记者 | 彭新

编辑 |

网络安全攻击频发，新型攻击手段、软件漏洞危及互联网安全设施，软件供应链成为需要注意的新型风险发生源。

网宿科技联合数世咨询近日发布的《2021年中国互联网安全报告》（下称报告）显示，2021年网络安全形势更加严峻，应用层攻击持续高发，API（ 应用程序编程接口）攻击尤其呈爆炸性增长。随着疫情缓解和国际形势的紧张，相关的境外对境内的攻击数量发生了暴涨。此外，黑客的攻击方式跟目标趋于分散化和多样化。

报告称，2021年DDoS攻击事件数量同比增长约60%，DDoS攻击带宽最高峰值达到774.58Gbps，相较于2020年的峰值612.67Gpbs，规模再次突破。游戏仍是遭受DDoS攻击最多的行业，占比过半。Web应用攻击延续了倍增态势，2021全年体量达229.83亿次，同比增长141.30%。其中，接近50%的Web应用攻击集中在软件信息服务和金融行业。从攻击IP的地理位置分析发现，来自境外的Web应用攻击IP同比暴涨了357.16%，《报告》推测，或与日趋紧张的地缘政治局势有关。

恶意爬虫攻击方面，据网宿安全平台监测，2021年平均每秒发生2688次恶意爬虫攻击，全年攻击量为2020年的2.36倍。从行业来看，随着疫情对交通运输的负面影响逐步消除，抢票类爬虫复苏，交通运输业遭受的恶意爬虫攻击量从2020年的第六位回到前三位置。

API安全威胁已经进入爆发期。报告显示，2021年针对API业务的攻击达到147.98亿次，同比增长超过200%，其中零售业、金融业以其数字化程度最深成为重灾区，两者集中了将近七成的API攻击。

“企业开放的API越来越多，面临的风险随之加剧。”网宿科技副总裁、首席安全官吕士表观察到，在API攻击中，业务攻击的方式越来越多样化，恶意爬虫依旧是最主要攻击方式，占到整体攻击量近50%，但整体占比在下降。零售与金融行业在API攻击中行业占比分别为34.99%和31.27%，这与两行业对API的使用程度有关。

值得注意的是，网宿在报告中披露了去年末影响巨大的“超级漏洞”Log4j2的影响范围。

Log4j是是一种常用的Java日志框架，此次出问题的是Log4j的第二代版本Log4j2，广泛存在于全球大量软件之中。通过Log4j2中的漏洞，实现远程的代码运行，可以让攻击者直接绕过所有安全监控，完成植入恶意软件等非法行为。这一漏洞于2021年底公布，被行业视为“核弹”级漏洞。

报告称，截至2021年12月31日，该漏洞被公布仅半个月时间，引起的入侵事件数量就超过了第2-9名高危漏洞引起的入侵事件数量总和，且Log4j2漏洞的利用方式还在不断变形，并不断被发现新的绕过方式。据各国政府当时通报称，有黑客正积极扫描各地网络，以利用该漏洞来植入恶意软件或将设备劫持用于加密货币“挖矿”。

“软件供应链安全风险加剧，Log4j2占到整个入侵检测的一半。随着全球化的开源软件的发展，大量的基础设施依赖于这些通用的，像Apache这种底层的开源组件，只要其中一个出现问题就会导致一大片漏洞被利用，影响巨大。” 吕士表告诉界面新闻记者，应用组件漏洞比操作系统漏洞具备更容易获得的执行环境，也比业务漏洞具有更强的通用性。

软件供应链风险正被IT行业所警觉。市场调研公司Gartner报告预测，到2025年，全球45%的企业机构将遭遇软件供应链攻击，相比2021年增加了3倍。吕士表认为，目前单点防护很难做好对此类风险的防御，需要通过资产盘点、自动化检测等手段，同时在开发阶段对软件进行成分分析，做好安全开发流程(SDL)，避免组件带病上线，才能综合性提高软件供应链安全水位。