2023 年,网络安全的重要性愈发突显,如果不加以重视,很容易受到网络攻击,带来严重后果。攻击变得越来越复杂,而冲突(线上和线下)仍在继续,包括在乌克兰冲突。各国政府都加强了网络预警,并制定了相关战略,包括围绕关键基础设施(包括卫生和教育)的安全战略。所有这一切,都发生如今这个网络风险和网民数量空前多的时代;到 2023 年 7 月,全球网民将超过 50 亿,占目前世界总人口(80 亿)的 64.5%。
在本篇博文中,我们将回顾 2023 年迄今为止,我们在 Cloudflare 博客中讨论的与攻击和网络安全相关的话题,并提出几项八月阅读清单建议,内容设计从 AI 服务安全等方面的新趋势、新产品、新举措或新合作,到遭拦截网络攻击数再破纪录等方面的话题。顺便提一句,我们的人工智能中心 (ai.cloudflare.com) 刚刚启动。
在这一年中,Cloudflare 在客户受到攻击时继续为他们提供服务,我们还为许多其他公司提供了保护,其中包括负责 2023 年欧洲电视歌唱大赛在线投票系统的 once.net,该项欧洲赛事的观众人数达到了 1.62 亿。
我们的全球网络(又称超级云)为我们提供了独特的有利条件。Cloudflare 的超大规模也有助于增强安全性,我们的预防性服务由机器学习提供支持,例如我们最近推出的 WAF 攻击评分系统,可在攻击被公布或发展成为恶意软件之前就加以阻止。
最近,我们宣布已在 100 多个国家/地区的 300 多个城市开展业务,与 12,000 多个网络互联,而且这一数字还在不断增长。我们为约 20% 的网站提供在线服务,并为数百万互联网资产提供服务。
攻击数量不断攀升。准备与信任的游戏
我们先来了解一下背景情况。如今有各种各样的攻击,但总的来说,攻击数量一直在增加。2023 年第二季度,Cloudflare 平均每天拦截 1400 亿次 网络威胁。一年前,在我们撰写类似博文时,这一数字是 1,240 亿,同比增长了 13%。攻击者也不甘示弱,更加复杂的攻击也在不断增多,教育或医疗保健等行业也已成为攻击目标。
人工智能 (AI) 和机器学习一样,并不是什么新鲜事物,但在 2023 年已经成为一种趋势,某些能力也得到了更加普遍的应用。这引发了人们对 欺骗质量甚至人工智能黑客的担忧。
今年,各国政府也不断发布报告和警告。2022 年,美国网络安全和基础设施安全局 (CISA) 制定了“加强戒备” (Shields Up) 行动计划,以应对俄乌冲突。2023 年 3 月,拜登政府发布了旨在确保互联网安全的《国家网络安全战略》。
英国的网络战略于 2022 年底启动,今年 3 月,英国发布了一项战略,专门保护国民健康服务系统 (NHS) 免受网络攻击,5 月,英国国防部也发布了同样的战略。德国从 2022 年就开始实施了新的数字战略,但安全战略直到今年 6 月才发布。日本、澳大利亚和其他国家/地区的情况也类似。
以下是与一般国家/地区相关的攻击、政策和信任网络安全相关的阅读建议:
俄乌冲突爆发一周年回顾:互联网趋势、攻击和韧性 (✍️)
这篇博文报道了在俄乌冲突期间的互联网见解,并讨论了乌克兰的互联网如何在冲突的三个不同阶段,历经数十次攻击和干扰仍保持顽强的生命力。
白宫的《国家网络安全战略》要求私营部门加大打击网络攻击的力度。Cloudflare 已做好准备 (✍️)
白宫于 2023 年 3 月发布了《国家网络安全战略》,旨在维护和扩展开放、免费、全球性、可相互协作、可靠和安全的互联网。Cloudflare 对这一战略和亟需的政策举措持欢迎态度,并强调了保护关键基础设施的必要性,其中 Zero Trust 发挥着重要作用。同月,Cloudflare 宣布其对 2023 年度民主峰会的承诺。与这些举措相关的还有,2022 年 3 月,我们启动了自己的关键基础设施防护项目 (CIDP);2022 年 12 月,Cloudflare 启动了 Project Safekeeping 项目,为澳大利亚、日本、德国、葡萄牙和英国的某些符合条件的实体提供 Zero Trust 解决方案。
预设保护:CISA 最新指南的建议,了解 Cloudflare 如何遵循这些原则以确保您的安全 (✍)
在2023 年 4 月的这篇博文中,我们回顾了“预设安全”态势,以及最近出版的由几家国际机构联合编写的指南中的重点建议。美国、英国、澳大利亚、加拿大、德国、荷兰和新西兰都参与了编写。简而言之,使用各种工具、机器学习、“预设安全”和“通过设计保证安全”方法以及一些原则,将使一切变得不同。
伽利略计划 (Project Galileo) 实施九年的成果以及去年的变化 (✍️) + 伽利略计划报告 (✍️)
在2023 年 6 月“伽利略计划”实施九周年纪念之际,我们将重点转向提供经济实惠的网络安全工具,并分享我们在保护最脆弱社区方面的经验教训。此外,还有伽利略项目案例研究,以及它如何为教育和卫生、文化、退伍军人服务、互联网档案和调查性新闻等领域带来改变。此外,我们还发布了 Cloudflare Radar 伽利略项目报告,其中值得一提的亮点包括:
- 从 2022 年 7 月 1 日到 2023 年 5 月 5 日,Cloudflare 共化解了 200 亿次针对受伽利略项目保护的组织的攻击。在过去 10 个月中,这些平均每天受到近 6770 万次网络攻击。
- 在过去 10 个月中,我们平均每天为 LGBTQ+ 组织化解 79 万次攻击,其中大部分属于 DDoS 攻击。
- 针对民间社会组织的攻击事件普遍增多。我们化解了一次针对某知名机构的攻击,在该次攻击中,请求量攀升至每秒 667,000 次。而在这之前和之后,该组织几乎没有任何流量。
- 过去 10 个月中,在乌克兰遭受轰炸的同时,提供紧急响应和救灾服务的组织的流量也在激增。
Project Cybersafe Schools:为美国 K-12 学区免费提供安全工具 (✍️)
早在 2023 年 8 月,Cloudflare 就推出了一项针对小型 K-12 公立学区的计划:Project Cybersafe Schools。在“安全返校:K-12 网络安全峰会”(8 月 7 日于白宫召开)上,我们宣布了 Project Cybersafe Schools 计划,将为符合条件的 K-12 公立学区提供一揽子 Zero Trust 网络安全解决方案,不仅免费,而且无时间限制。2023 年第二季度,Cloudflare 平均每天拦截 7000 万次针对美国教育部门的网络威胁,DDoS 攻击季度环比增长 47%。
隐私问题也与网络安全息息相关,今年早些时候,我们已详细探讨过这一主题,并介绍了我们为保护数据隐私而对安全方面进行了投资。Cloudflare 还获得了新的欧盟云行为准则隐私认证。
1. DDoS 攻击与解决方案
2023 年第二季度 DDoS 威胁报告 (✍️)
DDoS 攻击(分布式拒绝服务)并不新鲜,但仍是攻击者使用的主要工具之一。2023 年第二季度,Cloudflare 见证了 DDoS 攻击复杂性的空前升级,我们的报告对这一现象进行了深入分析。亲俄黑客组织 REvil、Killnet 和 Anonymous Sudan 联手攻击西方网站。Mitel 漏洞利用激增了 532%,加密货币攻击激增了 600%。此外,持续时间超过三小时的攻击季度环比增加了 103%。
这篇博文和相应的 Cloudflare Radar 报告揭示了其中的一些趋势。另一方面,在我们的 2023 年第一季度 DDoS 威胁报告中,我们观测到利用由虚拟专用服务器 (VPS) 组成的新一代僵尸网络的超容量耗尽攻击出现了激增。
Killnet 和 AnonymousSudan DDoS 攻击澳大利亚的大学网站,并威胁将发起更多攻击。应对措施如下 (✍️)
2023 年 3 月下旬,Cloudflare 观测到针对澳大利亚大学网站的 HTTP DDoS 攻击。在亲俄黑客组织 Killnet 及其附属组织 AnonymousSudan 公开攻击的几个团体中,首当其冲的就是大学。这篇博文不仅展示了这些有组织团体针对性攻击的趋势,还提供了具体建议。
今年 1 月,受 Cloudflare 的伽利略计划保护的大屠杀教育网站也受到了类似的网络攻击。
遭受针对性 DDoS 攻击的医疗保健组织数量突增 (✍️)
2023 年 2 月初,Cloudflare 和其他数据来源发现,收到一个自称 Killnet 的亲俄黑客组织攻击的医疗机构有所增加。与此同时,希望我们帮助防御此类攻击的组织数量也有所增加。此外,已经受到 Cloudflare 保护的医疗机构受到的 HTTP DDoS 攻击则有所缓解。
Cloudflare 缓解了破纪录的 7100 万个请求/秒的 DDoS 攻击 (✍️)
同样在二月初,Cloudflare 检测并缓解了数十次超大容量 DDoS 攻击,其中一次攻击甚至创下了历史记录。大多数攻击的峰值为每秒 5000-7000 万次请求 (rps),最多的一次超过了 7100 万次。这是迄今为止报告的最大一次 HTTP DDoS 攻击记录,比 2022 年 6 月报告的上一个记录(4600 rps)高出了 54% 以上。
SLP:全网出现的一种 DDoS 放大攻击新手段 (✍️)
2023 年 4 月的这篇博文重点介绍了研究人员如何发现一种利用 SLP 协议(服务定位协议)的 DDoS 反射/放大攻击新手段。基于 SLP 的 DDoS 攻击预计将逐渐增加,但我们的自动 DDoS 保护系统可确保 Cloudflare 客户的安全。
此外,我们在今年 4 月还推出了全新的改进后的网络分析仪表板,为安全专业人员提供了有关 DDoS 攻击和流量状况的洞察。
2. 应用程序级攻击与 WAF
2023 年应用程序安全态势 (✍️)
这是我们连续第二年发布应用程序安全报告。根据 Netcraft 的数据,Cloudflare 在这一年成为百万用户级网站最常用的 Web 服务器供应商(目前已占据 22% 的市场份额)。以下是一些要点:
- 减少 6% 的日常 HTTP 请求(由 Cloudflare 网络代理)。与去年相比,减少了两个百分点。
- DDoS 缓解占所有缓解流量的 50% 以上,因此仍然是缓解的第 7 层(应用程序层)HTTP 请求的最大贡献者。
- 不过,与去年相比,Cloudflare WAF(Web 应用程序防火墙)的缓解作用明显增强,目前占缓解请求的近 41%。
- HTTP 异常(例如不规范的方法名称、标头中的空字节字符等)是 WAF 最常缓解的应用程序层攻击手段。
- 30% 的 HTTP 流量是自动化的(机器人流量)。55% 的动态(不可缓存) 流量与 API 有关。65% 的全球 API 流量是由浏览器生成的。
- 16% 的未经验证机器人 HTTP 流量被缓解。
- HTTP 异常超过 SQLi(用于攻击数据驱动应用程序的代码注入技术),成为 API 端点最常遭遇的攻击手段。暴力帐户接管攻击不断增加。此外,Microsoft Exchange 受到的攻击比 WordPress 更多。
Cloudflare 如何在恶意软件入侵应用程序之前实施拦截 (✍)
2023 年 4 月,我们提供了一个与 Web 应用程序防火墙 (WAF) 集成的内容扫描引擎,确保终端用户上传的恶意文件不会首先到达源服务器,这使应用程序安全团队的工作变得更加轻松。自 2022 年 9 月以来,我们的 Cloudflare WAF 在帮助拦截攻击方面更加智能化。
宣布推出适用于企业客户的 WAF Attack Score Lite 和安全分析 (✍️)
2023 年 3 月,我们宣布为购买 Business 计划的客户提供机器学习支持的 WAF 和安全分析视图,协助客户及时检测和阻止攻击,防患于未然。简而言之:及早检测 + 强大的环节措施 = 更安全的互联网。或者:
early_detection = True
powerful_mitigation = True
safer_internet = early_detection and powerful_mitigation
3. 网络钓鱼(Area 1 和 Zero Trust)
网络钓鱼仍然是入侵组织的主要方式。根据 CISA 的数据,90% 的网络攻击都始于网络钓鱼。美国联邦调查局今年来一直在发布互联网犯罪报告,根据最近报告,网络钓鱼仍然在五大互联网犯罪类型中排名第一。自 2018 年以来,报告的网络钓鱼犯罪和受害者损失增加了 1038%,2022 年达到 300 497 起。联邦调查局还提到商业电子邮件攻击使企业面临的一个价值 430 亿美元的问题;与 2021 年相比,2022 年的投诉量增加了 127%,造成 33.1 亿美元的相关损失。
2022 年,Cloudflare Area 1 将 23 亿条有害邮件挡在了客户收件箱之外。今年的数据将轻松超越这一数字。
Cloudflare 2023 年度网络钓鱼威胁报告概要 (✍)
2023 年 8 月,Cloudflare 发布了首份网络钓鱼威胁报告(点击此处查看完整报告)。该报告基于 2022 年 5 月至 2023 年 5 月的电子邮件安全数据,探讨了主要的网络钓鱼趋势和相关建议。
报告要点包括攻击者使用欺骗性链接如何成为网络钓鱼的头号策略,以及攻击者如何改进诱骗点击链接以及何时将链接武器化。此外,身份欺骗有多种形式(包括商业电子邮件攻击 (BEC) 和品牌模拟),可以轻松绕过电子邮件身份验证标准。
Cloudflare Area 1 获得 SOC 2 报告 (✍️)
一年多前,Cloudflare 收购了 Area 1 Security,并借此在 Cloudflare Zero Trust 平台上增加了一项重要的云原生电子邮件安全服务,该服务可在攻击进入用户收件箱之前识别并拦截。今年,我们获得了向客户保证他们发送给我们的敏感信息安全的最佳方式之一:SOC 2 Type II 报告。
Email Link Isolation:防御最新网络钓鱼攻击的安全网 (✍️)
早在一月份的 CIO Week 活动期间,我们就向所有客户开放了电子邮件链接隔离功能。这个功能有什么作用?为收件箱中出现的可疑链接和用户可能点击的链接提供安全保护网——任何人都可能误点击错误的链接。在防范恶意软件、网络钓鱼攻击等方面,这一附加保护功能使 Cloudflare Area 1 成为最全面的电子邮件安全解决方案。此外,Cloudflare 还提供真正的一键部署功能。
另外,从同一周开始,Cloudflare 将 Area 1 Email Security 与 Data Loss Prevention (DLP) 的功能结合起来,为企业电子邮件提供全面的数据保护,还与 KnowBe4 合作,为企业提供实时安全指导,以避免遭受网络钓鱼攻击。
如何远离网络钓鱼 (✍)
网络钓鱼攻击以各种方式欺骗人们。这份高水平的“网络钓鱼”防范指南介绍了不同类型的网络钓鱼(电子邮件无疑是最常见的,但也有其他类型的网络钓鱼)并提供了一些提示,帮助您识破这些骗局,避免上当受骗。
在网络钓鱼攻击中被仿冒最多的 50 个品牌,以及可以保护员工免受此类攻击的新工具 (✍️)
在这篇博文中,我们将探讨如何检测、阻止网络钓鱼攻击以及降低网络钓鱼的风险,这可以说是所有安全团队经常面临的最艰巨挑战之一。在三月份的 Security Week 活动期间,我们公布了网络钓鱼攻击中被冒充最多的 50 个品牌名单(剧透:AT&T Inc.、PayPal 和 Microsoft 都榜上有名)。
此外,我们还宣布通过自动识别和阻止所谓的“可混淆”域名,扩大为 Cloudflare One 客户提供的网络钓鱼保护。Cloudflare One 是什么?它是我们的一个产品套件,为客户提供与企业已使用的安全防护产品集成的可定制 Zero Trust 网络即服务平台。Cloudflare One 为用户提供了一个轻松、无忧的在线服务平台。去年夏天,Cloudflare One 和物理安全密钥相结合,挫败了一起针对 Cloudflare 员工的复杂的“Oktapus”网络钓鱼攻击。
在零信任方面,您还可以找到我们最近发布的题为“Cloudflare Zero Trust:高风险组织路线图”的指南 (PDF)。
4. AI/恶意软件/勒索软件及其他风险
前几年,我们已经展示了 Cloudflare 安全性中心在调查威胁方面的作用,以及不同类型风险的相关性,例如 2022 年和 2021 年的两个例子“剖析一次针对性勒索软件攻击”和“某《财富》世界 500 强公司成为勒索 DDoS 攻击的目标。然而,2023 年还会出现新的风险。
如何确保生成式人工智能应用的安全 (✍️)
突破性技术带来了突破性挑战。Cloudflare 在保护全球一些最大型的人工智能应用方面拥有丰富的经验,本篇博文将介绍一些保护生成式人工智能应用安全的技巧和最佳实践。面向消费者的应用所取得的成功本质上是将底层人工智能系统暴露给数百万用户,从而显著增大了潜在的攻击面。
借助 Cloudflare 全球网络的强大力量,运用机器学习技术检测恶意域 (✍️)
考虑到要在威胁造成破坏之前加以防范,Cloudflare 最近开发了利用机器学习和其他先进分析技术的专有模型。这些模型能够检测出利用被称为互联网电话簿的域名系统 (DNS) 的安全威胁。
狡猾的诈骗者和网络钓鱼者通过何种方式欺骗硅谷银行的客户 (✍️)
为了骗取信任并欺骗毫无戒心的受害者,威胁行为者绝大多数都会利用热点事件作为诱饵。比如今年早些时候发生在硅谷银行的新闻,就是需要注意和警惕以 SVB(硅谷银行)为诱饵的投机性网络钓鱼活动的最新事件之一。当时,Cloudforce One(Cloudflare 的威胁运营和研究团队)加大了对 SVB 数字化存在的品牌监控。
Cloudflare 如何在恶意软件入侵应用程序之前实施拦截 (✍)
2023 年 4 月,Cloudflare 推出了一款工具,通过提供与我们的 Web 应用程序防火墙 (WAF) 集成的内容扫描引擎,确保终端用户上传的恶意文件永远不会到达源服务器,从而使应用程序安全团队的工作变得更轻松。
使用 Cloudflare Radar URL 扫描程序,分析 URL 是否安全 (✍️)
Cloudflare Radar 是我们的免费互联网洞察平台。今年 3 月,我们推出了 URL 扫描程序,允许任何人安全地分析 URL。该程序创建的报告中包含大量技术细节,包括网络钓鱼扫描。许多用户出于安全原因一直在使用盖程序,但也有一些用户只是想探索一下任何网页背后的一些信息。
揭秘 2022 年最常被利用的漏洞 (✍️)
最后还有一点很重要,从 2023 年 8 月开始,本博文将重点关注网络安全和基础设施安全局 (CISA) 发布的最常被利用的漏洞。鉴于 Cloudflare 是大部分互联网的反向代理,我们将深入探讨 CISA 所提到的常见漏洞和暴露 (CVE) 是如何在互联网上被利用的,以及我们已经了解到的一些信息。
如果您想了解如何使网站在加载 Google Analytics 4、Facebook CAPI、TikTok 等第三方工具时更安全(更快速),您可以了解我们的 Cloudflare Zaraz 解决方案。该解决方案已于 2023 年 7 月全面上市。
总结
“互联网的发展已经超越了初衷”。
这是 Cloudflare 的 S-1 文档的开头部分。我们的博客中也经常引用这句话,以说明这一非凡的实验品(网络中的网络)在设计之初并没有考虑到它如今在我们日常生活和工作中所扮演的角色。在任何人都可能成为攻击、威胁或漏洞目标的时代,安全、性能和隐私至关重要。虽然人工智能可以帮助缓解攻击,但它也增加了攻击者策略的复杂性。
有鉴于此,正如我们在这份 2023 年阅读清单建议/在线攻击防护指南中所强调的,优先预防有害的攻击结果仍然是最佳策略。希望它能使一些针对贵公司的攻击在被发现或造成后果之前就被化解,甚至在您访问安全仪表板时将这些攻击转化为有趣的故事与大家分享。
如果您有兴趣了解具体案例,可以在我们的中心深入了解案例研究,您可以在其中找到来自不同机构的安全相关案例,包括 Sage这样的技术公司,以及亚利桑那州政府、爱沙尼亚共和国信息安全局,甚至是网络安全新闻媒体 Cybernews 这样的机构。
由于我们也在考虑互联网安全和隐私的未来,所以值得一提的是,2022 年 3 月,Cloudflare 面向为所有客户启用了后量子加密技术支持。后量子加密技术旨在防范量子计算机的攻击,这个话题非常有趣,值得深入探讨,即使不知道它是什么,知道已经有相应保护措施总是件好事。
如果您想尝试上述安全功能,可以前往 Cloudflare 安全性中心(其中包含免费计划)。这也同样适用于我们的 Zero Trust 生态系统(或 Cloudflare One,即我们 SASE 安全访问服务边缘),该生态系统可提供自助服务,也包含免费计划。这份与厂商无关的路线图显示了 Zero Trust 架构的整体优势;此外,我们还提供了一份侧重于高风险组织的路线图。
小心谨慎,做好准备,注意安全。