记者 | 彭新
编辑 |
网络安全攻击频发,新型攻击手段、软件漏洞危及互联网安全设施,软件供应链成为需要注意的新型风险发生源。
网宿科技联合数世咨询近日发布的《2021年中国互联网安全报告》(下称报告)显示,2021年网络安全形势更加严峻,应用层攻击持续高发,API( 应用程序编程接口)攻击尤其呈爆炸性增长。随着疫情缓解和国际形势的紧张,相关的境外对境内的攻击数量发生了暴涨。此外,黑客的攻击方式跟目标趋于分散化和多样化。
报告称,2021年DDoS攻击事件数量同比增长约60%,DDoS攻击带宽最高峰值达到774.58Gbps,相较于2020年的峰值612.67Gpbs,规模再次突破。游戏仍是遭受DDoS攻击最多的行业,占比过半。Web应用攻击延续了倍增态势,2021全年体量达229.83亿次,同比增长141.30%。其中,接近50%的Web应用攻击集中在软件信息服务和金融行业。从攻击IP的地理位置分析发现,来自境外的Web应用攻击IP同比暴涨了357.16%,《报告》推测,或与日趋紧张的地缘政治局势有关。
恶意爬虫攻击方面,据网宿安全平台监测,2021年平均每秒发生2688次恶意爬虫攻击,全年攻击量为2020年的2.36倍。从行业来看,随着疫情对交通运输的负面影响逐步消除,抢票类爬虫复苏,交通运输业遭受的恶意爬虫攻击量从2020年的第六位回到前三位置。
API安全威胁已经进入爆发期。报告显示,2021年针对API业务的攻击达到147.98亿次,同比增长超过200%,其中零售业、金融业以其数字化程度最深成为重灾区,两者集中了将近七成的API攻击。
“企业开放的API越来越多,面临的风险随之加剧。”网宿科技副总裁、首席安全官吕士表观察到,在API攻击中,业务攻击的方式越来越多样化,恶意爬虫依旧是最主要攻击方式,占到整体攻击量近50%,但整体占比在下降。零售与金融行业在API攻击中行业占比分别为34.99%和31.27%,这与两行业对API的使用程度有关。
值得注意的是,网宿在报告中披露了去年末影响巨大的“超级漏洞”Log4j2的影响范围。
Log4j是是一种常用的Java日志框架,此次出问题的是Log4j的第二代版本Log4j2,广泛存在于全球大量软件之中。通过Log4j2中的漏洞,实现远程的代码运行,可以让攻击者直接绕过所有安全监控,完成植入恶意软件等非法行为。这一漏洞于2021年底公布,被行业视为“核弹”级漏洞。
报告称,截至2021年12月31日,该漏洞被公布仅半个月时间,引起的入侵事件数量就超过了第2-9名高危漏洞引起的入侵事件数量总和,且Log4j2漏洞的利用方式还在不断变形,并不断被发现新的绕过方式。据各国政府当时通报称,有黑客正积极扫描各地网络,以利用该漏洞来植入恶意软件或将设备劫持用于加密货币“挖矿”。
“软件供应链安全风险加剧,Log4j2占到整个入侵检测的一半。随着全球化的开源软件的发展,大量的基础设施依赖于这些通用的,像Apache这种底层的开源组件,只要其中一个出现问题就会导致一大片漏洞被利用,影响巨大。” 吕士表告诉界面新闻记者,应用组件漏洞比操作系统漏洞具备更容易获得的执行环境,也比业务漏洞具有更强的通用性。
软件供应链风险正被IT行业所警觉。市场调研公司Gartner报告预测,到2025年,全球45%的企业机构将遭遇软件供应链攻击,相比2021年增加了3倍。吕士表认为,目前单点防护很难做好对此类风险的防御,需要通过资产盘点、自动化检测等手段,同时在开发阶段对软件进行成分分析,做好安全开发流程(SDL),避免组件带病上线,才能综合性提高软件供应链安全水位。