开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云安全发布2015年度态势感知报告 预警撞库攻击

简介: 本文讲的是阿里云安全发布2015年度态势感知报告 预警撞库攻击,阿里云安全发布2015年度态势感知报告 预警撞库攻击
+关注继续查看

本文讲的是阿里云安全发布2015年度态势感知报告 预警撞库攻击,阿里云安全发布2015年度态势感知报告 预警撞库攻击

4月12日,阿里云安全团队正式对外发布《2015年度云盾态势感知报告》(以下简称《报告》)。

此次《报告》主要聚焦数据中心云计算用户面临安全问题,包括高级持续威胁、定向Web应用攻击、面向系统的暴力破解以及主机恶意文件等四个方面。

同时,分享了2015年度互联网Web安全方面的研究和发现,重点对新型威胁——“撞库”攻击进行了分析,并发布撞库攻击预警。

新型Web网站入侵手段——“撞库”受攻击者青睐

整体来看,2015年互联网Web安全形势不容乐观。根据《报告》,Web应用攻击总体呈现上升趋势,全年攻击次数超过80亿次。按季度进行统计,从第一季度不到6亿次/月上升到第四季度高于8亿次/月。在双十一当天,Web应用攻击达到了全年的峰值8000万次/天。

image

具体到黑客的攻击手段,阿里云安全团队通过对大量攻击数据和案例的分析发现,一种新型的Web网站入侵手段——“撞库”逐渐受到攻击者的青睐,值得云计算用户重点关注和防范。

撞库攻击,通俗地讲就是黑客拿着互联网上所谓的“社工库”(里面包含上亿用户名和登录密码)对网站用户登录界面不停的尝试登录,只要有一次匹配成功,就可以进入用户系统。虽然表面上看上去像博彩票,实质上随着社工库规模的壮大和精准度的不断完善,成功率较传统暴力破解攻击已有质的提升。

当前,阿里云云盾系统监控的“撞库”事件日均数量达数千起,平均每起攻击事件包括数千次撞库登录请求,而在这些事件中,账号密码组合去重后仍有几十万对,足见攻击者已经具备了完善和庞大的社工库。

金融、游戏行业是黑客攻击重灾区

过去一年,在经常遭遇撞库攻击的网站里,排名前三的行业分别为金融(19.68%)、社区论坛(16.03%)、游戏(13.87%),几乎占据了全部攻击的一半,接着为影音娱乐、教育、新闻、广告、旅游等行业。

image

阿里云安全专家预测,2016年,随着互联网金融的蓬勃发展,金融类网站可能仍然是黑客首要攻击目标,针对金融类网站的撞库攻击将越来越多,风险形势将加剧。

忽略态势感知告警 客户遭遇撞库攻击

在2015年年末,阿里云安全团队接到用户求助,其运营网站的大量用户账号被恶意登陆,部分用户账号内的代金券和余额被黑客消费。

安全专家立即配合客户进行安全响应,在云盾态势感知系统中发现曾经检测到了来自黑客的撞库攻击,请求有数百万之多。询问得知,客户认为其登陆页面增加了验证码挑战便可防御黑客的自动化脚本登陆,忽视了撞库攻击的可能,从而对来自态势感知的告警采取了忽略的态度。

经过进一步的深入调查,黑客持有一份数百万条用户账号和明文密码数据库,这个数据库和之前某门户网站数据泄露有关。

同时黑客购买了大量的代理服务器,绕过网站对登陆次数限制和风控策略。结果是,在网站管理者看来,就像不同的用户在登陆,很难察觉到异常。最关键的一点,黑客用到了“打码平台”,这种平台提供人工或者智能识别验证码技术,黑客只需要交纳一定费用,就可以实现高效的破解验证码。

image

叶敏解读:如何更好的防御黑客撞库攻击

阿里云云盾安全攻防团队负责人叶敏认为,“撞库攻击表面看非常简单,但是黑客依托高效率扫号软件(自动化尝试登录的软件),能够每秒钟用几十对帐号密码组合尝试登录,在一个小时内就可以尝试近10万个帐号密码组合,潜在的风险还是相当高的。与传统暴力破解攻击相比,用于撞库的用户名和密码均是有人使用过的组合,再次被使用的可能性很高。对比另一种采用类似攻击手段的暴力破解攻击,由于撞库攻击的账号密码组合比暴力破解字典的精准度高,因此攻击的效率和效果比暴力破解高很多。”

事实上,“撞库”攻击只是在瞬息万变的互联网和云计算安全发展背景下众多新型安全威胁中的一个代表。对于此类攻击的防御,由于攻击一方无论在手段的丰富程度上,还是攻击源的开放性,或是攻击效率提升上(自动化)均有了不小的发展,传统以基于特征为核心的阻断和防御策略已经不再适合,数据驱动安全已成共识,只有在基于大规模安全数据被有效挖掘、关联和分析的基础上才能真正看到和处置威胁。

站在用户的立场看,无论是机器学习方法进行自动侦测异常行为,还是大数据技术提高扩展性、灵活性以及处理性能,这些“高大上”的手段最终目的是让企业减少处理繁缛的数据源、规则和事件的成本,让IT运营部门受益。

原文发布时间为:四月 12, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/14902.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云安全产品之态势感知|学习笔记
快速学习 阿里云安全产品之态势感知
201 0
阿里云新品发布会周刊第127期 丨 阿里云弹性计算年度峰会
新产品、新版本、新技术、新功能、价格调整,评论在下方,下期更新!关注更多新品发布会!
301 0
“安全感”要看得见,阿里云安全产品沙龙落地上海
WAF、云防火墙、云安全中心, 号称云安全入门三剑客, 出道近20年想必云安全圈子都不陌生。
25 0
阿里云产品-2020 年度特刊
一文了解2020年阿里云产品发生了哪些产品大事件。
185 0
阿里云产品年度盘点
我们经历了从数字抗疫到复工复产,从核心技术探索到数字化深入产业;这一年,阿里云升级至2.0时代,数字化进程在不断加快;这一年,阿里云产品家族也在不断深耕,366天,200+产品,1500+产品功能迭代优化,不断奔跑前行。
1889 0
说起安全,阿里云总裁胡晓明为何愤懑又自信?
6月10日,上海云栖大会专访环节,阿里云总裁胡晓明对夸克点评一众媒体如是说。 然后,他说了声抱歉,很快离开采访室,去了阿里投资者那边。 在集团业务高管群体里,他称得上帅哥。既温和,又常常喜怒形于色。
2541 0
+关注
9363
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载