2022 年,网络安全的重要性空前突显,如果不加以重视,很容易受到网络攻击,带来难以处理的后果。随着欧洲(乌克兰)战事延续,网络战也有增无减,毕竟现在网民达到空前的规模,2022 年初为 49.5 亿人,占世界总人口的 62.5%(据估计,该数字在 2021 年增长了大约 4%,在 2020 年增长了 7.3%)。
今年以来,Cloudflare 一直在宣布推出新的产品、解决方案和计划,由此可见,我们多年来一直在防止和缓解网络攻击并不断从中学习,而我们遇到的大大小小的网络攻击不下几千次。目前,我们平均每天要阻止 1240 亿次网络威胁。我们处理攻击的次数越多,就越懂得如何遏制攻击,也更容易查找和处理新威胁,更容易以退居幕后的方式保护客户。
2022 年,我们一直在助力许多客户(Wikimedia/Wikipedia 或 Eurovision 仅仅是两个案例研究,类似的还有许多,去年我们还报道过一家《福布斯》全球 500 强公司)应对我们很熟悉的既往攻击。最近,我们处理了一次短信网络钓鱼攻击并进行了完整说明。
为接近 20% 的网站以及使用我们覆盖 270 多个城市(最近我们进入了关岛)的全球网络的数百万互联网资产和客户在线提供服务,也起了很大的作用。例如,2022 年第一季度 Cloudflare 平均每天阻止了 1170 亿次网络威胁(远多于前几个季度)。
现在已经是 8 月,正当盛夏,北半球有很多人在旅游度假,我们来整理一份阅读清单,围绕网络攻击做出总结,并就这一空前重要的领域给出 2022 年的一些指导。
战争与网络战:攻击越来越多
但是,首先需要了解一些背景知识。攻击的类型五花八门,但总体呈增长势头,这里就 2022 年第二季度的 DDoS 攻击给出我们的一些数据:应用程序层攻击按年同比增加了 72%,网络层 DDoS 攻击则同比增加了 109%。
乌克兰战争爆发之后,美国政府早在 3 月就给出了“警告”,提醒乌克兰全体国民以及盟友和伙伴注意“加强网络安全”。美国网络安全和基础设施安全局 (CISA) 发起了 Shields Up(加强戒备)计划,因为“俄罗斯入侵乌克兰可能影响该地区内外的机构。”英国和日本等国也发出了警告。
即便如此,下面给出了前两个阅读清单建议,这也是关于攻击的更为笼统的建议:
加强戒备:使用 Cloudflare 服务提高网络就绪程度 (✍️)战争爆发且政府发布警告之后,我们写了这篇免费的 Cloudflare 服务网络就绪程度总结性博客文章。如果您是经验丰富的 IT 专业人士或新手网站运营者,就可以看到适用于网站、应用或 API 的各种服务,包括对团队甚至是个人设备(从手机到路由器)的 DDoS 缓解和保护。如果您是这种情况,下面关于为 IT 和安全性团队简化 Zero Trust 采用的协作公告可能也很有用:CrowdStrike 的端点安全性遇到 Cloudflare 的 Zero Trust 服务。
在乌克兰和其他地区,如何让弱势群体保持在线 (✍️)本博客文章着重介绍我们已推出 8 周年的伽利略计划,该计划一直在帮助人权、新闻和非盈利公益机构或团体。我们重点介绍了去年的趋势,包括自从战争爆发以来引入的数十家与乌克兰相关的机构。2021 年 7 月到 2022 年 5 月期间,我们平均每天阻止了接近 5790 万次网络攻击,共计 180 亿次攻击,相比去年增加了接近 10%。
就受伽利略计划保护的机构遭受的攻击方法而言,最大比例 (28%) 的缓解请求分类为“HTTP 异常”,20% 的缓解请求标记为 SQL 注入或 SQLi 尝试(针对目标数据库),接近 13% 标记为尝试利用特定 CVE(公开披露的网络安全漏洞)— 您可以点击此处查看关于这些内容的更多见解,包括 Spring4Shell 漏洞、Log4j 或 Atlassian 漏洞。
废话不多说,现在就来看看下面的完整阅读清单/攻击指南,其中我们围绕四个主要主题重点介绍了一些博客文章:
1. DDoS 攻击与解决方案
迄今最强大的僵尸网络 Mantis。
Cloudflare 成功缓解每秒 2600 万次请求的 DDoS 攻击 (✍️)分布式拒绝服务 (DDoS) 是最常见的基于状态的攻击,我们一直在自动检测并缓解这些攻击。无论发起国在哪里,机器人都能遍及全球,并且在本博客文章中,您可以看到关于这些攻击能达到多大规模的具体例子(在本例中,攻击瞄准的是使用 Cloudflare Free 计划的客户网站)。我们将这个迄今最强大的僵尸网络命名为 Mantis。
即便如此,我们还解释了,虽然大部分攻击的规模不大,例如破坏他人网站,但哪怕很小的攻击也能严重影响未受保护的互联网资产。
2022 年第二季度 DDoS 攻击趋势 (✍️)我们已经提到,应用程序 (72%) 和网络层 (109%) 攻击按年同比增加十分迅速 — 在后一种情况中,100 Gbps 及以上的攻击按季度同比增加了 8%,而持续超过 3 小时的攻击按季度同比增加了 12%。您还可以点击此处查看有意思的趋势,例如乌克兰的广播媒体公司是 2022 年第二季度受到最多 DDoS 攻击的对象。事实上,前五大受到最多攻击的行业全部分布于在线/互联网媒体、出版和广播领域。
Cloudflare Free 计划的客户现在也可以获得实时 DDoS 警报 (✍️)DDoS 是企图扰乱您的在线业务的网络攻击,可用于任何类型的互联网资产、服务器或网络(无论是依赖 VoIP 服务器、基于 UDP 的游戏服务器还是 HTTP 服务器)。即便如此,我们的 Free 计划现在可以获得关于我们自动检测并缓解的 HTTP DDoS 攻击的实时警报。
Cloudflare 的一大优势是,我们的所有服务和功能可以协同工作,保护您的网站并提高其性能。我们的专家 Omer Yoachimik 在下面给出了利用 Cloudflare 免费帐户(并采用能够更高效地处理 DDoS 攻击的设置)的 3 个小技巧:
在网站前端部署 Cloudflare:
让您的网站加入 Cloudflare 并确保您的所有 HTTP 流量都通过 Cloudflare 路由。锁定您的源服务器,使其仅接受来自 Cloudflare IP 的流量。
利用 Cloudflare 的免费安全功能
DDoS 保护:它是默认启用的,您还可以根据需要覆盖此操作以阻止默认值不同的规则。
安全级别:此功能将自动向源自具有低 IP 信誉的 IP 地址的请求发出质询。确保至少将其设置为“中等”。
阻止恶意机器人:Cloudflare 的免费层机器人保护可以通过发出计算成本高昂的质询,帮助抵御简单的机器人(来自云 ASN)和无头浏览器。
防火墙规则:您可以创建最多五条免费自定义防火墙规则来阻止或质询您绝不想接收的流量。
托管规则集:除了您的自定义规则之外,还可以启用 Cloudflare Free 托管规则集来防御影响深远的漏洞。
将内容迁移至云端
将尽可能多的内容缓存到 Cloudflare 网络上。到达您的源的请求越少越好,包括无用流量。
2. 应用程序级攻击与 WAF
应用程序安全:Cloudflare 的观点 (✍️)您知道吗?所有 Cloudflare HTTP 流量中大约有 8% 得到缓解。这一点我们在 2022 年 3 月关于此应用程序的一般趋势的博客文章中进行了解释。这意味着,总体大约每秒 250 万次请求被我们的全球网络缓解,根本没有到达我们的缓存或源服务器,从而确保我们客户的带宽和计算能力仅用于干净的流量。
您还可以从此处大致了解排名靠前(第 7 层 DDoS 和自定义 WAF(Web 应用程序防火墙)规则排名靠前)的被缓解流量来源,以及有哪些最常见的攻击。其他要点包括,那时我们遇到的 HTTP 流量有 38% 是自动化的(实际数字要低一些,即 31%,当前趋势可以在 Radar 上看到),已经提到过的(关于伽利略计划)SQLi 是 API 端点上最常见的攻击手段。
人人可用的 WAF:保护 Web 免受高危漏洞影响 (✍️)本博客文章分享了一个有意义的公告,它契合 Cloudflare 的使命“帮助构建更美好的互联网”,还可以带来一定程度的保护,甚至是免费的(这也有助于我们更好地防止和缓解攻击)。因此,自 3 月以来,我们提供了 Cloudflare WAF 托管规则集,默认情况下,它在所有 FREE 区域免费运行。
就该主题而言,客户端安全威胁也日益增多,让 CIO 和安全专家感到担忧,我们在 12 月允许所有付费计划访问 Page Shield 功能时也提到过这一点(上个月,我们修改了 Page Shield 恶意代码警报,使其更易于采取措施)。还有一个例子就是,Magecart 风格的攻击影响了 British Airways 和 Ticketmaster 这样的大型企业,为两者带来重大的 GDPR 罚款,而我们能够很好地检测这些攻击。
3. 网络钓鱼 (Area 1)
我们为什么收购 Area 1 (✍️)网络钓鱼一直是入侵企业的主要手段。据 CISA 称,90% 的网络攻击始于网络钓鱼。FBI 在最近一篇报告中将这一现象称为“商业电子邮件犯罪”,认为它会给各个企业造成 430 亿美元的损失。
2 月底,我们宣布,Cloudflare 已同意收购 Area 1 Security,帮助企业抵御手段高超的电子邮件攻击和网络钓鱼活动。我们的博客文章解释说,“Area 1 的团队打造了一种卓越的云原生技术,用于保护企业免受基于电子邮件的安全威胁”。因此,自那以来,所有这些技术和 Cloudflare 均将 Area 1 的技术和专业知识集成到我们的全球网络中,为客户提供现有最全面的 Zero Trust 安全平台。
一场复杂网络钓鱼骗局的机制及我们如何成功阻止它 (✍️)一条消息含有什么内容?有可能是瞄准员工和系统的复杂攻击。2022 年 8 月 8 日,Twilio 分享说,他们遭到了针对性短信网络钓鱼攻击的破坏。我们发现具备非常相似特征的攻击也瞄准了 Cloudflare 的员工。在这里我们详细说明了我们如何能够使用 Cloudflare One 产品和物理安全密钥挫败这种攻击,使广大企业免受入侵。其他人也可以如法炮制。没有任何 Cloudflare 系统受到破坏。
我们的 Cloudforce One 威胁情报团队剖析了这次攻击,并协助追踪到了攻击者。
隆重推出适用于电子邮件链接的浏览器隔离,阻止高级钓鱼威胁 (✍️)为什么人们仍会点击恶意链接?看起来,人为犯错在所难免,并不像一般人想象的那么容易克服。在这里我们解释了,如今的企业若不能保护好电子邮件,就不能真正实现 Zero Trust 安全态势;最终用户不假思索就信任的应用程序以及威胁行为者都会利用这种固有的信任。
我们正在将 Area 1 集成到我们更广泛的 Zero Trust 套件中,在这个过程中,Cloudflare Gateway 客户可以启用针对电子邮件链接的远程浏览器隔离。借此,我们现在可以提供无与伦比的保护级别,抵御基于电子邮件的高级多渠道攻击。说到这里,您还可以了解如何将您的电子邮件网关替换为 Cloudflare Area 1。
关于帐户接管,我们早在 2021 年 3 月就解释了,我们如何在我们自己的应用程序中防止帐户接管(在网络钓鱼端,那时我们作为客户已经在使用 Area 1)。
此外,这里是我们去年对密码安全性(以及密码复用问题)所做的研究,具体内容比较偏技术性。有一个新的密码相关协议,称为 OPAQUE(我们在 2022 年 1 月添加了一个新的相关演示),可帮助更好地存储私钥,我们的研究团队对此感到十分兴奋。
4. 恶意软件/勒索软件及其他风险
Cloudflare Security 如何实施 Zero Trust (✍️)安全性已经是生态系统不可或缺的一部分并达到空前的重要程度,安全性越强大,避免或缓解攻击的效率就更高。这篇博客文章是为我们的 Cloudflare One Week 写的,我们在文中解释了,这种生态系统(位于我们的 Zero Trust 服务中)如何能够在所有端口和协议中抵御恶意软件、勒索软件、网络钓鱼、命令和控制、影子 IT 以及其他互联网风险。
自 2020 以来,我们推出了 Cloudflare Gateway,它专注于直接从 Cloudflare 边缘检测和阻止恶意软件。最近,我们还纳入了我们新推出的 CASB 产品(用于保护工作场所工具、个性化访问、保护敏感数据)。
针对性勒索软件攻击剖析 (✍️)勒索软件攻击对于受害者来说就像这样:
“想象一下,您最关键的系统突然停止运行。然后有人跟您说,交付赎金才能使您的系统恢复运行。或者有人向您发起 DDoS 攻击,要求您交付赎金,否则就一直攻击。这就是勒索软件和勒索型 DDoS 攻击的局面。”
勒索软件攻击持续增加,在不远的将来丝毫没有减速的迹象。早在一年前撰写这篇博客文章时就是如此,并且势头仍在延续,据参议院委员会 2022 年 3 月的一份报告称,按年同比增加了 105%。勒索软件攻击的性质也在不断变化。在这里,我们强调了勒索软件 DDoS (RDDoS) 攻击如何运作,Cloudflare 如何引入一家《财富》500 强客户并保护该客户免受针对性攻击,以及我们之前提到的配备防病毒功能的网关如何有助于实现这一点。
我们还展示了,利用勒索软件即服务 (RaaS) 模型,经验不足的威胁行为者更容易染指(“RaaS 基本上就是一种特许权,供犯罪分子从恶意软件创作者那里租赁勒索软件”)。我们还提供了一些通用建议,帮助您和您的企业保持安全。不想点击链接?内容就在下面:
到处都使用 2FA,尤其是在您的远程访问入口点。在这方面,Cloudflare Access 能起到很大的帮助
在现场和异地均维护关键系统和数据的多个冗余备份
用 Cloudflare Gateway + AV 监控并阻止恶意域名
使用 Cloudflare RBI 将 Web 浏览活动放入沙盒,将威胁隔离在浏览器中
使用 Cloudflare 安全中心调查威胁 (✍️)在这里,我们首先宣布就在我们的 Cloudflare 安全中心推出新的威胁调查门户:Investigate。该门户允许所有客户直接查询我们的情报,从而简化安全工作流程并收紧反馈回路。
能做到这些,全靠我们有一个深入的全球视图,因为我们要保护数百万互联网资产免受攻击(Free 计划可帮助我们获得这种见解)。我们从这些攻击中收集的数据用于训练我们的机器学习模型,改善我们网络和应用程序安全产品的有效性。
我们围绕 Cloudflare 在乌克兰、白俄罗斯和俄罗斯提供的服务已经采取的措施 (✍️)有一种紧急情况称为雨刮恶意软件攻击(企图擦除所感染计算机的内容),在这篇博客文章以及其他地方,我们解释了,在乌克兰识别到雨刮恶意软件(它迫使政府机构和一家大型银行离线)时,我们成功调整了 Zero Trust 产品,确保我们的客户受到保护。这些保护将许多乌克兰机构纳入我们的伽利略计划,让这个计划的工作人员忙碌了一整年,并且这些保护也自动提供给我们的所有客户。最近,卫星提供商 Viasat 受到了影响。
Zaraz 利用 Workers 确保第三方工具安全、快速地运行 (✍️)Cloudflare 在 2021 年 12 月宣布收购 Zaraz,帮助我们支持云端加载第三方工具。看似与攻击无关?再想一想(这就得谈到我已经提过的安全生态系统)。您可以点击此处,了解 Zaraz 如何通过卸载第三方脚本使您的网站更安全(也更快速)等信息。
这样就可以避免问题和攻击。具体是指什么?从代码篡改到失去对发往第三方的数据的控制权。我的同事 Yo'av Moshe 阐述了这个解决方案所防止的情况:“第三方脚本(由于被入侵)可能有意或无意收集本不该收集的信息,例如信用卡号、个人识别信息 (PII) 等。”您绝对应该避免这些情况。
隆重介绍我们的全新威胁运营和研究团队:Cloudforce One (✍️)隆重介绍我们的全新威胁运营和研究团队:Cloudforce One。该团队将会发布研究报告,但这并非其存在的原因。它的主要目的是:追查和制止威胁行为者。这一切都是为了抵御大量威胁,尽最大努力加以避免。
总结
“未损勿修”的格言似乎并不适用于快节奏的互联网行业,其中的攻击也日新月异。如果您或您的公司和服务未受到恰当保护,攻击者(人类或机器人)迟早会找上门,也许会更快,说不定已经在实施攻击了。
最后,不妨引用很多书籍、电影乃至人们生活中常说的一句话:“只要坚持不懈,迟早会敲开魔鬼的大门。”虽然我们一直在攻击发生的同时引入许多机构,但其实,伤害更小的解决方案是有效预防和缓解攻击,并忘记实际存在保护。
如果您想试用提到的一些安全功能,不妨从 Cloudflare 安全中心(含 Free 计划)开始。我们的 Zero Trust 生态系统(或 Cloudflare One,作为我们的 SASE,即安全访问服务边缘)也是如此,可作为自助服务提供,并且还包含一项 Free 计划(这个与供应商无关的路线图显示了 Zero Trust 架构的一般优势)。如果您更愿意考察趋势,Cloudflare Radar 设有一个关于攻击的近实时专用区域,您可以浏览我们的 2022 年第二季度 DDoS 攻击趋势报告并与之交互。