骇客发现弱小猎物动作有多快？Palo Alto Networks的诱捕系统证实有8成会在24小时内沦陷

资安业者Palo Alto Networks旗下的威胁情报团队Unit 42 ，在今年7月至8月间于北美、亚太地区及欧洲部署了320个诱捕系统，打算测试在网络上不安全地曝露服务会招致什么后果，结果发现有8成的系统在24小时内被骇客攻陷，所有的系统则在一周内全被攻陷。另一个令人震惊的是，骇客在几分钟内就能够发现并成功入侵这些诱捕系统。

Unit 42在所部署的320个诱捕系统中均匀地安装了远端桌面协定（RDP）、安全外壳协定（SSH）、Samba服务器讯息区块，以及Postgres数据库等4种应用，而且故意在这些系统上配置了几个采用脆弱凭证的账号，这些账号可有限地存取于沙箱环境中的应用。

每个诱捕系统在被攻陷后就会重设与重新部署，以用来计算遭到攻陷的次数，另也在48个诱捕系统上导入了防火墙策略，封锁已知的网络扫描器，藉以比较相关防火墙策略的有效性。

Unit 42团队部署这些诱捕系统的时间为30天，发现有80%的诱捕系统在24小时内就被攻陷，所有的系统在1周内便被攻陷，最受骇客青睐的系统为SSH，平均每天被攻陷26次，其中有一个SSH诱捕系统在同一天被攻陷169次。此外，有一个骇客在30秒内就攻陷了该团队在全球所部署80个Postgres系统中的77个，30秒的达阵率高达96%。

根据Unit 42的统计，从把这些诱捕系统放到公开网络上，到骇客首度发现并攻陷它们的平均时间，SSH被攻陷的平均时间最短，只有184分钟就沦陷了，居次的Postgres数据库为511分钟，RDP为667分钟，Samba则是2,485分钟。

图片来源_Palo Alto Networks

而在每个诱捕系统于30天内所观察到的攻击IP上，SSH再以179个居冠，RDP为50个，Samba为11个，Postgres则是7个。

图片来源_Palo Alto Networks

此外，Unit 42团队在48个诱捕系统上嵌入了防火墙政策，该政策会封锁过去30天持续扫描特定应用的IP，同时观察此一实验组与其它未设置防火墙的对照组被骇的情形，发现这两个族群被攻击的次数并没有太大的差异，有防火墙的SSH及RDP系统遭到攻击的次数更超越没有防火墙的系统，显示出封锁已知的扫描IP无益于减缓攻击。

在攻击者的分布上，主要的攻击来自美国，占了29%，居次的是越南的17.4%，中国以11.6%排名第三，来自印度的攻击IP亦占了8.9%，香港为6.6%。

在此次的测试之后，Unit 42认为，只要有脆弱的服务曝露在网络上，骇客找到并攻陷它只需要几分钟，由于这些服务常常连结其它的云端任务，因而可能成为骇客渗透到整个云端环境的跳板。而这类的错误其实很容易预防，包括建立防护机制以避免特权连结埠曝光，打造稽核机制以监控所有的公开传输埠及曝露在外的服务，建立自动化的规则以自动修补错误的配置，或者是部署新一代的防火墙来封锁恶意流量。