通信世界网消息(CWW)从美国保险公司CNA金融遭遇安全漏洞勒索攻击,支付4000万美元赎金得以恢复文件访问权限,到Facebook、领英等相继被曝发生涉及数亿用户的数据泄露事件,再到Apache Log4j2漏洞引发全球软件供应链安全灾难,随着世界多极化与经济全球化发展,2021年全球大型网络安全事件接连不断发生。
为全面分析全球互联网安全状况,助力企业应对日益高发的网络安全威胁,网宿科技近期基于自身安全平台数据,结合所积累的威胁情报技术和攻防经验,发布了《2021年中国互联网安全报告》(以下简称《报告》),这也是网宿科技第六次发布互联网安全报告。
五大特点勾勒2021年网络安全趋势
《报告》从攻击量、攻击方式、攻击来源、行业分布等维度,对比较常见的DDoS攻击、Web应用攻击、恶意爬虫攻击、API攻击等进行了详细解读,并对主机安全数据进行分析,得出如下结论和趋势。
第一,DDoS攻击数量一路走高,而后持续在高位浮动。
2021年,网宿安全平台日均监测并拦截网络层DDoS攻击事件21.55万次,同比增长62.96%;日均拦截应用层DDoS攻击请求14.90亿次,同比增长61.39%。
图1 2020与2021年网络层DDoS攻击事件分布
从行业分布来看,游戏业成为2021年受DDoS攻击最多的行业,占比达到50.53%,远超其他行业;电子商务以16.25%的占比位居第二。两者遭受的攻击数量已接近总量的七成。位于第三、第四的则是软件信息服务(11.09%)和教育行业(6.26%)。
从攻击手法来看,SSDP、NTP、Memcache、DNS和LADP是最活跃的5种反射攻击协议;与上一年不同的是,NTP反射放大攻击异军突起,反超以往占绝对优势的SSDP,跃升至第一位。
第二,Web应用攻击量同比翻倍增长。
2021年,网宿安全平台共监测并拦截Web应用攻击229.83亿次,同比增长141.30%,呈翻倍增长态势,显示出此类攻击的威胁持续增大。同时,Web攻击手段呈现多样化趋势,排位前三的分别是非法请求方法防护(35.00%)、SQL注入防护(13.33%)、自定义规则(11.15%)。
图2 2020与2021年Web应用攻击次数趋势
值得注意的是,2021年来自境外的Web应用攻击IP数量同比暴涨357.16%,在全球攻击源中的占比也由2020年的13.30%上升至31.87%,增长了约19个百分点。《报告》分析推测,境外Web攻击源的大幅上升与日趋紧张的地缘政治局势有关。
第三,恶意爬虫攻击量连年翻倍增长。
2021年网宿安全平台共监测并拦截了847.71亿次恶意爬虫攻击,平均每秒拦截攻击2688次,攻击量达到2020全年的2.36倍。根据网宿监测,近3年来恶意爬虫攻击量连年成倍增长,安全威胁日益明显。
图3 2020与2021年恶意爬虫攻击数量趋势
从IP分布来看,2021年恶意爬虫攻击超七成来自于境内。境外攻击源占比从上年同期的7.08%上升至24.18%。《报告》分析认为,境外攻击源比重上升,可能与全球新冠疫情趋于稳定,代购、海淘等行业有所恢复有关。
从行业分布来看,恶意爬虫攻击呈现出集中度低、“多点开花”的态势。遭受攻击最多的是软件信息服务行业(31.88%),其次是房地产行业(12.61%)、交通运输(10.24%)、零售业(8.28%)、游戏(7.65%)。其中,交通运输行业的排位从2020年的第六重回前三,体现出疫情对交通运输业的负面影响逐渐消除,抢票类爬虫攻击态势有所恢复。
第四,API威胁进入爆发期,攻击量同比增长超200%。
2021年网宿安全平台共监测并拦截147.98亿次针对API业务的攻击,平均每秒发生攻击469次,全年攻击量是2020年的3倍有余,呈爆发式增长。尤其是下半年,攻击量大幅跃升。数字化转型背景下,企业开放的API越来越多,面临的风险也越来越高,API业务逐渐成为众多黑客的攻击目标。
图4 2020与2021年API攻击次数趋势
2021年,零售行业成为受API攻击最多的行业,攻击量占整体比重的34.99%。金融行业占31.27%,排在第二。交通运输占比有小幅增长,与疫情较2020年有所缓解带来的跨区域和跨境客流增长有直接关系。
第五,超半数企业主机已应用容器技术。
网宿主机安全探针检测发现,63.88%的企业主机有安装容器相关软件,较2020年的占比40.27%增长了约24个百分点,可以预见未来容器安全的需求将越来越大。
值得注意的是,Apache Log4j2远程代码执行漏洞(CVE-2021-44832)影响面巨大。截至2021年12月31日,该漏洞被公布仅半个月时间,引起的入侵事件数量就超过了第2到第9名高危漏洞引起的入侵事件数量总和,并且Log4j2漏洞的利用方式还在不断变形。
此外,主机上出现的异常进程大量使用了规避检测的技术,以达到干扰杀毒软件检测及人工入侵排查的目的,这些隐匿技术包括隐藏进程、进程名伪造、无文件进程、内核进程伪造、链接库感染、异常启动方式等。
网宿“3+X”能力持续进化
谈到网络安全趋势,网宿科技副总裁、首席安全官吕士表认为,网络安全不是依靠某个技术或者某个产品就能实现的,而是需要建立层次性、立体防御体系,应对来自网络、技术、业务等多个领域的安全威胁。此外,网络安全符合“木桶原理”,任何一个点出现短板就很难给客户提供完整的高水位防护。
吕士表介绍,网宿深刻意识到网络安全形势的变化,在2021年10月提出以“3+X”能力框架落地SASE模型,其中,“3”指安全能力、网络能力、边缘计算能力,“X”则指开放平台。经过半年多的发展,网宿“3+X”能力持续进化。
在安全能力方面,继2021年2月发布ZTNA(零信任网络访问)产品网宿安达SecureLink后,网宿进一步升级产品能力,形成“3+1”安全访问体系,“3”是指身份可信、终端可信、行为可信等3个可信原则,“1”是指从加密传输、边缘防护、应用隐身层面打造1套平台安全能力,确保远程或本地办公人员访问企业资源的全过程安全。
而后,网宿在深耕DDoS防护、云WAF、Bot防护能力的基础上,又针对API业务特性推出API安全与管理产品,提供自动化API发现、API全生命周期管理及持续安全检测能力,形成管理-保护-分析服务闭环,填补了WAAP能力的最后一块“拼图”。至此,网宿已完全具备WAAP、ZTNA、FwaaS、DNS安全能力,以及多项成熟的安全专家服务。
在网络和边缘计算能力方面,网宿分布在全球的2800多个边缘节点及节点之间的高速网络,不仅能够有效保证终端用户最后一公里接入体验及回数据中心的体验,并且发展出了新一代CDN可编程能力,将原本由源站处理的业务逻辑转移到CDN边缘节点上,支持用户“搭积木”式地自由组合各类个性化边缘业务,从而快速完成新应用或新服务的全球化部署,极大缩短开发周期,进一步降低源站负载。
展望未来,吕士表表示,网宿安全将基于持续进化的三大能力,进一步利用全网海量数据开放云安全威胁信息情报,与上下游安全技术和企业已有安全防御体系结合,形成立体防护,实现一体化SASE安全服务目标,共建网络安全。
