320个蜜罐其中80%在一天内沦陷
11月22日,网络安全公司Palo Alto Networks旗下威胁情报团队Unit 42公布了一份研究报告,报告中指出,该团队研究人员设置的320个蜜罐,其中的80%在24小时内被攻陷,而所有蜜罐都在一周内被攻陷。
蜜罐是一种诱捕攻击者的陷阱,通过模拟易受攻击的计算机,吸引、诱骗互联网上的非法攻击,藉此收集攻击者的数据、分析攻击者的工具和方法,从而进一步了解所面临的安全威胁、增强安全防护能力。
蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。
SSH、Samba、Postgres和RDP四类协议均匀部署于整个蜜罐基础设施。2021年7月,研究人员将320个蜜罐部署于北美(NA)、亚太地区(APAC)和欧洲(EU)。
如下为所有蜜罐的平均首次攻陷时间:
可以看到,对于SSH蜜罐,首次攻陷的平均时间为3小时。而Unit 42还观察到,有一个攻击者在短短30秒内攻破了80个Postgres蜜罐中的96%。
实验结果非常令人担忧,我们知道一般在发布新的安全更新时,普通人可能会在数天甚至更长时间完成更新,而威胁行为者只需要数小时就可完成攻击。
下图为在一个蜜罐上两次入侵的平均间隔时间:
互联网上易受攻击的计算机经常会被多个攻击者争夺,为了独占受害者的资源,攻击者通常会删除其他攻击者留下的恶意软件或后门。
研究发现85%的攻击者IP都是在一天内观察到的,大部分攻击者不会在随后的攻击中重复使用相同的IP。这种IP变化意味着第三层防火墙对威胁行为者效果有限。
根据这份研究报告,当配置错误、易受攻击的服务暴露在网络上时,攻击者只需很短的时间就能发现并破坏该服务。这项研究再次验证了不安全暴露的风险,提醒大家要迅速修补安全问题。
推荐文章++++
* 最弱密码排行榜,肯定有你曾用过的* Mandiant称白俄罗斯要对北约的网络攻击负责
* 索尼PS5遭破解,黑客利用内核漏洞获取根密钥
﹀
球分享
球点赞
球在看