后疫情时代网络攻击形势分析

与疫情共同发展的网络攻击

自从 2020 年以来，全球突发新冠疫情，抗击疫情成为各国最紧迫的任务。不论是在疫情防控的相关领域，还是在远程办公、教育、医疗及智能化制造等生产生活领域，大量新型互联网产品和服务应运而生，在帮助疫情防控的同时，也进一步推进了社会数字化转型的进程。

疫情与防疫工作进展的同时，相关 IT 系统的安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显出来，有组织、有目的的网络攻击形势越来越明显，为网络安全防护工作带来更多挑战。

根据相关报告显示，与新冠疫情相关的网络钓鱼和恶意软件攻击数量急剧增加，从 2020 年 2 月份的每周不足 5000 次激增至每周超过 20 万次。 此外，随着疫情高峰期已过，各国开始解除防疫封禁措施，攻击者也随之加大了与新冠疫情相关的攻击。与年初相比，年中时全球所有类型的网络攻击总量增加了 34%。

DDoS 攻击抬头，勒索（RDDoS）攻击盛行

通过进一步分析攻击态势可以看到，在各种网络攻击方式中，DDOS 攻击仍然是被黑客使用最多的攻击方式。

DDOS 攻击是一种通过海量分布式客户端模拟流量访问业务，导致被攻击业务带宽和计算能力 被占满，而无法提供服务的攻击方式。DDOS 攻击的目的也从最开始的恶意竞争、报复攻击等更多转化为勒索攻击。

在一份调查报告中显示：“2020 年第四季度，RDDoS 也就是 DDoS 勒索攻击数量激增，原因一方面是自称为 Fancy Bear 等多个黑客组织企图勒索全世界各种组织机构。黑客犯罪团伙开始尝试通过 DDoS 勒索攻击，来获得比特币形式的赎金。”

为了榨取更多的比特币赎金，RDDoS 勒索攻击者在攻击规模、频率和目标多样化方面不断提高标准。2021 年一季度检测到已知最大的勒索 DDoS 攻击，峰值带宽达到 800Gbps ，目标是一家欧洲赌博公司。

可以看到 DDoS 攻击者一直在跨地域和跨行业方面进行多样化尝试。四年前，大多数 DDoS 攻击目标是游戏公司。如今，零售商、电信、ISP 服务商、金融企业和教育组织都成为了 DDoS 攻击的目标。从下面这张分析图表中，我们可以看到中间绿色的游戏行业被攻击占比，已逐渐与其他行业拉平。

云平台成为首要攻击目标

随着各行业务不断开始使用云技术，发生在我国云平台上的网络安全和威胁事件数量一直保持着较高的增长态势。有报告显示，国内云平台上的各类网络安全事件数量占比较高，其中云平台上遭受大流量 DDoS 攻击的事件数量占境内 DDoS 攻击事件的 74%。

其次，攻击者经常利用我国云平台发起网络攻击，在众多网络攻击事件中，云平台作为控制端发起的 DDoS 攻击事件数量 ，占境内所有 DDoS 攻击数的比重已高达 81.3%。云平台已成为了主要的网络攻防战场。

2021 年，国家推出了新的《数据安全法》，加上之前颁布的等保合规等安全制度也在进一步贯彻落实中，这表明国家对网络安全、数据安全也越来越重视，企业构建自己的安全体系已刻不容缓。

安全产品介绍

那么面对后疫情时代不断发展的网络攻击态势，以及愈演愈烈的 RDDOS 勒索攻击， 青云科技又将为我们的用户提供怎样的安全能力来应对网络安全威胁与挑战？

如何利用云计算易于部署、快速迭代以及弹性伸缩的优势，将挑战转化为提高组织安全能力的机遇？这是近年来青云科技在不断尝试和努力的方向。

在过去一年中， 随着更多用户选择青云 、选择拥抱云计算，各行各业上云的用户都需要借助云的安全能力来构建安全架构。那么青云也倾力打造了数款网络安全产品，来帮助用户构建他们的安全体系。

DDOS 防护 高防 IP

面对不断增长的 DDOS 攻击数量以及越来越高的攻击峰值，企业已无法依靠传统储备带宽加 采购清洗设备的方式来应对。

青云高防 IP 服务，采用的专用高防机房，用户将共享 TB 级海量防护带宽资源，结合云化的流量清洗集群，为用户提供海量 DDOS 防护能力。

集群内置了高性能网络流量监测系统，实时监测黑客对用户高防 IP 发起的攻击，从而快速启动清洗系统进行大流量封堵，同时保障业务实时可用。对于复杂多变的应用 CC 攻击，我们还提供了专门针对游戏业务的游戏 CC 防御，以及其他应用层 CC 攻击防护，满足多样化的攻击类型防护。

并且，高防 IP 服务内部为用户提供云平台负载均衡能力，来接受经过清洗之后干净的回源流量，并转发给源站。最大化减少对源站的流量压力。

高防 IP 后台提供运维管理界面，方便用户实时查看攻击情况，并作出相应调度。

关键能力

总结一下，青云高防 IP 服务关键能力包括：

第一，即时易用性。支持多运营商线路接入，防护各线路攻击流量的同时， 最大化保证所有用户的正常业务访问。当发生攻击时用户可以快速接入。而随着攻击等级的逐步提升，用户通过弹性防护带宽可以立即提升防护能力。

第二，防护能力强。全国 7 个以上清洗节点，攻击流量就近引入清洗节点，整体时延小于 50 毫秒。总体防护带宽 4T，单线最大防护带宽高达 2TB。从 4 到 7 层全流量 DDOS 攻击防御，支持多种应用 CC 攻击防护。

第三，接入便捷。支持域名 DNS 指向接入，用户只需要修改 DNS 配置即可。对于非网站类业务例如游戏、视频等，支持 IP 接入，用不同端口回源不同服务。

第四，高可靠性。不同机房流量切换，以及跨机房线路调度能力，保持链路通畅。高防专家 7*24 小时服务，为遭受复杂攻击的用户提供专家支持，保障业务稳定运行。

优势

同时高防 IP 具备单 IP 超大带宽性能优势，单 IP 最高可达 2TB 防护带宽，实时下单购买实时开通防护带宽。最大可按需定制 7T 防护带宽。

另外，清洗系统具有高稳定性优势，单台清洗设备能力接近 2TB 。采用运营商级别硬件设备，运行更加稳定，单清洗机房节点提供相当于 70 台物理服务器集群的清洗能力。

采用机器学习业务模式，默认支持 60 多种防御模型，并根据业务流量进行周期性自学习，可以将学习结果自动应用到防御阈值。通过机器学习全网业务模型，根据正常业务流量特征反推攻击流量特征，从而精准区分正常流量和攻击流量，用人机识别的方式封禁攻击源。

并且，高防 IP 有海量的情报分析过程，每周自动更新特征库，对于新型攻击将进行实时抓包 提取攻击特征。

应用场景

高防 IP 的典型应用场景，包括传统棋牌类游戏客户，这类业务通常需要面对大流量攻击防护，以及四层 CC 攻击防护。

而互联网金融、电商以及大数据分析网站，除了大流量防护，则更多需要七层 CC 防护能力。

政府与企业的互联网出口、门户网站等等，一般不需要太高的防护带宽，需要基础的七层 CC 防护，以基本满足等级保护要求、网络安全法合规要求即可。

CFW 云防火墙

接下来是我们即将上线的云防火墙产品，这是一款纯 SaaS 化的云防火墙，以服务化的方式让用户可以更方便的接入业务流量。实现同一用户在不同分区、不同私有网络的公网 IP 资产 ，统一的在云防火墙控制台进行管理和监控。

用户开启云防火墙服务后，会自动同步云资产到云防火墙控制台，用户只需一键开启防护，即可完成业务流量接入。

利用云防火墙强大的应用流量分析能力，用户可以细化配置从云内到云外、和从云外到云内的应用访问拦截规则。规则可配置的维度不仅包括了源和目的 IP、端口等 5 元组信息，同时借助高性能的 DPI 深度包解析能力，对应用流量进行识别，并设置应用协议的拦截规则，让用户更精准的设置流量拦截策略。

另外，策略也支持时间维度控制，支持在不同时间段设置不同的拦截策略，满足业务高峰期、低峰以及应急场景下的不同防护策略规则。

除了更精细化的访问拦截策略，云防火墙也提供了丰富的 IDPS 入侵防护能力。据 Gartner 报告指出企业面临的网络攻击中有 70% 来自应用层，传统防火墙以及应用安全设备功能单一，面对复杂的应用层攻击往往捉襟见肘

而 QingCloud 云防火墙在蠕虫病毒、后门程序 、木马病毒、间谍软件、Web 攻击、拒绝服务等攻击的防御方面， 具备了完善的检测、阻断、限流、审计报警等防御功能。

我们的安全团队也在随时关注着业界最新发现的安全漏洞和来自用户反馈的攻击特征信息，在第一时间做出响应和提供更新，实时完善攻击特征库，提供及时、全面的入侵防御规则。

另外，安全产品事件日志也是安全运维中的重要参考，安全工程师需要通过安全日志实时掌握攻击情况，并对防护策略做出调整。借助云防火墙日志系统用户可以查询分析安全事件日志，或将日志发送到集中的日志管理平台，实现统一的安全运维管理。

同时，借助云平台的弹性扩容能力，用户可以按需的开通防护带宽。云平台将按用户购买的 规格为云防火墙分配计算和网络资源，为用户节省开支的同时满足不同等级的防护需求。

当用户业务快速增长的时候，可以升级云防火墙规格，实现更高防护能力。相较于传统安全设备一次性采购、一次性投资的方式， 以及动辄需要修改网络架构的扩容操作，云平台最大化满足了用户弹性扩容需求，同时帮助用户节省了不必要的性能冗余开支。

KMS 密钥管理服务

网络安全最终的目的还是保障业务数据的安全与可用，数据加密是保障业务数据安全的有效办法。

而在数据加密过程中，加密操作本身往往并不复杂，复杂的是加密密钥的持久化保存、以及如何避免密钥泄露。

为了解决用户的数据安全加密需求，以满足等保合规中的数据安全要求，青云提供了云原生的 KMS 密钥管理服务。以跨区高可用部署的方式，为用户提供一站式密钥管理解决方案。

KMS 的主要功能包括用户主密钥也就是 CMK 的创建和管理，用户可以为不同业务 以及 云服务创建 CMK。利用自定义 CMK， 用户可以定义自己的云主机、云硬盘、镜像等 云资源的加密密钥，符合等保合规的同时增加了数据安全性。

在使用用户主密钥 CMK 对云资源进行加密的过程中，密钥不会被发送到云平台以外，而是通过用户主密钥，实时产生一个 加密业务密钥，对资源进行加密。

而 CMK 本身在 KMS 服务中会被用户的根密钥进行加密保存，仅在使用过程中以明文形式加载至内存中。层层加密从而最大化避免主密钥被暴露的风险。

同时，KMS 支持对用户主密钥的别名设置，以及自动的轮转周期。当密钥达到使用周期时，可以通过别名手动更新密钥内容，或者设置自动轮转， 到期自动更换密钥内容。

以上种种密钥功能除了可以通过控制台页面进行操作以外，KMS 还提供全量的 API 接口，用户可以通过 API 完成所有密钥操作。方便用户在应用开发过程中使用 KMS 提供的密钥管理功能。

用户无需自己手动部署独立的 KMS 服务。

而结合密码机方案 KMS 可以提供金融级的密钥保护能力。

托管与审计

通过使用 KMS 密钥管理服务，我们为用户提供完全托管式的密钥管理方案。不需要额外的服务器，或者专门的密钥系统的维护人员。

简化了加密过程，用户在应用开发中 可以专注于业务开发，不需要关注密钥的安全存储、和复杂的多层密钥管理体系。

通过 KMS 的密钥操作日志，用户可以对密钥的使用情况进行审计，找出违规的密钥使用操作。

而密钥在整个使用过程的持续加密存储，使得密钥内容可以不被泄露。

结合别名与自动轮转功能，用户可以定时自动或手动刷新密钥内容。

应用场景

KMS 典型的应用场景包括等保测评，符合相关的业务数据保密性要求，同时满足云计算拓展要求中用户自定义密钥的能力。

在金融客户中 ，可以结合外置 加密机打造金融级三级密钥管理体系，全方面支撑智能卡加密、卡密码加密传输、终端交换工作密钥，以及业务系统节点间的工作密钥加密保护等场景。

对于开发者而言，KMS 可以为 K8s Secret 对象类型的落盘加密 提供密钥。

需要本地加解密数据的应用，KMS 支持以信封加密的方式提供数据密钥，用户可以在本地保存加密后的数据密钥。而一些 SSL 私钥、敏感配置文件可以使用在线加解密 API 接口，来快速实现文件的加解密。

QingCloud 云原生的网络防护方案

以上就是我们的安全新产品介绍部分，下面与大家分享几个常用的网络防护方案与最佳实践。

DDOS 高防 TB 级海量带宽防护

首先，我们推荐用户将容易遭受 DDOS 攻击的业务接入高防 IP。

当用户将业务 IP 切换到高防 IP 时，会根据用户的选择为其开启某个运营商专用大流量线路、或者 BGP 多线线路，将流量就近引入高防清洗节点。

高防节点内部对流量进行分布式清洗，按不同协议类型开启四层到七层流量清洗。防护能力包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、以及连接耗尽攻击等多种泛洪攻击类型，并对七层应用开启 CC 攻击防护。

清洗过后的正常业务流量将返回云平台，用户可以将回源地址绑定到负载均衡上，经过一层负载后，将流量转发至其他云服务器主机，保障业务实时可用。

SaaS 化 云防火墙，双向入侵防护

经过高防 IP 的一道清洗之后，可以开启云防火墙作为云内的防护入口。

利用云防火墙的 IDPS 入侵检测能力，可以及时发现一些小流量的入侵尝试，并发出告警提示。您也可以开启入侵检测拦截，将攻击拦截在云防火墙之外。

开启云防火墙后不仅可以拦截云外的攻击流量，还可以及时发现云内的后门程序外联，避免黑客通过后门程序窃取用户数据或作为入侵内网的跳板。

当用户通过安全事件日志发现疑似入侵、或疑似木马病毒后，可以及时设置内访外、或外访内的拦截规则，在漏洞被修复前迅速将可能的攻击排除在业务之外，将风险和损失控制在最小范围。

虚拟网络整体安全隔离机制

CFW 云防火墙还可以结合安全组、私有网络 ACL、以及云内虚拟路由器等功能实现多层次的网络隔离和入侵检测

当客户访问业务 的流量通过公网 IP 到达云环境，未开启防护的流量会经过虚拟路由器转发到达目标网络，而开启防护的公网IP流量则被引入至云防火墙。

云防火墙内部 分别有出口方向和入口方向 的应用层访问控制模块，对流量进行拦截。并检测 入侵流量，实时拦截疑似的攻击行为。

通过云防火墙拦截规则后，流量将通过私有网络的 ACL 规则。在这里用户可以设置不同网络之间的访问规则，仅允许必须的网络间互访。

最后， 通过用户设置的安全组规则可以细化的配置主机的访问策略。对主机的上行和下行流量分别设置不同的 IP/ 端口组。仅暴露必须的业务端口。而内部服务端口可以通过源地址规则，限定仅内网地址访问。

多重防护 构建云原生安全

结合以上多个安全产品与方案，我们为用户提供了多重网络安全防护能力，构建起云原生的安全体系。

云外的攻击将先后经过，DDOS 高防的流量清洗、云防火墙的七层访问控制规则以及入侵检测、Web 应用防火墙的 Web 攻击特征检测、私有网络 ACL 访问控制规则、以及用户自定义 安全组策略等， 多道防御线，构建起层层网络安全屏障。

作者

方明 青云科技顾问产品经理