2023年DDoS攻击现状及趋势报告

近日，安全防护公司Zayo发布了《2023年DDoS攻击现状及趋势报告》，通过分析14个行业和地区的客户所经历的70,000多个威胁检测和缓解，揭示了哪些行业正在受到攻击，攻击发生的频率，每次攻击持续的时间以及攻击的规模等内容，旨在帮助组织更好地应对此类威胁。

执行概要

与第一季度相比，2023年第二季度的DDoS攻击活动增长了387%：

• 电信公司遭受的攻击最为频繁，占总攻击量的50%，在2023年上半年发生了超过37,000次攻击；然而，在所有行业中，电信公司的攻击活动在同一时间段内增长了近400%。
• 政府部门遭受的攻击时间最长，平均持续时间超过4小时；然而，在所有行业中，针对政府部门的攻击平均持续时间在一个季度内增加了216%，即使是最短的攻击也可能使网络离线一整天。
• 零售、电信和媒体公司遭受的攻击规模最大，三个垂直行业的平均攻击规模为3Gbps；然而，即使是最小的攻击也会对企业声誉造成损害。

从所有指标来看，情况正在迅速恶化：

• 自2020年初以来，全球DDoS攻击增加了150%。
• 每39秒就会发生一次新的网络攻击。
• 全球每天大约发生23000次DDoS攻击。
• DDoS攻击对任何企业来说都是昂贵的，但未受保护的企业每次攻击的平均成本为20万美元。
• 即使是小型企业也受到了严重的打击——平均一次DDoS攻击的恢复成本为12万美元。

全球数字化程度的不断提高、政治动荡以及在家工作的广泛采用，都导致了一个容易受到DDoS攻击的环境。随着攻击数量和频率的增加，它们的规模、复杂程度以及最终的成功程度也在增加。当DDoS攻击成功时，会给企业带来时间、金钱、客户和声誉损失。

DDoS攻击频率

数据显示，对比2022年上半年与2023年上半年，所有行业的DDoS攻击频率增加了314%。

【2022年上半年 VS 2023年上半年攻击总次数】

虽然所有行业都受到了更多的攻击，但下述行业在这段时间内遭受的DDoS攻击增加幅度最大：

• 制造业——增加1397%

制造业是依赖数字技术的关键基础设施部门，这使其成为DDoS攻击的目标。攻击会扰乱生产，损害声誉，并导致经济损失。DDoS攻击的增加可能是由于该行业加速数字化和物联网（IoT）设备的采用，使其更容易成为黑客的目标。

• 媒体与娱乐——增加1065%

媒体和娱乐公司的敏感知识产权是诱人的目标。由于流媒体的存在，其庞大的在线量增加了它们的攻击面。

• 云/ SaaS——增加794%

云和SaaS公司管理着错综复杂的互联在线基础设施。因此，DDoS攻击有可能对其客户造成广泛的影响，破坏关键的数字访问。

• 医疗保健——增加253%

攻击者可以利用DDoS攻击破坏患者护理，窃取患者敏感数据，并造成经济损失。勒索攻击在医疗保健领域尤为普遍。电子健康记录（EHRs）和其他数字技术的日益普及使得医疗保健行业更容易受到DDoS攻击。

• 金融——增加230%

金融行业是DDoS攻击的高价值目标，像Kil.NET这样的攻击者可以破坏交易，阻止客户访问他们的账户，并造成经济损失。作为宝贵金融数据的管理者，网上银行和网上交易的激增加剧了金融业的脆弱性。网上银行和网上交易扩大了金融业的数字化存在，使其变得更加脆弱。

• 政府——增加177%

针对政府实体的DDoS攻击的增加可能是由政治动机的网络攻击（如Killnet发起的攻击）的增加所驱动的。这里的DDoS攻击造成了大规模的破坏，并获得了高调的宣传。攻击者可以使用DDoS来破坏关键服务，例如紧急响应和选举。

【在2023年Q1季度和Q2季度，每个行业的攻击总数】

总体而言，从2023年第一季度到2023年第二季度，各个行业的公司遭受的攻击活动激增了387%。究其原因主要表现为以下几点：

• DDoS攻击者正在利用日益复杂的人工智能和自动化；
• 对于业余爱好者来说，发起攻击变得越来越容易，他们可以简单且廉价地购买僵尸网络发起攻击；
• 民族国家行为者正在支持具有政治动机的攻击活动，例如俄罗斯附属的攻击者skillnet、REvil和Anonymous Sudan。

细分来看，在第一季度和第二季度，电信公司遭受的DDoS攻击比其他任何行业都要多。从第一季度到第二季度，该行业的攻击活动增长了惊人的1175%。

主要原因为以下几个方面：

• 攻击源：电信供应商对我们所有人的通信和互联网服务至关重要，这使它们成为攻击者的主要目标，以破坏服务并造成大规模混乱。此外，它们还可以访问包括金融数据在内的大量敏感信息，这也进一步使其沦为网络犯罪分子的诱人目标。
• 攻击面大：电信公司是在线的，并且具有各种各样的潜在入口点，攻击者可以从中获取可乘之机。这些入口点包括它们的数字资产、服务、网络、设备和其他基础设施组件，如果遭到破坏，很容易受到DDoS攻击流量的影响。
• 遗留技术：电信供应商的过时系统更容易被黑客利用。
• 黑客主义活动：针对电信运营商的DDoS攻击可能有政治动机，例如在抗议期间中断通信或压制持不同政见的声音。

DDoS攻击持续时间

数据显示，DDoS攻击的时间越来越长，但超过83%的攻击仍然是短爆发式的，持续10分钟或更短。

【攻击持续时间】

短攻（10分钟以内）占据主导的原因包括以下几点：

• 短攻可以用作“触角”——目标业务中的漏洞区域。当攻击者发现网络安全防御的弱点时，他们可以发动更大规模的攻击。
• 短攻是有效的。公司可以因为几分钟的网络中断而关闭一整天。
• 攻击者将看到组织受到保护并停止攻击，创建一个较短攻击的数据集。攻击者可能有意将短攻变成长攻。

【超过10分钟的攻击分布】

虽然短时间的攻击也会影响受害者的操作，但显然，攻击时间越长，影响就越大。如果攻击成功，其持续时间可以暴露攻击者的意图，显示攻击者到底希望攻击的破坏性有多大？

攻击的持续时间对未受保护的企业具有如下实际影响：

• 客户体验：如果客户无法使用你的网络，他们还能与你互动吗？停机时间会损害你的声誉，阻碍未来的业务。
• 员工体验：如果你的员工没有连接到你的网络，他们可以远程或在办公室工作吗？你能承受多长时间不上网？
• 金融影响：修复网络的费用是多少？能否重获失去的生意？能否修复受损的名誉？

【各行业的攻击持续时间】

如上图所示，政府机构遭受的攻击时间最长，平均攻击时间为4小时20分钟。原因包括以下几点：

• 政治动机：政府机构经常成为带有政治动机或不满情绪的攻击者的目标。这些攻击者可能有一个特定的议程，并愿意投入大量的时间和资源来实现他们的目标。
• 复杂的基础设施：政府网络和系统通常是复杂和分布式的，这使得它们更难以防御攻击。基础设施越大，检测和减轻DDoS攻击所需的时间就越长，从而使攻击持续的时间更长。
• 高价值：政府部门通常为公民提供关键服务，这使其成为寻求破坏和混乱的攻击者的高价值目标。攻击者知道，即使是短暂的政府服务中断也可能造成严重后果，这促使他们发起持久和持续的攻击。

此外，医疗保健和金融服务提供商遭受的攻击时间也高于平均水平。这两个行业都处理高价值的敏感信息，这些信息可用于身份盗窃或金融欺诈。攻击者可能会更加坚持不懈地提取数据或造成破坏，从而导致更长时间的DDoS攻击。

总体而言，在所有行业中，攻击的平均持续时间在一个季度内增长了216%。

DDoS攻击的时间

目标什么时候最易被攻击？答案是在工作日。即使是海外黑客也会选择在你的员工和客户需要你的网络工作的最繁忙的时候进行攻击。

【一周中攻击发生的时间】

【一天中攻击发生的时间】

总体而言，攻击最经常发生在工作日。然而，由于我们所有人都是随时在线的，因此一些大型在线消费者活动也可能导致正常营业时间之外的异常攻击。

DDoS攻击的规模

与攻击频率和持续时间一样，带宽中DDoS攻击的大小会影响阻止它所需的时间，以及它对目标组织造成的破坏程度。

【每个行业的平均攻击规模】

如上所示，媒体、零售、电信、能源和人力资源公司平均遭受的攻击规模最大；究其原因在于，目标越大，往往所需的蛮力就越大，以匹配运行应用程序的服务器流量的大小。大规模的攻击也很容易发动；由于服务器不会将资源平均分配给应用程序，因此，着重攻击单个服务器资源可能会导致整个服务器崩溃。

• 传媒及娱乐——平均攻击规模为3.5 Gbps

媒体和娱乐公司是很有吸引力的目标。他们拥有大量的在线业务，并能访问敏感数据，比如有价值的知识产权。攻击者使用DDoS攻击来破坏内容的分发，破坏声誉并勒索钱财。而且，对该部门的成功攻击会带来很高的知名度。

• 零售——平均攻击规模为3.1 Gbps

从通过侵蚀顾客信任来获得竞争优势到敲诈勒索，从意识形态动机到扰乱购物高峰，攻击者有充足的动机来攻击零售业务。

• 电信——平均攻击规模为3.0gbps

电信公司是互联网的源头。它们提供了所有公司接触客户所依赖的带宽。如果攻击者能够瘫痪一家电信公司，其影响将波及整个信息链，并产生重大的整体影响。

• 能源和公用事业——平均攻击规模为2.4 Gbps

关键基础设施中断造成的恐慌和不信任可能导致重大经济损失，使这一细分市场成为通过赎金进行攻击获利的主要机会。无论是出于金融还是地缘政治动机，对该行业的大规模攻击都可能产生更广泛的社会或经济影响。

• 人力资源——平均攻击规模为2.4 Gbps

虽然看起来不那么明显，但这些公司是许多其他公司供应链的关键组成部分。这里的中断会导致整个行业的招聘中断。此外，攻击者可能会认为这个行业的网络准备不足或软件漏洞增加，这是一个容易攻击的主要因素。

• 医疗保健、制造业和云/SaaS ——平均攻击规模为2.2 Gbps

这些行业越来越依赖于数字技术、人工智能和物联网设备，这增加了它们的攻击面，使它们更容易受到攻击。攻击者将这种在线流量的海啸视为寻找漏洞的绝佳机会

值得一提的是，Zayo在2023年上半年发现的最大一次攻击规模为980 Gbps，目标是一家在线的公共网络视频通信公司。随着越来越多的人在家工作，这种规模是完全有道理的。针对在线视频来源的大规模攻击可以影响数千家使用该服务的公司。

【前10%最大规模攻击中各行业所占比例】

总体而言，按规模计算，Top 10%顶级攻击集中在电信行业。

结语

在很多方面，企业越小，越容易受到伤害。与大公司相比，小公司通常资源有限，安全措施也较弱，因此更容易成为攻击者的目标。而一旦遭受DDoS攻击，就可能导致企业运营中断，造成财务损失、品牌声誉受损和客户流失等无法挽回的后果。

考虑到暴露的成本远远超过保护的成本。因为，建议各种规模的公司——尤其是那些内部专业知识有限的公司——都应该投资DDoS缓解服务，并制定响应计划来保护自己。