫小程序時需要注意等保三級合規,數據安全更需要注意。騰訊云安全團隊表示,數據安全審計與堡壘機的組合能夠預防大多數外部數據攻擊和內部數據竊密,對數據庫的訪問進行有效審計。

新冠疫情之下“停課不停學”的號召,為在線教育行業注入催化劑。相對于傳統的醫療行業,在線教育行業由于激增的線上教學需求,在業務研發上更加“激進”,這也帶來了第三方組件濫用的風險,高危漏洞頻出的ThinkPHP、Struts2、RDP成為黑客近期攻擊教育行業的“突破口”。針對教育行業的Nday漏洞攻擊源絕大部分來自境內。由于此類手法“動靜”較小,加上國內撥號IP資源集中的現狀,動態秒撥IP技術是攻擊慣用手段。

疫情期間電商行業成為黑客“趁火打劫”的目標對象,黑客針對云服務主機,每日發動千萬次爆破攻擊、頻繁更新挖礦木馬、勒索病毒等新變種,破壞企業核心業務正常運行,竊取用戶機密數據,并對數據進行加密勒索,給企業帶來巨大損害。攻擊手段也從原來單純的Web攻擊開始轉向信息竊取售賣、“薅羊毛”非法獲利等形式,而較高的訪問頻次和多端口流量需求也對電商行業的安全防護提出了更高的可靠性要求,構建云主機和Web應用體系尤為重要。

遠程辦公場景下的網絡安全防護建議

針對無處不在的網絡安全威脅和日趨猛烈的黑客攻勢,騰訊安全團隊提出以下安全建議,助力企業安心抗疫,保障核心業務安全。

企業在特殊時期更需重視安全策略的響應效率,避免對止損時效性的人為松懈或客觀限制。除具備實時網絡流量分析能力外,企業應重視實時阻斷網絡攻擊能力建設,降低依賴人為運營變更策略的時間差風險。天幕團隊通過對網絡流量的實時分析和旁路阻斷技術,實現對數據中心邊界處的網絡防御,并支持API化的功能配置,方便企業集成到現有安全系統中實現響應與處置,提升整體安全防御效果。

其次,要形成“未攻先防”的先機意識。由于極低的遷徙成本,黑客能夠隨時隨地發起攻擊,并且能夠向利于發起攻擊且看似“冷門”的位置轉移,這就為企業網絡安全防護帶來了更大挑戰。企業應該即刻開始審視掌握的威脅情報數據,維度豐富性,以及更新時效性,避免安全分析落入盲區。在網絡安全防護上變被動為主動,打造“未攻先防”的先機策略,降低被攻擊風險,為業務安全布下堅固的網絡“防火墻”。

再次,遠程辦公是企業網絡邊界的模糊時期,企業需要提早預知對外暴露的脆弱點,全面布控網絡邊界認證入口,阻斷網絡異常行為。企業亦應同時重視實時資產盤點能力,網絡流量除了可以監控網絡攻擊外,也是幫助企業實時測繪資產關聯與盤點資產指紋的利器。云安全團隊專家提醒,多點容災備份,當某臺服務器異常時,通過域名解析快速調度; 接入專業的DDoS高防和專業的支撐團隊,攻擊流量要被秒級檢測和清洗,保證業務的連續性是非常有必要的。

同時,AI模型在網絡安全防護中也發揮非常關鍵的作用。據團隊介紹,利用云戰場中安全防護經驗和多維度威脅情報大數據的優勢,對AI模型的長期訓練與調優,是他們能夠多次在重保戰場中精準發現各類攻擊繞過手法的關鍵原因。安全團隊在持續對抗的戰場中利用AI算法結合大數據訓練,補齊傳統策略泛化能力的先天不足,才能緊跟黑客技術的演化。

針對云上部署的相關業務,騰訊桌面安全產品團隊建議企業建立云原生的“CMDB”,做好業務基礎設施資產的實時自動化盤點,并對云產品的原生安全配置進行自動化的定期檢查與及時加固,縮小云上“攻擊面”。同時,由于云上頻繁變化的環境和無處不在的安全威脅,企業也要及時建立威脅事件的自動化響應機制,提高威脅響應處置。并建立云原生的安全運營平臺,打通隔離的數據與流程,實現“事前-事中-事后”的全流程安全保障,并通過安全可視化能力,提升威脅感知、響應處置和安全管理效率。

據騰訊安全專家咨詢團隊介紹,特殊時期企業需要重點關注線上數字化業務的三類安全問題:未授權訪問類、信息泄漏類和數據加密類,尤其需要關注最新的安全威脅情報,及時修復最近披露的公用組件漏洞,如Apache Tomcat等,并升級IDS、IPS產品規則庫,同時把組件更新至最新版本。

責任編輯:倪穎