一起有组织的网络攻击事件预警 | 内附企业网络安全建设实用指南

近期，阿里云安全团队发现一起针对电商行业的勒索事件，其手法是以对攻击目标发起 CC 攻击为威胁，要求企业支付一定赎金。大部分拒绝支付的企业都遭受到了不同程度的 CC 攻击。

在协助受攻击用户进行排查的过程中，阿里云安全团队发现这次攻击事件具有以下特征：

• 目标明确，目前大部分受到攻击的目标为电商企业。
  
• 攻击迅猛，排查中发现，针对受攻击目标的CC攻击攻击最大已达到60W qps，相当于60万人同时访问对服务器造成的负荷。
  
• 具有一定的持久性，根据客户反馈，攻击者的首次攻击被阿里云云盾Web应用防火墙成功防御了后，攻击者再次发送勒索信息，表示会继续进行攻击。

因此推断，本次事件有较大可能为一次有组织的团伙勒索事件。

此次攻击事件的影响非常恶劣，电商企业需格外注意，提前做好应对攻击的防御方案，避免因为攻击遭受损失。

攻击事件相关分析

什么是CC攻击？

CC攻击是DDoS攻击的一种，其原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。会直接造成业务不可访问的，对企业有非常大的影响。

如何抵御CC攻击？

• 发生攻击时通过日志找到当前访问频率较高的IP和URL，然后对高频IP进行封禁。
  
• 检查User-Agent、URL、Cookie、Referer等字段，识别恶意请求并封禁。
  
• 对高频访问页面，增加人机识别策略，如验证码、JS校验等。
  
• 使用专业的网络安全产品应对攻击，是非常高效的解决方案，现在已有不少专业的网络安全防御产品都具备防御CC攻击的能力。

以阿里云·云盾Web应用防火墙（后简称阿里云·云盾WAF）为例，针对此次CC攻击事件，用户使用阿里云·云盾WAF成功抵御攻击，避免了攻击对业务造成影响。阿里云·云盾WAF通过精准防护控制，对恶意访问进行了阻断；同时攻击检测模型通过机器学习对历史流量建模，在遭受攻击后能够自动生成攻击者攻击的URL、防护阈值信息，对针请求频率异常IP进行人机校验，阻断了攻击流量。

通过对攻击事件进行深度分析，一个用户被攻击之后，攻击源、攻击特征、防护策略可以快速应用到同行业的其他用户上，实现协同防御能力。应对此类针对某一行业的攻击事件，阿里云·云盾WAF的协同防御能力能够帮助用户快速反应并进行精准防御。

年末为何网络攻击频发

随着一年工作总结时刻即将到来，很多企业会选择在年末进行营销活动，为即将过去的一年做最后的工作冲刺。

活动期间，企业的业务流量远高于平时，此时若发生网络安全事故，企业遭受的影响也会非常大。因此有不少有恶意目的攻击者会选择在年末时段发起攻击。

从近期的安全事件与攻击趋势看，除了CC攻击，通过应用程序漏洞如反序列化漏洞、数据库未授权访问等，导致的勒索、挖矿入侵事件发生频率也呈明显的上升趋势。

安全专家提醒，年末，企业在保障业务正常运行的同时，也需要提高对网络安全的重视，做好网络安全建设工作。

我有几张阿里云幸运券分享给你，用券购买或者升级阿里云相应产品会有特惠惊喜哦！把想要买的产品的幸运券都领走吧！快下手，马上就要抢光了。

企业网络的安全建设实用指南

定期备份数据

建议企业开启镜像和快照，每天进行备份，并保存3份以上的版本。这样即使遇到勒索软件病毒入侵，也可以迅速恢复到1天前的业务数据。

对服务器进行合理的安全域规划

采用VPC服务，隔离不同租户间业务应用。

同时将不同安全级别的服务器，划分到不同的安全域。以免低安全域的服务器中招后，感染高安全域的其它服务器。

服务口令和远程访问权限管理

服务器的口令建议至少8位以上，同时必须包含复杂的字符。

不向外网直接开放服务器的远程访问权限。 

服务器对外只开放必要的端口，控制服务器的主动外联访问

可以在VPC 网关处的防火墙，或阿里云安全组防火墙上，设置服务器对外访问端口。

只开放必要的端口，减少攻击面，保护服务器的安全。 

原文链接