今年上半年,勒索病毒全球肆虐,据监测,2016年合计给企业造成的真实损失远远超过百亿元。
近日,全球领先的安全公司Positive Technologies发布了2017年第二季度对Web应用进行的攻击的统计数据。描述了最常见的攻击类型以及攻击的目标、强度和时间分布,还包含行业统计。
要点:
跨站脚本攻击和SQL注入是最常见的攻击类型;
政府、IT、医疗、教育、能源和制造公司最常受到攻击;
企业设计安全措施时,要考虑攻击者活动高峰期;
由于新出现的内容管理系统中的漏洞,预计下季度攻击次数将会上涨;
及时的软件更新和主动措施,才能形成有效保护。
跨站脚本攻击和SQL注入最常见
在2017年第二季度,跨站脚本攻击(Cross-Site ing)是最常见的攻击类型,占总威胁量的近40%。SQL注入(SQL Injection),用于访问敏感信息或运行操作系统命令从而进一步渗透系统,占总攻击数的约四分之一,与第一季度持平。
我们预计跨站脚本攻击和SQL注入将继续占有web应用总攻击量的一半以上。此外,第二季度的频繁攻击列表还包括信息泄漏(Information Leak)和XML注入(XML Injection),这两者都需要披露信息。
2017年第二季度web应用攻击Top10
政府、IT、医疗行业最易受到攻击
在每天的平均攻击次数方面,IT和政府领域领先,其次是医疗、教育、能源和制造公司。
与前几个季度相比,政府web应用的攻击次数在减少,这一趋势可能与web应用的性质有关:大多数网站都是提供信息,攻击者感兴趣的功能越来越少。
对制造业公司网站的攻击针对性比较强,基本都是由经验丰富的黑客进行,所以尽管这个领域的攻击次数很少,但这些攻击实际上是最危险的。
不同行业每天的平均攻击数量
这些行业的web应用受攻击的情况。
1、对政府的攻击大都是直接获取数据
与第一季度相似,对政府的大部分攻击都是用于直接获取数据。个人数据是政府部门拥有的最关键的资源,因此攻击倾向于直接关注数据库或应用程序的用户。因为政府网站会被用户高度信任,而这些网站的用户比其他领域的用户更不懂如何保证网络安全,因此当政府网站受到跨站脚本攻击时,就会很容易感染用户的计算机。
第二季度另一种常见攻击是信息泄漏,它利用各种web应用程序漏洞,以获取有关用户、系统本身和其他敏感信息的数据。
2017年第二季度政府行业web应用攻击Top 5
2、对医疗行业的攻击也主要是用于窃取信息
对医疗行业几乎一半以上的攻击是用来获取数据。最近几个重大的数据泄漏事件:
5月,一个叫做Dark Overlord的黑客组织公布了三个医疗中心的约18万名患者的病历记录;
另一个事件发生在立陶宛的整形外科诊所,超过2.5万张整容前后的照片(甚至包括裸照)被公布于众。黑客的本意是要从诊所和客户那里都进行勒索,金额分别为34.4万欧元和删除一条纪录2000欧元。
另一个受到攻击的是Molina Healthcare公司,约有500万患者的病历记录被公开。
大约有四分之一的攻击来自DoS拒绝服务攻击。在这些应用程序已经普遍被使用的情况下,DoS攻击不仅会损害公司的声誉,而且会对患者造成不便,甚至会对公司造成直接的经济损失。
2017年第二季度医疗行业web应用攻击Top 5
3、对IT企业的攻击会影响企业声誉
第二季度对IT行业企业最常见的攻击是跨站脚本攻击和SQL注入。这种攻击主要会影响IT企业的声誉。SQL注入可用于获得信息或有其他用途,例如羞辱企业网站等。跨站脚本攻击可以用于让用户工作站感染恶意软件。
教育机构的攻击通常用来访问数据(例如考试材料)或修改数据(例如考试结果)。在第二季度,超过一半的攻击都是用来获取信息,路径遍历(Path Traversal)是最常见的方法。还有几乎六分之一的攻击是针对操作系统命令的攻击。
企业设计安全措施时,要考虑攻击者活动高峰期
下图显示的是黑客使用的每个web应用攻击方法的频率和强度。
不同种类的攻击每天的平均攻击数量
跨站脚本攻击在整个季度持续高涨,每天记录100到250个。SQL注入在下面这个图表上也使非常明显的,每天的攻击量在40到200次。第二季度最强大的web应用攻击是通过强制所有可能的参数搜索SQL注入漏洞,攻击者发送的请求超过3.5万个。
与上一季度相比,攻击者的活跃程度略有下降。Web应用每天平均受到300-800次攻击,最低的时候是140次。单一公司在一天内的最大攻击次数为35135次,是上一季度顶峰数字的两倍,实际上所有这些攻击来自同一个IP地址。
在设计企业的安全措施时,最好要考虑到攻击者活动处于高峰期的时间。这些高峰时间可能与企业或者行业强相关。第二季度攻防的强度很稳定,但某些时间段的活动有所上升。特别是在非工作时间内进行攻击时,及时反应和预防需要智能的web应用保护工具,以及合格的安全事故负责人员。
及时的软件更新和主动措施,才能形成有效保护
攻击者在整个第二季度都保持活跃的状态,然而与上一季度类似,与2016年同比略有下降。尝试访问敏感信息并攻击web应用用户是主要的攻击目的,政府机构和IT公司的网站仍然是攻击者最喜欢的,我们预测下个季度的情况应该会保持不变。此外,我们预计攻击次数将会上涨,主要是由于新出现的内容管理系统中的漏洞。