Fastly 的安全研究团队介绍了我们的网络学习交流标记的恶意流量的攻击趋势和技术。
Network Effect 威胁报告基于 2023 年第二季度(2023 年 4 月 1 日至 2023 年 6 月 30 日)Fastly 下一代 WAF 的独特数据提供见解。本报告研究了来自 Fastly 的网络学习交换 (NLX) 标记的 IP 地址的流量,NLX 是我们集体威胁情报源,可匿名在所有下一代 WAF 客户网络中共享攻击源 IP 地址。
在深入研究攻击观察之前,以下是我们在研究中发现的最重要的五个关键要点,涵盖多个行业的全球流量,包括高科技、金融服务、商业、教育以及媒体和娱乐。
多客户攻击: NLX 标记的 IP 中有 69% 针对多个客户,64% 针对多个行业。
目标行业:高科技行业成为最主要的攻击目标,占 NLX 标记的攻击流量的 46%。
趋势技术:虽然 SQL 注入是一种流行的攻击选择 (28%),但攻击者更喜欢遍历技术,这种技术占所分析攻击的近三分之一 (32%)。
带外 (OOB) 回调:回调服务器域在整个 NLX 数据中很普遍,特别是在 Log4j JNDI 查找、OS 命令注入和跨站点脚本 (XSS) 攻击中。46% 的请求使用已知的带外应用程序安全测试 (OAST) 域(例如 interact.sh)。
自治系统 (AS):云托管提供商是攻击流 首席执行官电子邮件列表 量的主要来源。它们可用于进行大规模攻击,为攻击者提供经济高效的计算资源和分发流量的能力,从而提供一层匿名性。
行业的见解
Network Effect 威胁报告基于 Fastly 的下一代 WAF 得出的独特数据和见解。我们的分析基于 2023 年第二季度(2023 年 4 月 1 日至 2023 年 6 月 30 日,即“报告期”)的 NLX 数据。本报告旨在通过研究各行业的攻击趋势、探索攻击中包含的带外回调的普遍性以及描述与自主系统相关的流量模式来提供可操作的情报。通过将 NLX 流量中的威胁和指标置于上下文中,组织可以更广泛地了解整体威胁形势。
网络学习交流(NLX)
Fastly 的 NLX 是 Next-Gen WAF 中包含的集体威胁源,用于识别和共享所有客户网络中的潜在威胁 IP 地址。NLX 内置于 Next-Gen WAF 中,因此每个客户都可以针对潜在攻击实施先发制人的保护措施,在请求到达其网络之前阻止 IP。共享威胁数据促进了网络效应,所有客户的集体智慧有助于增强每个组织的安全性。
Next-Gen WAF 持续从我们客户群中数以万计的分布式软件代理收集匿名攻击数据,并将其输入到我们的云引擎中。通过关联数据中的模式,NLX 标记 IP 地址并匿名与所有客户共享。例如,如果 Acme Enterprises 的登录页面开始遭受一系列 SQL 注入攻击,NLX 将标记该 IP 并在接下来的 24 小时内应用 SIGSCI-IP 信号。然后,每个使用 Next-Gen WAF 的客户都可以应用自定义规则来阻止、限制或监控 IP,以免其可能攻击他们的应用程序。
图 1:NLX 图
作为一个集体威胁源,NLX 随着我们网络的增长而变得更好,我们的团队能够通过不断增加的流量来观察攻击并分析趋势。Fastly 的下一代 WAF 保护着超过 90,000 个应用程序和 API,每月检查 4.1 万亿个请求*,涵盖了各种行业,包括全球一些最大的电子商务、流媒体、媒体和娱乐以及科技公司。我们的覆盖范围很广,尤其是在现代架构和云原生环境中,这使我们能够生成与所有规模和所有行业的安全团队相关且可操作的见解,同时补充更大的威胁情报社区的持续工作。
我们可以看到 NLX 网络效应的好处,它以多种方式帮助我们的客户。它确保组织能够立即意识到潜在的威胁 IP,我们的报告显示,攻击并不像人们想象的那样有针对性或孤立:69% 的 IP 针对多个客户,64% 的 IP 针对多个行业。我们的客户群广度也反映了更高质量的威胁源,使团队能够更有信心地做出响应,特别是因为源是实时更新的。
我们的报告从 NLX 已确认的恶意活动中汲取见解,使我们能够以客户所依赖的相同信任和信心水平分享更广泛的趋势;由此得出的推断是主动且准确的。
观察结果
在报告期内,观察到的所有攻击中有超过一半(54%)都带有 NLX 标签,并且 NLX 数据中的大多数 IP 地址并不针对单个客户或行业,而是分布在多个目标上:69% 的 IP 地址 针对多个客户(图 2),64% 的IP 地址 针对多个行业。