开发者社区> 觉宇> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

游戏安全资讯精选 2017 年第一期:流量攻击态势严峻,微软7月漏洞汇总和修复建议

简介: 20多种BankBot移动恶意软件应用程序,潜伏在Google Play中,阿里云发布游戏行业DDoS态势报告(2017年上半年),微软七月份漏洞列表,其中有19个漏洞评为严重级别,Oracle发布多个Java漏洞,手游公司安全负责人谈游戏安全方法论
+关注继续查看

 

0e2605beda5386c9bd151bbc132da6d1279b929d



首期寄语


 

在互联网从业20年,目睹了互联网攻防问题的不断演变。以安全为例,到了今天,它不再只是攻防对抗:安全向云上演进,融入了像AI、机器学习等新科技,也深入到了各个行业,游戏就是其中之一。



对于游戏行业,和每一个行业的安全决策者来说,一份及时更新的全球资讯,与本行业高相关的安全动态,是我们工作的参考,也可以提升我们的眼界。

 

我们不仅希望为游戏行业的用户,提供可靠的计算和安全服务,也希望能成为行业内值得信赖的伙伴,帮助游戏行业的安全决策者,把安全这件事儿做好,也把行业安全的全球局势摸透。

 

      阿里游戏云总监 马全治

 


【本周头条】


 

20多种BankBot移动恶意软件应用程序,潜伏在Google Play中。点击查看原文

 

 

概要:恶意软件可以绕过控制,渗透到Google Play等应用商店中,并且长期“寄居”在此,BankBot就是其一。

 

BankBot恶意软件从2017年1月开始兴起,多存在于Andriod设备中。它以小工具和正常应用程序为幌子进行渗透。即使平台发现和移除这些应用程序,Bankbot仍然会继续感染。新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,最终非法入侵用户互联网账户系统。

 

点评:恶意应用程序的作者为什么会选择游戏应用商店呢?首先是成本的节省,他们不必在恶意软件的发行上投资,也不用发送大量的恶意电子邮件,只需要“顺着正常App”感染系统;第二,恶意应用程序会在应用商店中获得更多曝光,游戏App的下载量也较高。

 

 

【游戏安全动态】


 

阿里云发布游戏行业DDoS态势报告(2017年上半年)。点击查看原文

 

 

概要:(1)在针对游戏行业的所有流量攻击中,tcp flood和udp flood攻击最严重,分别占28%和22%;(2)2017年1月至6月,游戏行业大于300G以上的攻击超过1800次,最大峰值为608G;游戏公司每月平均被攻击次数为800余次;(3)94%的攻击源位于国内(4)4%的攻击持续6小时至24小时之久。

 

点评:阿里云安全团队分析发现,游戏行业DDoS攻击的主要起因是行业恶性竞争和黑客恶意骚扰。其中,棋牌行业逐渐成为DDoS流量攻击的重灾区。因业务投入大、生命周期短、攻击薄弱点多等问题,游戏行业在流量攻击防御上会比其他行业面临更多挑战;目前比较适用的解决方案,主要为架构的优化、服务器加固、和商用DDoS缓解方案。

 

 

 

【相关安全事件】

 

微软七月份漏洞列表,其中有19个漏洞评为严重级别。点击查看原文


 

点评:游戏行业Windows服务器占比较多,建议遵守以下最佳的安全规则。 尽快安装微软发布的补丁程序,在保持功能的前提下,将所有运行软件的权限设为最小,避免处理来自未知来源或可疑来源的文件,切勿访问完整性未知或可疑的网站,阻挡所有重要系统网络周边的外部访问,除非其是指定所需的访问。可通过以下链接查询微软2017年7月发布的漏洞总结: https://portal.msrc.microsoft.com/en-us/security-guidance 

 

 

Oracle发布多个Java漏洞(7月更新)。点击查看原文


 

概要:Oracle官方发布了2017年7月份的安全公告,安全公告中报告了多个漏洞,远程用户可以访问和修改目标系统上的数据,或可以在目标系统上获得提升的权限,或导致目标系统上的拒绝服务,涉及到的安全漏洞较多,安全风险较高。

 

点评:漏洞利用条件和方式是远程利用或本地利用。漏洞影响范围涉及Java 6 Update 151,Java 7 Update 141,Java 8 Update 131。开发人员可以自查Java版本是否在受影响版本内。目前官网已经发布最新版本修复该漏洞,阿里云安全团队建议及时更新。点击查看官方漏洞公告。


【云上视角】


 

手游公司安全负责人:在安全管理的Hard模式中,当一个好“玩家” 。点击查看原文


 

概要:手游公司安全负责人谈及如何平衡服务的稳定,同时保证交互体验。对于游戏公司的安全团队来说,肩负的责任除了系统的稳定、可用,数据的安全、保密之外,还有每一个玩家的体验流畅度,这让游戏行业的安全管理变成了“Hard模式”。

 

点评:在业务快速增长的时候,安全的方法论不再是单点防御,而应是整体预防。作者谈到了在反外挂、账户安全、Web安全、DDoS防御上面的经验和架构;除此之外,作为安全负责人,增强自身的管理能力和知识的全面性也同样重要。




期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。




029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
web安全攻击方法流量分析
web安全攻击方法流量分析
80 0
Serverless容器与基于流量模式的自动扩缩
Serverless和Service Mesh是两种流行的云原生技术,客户正在探索如何从中创造价值。 随着我们与客户深入研究这些解决方案,问题经常出现在这两种流行技术之间的交集以及它们如何相互补充上。我们能否利用 Service Mesh 来保护、观察和公开我们的 Knative 无服务器应用程序?本文试图解释如何在一个托管的服务网格技术平台上支持基于Knative的Serverless容器, 以及基于流量模式的自动扩缩能力。
514 0
国内首篇云厂商 Serverless 论文入选全球顶会:突发流量下,如何加速容器启动?
FaaSNet 是国内首个云厂商在国际顶级会议发表 Serverless 场景下应对突发流量的加速容器启动技术的论文。
2205 0
Web安全系列(一):XSS 攻击基础及原理
跨站脚本攻击(XSS)是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理,下一章(XSS 攻击进阶)将深入讨论 XSS 进阶攻击方式。 本系列将持续更新。 XSS 简介 XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSS。
2986 0
游戏安全资讯精选 2018年第二期:游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击
游戏行业年度白皮书;手游外挂、直播答题安全风险解析,近30%外挂手游存在致命安全问题,八招应对短信验证码攻击
2517 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
浅析WAF防御机制的非主流技术
立即下载
双十一电商行业 网站用户体验报告
立即下载
2016钱盾安全报告(8月版)
立即下载