在新冠肺炎疫情期间,大量企业依托云实现了远程办公、信息发布和各类R&D业务的快速启动和迭代。企业在享受云带来的业务灵活高效交付的同时,也面临着安全风险。云服务使用过程中安全配置不当,很容易成为黑客的关键攻击面。
针对疫情期间网络安全趋势,腾讯安全平台部天幕团队与腾讯云安全、桌面安全产品、云鼎实验室、安全专家咨询等团队共同推出了云业务网络攻击趋势分析,为企业如何做好远程办公网络安全防护提供建议。
医疗、教育、电子商务行业成为黑客的重点攻击对象
春节前期是大多数企业的封网期,也是黑客的骚动期。据报道,封网期间安全策略更新的及时性比平时差,导致黑客试图乘虚而入,攻击量达到高峰节点。
春节过后,许多企业开始远程办公模式,认证暴力猜测(字典)万利(权限)成为黑客最常用的攻击手段。
RDPSQL Server随着年底返工潮的突然增加,成为热门暴力拆解目标
医疗行业在疫情中发挥着重要作用,大量前沿互联网医疗技术被用于抗疫一线,云医疗行业迎来了井喷式发展。但与此同时,医疗行业也面临着前所未有的网络安全威胁。前几年正月初七(1月31日),网络黑客攻击医疗行业达到一天80万次的高峰。Windows远程桌面服务生态RDP和数据库服务SQL Server成为占绝对大头的软柿子。
从攻击来源来看,70%以上的云医疗行业客户认证暴力猜测攻击来自125个海外国家。由于机房控制措施日益严格,美国成为攻击源的不受欢迎地区,而印度、俄罗斯和越南则跃居前列,成为黑客攻击源的主要地区。
认证暴力猜测攻击源:海外异常活跃,美国成为冷门地区
此外,医疗行业客户在推出抗疫小程序时,需要注意等保三级合规性,更加注重数据安全性。腾讯云安全团队表示,数据安全审计与堡垒机的结合可以防止大多数外部数据攻击和内部数据盗窃,有效审计数据库访问。
新冠肺炎疫情下停课不停学的号召,为网络教育行业注入催化剂。与传统医疗行业相比,由于网络教育需求激增,网络教育行业在业务研发上更加激进,这也带来了滥用第三方组件的风险和频繁的高风险漏洞ThinkPHP、Struts2、RDP近期黑客攻击教育行业成为突破口。针对教育行业Nday绝大多数漏洞攻击源来自国内。由于这种手法动静小,加上国内拨号IP资源集中、动态秒拨的现状IP技术是攻击的常用手段。
疫情期间,电子商务行业成为黑客趁火抢劫的目标对象。对于云服务主机,黑客每天发动数千万次爆破攻击,频繁更新挖掘木马、勒索病毒等新变种,破坏企业核心业务正常运行,窃取用户机密数据,加密勒索数据,给企业带来巨大损害。攻击手段也来自原来的简单Web攻击开始转向信息窃取售卖、“薅羊毛”非法获利等形式,而较高的访问频次和多端口流量需求也对电商行业的安全防护提出了更高的可靠性要求,构建云主机和Web应用系统尤为重要。
远程办公场景网络安全防护建议
腾讯安全团队针对无处不在的网络安全威胁和日益激烈的黑客攻势,提出以下安全建议,帮助企业安心抗疫,确保核心业务安全。
在特殊时期,企业应更加重视安全策略的响应效率,避免人为放松或客观限制止损及时性。企业除具备实时网络流量分析能力外,还应注意实时阻断网络攻击能力的建设,降低依赖人工操作和改变策略的时差风险。天幕团队通过实时分析和旁路阻断技术,实现数据中心边界的网络防御,并支持API实现现有安全系统的响应和处置,提高整体安全防御效果。
其次,要形成不攻先防的机会意识。由于迁移成本极低,黑客可以随时随地发起攻击,转移到有利于发起攻击、看似不受欢迎的位置,给企业网络安全保护带来了更大的挑战。企业应立即开始审视威胁信息数据、维度丰富性和更新及时性,避免安全分析落入盲区。在网络安全保护方面,将被动变为主动,创造不攻先防的机会策略,降低攻击风险,为业务安全布置坚实的网络防火墙。
第三,远程办公是企业网络边界的模糊时期。企业需要提前预测外部暴露的弱点,全面控制网络边界认证入口,阻断网络异常行为。企业还应注意实时资产库存能力。除了监控网络攻击外,网络流量也是帮助企业实时测绘资产关联和库存资产指纹的利器。云安全团队专家提醒,多点灾难备份,当服务器异常时,通过域名分析快速调度; 访问专业DDoS要保证业务的连续性,需要对高防和专业的支持团队进行二次检测和清洗,以确保攻击流量。