2012年4月6日 星期五

Imperva發佈最新《網路應用攻擊報告》


Imperva發佈最新《網路應用攻擊報告》

Imperva是新型資料安全解決方案的先鋒和領導者,致力於為資料中心的高價值商務資料提供資料安全解決方案。近日,Imperva正式發佈了兩份報告——《Imperva 網路應用攻擊報告》(簡稱WAAR)和《駭客情報匯總報告》,致力於為組織機構提供全面的攻擊分析,幫助他們做好應對準備。WAAR報告顯示,網路應用中的業務邏輯層正遭受到攻擊。作為Imperva駭客情報計畫的一部分,WAAR20116月至11月這6個月期間現實的惡意網路應用程式攻擊提供解決對策。而駭客情報匯總報告則揭示了一個由駭客組織“匿名者”發起的攻擊的主要細節。

  數以千計世界領先的企業、政府組織和服務提供商都依賴於 Imperva 解決方案來防止資料洩漏、符合合規性要求以及管理資料風險。Imperva首席技術官Amichai Shulman說道:“我們相信,這些分析報告的發佈將幫助組織機構做好應對潛在攻擊的準備,並讓更大的安全社區對駭客操作方式有更深入的瞭解。”

Imperva 網路應用攻擊報告(WAAR)
  Imperva40多種不同的應用程式攻擊進行了監測並分類。WAAR概括了每個攻擊的頻率、類型及來源,以此幫助資料安全專業人員更好地按照優先次序修復漏洞。

  “由於駭客可以通過合法的途徑跟蹤用戶與應用程式的交互,因此業務邏輯層的攻擊對於駭客具有非常大的吸引力,”Imperva首席技術官Amichai Shulman說道,“要做到這一點,需理解具體操作順序對應用程式功能的影響是如何實現的。”因此,駭客可以利用應用程式截獲私人資訊,進行扭曲,並外泄給其他更多的用戶 —— 這些行為通常不受安全控制。”

Imperva 發佈的最新網路應用攻擊報告一併指出:
· 自動化應用攻擊正在繼續。在20116月至11月的六個月期間,被監測的網路應用程式每月遭受到130,000385,000次攻擊。高峰時,整套應用程式系統受攻擊的頻率高達一小時近38,000次或每秒10次。
· 由於駭客有能力逃避監測,他們依賴於業務邏輯攻擊: Imperva也研究了兩類業務邏輯攻擊: 評論垃圾廣告和電子郵件提取。評論垃圾廣告是指在評論欄裏嵌入惡意鏈結來改變搜索引擎結果,潛在詐騙消費者。電子郵件提取是指對電子郵件位址進行簡單分類,建立垃圾郵件發送列表。據統計,這些業務邏輯攻擊在惡意攻擊流量中占14%

· 業務邏輯攻擊的來源是:
電子郵件提取被非洲國家的主機所控制。
評論垃圾廣告中的不尋常部分經監測是來自東歐國家。

  · 駭客利用5種常見的應用程式漏洞:這五種常見的應用程式漏洞是:遠端檔包含(簡稱RFI)SQL注入(簡稱SQLi)、本地檔包含(簡稱LFI)、跨站腳本攻擊(簡稱XSS)和目錄遍曆漏洞(簡稱DT)跨站腳本攻擊和目錄遍曆漏洞是最普遍的傳統攻擊形式。為什麼要針對這些漏洞?駭客喜歡阻力最小的路徑,而應用程式漏洞則提供了最豐富的目標。

  這份報告中描述的很多攻擊都不難被緩解。然而,我們的確發現網路應用程式面臨的攻擊變得更加多樣化、技術上更加複雜、更難監測和阻止。顯然,安全應對措施必須繼續保護業務和其用戶不被傷害、不受到損失。正確的減緩步驟有哪些呢?我們嘗試創造一個完整的列表來幫助資料安全團隊提高他們的效率。

Imperva2011年度報告中提到的幾點建議仍然有效:
· 部署安全解決方案,監測自動化攻擊。監測必須在攻擊過程中儘早實行。
· 監測和阻止已知的漏洞攻擊。應用程式中可利用漏洞的知識庫必須經常更新。
· 獲得惡意來源的情報並即時應用。列出攻擊主機的黑名單始終是一個很有效的防範措施。然而,這個名單必須即時更新、保持其實效性。
· 參與安全論壇,分享攻擊的資料庫。自動化攻擊程度和範圍的加劇在網路上留有明顯的痕跡,但此痕跡僅能從大量潛在受害者處收集的資料中看出。
· 獲取業務邏輯攻擊來源的情報並即時應用。例如,評論垃圾廣告在被公然揭露後還可以活躍很久。情報的重點必須在於每一種攻擊的形式,因為正如我們所看到的,使用評論垃圾廣告和電子郵件提取的攻擊者展現出不同的屬性。
· 攻擊流量的地理資訊對即時做出資料安全對策有所幫助。例如,經分析的業務邏輯攻擊擁有獨特的地理特徵。

  攻擊者對自動化攻擊依賴性的不斷增強和自動化工具產生的大量惡意流量表明,監測這些工具迅速、精確、自動產生的攻擊是至關重要的。作為一個常用的方針,流量屬性和網路用戶端端必須不斷被檢查和監測。如果與正常流量屬性有所偏差,則應該受到專業軟體和專業人員的嚴密監測。

監測和防禦自動化攻擊包括:
· 信譽機制的監測:獲得並使用被攻擊者雇傭的主機黑名單。
· 高點擊率:流量整形是自動化攻擊最基本的指示。一旦超過與其相關的臨界值(例如,每分鐘點擊3),應用程式就應該延遲或阻止與網路用戶端端資訊交換。
· 輸入流量的技術屬性:軟體工具產生的流量通常具有技術特徵(例如特定的HTTP),不同於一般流覽器所產生的流量。如果這不是預期的使用場景,阻止該流量。
· 商業行為的重複:例如,多次登陸失敗表明密碼受到惡意攻擊。當然,你的安全裝置必須能夠識別出這些“差異或者異常的表現”。
· 質疑應用程式的網路用戶端端:測試你的應用程式是否真的與流覽器進行交互。例如,“虛假”流覽器沒有對Java語言的執行能力。該應用流需包含發送Java語言代碼給客戶並核查其是否真的被執行。
· 檢測確有真人在操作:通過CAPTCHA(全自動區分電腦和人類的圖靈測試)檢測終端用戶是真人。

駭客情報匯總報告
  2011年期間,Imperva見證了一次由駭客組織“匿名者”發起、持續25天的攻擊。駭客情報匯總報告——“匿名者”攻擊報告對此提供了一個全面的攻擊分析,包括從始至終攻擊活動的詳細時間表、駭客破壞方法的審查以及對使用社會媒體徵集參與者、協調攻擊的見解。

  “我們的研究表明匿名者通常模仿盈利性駭客使用的方法,利用常見的方式——SQL注入和DDoS(分散式拒絕服務攻擊)來進行攻擊。我們發現匿名者雖然發明了一些定制工具,但與開發複雜攻擊不同的是,他們通常使用一些廉價現成的工具,”Imperva首席技術官Amichai Shulman說道:“我們的研究進一步表明匿名者第一步先嘗試竊取資料,如果失敗,會嘗試DDoS攻擊。”

“匿名者”攻擊報告指出:
· 該攻擊由三個不同的階段組成:徵集和通信、偵查和應用層攻擊、最後,是DDos攻擊。
· 社會媒體管道,尤其是TwitterFacebookYouTube是確認目標、發動攻擊最主要的方法。在攻擊第一階段徵集和通信的過程中,社會媒體也是最常用的方式招募自願者加入攻擊行列。
· 富有經驗的駭客只占自願者的一小部分,他們主要活躍在偵查和應用攻擊階段,探測漏洞,進行應用攻擊,例如通過SQL注入嘗試竊取目標資料。
· 非專業人員僅在第三階段產生作用——幫助開展DDoS攻擊——由於嘗試偷竊資料的應用攻擊失敗。
· 匿名者開發了一些定制工具——特別是低軌道離子炮(LOIC)和一種能從移動流覽器啟動DDoS攻擊的工具。然而,該組織也在偵查和應用攻擊階段依靠常見的工具來尋找和開發網路應用漏洞。
· 與盈利性駭客不同,匿名者很少依靠常見的駭客技術,例如僵屍網路、惡意軟體、網路釣魚或魚叉式網路釣魚。

轉載自《遊俠安全網

沒有留言:

張貼留言