上周,我们发布了最新的季度攻击趋势报告,如果没有附带的博客文章,那么好的报告会是什么? 在这篇文章中,我们将花一些时间来审视这一原始而富有洞察力的观点,探讨互联网不断变化的网络安全格局 “Edgio的季度攻击趋势报告。” 该报告揭示了从请求方法和MIME类型到地理定位趋势以及介于两者之间的各种数据点。 所有这些都能生动地描述针对现代网站和应用程序的新兴威胁。
直接跳进来,两个引起我注意的关键数据点:请求方法和请求MIME类型。 乍一看,发现超过98%的请求是GET和POST并不奇怪。 欢迎来到互联网,对吧? 人们可能会说,”不起眼”,但这些看似步行功能提供了有关应用程序,如何使用或攻击应用程序以及在哪里可能容易受到攻击的宝贵信息。 它还应该问一个问题,你的应用程序需要什么类型的请求方法来运行? 您应该允许任何其他人甚至访问您的应用程序,还是应该通过在这些操作到达源服务器之前阻止这些操作来减少暴露的机会?
跳转到MIME类型时,压倒性的76%的块与application/json MIME类型绑定。 这种见解不仅仅是一个统计数据;它还描述了现代应用程序体系结构的转变以及针对这些体系结构的威胁的不断演变的性质。 它清楚地表明您的API是威胁攻击者的高度目标,并强调了保护API的必要性,这些API包括已知API和”影子”或”僵尸” API,而您的安全团队可能尚未发现这些API。
我们将本报告中的保护分为三个主要策略:访问控制规则,托管规则集和自定义签名。 值得注意的是,在这三个数据块中,45%的数据块是访问控制规则。 进一步阐述有效防御的基础,实际上从基本但极其有效的策略开始,例如防止访问已知的不良来源(列入黑名单的IP地址,用户代理和国家/地区)。 在它们接近您的应用程序,基础设施和数据之前阻止它们,以便立即获得好处-不仅从安全的角度,而且从成本的角度来看。 利用Web应用程序防火墙(WAF)缓解边缘的不良请求,既节省带宽,又节省计算周期。
该报告还提醒我们,攻击者正在不断寻求绕过这些防御的方法。 虽然一个人的访问控制规则可能很严格,但我们不能完全依赖这些规则。 例如,地理围栏策略。 恶意请求源自的前五个国家包括美国,法国,德国,俄罗斯和车臣,其中中国明显缺席。 我们应该期待中国和其他主要的互联网连接国家一样居首位。 但是,这种见解挑战了对地理围栏的过度依赖,并强调需要对合规性和安全措施采取更分层的方法。 我们知道,攻击者通常会危害服务器,VPC和物联网设备,使其在同一地区利用其最终目标。 使用地理围栏策略时,了解您的业务需求和法规要求(例如不向禁运国家/地区销售商品)。 这并不是说这种策略应该被抛弃,而是不是过分依赖。
第四季度上升的一个非常具体和显著的威胁是路径/目录遍历攻击。 将您的应用程序想象成一个堡垒。 现在,把路径遍历攻击想象为狡猾的方法入侵者,他们利用堡垒体系结构中最小的监督,通过Web服务器上的过度权限文件夹渗透到您的域中。 这些攻击不仅仅是敲门,而是寻找一个隐蔽的通道,直接通向你的帝国的心脏。 后果? 未经授权的访问,个人身份信息(PII )的丢失,并可能通过远程执行代码将密钥移交给您的王国。 这里的重要性怎么强调都不为过,因为这些入侵威胁到我们数字世界所处的数据的保密性,完整性和可用性等支柱。
简而言之,关于攻击趋势的季度报告不仅仅是一个数据集合,而是一种叙述,突出了数字领域中持续的战斗。 它提醒我们,理解和适应复杂的应用程序架构不仅是在这种环境中生存的关键,也是在这种环境中蓬勃发展的关键。 通过采用包括分层防御,利用威胁情报以及根据应用程序的独特需求定制解决方案的策略,您可以建立一个能够抵御不断演变的网络威胁的堡垒。 有效的安全不仅仅是部署工具,还包括了解您的企业如何运营,并利用这些知识为您的安全控制提供信息。
还有一件事,这份报告只是冰山一角。 Edgio团队正在不懈地为未来的报告添加更多的数据点。 请留意我们的2024年第一季度报告。 我相信你不会失望的。
直接跳进来,两个引起我注意的关键数据点:请求方法和请求MIME类型。 乍一看,发现超过98%的请求是GET和POST并不奇怪。 欢迎来到互联网,对吧? 人们可能会说,”不起眼”,但这些看似步行功能提供了有关应用程序,如何使用或攻击应用程序以及在哪里可能容易受到攻击的宝贵信息。 它还应该问一个问题,你的应用程序需要什么类型的请求方法来运行? 您应该允许任何其他人甚至访问您的应用程序,还是应该通过在这些操作到达源服务器之前阻止这些操作来减少暴露的机会?
跳转到MIME类型时,压倒性的76%的块与application/json MIME类型绑定。 这种见解不仅仅是一个统计数据;它还描述了现代应用程序体系结构的转变以及针对这些体系结构的威胁的不断演变的性质。 它清楚地表明您的API是威胁攻击者的高度目标,并强调了保护API的必要性,这些API包括已知API和”影子”或”僵尸” API,而您的安全团队可能尚未发现这些API。
我们将本报告中的保护分为三个主要策略:访问控制规则,托管规则集和自定义签名。 值得注意的是,在这三个数据块中,45%的数据块是访问控制规则。 进一步阐述有效防御的基础,实际上从基本但极其有效的策略开始,例如防止访问已知的不良来源(列入黑名单的IP地址,用户代理和国家/地区)。 在它们接近您的应用程序,基础设施和数据之前阻止它们,以便立即获得好处-不仅从安全的角度,而且从成本的角度来看。 利用Web应用程序防火墙(WAF)缓解边缘的不良请求,既节省带宽,又节省计算周期。
该报告还提醒我们,攻击者正在不断寻求绕过这些防御的方法。 虽然一个人的访问控制规则可能很严格,但我们不能完全依赖这些规则。 例如,地理围栏策略。 恶意请求源自的前五个国家包括美国,法国,德国,俄罗斯和车臣,其中中国明显缺席。 我们应该期待中国和其他主要的互联网连接国家一样居首位。 但是,这种见解挑战了对地理围栏的过度依赖,并强调需要对合规性和安全措施采取更分层的方法。 我们知道,攻击者通常会危害服务器,VPC和物联网设备,使其在同一地区利用其最终目标。 使用地理围栏策略时,了解您的业务需求和法规要求(例如不向禁运国家/地区销售商品)。 这并不是说这种策略应该被抛弃,而是不是过分依赖。
第四季度上升的一个非常具体和显著的威胁是路径/目录遍历攻击。 将您的应用程序想象成一个堡垒。 现在,把路径遍历攻击想象为狡猾的方法入侵者,他们利用堡垒体系结构中最小的监督,通过Web服务器上的过度权限文件夹渗透到您的域中。 这些攻击不仅仅是敲门,而是寻找一个隐蔽的通道,直接通向你的帝国的心脏。 后果? 未经授权的访问,个人身份信息(PII )的丢失,并可能通过远程执行代码将密钥移交给您的王国。 这里的重要性怎么强调都不为过,因为这些入侵威胁到我们数字世界所处的数据的保密性,完整性和可用性等支柱。
简而言之,关于攻击趋势的季度报告不仅仅是一个数据集合,而是一种叙述,突出了数字领域中持续的战斗。 它提醒我们,理解和适应复杂的应用程序架构不仅是在这种环境中生存的关键,也是在这种环境中蓬勃发展的关键。 通过采用包括分层防御,利用威胁情报以及根据应用程序的独特需求定制解决方案的策略,您可以建立一个能够抵御不断演变的网络威胁的堡垒。 有效的安全不仅仅是部署工具,还包括了解您的企业如何运营,并利用这些知识为您的安全控制提供信息。
还有一件事,这份报告只是冰山一角。 Edgio团队正在不懈地为未来的报告添加更多的数据点。 请留意我们的2024年第一季度报告。 我相信你不会失望的。
想要更多见解?
Tom和Edgio的安全团队成员讨论了ThreatTank最新一集中的季度攻击趋势报告。
