分析攻擊手段，給出防范建議，專(zhuān)家解讀快手直播如何遭攻擊

來(lái)源：環(huán)球時(shí)報(bào)

【環(huán)球時(shí)報(bào)報(bào)道 記者 郭媛丹】22日晚間，快手直播平臺(tái)的多個(gè)直播間突然播放違規(guī)內(nèi)容，快手稱(chēng)平臺(tái)遭到黑灰產(chǎn)攻擊并已報(bào)警。快手公司23日中午在港交所發(fā)布公告稱(chēng)，快手應(yīng)用的直播功能于22日晚10時(shí)左右遭到網(wǎng)絡(luò)攻擊，公司已第一時(shí)間啟動(dòng)應(yīng)急預(yù)案，經(jīng)全力處置與系統(tǒng)修復(fù)，快手應(yīng)用的直播功能已逐步恢復(fù)正常服務(wù)。該事件引發(fā)廣泛關(guān)注，此次針對(duì)直播平臺(tái)的網(wǎng)絡(luò)攻擊是如何實(shí)施的？未來(lái)又該如何防范？《環(huán)球時(shí)報(bào)》記者針對(duì)上述問(wèn)題采訪(fǎng)了多位網(wǎng)絡(luò)安全專(zhuān)家。

攻擊者需要穿透實(shí)名審查等機(jī)制

奇安信安全專(zhuān)家汪列軍24日對(duì)《環(huán)球時(shí)報(bào)》記者分析稱(chēng)，此次攻擊之所以能造成大規(guī)模破壞，核心原因在于黑灰產(chǎn)已全面邁入“自動(dòng)化攻擊” 時(shí)代。黑客借助自動(dòng)化工具批量注冊(cè)、操控僵尸號(hào)，實(shí)現(xiàn)違規(guī)內(nèi)容的秒級(jí)發(fā)布與擴(kuò)散，這種規(guī)模化攻擊完全超出人工審核的應(yīng)對(duì)極限。

“根據(jù)現(xiàn)有信息來(lái)分析，攻擊者是基于直播平臺(tái)的服務(wù)和API通過(guò)自動(dòng)化作業(yè)實(shí)施整個(gè)過(guò)程。相當(dāng)于控制了大量的BOT，自動(dòng)化進(jìn)行注冊(cè)、登錄、內(nèi)容播放、發(fā)送詐騙信息等操作。”安天技術(shù)委員會(huì)副主任李柏松對(duì)《環(huán)球時(shí)報(bào)》記者表示，攻擊者需要穿透實(shí)名審查等機(jī)制，獲得大量的直播賬號(hào)。有可能攻擊者買(mǎi)了黑灰產(chǎn)的上游“接碼”服務(wù)，也可能批量購(gòu)買(mǎi)了其他團(tuán)伙的歷史潛伏賬號(hào)，包括持續(xù)盜取積累快手合法用戶(hù)賬號(hào)等。下一步，搞清楚攻擊者是怎么獲取賬號(hào)的，是查清此次攻擊事件的關(guān)鍵因素之一。

還有專(zhuān)家在接受媒體采訪(fǎng)時(shí)表示，當(dāng)天攻擊時(shí)間為晚間流量高峰期，此時(shí)用戶(hù)活躍度高且平臺(tái)風(fēng)控系統(tǒng)負(fù)載壓力大，無(wú)疑更容易讓攻擊者抓住防御漏洞。

構(gòu)建“內(nèi)外同防”安全屏障

公開(kāi)報(bào)道顯示，快手平臺(tái)有嚴(yán)密的審核系統(tǒng)，黑客竟然繞過(guò)了防火墻、人工和AI的層層監(jiān)管。對(duì)此，李柏松表示，對(duì)于大型互聯(lián)網(wǎng)平臺(tái)公司來(lái)說(shuō)，一般水平的攻擊者入侵并大面積獲取控制權(quán)，并不是很容易的事情。從目前已公布的信息分析，尚沒(méi)有證據(jù)表明攻擊者入侵進(jìn)入了快手平臺(tái)，或者劫持篡改其他直播內(nèi)容。“攻擊者和正常用戶(hù)一樣注冊(cè)、申請(qǐng)權(quán)限、進(jìn)行直播、發(fā)送信息等操作；但其賬戶(hù)身份是虛假的、其操作過(guò)程是自動(dòng)的、整體控制是批量的、直播內(nèi)容是違法的。同時(shí)也不排除極少數(shù)主播在發(fā)現(xiàn)平臺(tái)風(fēng)控策略被擊穿的情況下，跟風(fēng)進(jìn)行擦邊直播、賺快錢(qián)，從而發(fā)生了復(fù)雜的風(fēng)險(xiǎn)疊加。”

兩位專(zhuān)家都提及內(nèi)部因素：企業(yè)網(wǎng)絡(luò)安全升級(jí)不能僅聚焦外部攻擊防御，內(nèi)部漏洞引發(fā)的風(fēng)險(xiǎn)同樣不容忽視。李柏松表示，“黑產(chǎn)薅羊毛、里應(yīng)外合獲取利益也是可能的原因”。汪列軍也提醒，在數(shù)字化轉(zhuǎn)型過(guò)程中，企業(yè)需樹(shù)立“內(nèi)外同防”理念，將內(nèi)部防線(xiàn)建設(shè)納入整體安全體系，尤其要重視“防內(nèi)鬼”與權(quán)限管控。

潛藏哪些風(fēng)險(xiǎn)

快手在公告中稱(chēng)，公司強(qiáng)烈譴責(zé)黑灰產(chǎn)的違法犯罪行為，已就上述事宜向公安機(jī)關(guān)報(bào)警并向相關(guān)部門(mén)報(bào)告，并將視情況采取其他適當(dāng)?shù)姆裳a(bǔ)救措施，以保障公司及其股東的權(quán)益。

目前尚不清楚此次網(wǎng)絡(luò)攻擊的具體目的，但網(wǎng)絡(luò)攻擊常見(jiàn)目的有竊取用戶(hù)數(shù)據(jù)用于非法交易、干擾平臺(tái)正常運(yùn)營(yíng)以謀取不正當(dāng)競(jìng)爭(zhēng)利益，或是出于惡意破壞、炫耀技術(shù)等。

攻擊事件發(fā)生后，有網(wǎng)友稱(chēng)，在此次非法直播中出現(xiàn)了詐騙信息。對(duì)此，李柏松表示，若網(wǎng)上描述的這種情況確有其事，那攻擊者目標(biāo)之一是獲取錢(qián)財(cái)。不過(guò)，從經(jīng)濟(jì)獲益角度分析，不完全合乎常理。如果是基于直播打賞獲得收入，由于相關(guān)非法直播必然會(huì)被快速阻斷，而打賞收入若不是實(shí)時(shí)到賬的，攻擊者就難以獲取；如果是基于詐騙獲得收入，其雖然能短時(shí)間內(nèi)構(gòu)成人員聚集擴(kuò)散詐騙信息，但相對(duì)時(shí)間窗口較短，是否能讓攻擊者取得比其損耗的賬號(hào)資源等方面更明顯的收益存在疑問(wèn)。

汪列軍則認(rèn)為，平臺(tái)若未構(gòu)建完善的安全防護(hù)體系，黑客可能希望通過(guò)漏洞侵入系統(tǒng)，竊取用戶(hù)的個(gè)人信息、使用記錄、消費(fèi)數(shù)據(jù)等隱私內(nèi)容。同時(shí)，用戶(hù)賬號(hào)若存在密碼簡(jiǎn)單、未開(kāi)啟二次驗(yàn)證等情況，可能會(huì)被黑客通過(guò)暴力破解、釣魚(yú)鏈接、賬號(hào)關(guān)聯(lián)泄露等方式獲取控制權(quán)，進(jìn)而被用于發(fā)布違規(guī)內(nèi)容、實(shí)施詐騙等非法行為。

4個(gè)層面保障安全

未來(lái)如何防范此類(lèi)攻擊？李柏松從4個(gè)層面進(jìn)行了具體分析。首先對(duì)平臺(tái)廠(chǎng)商來(lái)說(shuō)，此類(lèi)攻擊不是傳統(tǒng)的入侵，不能單純靠購(gòu)買(mǎi)安裝安全產(chǎn)品、購(gòu)買(mǎi)安全服務(wù)來(lái)解決，主要需要依托風(fēng)控策略、行為畫(huà)像和內(nèi)容安全機(jī)制，通過(guò)強(qiáng)化安全投入常態(tài)化運(yùn)營(yíng)來(lái)應(yīng)對(duì)。從國(guó)家監(jiān)管執(zhí)法的角度，主要是加強(qiáng)對(duì)黑灰產(chǎn)的打擊力度，削弱其資源體系，加大其犯罪成本，當(dāng)然最有效的是持續(xù)抓捕犯罪分子，形成強(qiáng)大威懾。對(duì)廣大政企機(jī)構(gòu)來(lái)說(shuō)，雖然和本次事件關(guān)聯(lián)不高，但需要看到當(dāng)前網(wǎng)絡(luò)應(yīng)用都是端到端，而且應(yīng)用協(xié)議都是加密的，無(wú)論是有害信息，還是木馬病毒、釣魚(yú)信息都可能穿透防御縱深，直達(dá)端側(cè)。因此需要全面強(qiáng)化終端側(cè)安全能力。從網(wǎng)民個(gè)人來(lái)說(shuō)，需要增強(qiáng)風(fēng)險(xiǎn)意識(shí)，相信“事出反常必有妖”，減少風(fēng)險(xiǎn)入口。而移動(dòng)終端、APP開(kāi)發(fā)者也要為用戶(hù)提供安全的使用環(huán)境。

汪列軍認(rèn)為，網(wǎng)絡(luò)安全已進(jìn)入“不對(duì)稱(chēng)戰(zhàn)爭(zhēng)時(shí)代”，高級(jí)威脅的隱蔽性與攻擊的自動(dòng)化，讓傳統(tǒng)人工防御難以應(yīng)對(duì)，尤其是在黑灰產(chǎn)違法手段持續(xù)升級(jí)的背景下，必須借助AI實(shí)現(xiàn)安全防護(hù)自動(dòng)化，以對(duì)抗攻擊自動(dòng)化。