320個蜜罐其中80%在一天內淪陷

編輯：左右裡

11月22日，網路安全公司Palo Alto Networks旗下威脅情報團隊Unit 42公佈了一份研究報告，報告中指出，該團隊研究人員設定的320個蜜罐，其中的80%在24小時內被攻陷，而所有蜜罐都在一週內被攻陷。

蜜罐是一種誘捕攻擊者的陷阱，透過模擬易受攻擊的計算機，吸引、誘騙網際網路上的非法攻擊，藉此收集攻擊者的資料、分析攻擊者的工具和方法，從而進一步瞭解所面臨的安全威脅、增強安全防護能力。

蜜罐系統的優點之一就是它們大大減少了所要分析的資料。對於通常的網站或郵件伺服器，攻擊流量通常會被合法流量所淹沒。而蜜罐進出的資料大部分是攻擊流量。因而，瀏覽資料、查明攻擊者的實際行為也就容易多了。

SSH、Samba、Postgres和RDP四類協議均勻部署於整個蜜罐基礎設施。2021年7月，研究人員將320個蜜罐部署於北美（NA）、亞太地區（APAC）和歐洲（EU）。

如下為所有蜜罐的平均首次攻陷時間：

可以看到，對於SSH蜜罐，首次攻陷的平均時間為3小時。而Unit 42還觀察到，有一個攻擊者在短短30秒內攻破了80個Postgres蜜罐中的96%。

實驗結果非常令人擔憂，我們知道一般在釋出新的安全更新時，普通人可能會在數天甚至更長時間完成更新，而威脅行為者只需要數小時就可完成攻擊。

下圖為在一個蜜罐上兩次入侵的平均間隔時間：

網際網路上易受攻擊的計算機經常會被多個攻擊者爭奪，為了獨佔受害者的資源，攻擊者通常會刪除其他攻擊者留下的惡意軟體或後門。

研究發現85%的攻擊者IP都是在一天內觀察到的，大部分攻擊者不會在隨後的攻擊中重複使用相同的IP。這種IP變化意味著第三層防火牆對威脅行為者效果有限。

根據這份研究報告，當配置錯誤、易受攻擊的服務暴露在網路上時，攻擊者只需很短的時間就能發現並破壞該服務。這項研究再次驗證了不安全暴露的風險，提醒大家要迅速修補安全問題。

資訊來源：Palo Alto Networks官網

轉載請註明出處和本文連結

推薦文章++++

* 斥資170億美元，三星已決定於美國德州新建半導體廠

* 破解指紋識別有多簡單？所有人都能輕易做到

* 美國新規：銀行機構須於36小時內報告電腦保安事件

* 抖音國際版成為網路釣魚詐騙新目標

* 最弱密碼排行榜，肯定有你曾用過的

* Mandiant稱白俄羅斯要對北約的網路攻擊負責

* 索尼PS5遭破解，駭客利用核心漏洞獲取根金鑰

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com