2020-5-13 08:24

Palo Alto Networks(派拓网络)发布COVID-19云威胁环境报告

作者:Palo Alto Networks(派拓网络)威胁情报团队Unit 42

自2020年3月9日到2020年4月26日的7周时间里,Palo Alto Networks(派拓网络)威胁情报团队Unit 42的研究人员分析了120万个包含与COVID-19疫情相关关键字的新注册域名(NRD)。如图1所示,超过86,600个域名属于“危险”或“恶意”域名,遍布全球各个地区。美国的恶意域名数量最多(29,007个),其次是意大利(2,877个)、德国(2,564个)和俄罗斯(2,456个)。中国内地和香港则共计有931个恶意域名。

Unit 42的研究人员发现,超过56,200个新注册域名由四大云服务提供商(CSP)托管,包括亚马逊云(70.1%)、谷歌云(24.6%)、微软云(5.3%)及阿里云(<0.1%)。

在研究过程中,我们注意到一些恶意域名有多个IP地址,而某些IP地址与多个域名有关联。内容交付网络(CDN)的使用让这种多对多映射经常出现在云环境中,并且会使基于IP的防火墙失效。此次研究的一些重要发现包括:

●平均每天有1,767个与COVID-19相关的恶意域名创建。

●86,600多个域名中,2,829个公有云中托管的域名属于危险或恶意域名

○亚马逊云托管79.2%

○谷歌云托管14.6%

○微软云托管5.9%

○阿里云托管0.3%

●不法之徒一直掩盖恶意活动,例如进行网络钓鱼以及在云端传递恶意软件。

●更高的价格和更严格的筛选/监控流程可减少攻击者在公有云中托管恶意域名的现象。

恶意攻击者利用云资源来逃避检测并扩大攻击规模,令来自云端的威胁更难防御。企业需要具备云原生安全平台和更高级的应用感知防火墙,以保护其环境。Palo Alto Networks(派拓网络)将持续监控新注册的恶意域名。Prisma Cloud和VM系列都在云环境中提供了第7层防火墙功能,以防止来自这些域名的恶意活动。

图1. 七周内与COVID-19相关的恶意域名注册量超过8.66万个

结论

网络威胁正在迅速演变,并利用现实事件欺骗受害者。随着COVID-19疫情导致云应用的激增,我们观察到不仅有针对云用户的攻击,还有来自云端的威胁。每天都有成千上万的恶意域名上线,而云托管的应用和服务与非云端点面临相同的威胁,因此必须通过持续监控和自动威胁防护工具来保护每个端点。多云工作环境让这个问题变得更加复杂。由于云管理的复杂性,用户错误配置导致的安全事故频发。云原生安全平台(CNSP)可帮助企业跨多个云提供商、工作负载和混合云环境进行监控并保护资源。

Palo Alto Networks(派拓网络)客户可通过以下产品免受这些威胁侵害:

●Prisma Cloud

●VM系列

●Palo Alto Networks(派拓网络)URL过滤

来源:C114通信网

相关

网络微软IPCDN
本评论 更新于:2024-3-29 14:35:17
在C114 APP中与业内人士畅聊通信行业热点话题!