一起有組織的網路攻擊事件預警|內附企業網路安全建設實用指南

近期，阿里雲安全團隊發現一起針對電商行業的勒索事件，其手法是以對攻擊目標發起 CC 攻擊為威脅，要求企業支付一定贖金。大部分拒絕支付的企業都遭受到了不同程度的 CC 攻擊。

在協助受攻擊使用者進行排查的過程中，阿里雲安全團隊發現這次攻擊事件具有以下特徵：

• 目標明確，目前大部分受到攻擊的目標為電商企業。
• 攻擊迅猛，排查中發現，針對受攻擊目標的CC攻擊攻擊最大已達到60W qps，相當於60萬人同時訪問對伺服器造成的負荷。
• 具有一定的永續性，根據客戶反饋，攻擊者的首次攻擊被阿里云云盾Web應用防火牆成功防禦了後，攻擊者再次傳送勒索資訊，表示會繼續進行攻擊。

因此推斷，本次事件有較大可能為一次有組織的團伙勒索事件。

此次攻擊事件的影響非常惡劣，電商企業需格外注意，提前做好應對攻擊的防禦方案，避免因為攻擊遭受損失。

攻擊事件相關分析

什麼是CC攻擊？

CC攻擊是DDoS攻擊的一種，其原理就是攻擊者控制某些主機不停地發大量資料包給對方伺服器造成伺服器資源耗盡，一直到當機崩潰。會直接造成業務不可訪問的，對企業有非常大的影響。

如何抵禦CC攻擊？

• 發生攻擊時通過日誌找到當前訪問頻率較高的IP和URL，然後對高頻IP進行封禁。
• 檢查User-Agent、URL、Cookie、Referer等欄位，識別惡意請求並封禁。
• 對高頻訪問頁面，增加人機識別策略，如驗證碼、JS校驗等。
• 使用專業的網路安全產品應對攻擊，是非常高效的解決方案，現在已有不少專業的網路安全防禦產品都具備防禦CC攻擊的能力。

隨著一年工作總結時刻即將到來，很多企業會選擇在年末進行營銷活動，為即將過去的一年做最後的工作衝刺。

活動期間，企業的業務流量遠高於平時，此時若發生網路安全事故，企業遭受的影響也會非常大。因此有不少有惡意目的攻擊者會選擇在年末時段發起攻擊。

從近期的安全事件與攻擊趨勢看，除了CC攻擊，通過應用程式漏洞如反序列化漏洞、資料庫未授權訪問等，導致的勒索、挖礦入侵事件發生頻率也呈明顯的上升趨勢。

安全專家提醒，年末，企業在保障業務正常執行的同時，也需要提高對網路安全的重視，做好網路安全建設工作。

企業網路的安全建設實用指南

定期備份資料

建議企業開啟映象和快照，每天進行備份，並儲存3份以上的版本。這樣即使遇到勒索軟體病毒入侵，也可以迅速恢復到1天前的業務資料。

對伺服器進行合理的安全域規劃

採用VPC服務，隔離不同租戶間業務應用。

同時將不同安全級別的伺服器，劃分到不同的安全域。以免低安全域的伺服器中招後，感染高安全域的其它伺服器。

服務口令和遠端訪問許可權管理

伺服器的口令建議至少8位以上，同時必須包含複雜的字元。

不向外網直接開放伺服器的遠端訪問許可權。 

伺服器對外只開放必要的埠，控制伺服器的主動外聯訪問

可以在VPC 閘道器處的防火牆，或阿里雲安全組防火牆上，設定伺服器對外訪問埠。

只開放必要的埠，減少攻擊面，保護伺服器的安全。 

Web應用漏洞的防護 

建議自建網站的企業選擇相應的安全產品過濾可能出現的海量惡意訪問，避免網站資產資料洩露，保障網站的安全與可用性。

防病毒管理

在雲伺服器上安裝最新商業的反病毒和惡意軟體檢測軟體。

建設安全應急響應能力

再完善的安全建設也不能保證百分百的網路安全，發生安全事件時快速響應與抵禦入侵的能力也非常重要。大型營銷活動期間，尤其應該做好安全應急響應的工作準備。

使用適宜的安全產品

使用專業的網路安全產品也是應對攻擊的一種有效方案。年末，許多網路安全服務商也會有促銷活動，此時根據需要購買專業的網路安全產品，不僅可解年末網路攻擊氾濫的燃眉之急，還能享受到優惠的價格。

原文釋出時間為：2017-12-11

本文來自雲棲社群合作伙伴“阿里雲安全”，瞭解相關資訊可以關注“阿里雲安全”微信公眾號