Akamai《互聯(lián)網(wǎng)安全狀況:運(yùn)營(yíng)商洞察報(bào)告》 強(qiáng)調(diào)信息共享對(duì)于抵御網(wǎng)絡(luò)威脅的重要性

相關(guān)專題: 人工智能

2018年04月24日10:35 來(lái)源:移動(dòng)通信網(wǎng)T|T

針對(duì)包括DNS查詢?cè)趦?nèi)的網(wǎng)絡(luò)數(shù)據(jù)分層分析可以增強(qiáng)防御DDoS、惡意軟件和僵尸網(wǎng)絡(luò)攻擊的能力。

【移動(dòng)通信網(wǎng)】2018年4月23日——全球最大、最值得信賴的云交付平臺(tái)阿卡邁技術(shù)公司(Akamai Technologies, Inc.,以下簡(jiǎn)稱:Akamai)(NASDAQ:AKAM)今天正式發(fā)布《2018年春季互聯(lián)網(wǎng)安全狀況:運(yùn)營(yíng)商洞察報(bào)告》。該報(bào)告通過(guò)分析Akamai在2017年9月至2018年2月間從世界各地的通信服務(wù)提供商(CSP)網(wǎng)絡(luò)收集到的超過(guò)14萬(wàn)億次DNS查詢,表明信息共享是抵御網(wǎng)絡(luò)威脅的一個(gè)重要助推因素。

逾19年來(lái),Nominum(于2017年被Akamai收購(gòu))一直致力于利用深度DNS數(shù)據(jù)來(lái)增強(qiáng)保護(hù),抵御分布式拒絕服務(wù)(DDoS)、勒索軟件、特洛伊木馬和僵尸網(wǎng)絡(luò)等復(fù)雜網(wǎng)絡(luò)攻擊。Akamai的《運(yùn)營(yíng)商洞察報(bào)告》以Nominum的專長(zhǎng)為基礎(chǔ),重點(diǎn)解析了基于DNS的安全機(jī)制的有效性(這種安全機(jī)制可借助來(lái)自其它安全防御層的數(shù)據(jù)進(jìn)一步加強(qiáng))。這種分層安全方法需要綜合各種安全解決方案來(lái)共同保護(hù)企業(yè)機(jī)構(gòu)的數(shù)據(jù)。

Akamai威脅情報(bào)部門(mén)數(shù)據(jù)科學(xué)總監(jiān)Yuriy Yuzifovich表示:“如果我們只是孤立地了解單個(gè)系統(tǒng)面臨的攻擊,則不足以做好準(zhǔn)備應(yīng)對(duì)如今復(fù)雜的威脅形勢(shì)。因此,跨不同團(tuán)隊(duì)、系統(tǒng)和數(shù)據(jù)集了解情況,與不同的平臺(tái)進(jìn)行溝通變得至關(guān)重要。我們相信,我們所提供的DNS查詢服務(wù)是一個(gè)戰(zhàn)略性的組成部分,能夠?yàn)榘踩珗F(tuán)隊(duì)提供應(yīng)對(duì)整個(gè)威脅環(huán)境所需的相關(guān)數(shù)據(jù)。”

應(yīng)對(duì)Mirai僵尸網(wǎng)絡(luò):協(xié)作行動(dòng)

Akamai內(nèi)部團(tuán)隊(duì)之間的協(xié)作對(duì)于發(fā)現(xiàn)Mirai命令和控制(C&C)域起到了關(guān)鍵作用,使日后的Mirai檢測(cè)變得更加全面。Akamai安全智能響應(yīng)團(tuán)隊(duì)(SIRT)自Mirai出現(xiàn)以來(lái)就一直密切留意該惡意軟件,利用蜜罐(Honeypots)檢測(cè)出Mirai通信并找到其C&C服務(wù)器。

2018年1月末,Akamai安全智能響應(yīng)團(tuán)隊(duì)和Nominum團(tuán)隊(duì)共享了一個(gè)包含500多個(gè)可疑Mirai C&C域的列表。此舉的目的是為了了解人們是否可以利用DNS數(shù)據(jù)和人工智能來(lái)擴(kuò)充這個(gè)C&C列表,使日后的Mirai檢測(cè)更加全面。通過(guò)多層分析,兩個(gè)團(tuán)隊(duì)聯(lián)手成功擴(kuò)充了Mirai C&C數(shù)據(jù)集,并發(fā)現(xiàn)了Mirai僵尸網(wǎng)絡(luò)與Petya勒索軟件發(fā)布者之間的關(guān)聯(lián)。

這次協(xié)作分析表明,IoT僵尸網(wǎng)絡(luò)在不斷演變,從幾乎只是用于發(fā)動(dòng)DDoS攻擊發(fā)展為從事更復(fù)雜的活動(dòng),例如惡意軟件發(fā)布和加密貨幣挖礦。IoT僵尸網(wǎng)絡(luò)很難檢測(cè),因?yàn)閷?duì)大多數(shù)用戶來(lái)說(shuō),它們的威脅跡象極少。盡管如此,這些團(tuán)隊(duì)的協(xié)作研究仍證明,Akamai有機(jī)會(huì)找到并攔截?cái)?shù)十個(gè)新出現(xiàn)的C&C域,從而控制僵尸網(wǎng)絡(luò)的活動(dòng)。

Javascript加密貨幣挖礦軟件:一種非法的業(yè)務(wù)模式

由于公眾對(duì)加密貨幣的使用率和使用量呈指數(shù)級(jí)增長(zhǎng)態(tài)勢(shì),加密貨幣挖礦惡意軟件的數(shù)量以及被其感染的設(shè)備數(shù)量也在急劇上升。

Akamai觀察到兩種不同的大規(guī)模加密貨幣挖礦業(yè)務(wù)模式。第一種模式利用被感染設(shè)備的處理能力來(lái)挖掘加密貨幣代幣(cryptocurrency tokens)。第二種模式利用嵌入到內(nèi)容網(wǎng)站的代碼來(lái)使訪問(wèn)網(wǎng)站的設(shè)備為加密貨幣挖礦軟件工作。Akamai對(duì)第二種業(yè)務(wù)模式進(jìn)行了大量分析,因?yàn)樗o用戶和網(wǎng)站所有者帶來(lái)了新的安全挑戰(zhàn)。通過(guò)對(duì)加密貨幣挖礦軟件的域進(jìn)行分析,Akamai能夠估計(jì)出這項(xiàng)活動(dòng)在計(jì)算能力和金錢(qián)收益方面產(chǎn)生的成本。一個(gè)根據(jù)這項(xiàng)研究作出的有趣推斷是,加密貨幣挖礦可能取代廣告收入成為可行的網(wǎng)站籌資方案。

不斷變化的威脅:惡意軟件和攻擊被用于其它用途

網(wǎng)絡(luò)安全并不是一個(gè)靜態(tài)的行業(yè)。研究人員發(fā)現(xiàn),黑客會(huì)將陳舊的技術(shù)重新用于當(dāng)今的數(shù)字環(huán)境中。在Akamai收集這些數(shù)據(jù)的6個(gè)月間,一些廣為人知的惡意軟件活動(dòng)和攻擊在運(yùn)作程序上有了明顯變化,其中包括:

2017年11月24日至12月14日期間,Web代理自動(dòng)發(fā)現(xiàn)(WPAD)協(xié)議被用于向Windows系統(tǒng)發(fā)起中間人(Man-in-the-Middle)攻擊。WPAD本應(yīng)該用于受保護(hù)的網(wǎng)絡(luò)(即LAN)上,如果暴露于互聯(lián)網(wǎng)中,會(huì)導(dǎo)致計(jì)算機(jī)容易遭受大型攻擊。

除了收集財(cái)務(wù)信息之外,惡意軟件開(kāi)發(fā)者還開(kāi)始收集社交媒體登錄信息。Terdot是Zeus僵尸網(wǎng)絡(luò)的一個(gè)分支,它會(huì)創(chuàng)建本地代理,使攻擊者可以進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),還會(huì)在受害者的瀏覽器中推送虛假新聞。

僵尸網(wǎng)絡(luò)開(kāi)發(fā)者開(kāi)始打造更靈活的工具,Lopai僵尸網(wǎng)絡(luò)就是一例。這款移動(dòng)惡意軟件主要針對(duì)Android設(shè)備,通過(guò)采用模塊化方法使所有者可以創(chuàng)建帶有新功能的更新。


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料

本周熱點(diǎn)本月熱點(diǎn)

 

  最熱通信招聘

業(yè)界最新資訊


  最新招聘信息