疫情欺诈邮件,DDos卷土重来,web自动化攻击,第三方脚本攻击……
特殊时期,各路公司无不担忧疫情对业绩的影响,但总有一些公司能够在逆境中把握市场确定性,实现业务的逆势增长。Akamai就是这样一家公司:2020年第一财季营收同比增长8%,第二财季增长13%。
为什么Akamai的业绩能够如此抢眼?云安全解决方案在第一财季带来的收入同比增长26%,第二财季增长27%。毫不夸张的说,云安全解决方案已经是公司业绩增长的第一驱动力。
这家一度以第一大CDN企业形象出现的公司,在5个Forrester Wave 报告中,在不同安全领域都跻身Leader的行列。这5个报告分别是Web Application Firewalls(WAF), Q1 2020;Bot Management, Q1, 2020;Zero Trust eXtended Ecosystem Providers, Q4 2019;DDoS MitigationSolutions, Q4 2017;Customer Identity & Access Management, Q2 2017。也就是说依托应用层防火墙、爬虫管理、下一代零信任企业安全解决方案、分布式拒绝服务(DDoS)防范、用户身份/访问管理这5个维度,Akamai已经构建了一套全方位的云防护体系。
疫情时期的安全攻击
从企业的角度来看,在疫情期间安全控制经历了三个阶段:第一阶段,保持以往的工作模式,利用已有知识和资源来维持这一工作模式;第二阶段,突然意识到当前做法会恶化安全漏洞的暴露。为此,安全团队忙于查缺补漏;第三阶段,重新思考如何回到新的正轨上,积极采用零信任策略,尽可能弱化甚至透明化办公地点对用户体验的影响。
到了第三个阶段,云防护的价值更加凸显,因为安全形势更为严峻。总体上来说,疫情催生了更多的攻击面:一方面是原来在企业内部的终端现在都直接暴露在互联网上,通过互联网远程的方式去接入,这就会产生更多的攻击面。另一方面是由于远程办公,很多互联网业务,甚至一些企业内部的业务都暴露在互联网上。这导致在疫情下,攻击的方式更加多样化,攻击的频次和复杂程度都会越来越高,混合型的攻击越来越多,企业容易陷入“内外夹击”的困境,内部的脆弱性和外部的威胁性都在增强。从攻击本身来看,它们也呈现出四个新特点。
首先是大规模、复杂的DDoS攻击卷土重来,在规模、频率和持续时间上都令人防不胜防。2018年被严打的DDoS攻击一度淡出人们的视野,但2020年它来势汹汹,多家厂商在疫情期间均遇到过Tbps级别的DDoS攻击;6月,Akamai先后报告两起令人瞠目结舌的事件:化解针对某英特网托管服务供应商的流量为1.44 Tbps的攻击,该攻击有着9个不同的模式,持续了近2个小时;成功对抗其平台上有史以来最大每秒数据包(每秒8.09亿个包)的DDoS攻击,是之前最高记录的两倍多。
其次是针对Web应用的攻击进化为更加隐秘的自动化攻击。根据Akamai的统计,以网页、API和网络为目标,Web层面的攻击比去年增长了42%,深受其害的是电商、高科技等行业。其中最令人深恶痛绝的是针对高价值目标的撞库攻击,其频次同比翻番。Akamai展示了一个案例,一个游戏行业的用户遭受了长达60天的爬虫攻击,恶意爬虫请求和恶意登录请求均达上亿次。
再次是新型第三方脚本攻击开始流行。这类攻击抓住许多网站为了提高交互能力和用户体验的契机,瞄准容易被疏忽的界面进行攻击,即在浏览器端对用户提交的数据进行拦截和劫持,这对因为疫情而成为常态的远程办公和远程交易危害极大,而且又因为第三方脚本的访问链长且复杂,这类安全攻击的影响面往往很大。Akamai表示,Web盗用在今年增长了26%。英航就因为一次此类攻击使得超过30万名用户的敏感数据,包括个人身份、信用卡等信息,被泄露。最后是打着疫情名号的欺诈邮件攻击。此类攻击利用人们对疫情主题的关注度和缺少防备心理,在很多国家和地区蔓延开来。根据Akamai的观测,3月15日以来,受害者成倍增长,美国劳工部就被冒名发送过多封这样的欺诈邮件。
穿上“防护服”
互联网是脆弱的,在多样化攻击的威胁下,到底怎样才能逃过一劫?
对DDoS攻击,有效缓解需要从两个方面入手:一是平台规模可以适应日益增长的大流量攻击;二是技术手段要跟上。Akamai采用主动防御的措施,提前探测,设置防护,在前面两个创记录的DDoS攻击中实现了零秒缓解的承诺。对于针对Web应用的攻击和爬虫攻击,Akamai设立了一个专门的研究团队,分析并跟踪这些攻击的变异和转型,以应对它们演化速度快的痛点。对于第三方脚本攻击,Akamai强调页面完整性,并提出了在企业边缘端进行插码来实现防护的整体方案。对于钓鱼邮件攻击,Akamai跟踪用于构建钓鱼网站和实施钓鱼攻击的工具箱Question Quiz,做到知己知彼,并在零信任安全架构中提供含有针对于企业防护的解决方案,包括通过在终端侧的部署、通过DNS解析的方式去分析企业的终端和互联网交互的行为,支持零日钓鱼攻击防护。对于整个信息安全行业经过疫情的特殊时期之后,Akamai基于过去20多年的精准技术研发,重新思考如何部署安全控制、部署在哪里。深思熟虑之后,Akamai选择把安全控制尽可能地部署到离终端用户较近的地方,并为此构建了智能边缘平台。对用户进行检测,区分攻击者和非攻击者,并在终端进行决策分类,识别哪些流量来自攻击者,哪些来自非攻击者。通过这样的分类让用户的整体业务流程变得非常顺畅,即使不可避免地遭到一些漏洞的侵害,依然能够非常稳健地运行业务。