疫情期间网络安全风险和亚太地区安全趋势

网络钓鱼、DDoS攻击、撞库、勒索病毒、网站漏洞……随着新冠肺炎疫情在全球的持续传播，与疫情相关的网络攻击事件也在不断攀升。由于疫情期间的社交距离和远程办公政策的实施，Akamai观察到全球互联网流量在三月出现激增。但除了这点变化外，Akamai还发现与恶意软件相关的网站访问量增长超过400%，并且多起网络钓鱼攻击借势新冠肺炎疫情。

新冠肺炎疫情带来的大量不确定性正让人们越发依赖数字化工具，并使远程办公、学习、购物、娱乐等生活方式变为常态。这些因素叠加在一起，就为放大企业的网络安全风险创造了极佳的外部条件。因此，企业须要对这些安全威胁立即做出回应，确保自身的长期“免疫力”。通常而言，疫情期间，企业会寻求专业厂商来了解自身的抗网络威胁能力以及获得所需的关键安全服务。近日，全球网络安全领导厂商Akamai与记者分享了其智能边缘平台在疫情期间观察到的网络攻击行为和安全趋势。

在疫情的背景下，互联网远程办公已成为一种新常态。这在客观上加速了企业的数字化进程，使得企业的业务连续性比以往任何时候都更加重要。疫情期间互联网流量的激增也导致了网络攻击流量的激增，使得网络安全问题愈发凸显。其实攻击者对于远程工作模式从来都不陌生，因为他们总是远程监控或遥控成千上万台电脑来发起攻击。他们了解互联网的脆弱性，能够采用不同的攻击手段来达到其目的。具体而言，Akamai从四种攻击类型角度介绍了疫情期间的互联网安全形势。

一、DDoS攻击趋势

DDoS攻击已不再是一种新的攻击手段。但随着互联网技术架构的演进和互联网应用的高速发展，DDoS攻击规模已从最初几百兆发展到几百Gbps，甚至达到以Tbps为单位的超高规模。虽然近一、两年没有发生大规模的全球性DDoS攻击事件，但是否意味着DDoS攻击已经过时？下图展现了疫情前后Akamai平台观察到的DDoS攻击态势，可以看到随着互联网新常态的出现，现在DDoS攻击以更多、更复杂的形式呈现出来。

上图橙色区域较多，表明针对游戏行业的攻击较为密集，这在很大程度上是因为游戏行业的盈利模式、行业竞争导致游戏用户会遭受更多的DDoS攻击。与此同时，疫情期间出现过几次大规模的、针对金融行业的攻击（图中紫色区域），原因在于疫情期间发生了更为频繁的在线交易以及数字货币活动。此外，疫情期间针对运营商（绿色区域），包括ISP、IDC、数据中心也存在较大规模的攻击。

以近期发生的两个DDoS攻击为例。第一起是6月初Akamai平台监测到的迄今为止最大流量的全球性DDoS攻击，其目标针对互联网托管服务提供商、攻击流量达1.44 Tbps、持续两个小时。这次攻击的最大特点是运用了九种攻击方式，是一起混合了大流量性攻击和小流量性攻击、混合了网络层攻击和应用层攻击的混合型攻击，所以让防护者的防护难上加难。但幸运的是，大部分攻击流量都被Akamai的Prolexic平台和服务自动地缓解，另一部分残余流量被Akamai的安全中心所缓解。

第二起案例是发生于6月21日、针对欧洲某银行的DDoS攻击。Akamai监测到这起攻击的PPS数堪称有史以来最大（PPS指每秒钟处理的包数，是衡量一个DDoS攻击对资源消耗的最主要的性能指标）。它利用很多小包攻击构造出很大的PPS量来攻击银行的基础设施。另外，这次攻击使用了很多的源地址，而这些源地址在2020年以前在Akamai的平台上尚未发现。这表明此次攻击很可能是在疫情下出现更多不受控的终端接入到互联网，然后被攻击者所利用，进而产生的一种僵尸网络攻击。疫情期间网络安全风险和亚太地区安全趋势-RadeBit瑞安全

企业如何有效缓解DDoS攻击？首先需要足够规模的缓解平台以适应现在日益增长的大流量攻击，同时需要一个具备更加专业技能的团队去抵御不断变化的DDoS攻击。上述两个DDoS攻击案例中，Akamai均实现了零秒缓解的承诺。企业能做到这点是因为基于Akamai主动防御的措施，其能够提前探测和设置一些防护措施。

关于Web应用层攻击，具体来讲，与去年相比，Web应用层攻击增长了42%，集中在电商、高科技等不同行业。Web应用层攻击通常分为三类：一类是针对Web网页的攻击，如注入攻击、跨站攻击；第二类攻击方式较为新型：因为越来越多的平台使用API接口，利用API进行更加隐秘的自动化攻击；最后一类是常见的爬虫攻击，它利用恶意软件进行远程攻击，达到商业欺诈的目的。

二、撞库攻击

Web应用层攻击可以重点关注撞库攻击——它实际上是爬虫类攻击中最主要的一种攻击方式。撞库攻击针对高价值的攻击目标，诸如对银行卡或礼品卡发起的攻击，或像薅羊毛这种对于低价货物的囤积。受疫情影响，2020年撞库攻击的频次相比前一年增长近一倍。疫情期间网络安全风险和亚太地区安全趋势-RadeBit瑞安全

通过上图可见，撞库类型的攻击会不断用登录的方式去尝试不同的账号。在今年5月，每日的攻击量已达到三亿多，比去年大约一点几亿的攻击量增加了一倍多。

Web应用和爬虫攻击需要从两方面进行缓解。首先是具备洞察力。Akamai拥有一个专门的研究团队去分析各种各样的攻击，并持续跟踪这些Web攻击的演进。其次需要专业的防护技能。攻击者能够迅速进行攻击方法的变异和转型，在这方面，Akamai有更好的能力帮助企业抵御各种变化的攻击方式。

三、脚本攻击

第三方脚本的攻击方式是近几年较常见的一种攻击方法。较知名的一个攻击案例是Magecart针对英航的攻击案例，此次攻击使英航30多万用户的敏感数据遭到泄露。这种攻击不仅针对于大型的支付网站，任何有支付业务、在页面中有表单提交的操作的企业都有可能受到此类攻击。

这种攻击最近较多、较流行的原因是其攻击方式不是攻击远程服务器端，而是在用户浏览器端中对客户提交的数据进行拦截和劫持。此类攻击特别是在疫情下和远程办公、交易的模式中大肆泛滥。

为什么第三方脚本的攻击会是严重的安全问题？上图右侧是Akamai官网引用第三方脚本的一个链接图。蓝色节点是Akamai自身的脚本节点，其他颜色是Akamai网站引用的第三方脚本的节点。网站为了提高交互能力、用户体验，会使用很多第三方脚本，而这些第三方脚本往往又不是由第一方来控制，所以当出现安全问题时，影响面会非常大。第三方脚本的访问链其实非常复杂、非常冗长。通过上图左边的数据可以看到，桌面应用和移动终端的应用有超过60%的链接脚本均来自于第三方。

四、钓鱼攻击

上图左侧是利用美国劳动部与疫情相关的主题欺诈的一个恶意邮件。而从右侧图可以看到，疫情期间很多国家和地区都遭受了不同程度的以新冠疫情为主题的恶意邮件攻击。Akamai一直在跟踪一个叫“Question Quiz”的工具箱。这个工具箱是一个钓鱼软件的工具箱，可被用来构建钓鱼网站或实施钓鱼攻击。今年3月份前这种工具箱的受害者数据还较为平稳，但在3月15日后，受害者出现成倍增长，这说明疫情期间出现了更多基于疫情的钓鱼网站的攻击。

总而言之，针对上述四种攻击方式和趋势——即DDoS攻击、基于Web的攻击、第三方脚本攻击以及钓鱼邮件攻击，Akamai均有全面的防护方案，包括DDoS防护、爬虫管理和应用安全防护、页面完整性和针对第三方脚本攻击的防护以及基于零信任、企业安全的防护。这些防护方案能够在疫情期间安全形势变化万千的情况下全面地帮助企业抵御各类网络威胁。

RadeBit瑞安全记者：疫情期间有报道称印度发起APT攻击，利用疫情为诱饵投递钓鱼邮件，对中国的医疗机构发起定向攻击，事实上钓鱼攻击也普遍存在于企业的安全威胁之中，对此Akamai是否有更好的方式来防御类似的钓鱼攻击？

Akamai大中华区产品市场经理刘炅：APT是高级可持续威胁攻击，通常会利用社会工程学的方式进行入侵，比如刚才提到的恶意邮件、钓鱼邮件。APT攻击会诱导客户端下载或执行链接或文件，从而盗取企业的敏感信息，APT这种安全问题应属于企业安全问题的范畴。疫情期间远程办公模式使企业原有的安全边界更加模糊甚至消失，使得受攻击面增大。Akamai的零信任安全架构中含有针对于企业防护的解决方案，包括通过在终端侧的部署、通过DNS解析的方式去分析企业的终端和互联网交互的行为，而且能够支持零日的钓鱼攻击防护。至于整体防护的建议，对于社会工程学的攻击，首先企业要有安全意识，就是员工的安全意识和安全教育非常重要。第二，有效监控一些钓鱼邮件。此外，探测企业内部和外部的互相通讯，包括保证企业内部所有系统的安全性和最小化漏洞，这些对于企业解决APT攻击都是最佳实践。