擋不住?要付贖嗎 ?怎麼辦? - cloudsec · a kona customer reported an unknown attack...
Post on 10-Jun-2018
254 Views
Preview:
TRANSCRIPT
#CLOUDSEC
擋不住?要付贖⾦金嗎?怎麼辦? 黃開印 [Kevin] 資深⼯工程師
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
議程
• 資安威脅的Who、Why、How與2105第⼀一季觀察
• 雲端安全的重點: 規模、情資、專家
• Akamai Cloud Security的平台與能⼒力
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
CEO怎麼看網路安全?
Source: PwC 18th Annual Global CEO Survey 2015
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
您有收到這封信嗎?
5
akamai’s [s tate of the internet ] / Security Bul letin BuBul let in
5
/Figure 4: A sample email from DD4BC offering protection in exchange for one bitcoin$
EEE/=BB=AZI/=+</I4*G,IB,A=B<?/=R?/B44/IB+4RD/BG=B/V/A=R/@J*=II/=RJ/*+4B<AB,4R/4BG<+/BG<R/T&Od'fV:/l/=R?/,/Y,--/A4IB/J4H/2_!"/P/*<+/54RBGmE/%44D-</=R?/AG<AZ/G4Y/5=RJ/I,B<I/@<G,R?/:-4H?3-=+</=R?/I,5,-=+/IG,BBJ/*+4B<AB,4RI/V/A+=IG<?E/EEE/
Figure 5: Snippet from an email transcript where the malicious actor group asserts the ability to take down even sites with DDoS protection
Figure 6 shows a bitcoin transaction to a known DD4BC bitcoin address.
5
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
⼯工業化
從複雜的指令介⾯面 …到直覺的GUI …到HaaS (Hacking as a Service)
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
變現
Use your Bitcoin address to enter the site:
駭客劫持個⼈人資料 …然後⽤用DDoS攻擊威脅公司
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
網站防護的考量
$347,685
$173,169
$325,180 $158,320
$491,152 技術⽀支援
喪失⽣生產⼒力
正常營運中斷
資產基礎建設損害或遭竊
營收損失
阻斷攻擊的總成本
$1,495,506 / 年
Source: The Cost of Denial-of-Service Attacks, Ponemon Institute
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
網路安全威脅的演進
107 Gbps booter / stresser 攻擊
321 Gbps 攻擊 鎖定亞洲遊戲公司
190 Gbps 攻擊 鎖定美國⾦金融機構
Q1 13 Q2 13
Account Checker (電⼦子商務)
最⼤大的DNS反射攻擊, 167 Gbps
(⾦金融服務) Operation Ababil
NTP
RFI
Q1 14 Q3 13 Q4 13
DDoS (零售)
209 Gbps 攻擊 鎖定歐洲媒體
記錄到該⾏行動最⼤大DDoS攻擊量
Q3 14 Q2 14
DDoS (遊戲)
占DDoS攻擊總量的 45%
DNS (基礎設施)
Shellshock
Q4 14 Q1 15
每週 40 ~ 50 起 DDoS 攻擊
占所有DDoS總量的 17%
SSDP
占DDoS攻擊總量的 21%
Booter
LFI
占所有web攻擊的 66%
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
991 1317
2002
2936
5634
68 38
79 45
82 69
144
320
270
190
80x 2014 2013 2012 2011 2010 ©2014 AKAMAI | FASTER FORWARDTM
攻擊量與頻率正在增⻑⾧長
攻擊⼤大⼩小 (Gigabits per second) 攻擊⼤大⼩小 (Million packets per second)
每年攻擊次數
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
DDoS 攻擊型態的追蹤
2015最常⾒見的是 SSDP 攻擊
超過 SYN 洪⽔水攻擊…
NTP, DNS 在2014年已受到抑制
SSDP 受害者較不清楚已受感染
SSDP 受害者缺乏排除障礙與抑制此問題的專業
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
遭受DDoS攻擊的產業別
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
議程
• 資安威脅的Who、Why、How與2105第⼀一季觀察
• 雲端安全的重點: 規模、情資、專家
• Akamai Cloud Security的平台與能⼒力
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
320
270
144
190
82 69
79
45 68
38 48
29 15
39
11 22
2 11 18 8
©2015 AKAMAI | FASTER FORWARDTM
2014 2013 2012 2011 2010 2009 2008 2007 2006 2005
很重要的
規模
Gbps Mpps Source: Akamai
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
The importance of
SCALE 320
270
144
190
82 69
79
45 68
38 48
29 15
39
11 22
2 11 18 8
2014 2013 2012 2011 2010 2009 2008 2007 2006 2005
Gbps Mpps Source: Akamai ©2015 AKAMAI | FASTER FORWARDTM
很重要的
情報
1⽉月5⽇日, 2014 Akamai 客⼾戶回報⼀一起未知的攻擊, 要求Akamai進⾏行調查
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
January 5, 2014 A Kona customer reported an unknown attack and asked Akamai to investigate
GET /wp-content/wordtube-button.php?wpPATH=http://www.google.com/humans.txt? HTTP/1.1 Host: www.vulnerable.site User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4)
分析 針對WordPress應⽤用的Remote file inclusion (RFI) 攻擊
2122 不同的 RFI 探刺
很重要的
情報
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
GET /wp-content/wordtube-button.php?wpPATH=http://www.google.com/humans.txt? HTTP/1.1 Host: www.vulnerable.site User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4)
2122 different RFI exploit attempts
Analysis Remote file inclusion (RFI) attack against a WordPress application
24,301 總攻擊數
⼤大數據的說法 同⼀一攻擊者對 個不同網站發動攻擊 34
攻擊者是 272 強⼤大殭屍網路的⼀一部分
1696 個不同的應⽤用
1,358,980 次攻擊
很重要的
情報
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
7.47%
0.25% 0.70% 0.90% 1.99%
5.78% 5.93%
3.59%
1.15% 1.15%
20.78%
15.79%
13.25% 12.00%
6.87%
2.40%
Source: Akamai State of the Internet – Security, Q115
很重要的
專業⼈人員 FIN PUSH (0.15%) RESET (0.65%)
RP (0.45%) SYN PUSH (0.35%)
TCP Fragment (0.05%)
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
138
232
321
155 177
312
4
198 217
30 8
35 33
70
3
2 1.5
Case study – two-month attack campaign • One customer, 39 attacks, multiple targeted infrastructures • Eight attacks >100 Gbps including record 321 Gbps attack • 2nd largest application-layer attack with 700k req/s
看⾒見資安
⾏行動
©2015 AKAMAI | FASTER FORWARDTM
Infrastructure (Gbps) DNS (Mpps) DNS (Gbps) Web (Gbps) 第1天 第67天
Source: Akamai
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
議程
• 資安威脅的Who、Why、How與2105第⼀一季觀察
• 雲端安全的重點: 規模、情資、專家
• Akamai Cloud Security的平台與能⼒力
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
2014 │ 321 Gbps DDoS 2014 │ Kona Rule Set
2011 │ 69 Mpps DDoS
2009 │ 韓國 DDoS 攻擊
1998 │ Akamai 成⽴立
2003 │ Prolexic 成⽴立 2003 │ Prolexic 成⽴立 2003 │ Site Shield 發表
2004 │ 最⼤大 DDoS <10 Gbps
2008 │ 最⼤大 DDoS >80 Gbps
2011 │ 整合式 web security
2014 │ 併購 Prolexic
2007 │ 最⼤大 DDoS >50 Gbps
2009 │ 韓國 DDoS 攻擊 2009 │ 第⼀一套雲端 WAF
2013 │ CSI
2015 │ WAF 託管 2015 │ Client Reputation 2015 │ WAF 託管
協防Internet應⽤用
超過 17 年
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
規模 │ 175,000+ 伺服器 │ 六個清洗中⼼心 │ 超過 2,000 座DNS伺服器│ ⾼高峰流量超過 33.2 Tbps
分佈 │ 108 個國家 │ 超過 2,700 地點 │ 超過 1,300 網路
韌性 │ ⾃自動在網路內故障轉移 │ 為單獨服務建⽴立多重網路
Akamai 智慧平台
全球性分散式雲端平台
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
DDoS │ always-on 保護 │ 數秒鐘內⾃自動回應
WAF │ 專屬性規則引擎 │ ⾼高準確度 │ 不影響效能
IP 聲譽 │ 每個⽉月有上億個 IP量│ 基於攻擊⾵風險客製規則
整合的 web security
Akamai 智慧平台
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
DDoS │ 專業⼈人員驅動的回應 │ 客製地緩解措施 │ 限時處置的SLA承諾
資料中⼼心 │ 上百個應⽤用 │ 網路基礎設施 │ 網路頻寬
彈性的部署 │ always-on 或 on-demand │ 24x7 流量監控
基礎設施保護
Akamai 智慧平台
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
DDoS │ 適應性速率控制│ ⽩白名單│ 多重過剩的DNS雲
DNSSEC │ 選擇性防禦DNS變造攻擊│ Serve 或 Sign-and-Serve
DNS 經驗 │ ⾼高效能DNS雲 │ 根網域對應
DNS 保護
Akamai 智慧平台
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
Akamai Intelligent Platform
Akamai 智慧平台
雲端資安情報 (CSI)
能⾒見度 │ 15-30% 的全球網站流量│ 每⼀一個 Akamai 客⼾戶
資料 │ 每⼩小時8000萬筆WAF觸發 │ 每秒60萬筆log│ 每天 20 TB 新的攻擊資料
分析 │ 專屬威脅研究團隊 │ 每天 8,000 筆查詢
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
Akamai Intelligent Platform
Akamai 智慧平台
⼈人員 │ 100+ SOC ⼯工程師 │ 200+ 張技術證照
經驗 │ 11+ 年經驗 │ 每週 40 ~ 50 個攻擊 │ 限時緩解SLA承諾
地點 │ 美國佛州羅德岱堡 │ 美國⿇麻州劍橋│ 波蘭克拉科夫 │ 印度邦加羅爾 │ 東京
24x7 全球資安營運中⼼心 (SOC)
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
⼈人員 │ 150+ 資安專業服務⼈人員
管理 │ 威脅更新與回顧 │ 持續 WAF 微調 │ 沙盤演練
關係 │ 客⼾戶成功經理│ 定期會議 │ 特殊事件
Akamai 智慧平台
資安專業服務與⽀支援
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
53
11,008 16,135
21,359 15,071
30,427
69,226
124,625
9/24 9/25 9/26 9/27 9/28 9/29 9/30 10/1
5.4x
©2015 AKAMAI | FASTER FORWARDTM ©2015 AKAMAI | FASTER FORWARDTM
Unique Shellshock payloads
9/24 9/25 9/26 9/27 9/28 9/29 9/30 10/1
協助您調整步伐因應
不斷變化的威脅
Shellshock 公布
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
集體安全的好處
⼗十⼆二⽉月 ⼀一⽉月 ⼆二⽉月
第⼀一起 Skipfish 對Akamai客⼾戶掃描被偵測到
CSIRT 建議: 客製 WAF 規則
Kona Rule Set
攻擊Akamai客⼾戶
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
DEC JAN FEB
First Skipfish scan detected against an Akamai customer
CSIRT advisory with custom WAF rule
KRS
Attack against Akamai customer
集體安全的好處
1549 259 WAF 偵測到
Client Reputation 偵測到
個案: 美國某零售商 24⼩小時的惡意 IP 位址
248 11
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
攻擊型態 限時緩解 (⼀一般)
限時緩解 (SLA)
UDP / ICMP floods 1分鐘或更少 5 分鐘
SYN floods 1分鐘或更少 5 分鐘
TCP flag abuses 1分鐘或更少 5 分鐘
HTTP GET / POST floods 10 分鐘或更少 20 分鐘
DNS reflection 5 分鐘或更少 10 分鐘
DNS attack 5 分鐘或更少 10 分鐘
承諾
資安專業
©2015 AKAMAI | FASTER FORWARDTM | www.cloudsec.com/tw | #CLOUDSEC
Akamai的價值主張與優勢
• 周全、超⼤大規模的DDoS防禦線
• 雲端安全平台的共同防護
• 專業情資收集、回應、鎮定攻擊
• 定型化服務⽔水平協議
#CLOUDSEC
黃開印 [Kevin] kahuang@akamai.com
top related