企业动态

    在武侠世界中，金庸曾在《天龙八部》中塑造出有名的“四大恶人”，令江湖人闻风丧胆，他们分别是恶贯满盈段延庆，无恶不作叶二娘，凶神恶煞岳老三，穷凶极恶云中鹤，个个行事穷凶极恶。

    而在网络安全的世界中，DDoS攻击、勒索软件和挖矿木马，这三种常见且高发的网络攻击方式，同样是笼罩在各行各业、政企组织上方的一片乌云，往往为业务正常运行带来“灭顶之灾”，组成了安全圈的“三大恶人”。

    “三大恶人”频繁作乱  重要时期业务中断成核心痛点

    中断业务的“三大恶人”之DDoS攻击

    2022年2月，俄乌冲突伊始，伴随着俄军在乌克兰首都和重要城市带来的轰炸声，前所未有的DDoS攻击同时进行。在两国爆发冲突的重要时期，乌克兰国防部、武装部队、外交部和内政部的网站因遭受DDoS攻击对外界访问请求不能响应或加载缓慢。另一方面，俄罗斯电视台、克里姆林宫、俄罗斯国防部、外交部等多个政府部门同样因DDoS攻击而无法访问相关业务。

    利用大量肉鸡发起访问导致系统业务无法正常操作的DDoS攻击，活跃在世界各国，涉及教育、金融、政府等多个行业。国家冲突、奥运会等重要活动期间，DDoS攻击作为破坏之王更是成为攻击者手中利刃。数据表明，2021年DDoS攻击频率和强度明显提升，以关键信息基础设施为目标的高强度DDoS攻击已跃升为国家级网络安全威胁之首。

    DDoS攻击如同洪水猛兽，可谓是造成政企业务中断的头号杀手！

    中断业务的“三大恶人”之勒索软件

    2020年4月底，东京奥运会宣布延期举办约1个月后，日本奥委会遭到疑似勒索软件攻击，被迫暂停业务。其秘书处约100台服务器中，大约70%可能感染病毒的服务器不得不被更换。

    勒索凶猛，通过破坏数据的可用性导致业务中断的勒索软件，实际上对业务运行造成的危害与DDoS攻击不分伯仲，甚至会直接导致企业倒闭。从发展趋势来看，勒索软件的数量持续上升，攻击面迅速蔓延，同时，由于企业级安全攻击具有高回报率，勒索软件对政府、金融、教育、医疗等多个高价值行业都构成了严重威胁，而这些行业往往与国计民生息息相关。

    中断业务的“三大恶人”之挖矿木马

    2021年初，因以比特币为代表的“挖矿”需要耗费巨大的电能，伊朗政府曾指责比特币“挖矿”行为导致该国电力中断。很多人认为挖矿木马的危害仅仅是让系统变慢，消耗系统资源，不会有破坏性后果。

    相较于效果立竿见影的前两种攻击方式，挖矿木马则是瞄准计算机算力逐步蚕食，影响政企机构组织系统运行速度、占用计算机资源，极大可能导致应用程序和硬件崩溃，从而造成业务中断。而其耗费的巨大电能造成的电力中断，又何尝不是一种业务中断？

    “三大恶人”的危害之巨，在于通过网络攻击影响行业、国家安全。以防疫时期人人都需要用到的健康码为例，2021年5月，国内某地健康码连续遭受境外网络攻击，严重影响当地出入境秩序。疫情时代下，健康码就是每个人正常工作、生活的出入凭证，一旦健康系统被黑客攻击，陷入瘫痪状态，影响到绝大多数人的正常出行，后果十分严重。

    尤其是在重要时期的网络安全保障，往往也是国内外各类攻击组织最为活跃的时期，大量关键信息基础设施、政企机构内外系统都会成为网络攻击的重要目标。一旦发生恶意破坏、恶意篡改、数据泄露、系统停服等重大网络安全事故，不仅会带来严重的经济损失，也会产生重大的社会影响，防范因网络攻击造成的业务中断更是需要政企考虑的重中之重。

    重保就要“零事故” 奇安信推出专项解决方案

    面对日益严峻的外部威胁形势，以及重要时期更加频发的安全事件和提升强化的监管力度，政企组织需要应对防范网络安全重大风险、遏制网络安全重大事故的考验，实现不出事故，不被通报，最核心的目标之一就是业务不中断、不延迟。

    通过总结、贯彻冬奥零事故经验，奇安信推出重保专项解决方案，为政企机构提供重要时期的全方位网络安全保障支撑，协助客户全面深入排查安全隐患，提供7×24小时安全监控、事件分析处置和应急响应保障，实现“重保前期控风险清隐患、重保期间强监控零事故”的保障目标，切实提高重要系统运营单位在重要时期的网络安全保障能力。

    粉碎“三大恶人”之DDoS攻击防御措施

    对于DDoS攻击、勒索软件和挖矿木马带来的安全威胁，奇安信安全专家提出了更具体、更有针对性的防护建议及相关措施。

    针对破坏力极强的DDoS攻击，想要完全防住无异于天方夜谭。奇安信安全专家推荐政企客户选择更具针对性的抗拒绝服务系统（Anti-DDoS）等产品，基于行为异常的攻击检测和过滤机制。产品通过阈值、协议、端口、验证码等多种方式协同保障链路和业务的安全性，防御来自于网络层或是应用层的拒绝服务攻击行为，让客户免遭因链路拥塞、服务器资源耗尽造成业务无法正常运行访问。

    粉碎“三大恶人”之勒索软件防御措施

    针对来势汹汹的勒索攻击，奇安信安全专家则归纳了以下几点建议帮助政企组织有效自救：

    首先，要重视常态化安全运营工作。其中包括杜绝使用弱口令，定期开展系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现安全隐患，并加强日常安全巡检，定期检查系统配置、网络设备配合、安全日志以及安全策略落实情况。

    其次，要加强溯源能力，打造体系化和细粒度的安全防护。部署天眼等全流量监测设备、高级威胁监测设备，在服务器上部署安全加固软件，并安装相应的防病毒软件或部署防病毒网关，及时更新、定期扫描。此外，还应加强访问控制ACL策略，细化策略粒度。

    最后，要提升勒索攻击发生后的快速响应、处置能力。对于已中招的设备下线隔离，使用杀毒软件全面查杀，对于未中招的设备只对特定IP开放，尽量关闭高危端口，设置复杂口令。

    粉碎“三大恶人”之挖矿木马防御措施

    针对特征变化迅速的挖矿木马，奇安信此前曾发布贯穿“边-网-主机-终端”的应对“挖矿”专项方案，从“挖矿”病毒的监测、分析、处置、溯源的闭环处置等进行规划和设计，基于纵深式防护体系构建多重防护机制，结合病毒特性，进行有针对性的多重检测保护，具体措施如下：

    其一，在监测和分析环节，主要通过部署天眼，提供威胁情报与威胁监测与分析能力。天眼包括传感器、文件威胁鉴定器（即沙箱系统）、分析平台三大产品设备组件，可提供挖矿病毒专项威胁情报检测、可疑挖矿病毒变种样本分析、未知挖矿病毒异常外联行为检测、挖矿病毒传播过程分析等功能服务。

    其二，在处置环节，通过部署椒图，针对操作系统内核、中间件、系统应用进行深层次入侵防护与加固，并结合资产清点、漏扫、风险发现、（挖矿）病毒查杀、基线检查等功能，对攻击行为进行分析、溯源、阻断等措施，进行服务器从内而外的立体防护；通过部署天擎，有效的对终端进行“挖矿”病毒的查杀与安全加固，提供防护能力，抵御外来的攻击。

    同时，客户还可以部署邮件威胁检测系统、DNS威胁检测系统等，从钓鱼/诈骗邮件检测、邮件账号被控、邮箱暴力破解检测，以及恶意域名检测、恶意域名阻断、DNS隐蔽通道、DGA域名检测等层面，提供高效的检测和处置方案。

    其三，专家服务与安全产品联动。根据天眼、椒图、天擎发现的异常情况和告警，通过奇安信安全服务专家进行安全事件的分析、研判，快速采取相应措施进行“挖矿”病毒的应急处置。

    写在最后

    奇安信多年以来持续承接重大活动安全保障任务，经过多年实践，奇安信在重保指挥体系化方面积累了丰富的经验，形成了成熟的一线专家值守、二线应急支撑、三线产品保障以及后勤保障的专业重保运营机制。

    截至目前，奇安信已先后完成了国庆70周年、亚洲文明对话大会、一带一路高峰论坛、海军建军70周年、全国两会、春晚、中非合作论坛、上合组织成员国峰会、十九大、博鳌论坛等国家级网络安全保卫任务，用自己的能力和行动捍卫着国家和企业的网络安全。

    本文图片部分来源于网络