Hackernews编译，转载请注明出处：

研究人员设置了320个蜜罐，以观察攻击者攻击暴露的云服务的速度，发现80%的蜜罐在24小时内受到攻击。
攻击者不断扫描互联网，寻找可以利用于访问内部 *** 或执行其他恶意活动的公开服务。
为了追踪哪些软件和服务是黑客的目标，研究人员创建了可公开访问的蜜罐。蜜罐是一种服务器，配置成各种软件运行，作为诱饵来监控黑客活动。
在Palo Altos Networks的Unit 42 进行的一项新研究中，研究人员设置了320个蜜罐，发现80%的蜜罐在最初的24小时内受损。
部署的蜜罐包括带有远程桌面协议（RDP）、安全外壳协议（SSH）、服务器消息块（ *** B）和Postgres数据库服务的蜜罐，在2021年7月至8月保持活动状态。这些蜜罐部署在世界各地，在北美、亚太和欧洲都有实例。

攻击者行动轨迹
之一次攻击的时间与服务类型被攻击的数量有关。
对于更具针对性的SSH蜜罐，之一次攻击的平均时间为3小时，两次连续攻击之间的平均时间约为2小时。

Unit 42还观察到一个值得注意的案例，即一名黑客在30秒内破坏了实验中80个Postgres蜜罐的96%。
这一发现非常令人担忧，因为在发布新的安全更新时，部署这些更新可能需要几天甚至更长的时间，而攻击者只需要几个小时就可以侵入公开的服务。
最后，关于地理位置是否有任何区别，结果显示，亚太地区受到黑客的更大关注。

防火墙有用吗？

绝大多数（85%）的攻击者IP是在一天内发现的，这意味着攻击者很少（15%）在随后的攻击中重用相同的IP。
这种持续的IP变化使得“第3层”防火墙规则对大多数威胁参与者无效。
能够更好地缓解攻击的 *** 是通过从 *** 扫描项目中提取数据来阻止IP，这些项目每天识别数十万个恶意IP。
然而，Unit 42在48个蜜罐组成的子组上测试了这一 *** ，发现阻断700000多个IP之后，子组和对照组之间在攻击次数上没有显著差异

为了有效地保护云服务，Unit42 建议管理员执行以下操作：

• 创建护栏以防止特权端口打开。
• 创建审核规则以监视所有打开的端口和公开的服务。
• 创建自动响应和补救规则来自动修复错误。
• 在应用程序前面部署下一代防火墙（WFA或VM系列）。

最后，始终在最新安全更新可用时安装这些更新，因为黑客在发布新漏洞时会迅速利用这些漏洞。

消息来源：BleepingComputer，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于 *** ；

转载请注明“转自 HackerNews.cc ” 并附上原文链接