疫情時(shí)期，信息安全攻擊呈現(xiàn)四大變化

疫情欺詐郵件，DDos卷土重來(lái)，web自動(dòng)化攻擊，第三方腳本攻擊……

特殊時(shí)期，各路公司無(wú)不擔(dān)憂疫情對(duì)業(yè)績(jī)的影響，但總有一些公司能夠在逆境中把握市場(chǎng)確定性，實(shí)現(xiàn)業(yè)務(wù)的逆勢(shì)增長(zhǎng)。Akamai就是這樣一家公司：2020年第一財(cái)季營(yíng)收同比增長(zhǎng)8%，第二財(cái)季增長(zhǎng)13%。

為什么Akamai的業(yè)績(jī)能夠如此搶眼？云安全解決方案在第一財(cái)季帶來(lái)的收入同比增長(zhǎng)26%，第二財(cái)季增長(zhǎng)27%。毫不夸張的說(shuō)，云安全解決方案已經(jīng)是公司業(yè)績(jī)?cè)鲩L(zhǎng)的第一驅(qū)動(dòng)力。

這家一度以第一大CDN企業(yè)形象出現(xiàn)的公司，在5個(gè)Forrester Wave 報(bào)告中，在不同安全領(lǐng)域都躋身Leader的行列。這5個(gè)報(bào)告分別是Web Application Firewalls（WAF）, Q1 2020；Bot Management, Q1, 2020；Zero Trust eXtended Ecosystem Providers, Q4 2019；DDoS MitigationSolutions, Q4 2017；Customer Identity & Access Management, Q2 2017。也就是說(shuō)依托應(yīng)用層防火墻、爬蟲管理、下一代零信任企業(yè)安全解決方案、分布式拒絕服務(wù)（DDoS）防范、用戶身份/訪問(wèn)管理這5個(gè)維度，Akamai已經(jīng)構(gòu)建了一套全方位的云防護(hù)體系。

疫情時(shí)期的安全攻擊

從企業(yè)的角度來(lái)看，在疫情期間安全控制經(jīng)歷了三個(gè)階段：第一階段，保持以往的工作模式，利用已有知識(shí)和資源來(lái)維持這一工作模式；第二階段，突然意識(shí)到當(dāng)前做法會(huì)惡化安全漏洞的暴露。為此，安全團(tuán)隊(duì)忙于查缺補(bǔ)漏；第三階段，重新思考如何回到新的正軌上，積極采用零信任策略，盡可能弱化甚至透明化辦公地點(diǎn)對(duì)用戶體驗(yàn)的影響。

到了第三個(gè)階段，云防護(hù)的價(jià)值更加凸顯，因?yàn)榘踩蝿?shì)更為嚴(yán)峻。總體上來(lái)說(shuō)，疫情催生了更多的攻擊面：一方面是原來(lái)在企業(yè)內(nèi)部的終端現(xiàn)在都直接暴露在互聯(lián)網(wǎng)上，通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程的方式去接入，這就會(huì)產(chǎn)生更多的攻擊面。另一方面是由于遠(yuǎn)程辦公，很多互聯(lián)網(wǎng)業(yè)務(wù)，甚至一些企業(yè)內(nèi)部的業(yè)務(wù)都暴露在互聯(lián)網(wǎng)上。這導(dǎo)致在疫情下，攻擊的方式更加多樣化，攻擊的頻次和復(fù)雜程度都會(huì)越來(lái)越高，混合型的攻擊越來(lái)越多，企業(yè)容易陷入“內(nèi)外夾擊”的困境，內(nèi)部的脆弱性和外部的威脅性都在增強(qiáng)。從攻擊本身來(lái)看，它們也呈現(xiàn)出四個(gè)新特點(diǎn)。

首先是大規(guī)模、復(fù)雜的DDoS攻擊卷土重來(lái)，在規(guī)模、頻率和持續(xù)時(shí)間上都令人防不勝防。2018年被嚴(yán)打的DDoS攻擊一度淡出人們的視野，但2020年它來(lái)勢(shì)洶洶，多家廠商在疫情期間均遇到過(guò)Tbps級(jí)別的DDoS攻擊；6月，Akamai先后報(bào)告兩起令人瞠目結(jié)舌的事件：化解針對(duì)某英特網(wǎng)托管服務(wù)供應(yīng)商的流量為1.44 Tbps的攻擊，該攻擊有著9個(gè)不同的模式，持續(xù)了近2個(gè)小時(shí)；成功對(duì)抗其平臺(tái)上有史以來(lái)最大每秒數(shù)據(jù)包（每秒8.09億個(gè)包）的DDoS攻擊，是之前最高記錄的兩倍多。

其次是針對(duì)Web應(yīng)用的攻擊進(jìn)化為更加隱秘的自動(dòng)化攻擊。根據(jù)Akamai的統(tǒng)計(jì)，以網(wǎng)頁(yè)、API和網(wǎng)絡(luò)為目標(biāo)，Web層面的攻擊比去年增長(zhǎng)了42%，深受其害的是電商、高科技等行業(yè)。其中最令人深惡痛絕的是針對(duì)高價(jià)值目標(biāo)的撞庫(kù)攻擊，其頻次同比翻番。Akamai展示了一個(gè)案例，一個(gè)游戲行業(yè)的用戶遭受了長(zhǎng)達(dá)60天的爬蟲攻擊，惡意爬蟲請(qǐng)求和惡意登錄請(qǐng)求均達(dá)上億次。

再次是新型第三方腳本攻擊開始流行。這類攻擊抓住許多網(wǎng)站為了提高交互能力和用戶體驗(yàn)的契機(jī)，瞄準(zhǔn)容易被疏忽的界面進(jìn)行攻擊，即在瀏覽器端對(duì)用戶提交的數(shù)據(jù)進(jìn)行攔截和劫持，這對(duì)因?yàn)橐咔槎蔀槌B(tài)的遠(yuǎn)程辦公和遠(yuǎn)程交易危害極大，而且又因?yàn)榈谌侥_本的訪問(wèn)鏈長(zhǎng)且復(fù)雜，這類安全攻擊的影響面往往很大。Akamai表示，Web盜用在今年增長(zhǎng)了26%。英航就因?yàn)橐淮未祟惞羰沟贸^(guò)30萬(wàn)名用戶的敏感數(shù)據(jù)，包括個(gè)人身份、信用卡等信息，被泄露。最后是打著疫情名號(hào)的欺詐郵件攻擊。此類攻擊利用人們對(duì)疫情主題的關(guān)注度和缺少防備心理，在很多國(guó)家和地區(qū)蔓延開來(lái)。根據(jù)Akamai的觀測(cè)，3月15日以來(lái)，受害者成倍增長(zhǎng)，美國(guó)勞工部就被冒名發(fā)送過(guò)多封這樣的欺詐郵件。

穿上“防護(hù)服”

互聯(lián)網(wǎng)是脆弱的，在多樣化攻擊的威脅下，到底怎樣才能逃過(guò)一劫？

對(duì)DDoS攻擊，有效緩解需要從兩個(gè)方面入手：一是平臺(tái)規(guī)模可以適應(yīng)日益增長(zhǎng)的大流量攻擊；二是技術(shù)手段要跟上。Akamai采用主動(dòng)防御的措施，提前探測(cè)，設(shè)置防護(hù)，在前面兩個(gè)創(chuàng)記錄的DDoS攻擊中實(shí)現(xiàn)了零秒緩解的承諾。對(duì)于針對(duì)Web應(yīng)用的攻擊和爬蟲攻擊，Akamai設(shè)立了一個(gè)專門的研究團(tuán)隊(duì)，分析并跟蹤這些攻擊的變異和轉(zhuǎn)型，以應(yīng)對(duì)它們演化速度快的痛點(diǎn)。對(duì)于第三方腳本攻擊，Akamai強(qiáng)調(diào)頁(yè)面完整性，并提出了在企業(yè)邊緣端進(jìn)行插碼來(lái)實(shí)現(xiàn)防護(hù)的整體方案。對(duì)于釣魚郵件攻擊，Akamai跟蹤用于構(gòu)建釣魚網(wǎng)站和實(shí)施釣魚攻擊的工具箱Question Quiz，做到知己知彼，并在零信任安全架構(gòu)中提供含有針對(duì)于企業(yè)防護(hù)的解決方案，包括通過(guò)在終端側(cè)的部署、通過(guò)DNS解析的方式去分析企業(yè)的終端和互聯(lián)網(wǎng)交互的行為，支持零日釣魚攻擊防護(hù)。對(duì)于整個(gè)信息安全行業(yè)經(jīng)過(guò)疫情的特殊時(shí)期之后，Akamai基于過(guò)去20多年的精準(zhǔn)技術(shù)研發(fā)，重新思考如何部署安全控制、部署在哪里。深思熟慮之后，Akamai選擇把安全控制盡可能地部署到離終端用戶較近的地方，并為此構(gòu)建了智能邊緣平臺(tái)。對(duì)用戶進(jìn)行檢測(cè)，區(qū)分攻擊者和非攻擊者，并在終端進(jìn)行決策分類，識(shí)別哪些流量來(lái)自攻擊者，哪些來(lái)自非攻擊者。通過(guò)這樣的分類讓用戶的整體業(yè)務(wù)流程變得非常順暢，即使不可避免地遭到一些漏洞的侵害，依然能夠非常穩(wěn)健地運(yùn)行業(yè)務(wù)。