Arbor Networks第10次年度全球基础设施安全报告

　　概述

　　本报告提供了Arbor Networks第十次年度全《球基础设施安全报告》(WISR)的调查结果。这份报告记录了来自2014年运营安全社区的经验、心得与担忧。

　　过去十年间，Arbor每年都会发布WISR，该报告收集有关服务提供商与企业所忧所虑的详细信息并对此数据加以分析整理，然后以一般资源的形式呈递为所有网络运营商。本文档的目的是强调组织所面临的威胁和忧虑的重要发展趋势，以及应对此类趋势的方法途径。

　　自创立以来，WISR所收集的调查数据均是来自于直接参与日常网络运营安全事件处理工作的人士。过去十年间，WISR的影响范围急剧扩大，但其核心目标始终是以运营商的角度提供有关基础设施安全问题的深刻见解。

　　主要调查结果

　　1.Arbor开展此项调查的十年间，DDoS攻击的规模经历了几何级增长，报告发现的最大攻击流量由8Gbps增加到了400Gbps。这相当于50倍的增长，换算成年均复合增长率则为54%。

　　2.DDoS已成祸患。如今它已对业务连续性和安全底线构成严重威胁。多于三分之一的数据中心运营商曾遭到耗尽其网络带宽的DDoS攻击，与此同时有44%的数据中心受访者称DDoS造成其收入损失。

　　3.90%的受访者曾遭到应用层攻击。此外，Firewall（防火墙）和IPS设备等现有基础设施仍是此类攻击的目标，多于三分之一的受访者称其此类设备曾因DDoS攻击而出现故障。

　　4.DDoS和高级威胁的发生频率和复杂程度双双呈上升趋势，对组织的安全检测和事件应对能力构成严峻挑战。

　　5.人为因素仍是决定防御能力的一个要素。54%的受访者称其安全部门遇到了技能型人才招聘难、留任难的问题，这一比例相比去年增长了14个百分点。

　　服务提供商面临威胁和攻击

• 尽管针对基础设施的攻击出现明显增加，但针对客户的DDoS攻击仍是服务提供商所面临的头号运营威胁。
• 终端用户订阅者和电子商务是DDoS攻击的最主要受害者，政府则位列第三位。
• 攻击者继续利用反射/放大技术发起大规模攻击。报告的最大规模的DDoS攻击流量达400Gbps，其他受访者报告的攻击事件流量有300、200和170Gbps。另有六位受访者称遭到了达到100Gbps阈值的攻击事件。
• 尽管有近三分之二的攻击为容量耗尽攻击，但几乎所有受访者（90%）都曾遭到应用层攻击，此外有42%的受访者曾遭到容量耗尽、应用层及状态穷尽技术三合一的持续性多重攻击。
• 更多受访者表示今年遭到了更为频繁的攻击。去年仅有四分之一多点的受访者表示每月遭到多于21起攻击。而今年这一比例几乎翻番至38%。
• 遭遇针对加密网页服务（HTTPS）的应用层攻击的受访者比重出乎意料地由去年的54%降至今年的42%，但仍高于2012年的37%。
• 攻击背后的前三大动机仍是恐怖行为/故意破坏、网络博彩和极端意识形态黑客行为，而这三大动机全部位列过去数年的前三位行列。博彩动机所占比例有所提高，鉴于今天针对博彩站点的高调攻击活动次数，这一结果毫不令人感到意外。
• 超过半数受访者遭到的企业网络安全事件次数出现上升。然而，一半受访者称，他们只是在“某种程度上”做好了应对此类事件的准备且仍需继续提高，此外另有8%的受访者表示对此毫无准备。

　　企业、政府和教育机构面临威胁和攻击

• 企业网络所面临的最常见威胁是DDoS攻击、意外数据丢失以及僵尸或被入侵主机，三者各占约三分之一的比例。
• 近一半受访者在调查期间遭到了DDoS攻击，其中有近四成受访者的网络被渗透。
• 超过三分之一的组织曾在DDoS攻击期间遭遇防火墙或IPS设备故障或运行中断。
• 运营费用、声誉受损以及客户流失是DDoS攻击所带来的最主要商业影响。
• 转移妥协或数据泄露被认为是第三大攻击动机。
• 足足有三分之二的受访者表示曾遭遇针对其云服务的攻击，这一数据远高于服务提供商所提供的数据。
• 今年有三分之一多点的受访者表示遭受的安全事件有所增加，而去年这一比例约为一半左右。接近40%的受访者认为已做好应对安全事件的充分准备或者适当准备，另有10%的受访者表示对事件完全没有准备。

　　数据中心

• 多于三分之一的数据中心运营商曾遭到耗尽其网络带宽的DDoS攻击。
• 数据中心运营商将运营费用归结为DDos攻击目前所导致的最大损失。由DDoS造成的收入损失正大幅增加（44%的数据中心受访者称DDoS造成其收入损失）。
• 约有一半受访者表示曾遭遇DDoS攻击而导致防火墙运行中断——这一比例比去年的42％有所上升。负载均衡器也是问题不断，多于三分之一的受访者表示其负载均衡器曾因 DDoS 攻击而发生故障。

　　DNS

• 极少数公司拥有专门负责DNS的安全小组。
• 实施DNS限制递归查询最佳实践的受访者比例并无实质性变化。
• 上年，报告针对 DNS 基础设施且导致客户可见故障的DDoS攻击有所减少。

　　调查范围和受访者人口统计情况

• 本次调查收到了287份回复，与去年的220份相比有所增加。这些回复来自世界各地的多家1 级和2/3级服务供应商、托管网络运营商、移动网络运营商、企业级网络运营商以及其他类型网络运营商。
• 反观十年前，我们仅收到36份回复，因此，WISR如今所展示的数据因涵盖更宽泛的地域和更多的网络运营商而更具代表性。
• 今年的调查中，有超过60%的受访者都是服务供应商，另有18%的受访者来自企业组织，从而让我们能够从全球层面了解针对其网络、服务和客户的流量与威胁情况。
• 数据涵盖时间段为2013年11月至2014年11月