数据安全公司Imperva昨日发布研究报告称,网络应用程序每小时被攻击27次,约合每两分钟被攻击1次。在网络攻击活动的高峰期,有些网络应用程序每小时被攻击25000次,约合每秒钟被攻击7次(如图1)。这项研究用具体的数字证实了安全专家、政府和企业的共同感受:他们的网络总是不断地遭到攻击。
图1
当研究人员寻找恶意软件和攻击的载体时,他们往往会寻找接口或代码中的漏洞。最近爆发的几起重大数据失窃事件,就是电子邮件和数据系统等网络应用程序遭受黑客攻击的结果。黑客的目的就是利用自动攻击来寻找应用程序中的漏洞,进而破解应用程序,将数据直接转移到自己手中。
Imperva公司研究了从2010年12月到2011年5月之间发生的网络应用程序攻击事件,结果发现了这些攻击具有三个不同的特点:它们使用了四种不同的策略,它们都是自动进行攻击的,它们都来源于美国(如图2)。
Imperva称,61%的攻击活动源于美国的僵尸网络。但是,这并不意味着实施攻击的人就在美国。当僵尸网络的幕后操纵者准备攻击某个目标的时候,他们通常会选择离这个目标最近的电脑来实施攻击。因此,攻击活动源于美国的重要原因是许多美国人的电脑感染了恶意病毒,并因此成为了僵尸网络的一部分。例如,如果黑客想要攻击美国政府,那么僵尸网络的命令与控制中心就会激活最靠近华盛顿哥伦比亚特区的1000台电脑。此外,还有许多攻击来源于瑞典和法国等国家。
大量的攻击活动来源于僵尸网络的自动化攻击。Imperva公司称,这些攻击活动有一定的规律,首先是每小时高达几千次的密集攻击,接着攻击频率就会大大降低。实际上,这些不怀好意的黑客就是为了测试多个未知的漏洞,从而迅速地破解应用程序。如果一时间攻克不下来,他们就会转到其他的地方(这些黑客是出了名的捡软柿子捏。)他们发起自动攻击过后,还会折转回来再次寻找漏洞。
虽然Imperva 公司没有专门监测黑客组织 Lulz Security在6月的密集攻击活动,但是该公司指出,这个黑客组织的攻击活动规律与其研究的情况大致相当。对于普通公众来说,“黑客”是一个神秘的词汇。他们只知道,黑客实施的攻击活动是一些复杂的电脑活动,会导致某些数据被盗。但是,安全专家认为,黑客的攻击活动主要有四种类型(如图3),包括路径遍历(directory traversal),跨站点脚本(cross-site scripting),SQL注入(SQL injection)和远程文件包含(remote file inclusion)。这些攻击活动分为两个阶段:扫描阶段和攻击阶段。在扫描阶段,攻击者可能会利用路径遍历和跨站点脚本;在攻击阶段,黑客可能会利用SQL注入或远程文件包含进行攻击。
总体而言,Imperva公司的研究报告全面描述了高级持续威胁(advanced persistent threat,简称APT)的大体情况。该公司建议政府机构和企业要了解如何阻止自动攻击,并主动“扫描”自己的系统,找出已知的漏洞。如果企业知道他们自己的安全漏洞,并多与安全社区交流,那么它们就能抵挡住APT攻击,并最终击败黑客的网络犯罪活动。
- 相关阅读:
- ·调查:90%网站会将访客信息泄露给第三方
//net.zol.com.cn/551/5518159.html - ·第三季度DDoS攻击翻倍 目标直指应用层
//net.zol.com.cn/551/5513712.html - ·别在乎流量了 小心免费WiFi的钓鱼攻击
//net.zol.com.cn/549/5495605.html - ·调查:中小企业面临更大的网络攻击威胁
//net.zol.com.cn/545/5459117.html - ·怎样才称得上宽带? 调查显示起码10Mbps
//net.zol.com.cn/545/5451028.html