【最新活动】棋牌游戏用户五大DDoS优惠防护。点击查看原文
点评:游戏行业内,2016年,全球有记录的DDoS峰值已近600G,300G以上的DDoS攻击,在游戏行业内已经毫不稀奇。
为什么游戏会是DDoS攻击的重灾区呢?这里说几点主要的原因。
首先是因为游戏行业的攻击成本低廉,是防护成本的1/N,攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多,基本的静态防护策略无法达到较好的效果,也就加剧了这种不平衡。
其次,游戏行业生命周期短。一款游戏从出生,到消亡,很多都是半年的时间,如果抗不过一次大的攻击,很可能就死在半路上。黑客也是瞄中了这一点,认定:只要发起攻击,游戏公司一定会给“保护费”。
再次,游戏行业对连续性的要求很高,需要7*24在线,因此如果受到DDoS攻击,游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3天后,游戏公司的玩家数量,从几万人掉到几百人。
最后,游戏公司之间的恶性竞争,也加剧了针对行业的DDoS攻击。
【每周游戏行业DDoS态势】
【游戏安全动态】网络安全人才短缺是安全事件的根源,游戏行业为典型。点击查看原文
概要:ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。该项研究表明,网络安全技能缺乏所能导致的后果,远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。343位网络安全从业者(大部分是ISSA成员),被问及自家公司在过去2年中是否经历过安全事件,比如:系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认,他们的公司自2015年来经历了至少1起安全事件。值得注意的是,有34%的受访者回答称“不知道/不想说”,于是,实际经历了安全事件的公司占比,可能会比明确承认的比例高得多。
点评:在游戏行业内,安全专业人才短缺的现象普遍存在,游戏行业业务发展非常迅速,许多游戏公司有先往前跑,后再顾及安全的思维模式,而网络攻击带来的业务的损失往往猝不及防。
中国游戏业规模17年将突破2000亿,商机无限,但是另一方面,游戏业也成为黑产聚集地,属于攻击高发区,像DDoS攻击、游戏外挂、游戏盗号等每每发生,这样就使得安全人才在游戏行业更加紧缺,除了增加外部的安全防护外,也需要增加运维团队的安全意识和技能培训。
【游戏安全动态】最新十大Web安全隐患。点击查看原文
概要:四年之后,OWASP发布新版本OWASP Top10。OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
OWASP Top 10则是OWASP项目总结的10大最关键Web应用安全隐患列表。 OWASP多年来经历了几次迭代。 OWASP Top 10的版本分别在2004年,2007年,2010年,2013年和2017年发布。
与往年一样,注入仍然是应用程序安全风险的首要问题,但排名却出现了一些混乱,出现了三名新成员 - XML外部实体(XXE)、不安全的反序列化、不足的记录和监控。
A1:2017-注入
注入漏洞,包括SQL,NoSQL,OS,LDAP注入等,这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未被恰当授权时访问数据。
A2:2017-失效的身份认证
与认证和会话管理相关的应用函数经常被错误地应用,这就允许攻击者窃取密码、密钥、会话token,或者利用其他的应用错误来暂时或者永久地获取用户身份信息。
A3:2017-敏感信息泄露
许多web应用和API不能合理的保护敏感数据,比如金融、医疗数据和PII。攻击者可能窃取或篡改这些弱保护的数据进行信用卡诈骗、身份窃取或者其他犯罪。敏感数据需要额外的保护,比如在存放和传输过程中的加密,在与浏览器进行交换时也需要特殊的预防措施。
A4:2017-外部处理器漏洞(XXE)
许多过时的或者配置不当的XML处理器在XML文档内进行外部实体引用。外部实体可以被用来泄露内部文件,比如使用文件URI handler,内部文件共享,内部端口扫描,远程代码执行和拒绝服务攻击。
A5:2017-无效的访问控制
仅允许认证的用户的限制没有得到适当的强制执行。攻击者可以利用这些权限来访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等。
A6:2017-错误的安全配置
安全配置错误是常见的问题,这是不安全的默认配置、不完整或者ad hoc网络配置、开放云存储、错误配置的HTTP头、含有敏感信息的冗长错误信息造成的。除了要安全设定所有的操作系统、框架、库、应用外,还要及时进行系统更新和升级。
A7:2017-跨站脚本攻击(XSS)
当应用程序在新网页中包含不受信任的数据而无需正确的验证或转义时,或使用可以创建HTML或者JavaScript的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向恶意网站。
A8:2017-不安全的反序列化
不安全的反序列化漏洞经常导致远程代码执行。即使反序列化错误不导致远程代码执行,也可以被用于发起攻击,例如重放攻击、注入攻击和权限提升攻击等。
A9:2017-使用含有已知漏洞的组件
组件,比如库、框架和其他软件模块,是与应用相同权限运行的。如果一个有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。使用已知漏洞组件的应用和API可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响成为可能。
A10:2017-不完善的日志记录和监控
记录和监控不足,加上没有与应急响应有效的结合,让攻击者可以进一步攻击系统、篡改、提取或者销毁数据。大多数的数据泄露研究显示,通常要经过200天以上,使用者才能察觉到数据泄露事件的发生,而且往往是外部机构而不是内部的监控系统发现数据泄露的事实。
点评:OWASP Top 10项目对现有的安全问题从威胁和脆弱性进行可能性分析,并结合技术和商业影响的分析,输出目前一致公认、最严重的十类web应用安全风险排名,并提出安全解决方案和建议。Top 10是一个高度提炼的web安全最佳实践输出,现实的意义在于帮助和指导开发者、安全测试人员、web应用安全管理团队、运维团队,提高风险意识,降低业务系统安全风险。同时其对于安全厂商的产品能力提升也有指导意义。
对于企业业务系统Web安全风险管理以及企业整体信息安全建设,从来没有终点,我们希望云上用户关注对照此表利用好最佳实践,结合自身环境,多方位持续性的自查风险、改善,采取有重点的保护防范措施,在人、技术、流程三维度以提高业务系统安全性。
【相关安全事件】MongoDB内存破坏漏洞。点击查看原文
概要:2017年10月30日,Mongodb数据库爆出内存破坏漏洞 ,CVE编号CVE-2017-15535,攻击者可以利用此问题导致拒绝服务条件或修改内存。由于这个问题的性质,代码执行可能是可能的,但这还没有得到证实。MongoDB Mongodb 3.4.10 以下受影响,MongoDB Mongodb 3.6.0-rc0也受影响。
点评:由于在2017年上半年,多次发生MongoDB被黑客数据勒索对象,为了业务安全,建议企业关注MongoDB漏洞,及时修补漏洞,防止发生数据被删除等严重影响业务稳定性的安全事件。 开发人员可以检查是否使用了受影响版本范围内的MongoDB。
漏洞修复建议(或缓解措施):
· 目前官方已经发布新版本,建议升级到3.4.10版本以上修复该漏洞;
· 同时建议对安装部署完毕的MongoDB数据库进行手工安全加固 ,也可以使用安骑士基线功能自动检测,并根据检测结果进行加固。
订阅 NEWS FROM THE LAB
扫码参与全球安全资讯精选
读者调研反馈
扫码加入THE LAB读者钉钉群
(需身份验证)
