騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》:云資源攻擊占比接近50%

責(zé)任編輯:cres

2019-12-31 13:32:04

摘自:益群網(wǎng)

騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》:云資源攻擊占比接近50%。

云計(jì)算因低成本、高配置以及安全等配套服務(wù)的連帶附加等突出優(yōu)勢,成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型升級的首要選擇。IDC最新預(yù)測數(shù)據(jù)顯示,全球公有云收入到2021年將達(dá)到2783億元,較之2017年同比增長87.36%。隨著越來越多的企業(yè)選擇上云,云上安全也成為云服務(wù)商和租戶共同關(guān)注的話題。

近日,騰訊安全云鼎實(shí)驗(yàn)室基于對云安全情報(bào)數(shù)據(jù)的統(tǒng)計(jì)分析和最新云安全攻防趨勢的研究,聯(lián)合GeekPwn發(fā)布了《2019云安全威脅報(bào)告》(以下簡稱《報(bào)告》),在整體把握云安全威脅形勢的基礎(chǔ)上,對基礎(chǔ)設(shè)施、數(shù)據(jù)、身份驗(yàn)證和訪問管理、云中安全管理、微服務(wù)及Serverless以及跨云等云上安全威脅形勢進(jìn)行了梳理,并提出云服務(wù)廠商和使用方的責(zé)任共擔(dān)已成為新威脅形勢下的應(yīng)對標(biāo)配。

云上攻擊路徑全景首次公開,云資源攻擊占比近50%

云技術(shù)表現(xiàn)出的服務(wù)成本低、便捷性高、擴(kuò)展性好等特點(diǎn),在為用戶提供更多層次服務(wù)的同時(shí),也給云平臺帶來了更多可利用的攻擊面。騰訊安全的情報(bào)數(shù)據(jù)顯示,云資源作為攻擊源的比例已占國內(nèi)所有攻擊源的45.55%。

(安全攻擊來源占比統(tǒng)計(jì))

《報(bào)告》首次對外披露了云鼎實(shí)驗(yàn)室基于真實(shí)云上攻防的研究,詳細(xì)詮釋了八條縱向和八條橫向的云攻擊路徑??傮w而言,攻擊者既能在無任何授權(quán)的情況下自云外縱向進(jìn)入云平臺展開攻擊,也能在進(jìn)入云平臺后通過橫向遷移獲取更多租戶資源和數(shù)據(jù)。也是說,與傳統(tǒng)攻擊路徑相比,云資源攻擊表現(xiàn)出更為多元、復(fù)雜和脆弱的特性。

(攻擊方式模型全景圖)

伴隨著云服務(wù)提供向底層資源共享方式不斷延展的趨勢加劇,云服務(wù)提供商和使用者對不同層次安全問題采取共同負(fù)擔(dān)或分而治之的策略,是實(shí)現(xiàn)云上安全防護(hù)最佳實(shí)踐的重要趨勢。同時(shí),對于構(gòu)筑完善安全保障體系而言勢在必行。

(安全責(zé)任共擔(dān)模型)

2/3 DDoS攻擊指向云平臺,基礎(chǔ)設(shè)施安全形勢嚴(yán)峻

針對網(wǎng)絡(luò)、主機(jī)和應(yīng)用等基礎(chǔ)設(shè)施的安全攻擊由來已久。騰訊安全情報(bào)數(shù)據(jù)顯示,約2/3的網(wǎng)絡(luò)DDoS攻擊事件都以云平臺IP作為攻擊目標(biāo),超99.6%的攻擊流量皆小于200G,攻擊趨勢呈現(xiàn)出行業(yè)分布廣泛、超大流量攻擊次數(shù)增加、整體攻擊次數(shù)減少、低成本高度集成管理的特點(diǎn),給云服務(wù)上帶來了更高級別的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

(DDoS攻擊目標(biāo)分布)

而在主機(jī)安全方面,由軟硬件虛擬化帶來的是傳統(tǒng)安全與虛擬化安全威脅的糅合。其中,漏洞利用和惡意文件仍是傳統(tǒng)主機(jī)安全面臨的重要挑戰(zhàn)。抽樣數(shù)據(jù)顯示,云中70%以上漏洞均為基線漏洞,且中風(fēng)險(xiǎn)漏洞超60%。此外,2019年云平臺惡意文件數(shù)量月均增長17.5萬/個(gè),DDoS和代理類型的樣本數(shù)量有所增加,側(cè)面反映云平臺主機(jī)資源濫用威脅不斷加劇。除此之外,當(dāng)下云平臺還面臨著包含存儲、網(wǎng)絡(luò)、管理等在內(nèi)的虛擬化安全威脅。任何基于虛擬化技術(shù)的攻擊都有可能對整個(gè)云上用戶造成災(zāi)難性影響。

(云上漏洞類別占比圖)

應(yīng)用程序或軟件作為云上企業(yè)開展業(yè)務(wù)直接使用的對象,其安全性直接關(guān)乎業(yè)務(wù)安全。騰訊云安全統(tǒng)計(jì)數(shù)據(jù)顯示,SMB相關(guān)漏洞是黑產(chǎn)對應(yīng)用發(fā)起攻擊的首選手段,Web類攻擊次之。除常規(guī)應(yīng)用漏洞外,用于客戶管理云服務(wù)和交互的API(應(yīng)用程序編程接口)和UI(用戶接口)如若設(shè)計(jì)不當(dāng),也將導(dǎo)致濫用甚至數(shù)據(jù)泄露。隨著SaaS和PaaS應(yīng)用的增加,云服務(wù)提供商成為應(yīng)用安全防護(hù)的主力。

數(shù)據(jù)安全面臨挑戰(zhàn),身份驗(yàn)證和訪問管理成數(shù)據(jù)安全關(guān)鍵

《報(bào)告》指出,包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等在內(nèi)的數(shù)據(jù)安全威脅已成為當(dāng)前上云企業(yè)面必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計(jì),2019年上半年世界范圍內(nèi)已經(jīng)發(fā)生了3813起數(shù)據(jù)泄露事件,被公開數(shù)據(jù)高達(dá)41億條。騰訊安全情報(bào)數(shù)據(jù)顯示,“數(shù)據(jù)”、“身份證”、“密碼”等關(guān)于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。與此同時(shí),因技術(shù)受限存在數(shù)據(jù)丟失風(fēng)險(xiǎn)和對個(gè)人隱私數(shù)據(jù)合規(guī)保護(hù)的法規(guī)出臺,拓展著數(shù)據(jù)泄露帶來的損失面和負(fù)面效益。

除此之外,來自身份驗(yàn)證和訪問管理方面的安全威脅使得數(shù)據(jù)泄露面臨著更為嚴(yán)峻的形勢?!秷?bào)告》指出,調(diào)查顯示,約38%的云用戶賬戶已處于危險(xiǎn)之中。其中賬戶劫持占比最大,約為三分之一,且主要以自動化撞庫為主要方式。

(黑產(chǎn)攻擊方式占比圖)

云主機(jī)資源濫用嚴(yán)重,云安全服務(wù)多元化趨勢明顯

一方面,云生態(tài)下數(shù)據(jù)所有權(quán)與管理權(quán)的分析使得云中的安全管理面臨新挑戰(zhàn)。騰訊安全云鼎實(shí)驗(yàn)室對騰訊云上的惡意文件分布情況進(jìn)行分析后發(fā)現(xiàn),云資源濫用行為逐步增多,其中,linux和windows操作系統(tǒng)的云主機(jī)已分別成為了DDoS攻擊和代理類濫用行為的重災(zāi)區(qū)。由云資源濫用帶來的安全威脅也在逐步增大,CNCERT抽樣檢測數(shù)據(jù)顯示,針對境內(nèi)目標(biāo)IP的DDoS攻擊中80.1%的攻擊來源為國內(nèi)云服務(wù)提供商,極大地影響云服務(wù)使用者的可用容量。

(linux和windows操作系統(tǒng)惡意樣本占比圖)

另一方面,為滿足用戶對云計(jì)算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求,應(yīng)勢而生的微服務(wù)和無服務(wù)器計(jì)算(Serverless)等新服務(wù)架構(gòu)也帶來了可利用攻擊面擴(kuò)大、傳統(tǒng)監(jiān)控方法失效等新安全管理問題。新服務(wù)模式的特征要求云上安全需要更具前瞻性的設(shè)計(jì)架構(gòu)和囊括業(yè)務(wù)邏輯、代碼、數(shù)據(jù)和應(yīng)用程序等在內(nèi)的安全配置。

除此之外,Gartner曾預(yù)測,到2020年,90%的企業(yè)將采用混合基礎(chǔ)設(shè)施管理功能。Intercloud(跨云)趨勢是企業(yè)未來的發(fā)展方向。云間的身份管理和身份認(rèn)證、云服務(wù)安全架構(gòu)、數(shù)據(jù)加密傳輸以及安全合規(guī)性將成為關(guān)乎企業(yè)安全管理的重要部分。另外,伴隨著云計(jì)算在各領(lǐng)域的應(yīng)用拓展,工業(yè)云平臺和物聯(lián)網(wǎng)云平臺的安全性也將是未來安全威脅和管理的重點(diǎn)關(guān)注領(lǐng)域。

目前來看,云平臺不僅要應(yīng)對傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中存有的DDoS、入侵、病毒等常態(tài)問題,還要高度重視云平臺架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新安全問題。針對云安全“新舊”威脅糅合的安全形勢,《報(bào)告》根據(jù)主機(jī)安全、數(shù)據(jù)安全、身份認(rèn)證和訪問管理等具體的安全威脅特征,提出了具有行業(yè)通用性的應(yīng)對手段與防范建議。

例如針對數(shù)據(jù)安全問題,《報(bào)告》中提出云服務(wù)提供商需要負(fù)責(zé)為客戶建立以數(shù)據(jù)為中心的安全架構(gòu),對數(shù)據(jù)產(chǎn)生、流動、存儲、使用及銷毀進(jìn)行全流程加密保護(hù);而云服務(wù)使用者則須細(xì)化身份認(rèn)證和訪問控制配置的顆粒度,配合賬戶安全管理,防止數(shù)據(jù)內(nèi)部泄露。

(數(shù)據(jù)中臺架構(gòu)全景圖)

《報(bào)告》強(qiáng)調(diào)云服務(wù)提供商和使用者之間的安全責(zé)任共擔(dān)將是應(yīng)對新威脅的關(guān)鍵思路。而騰訊安全作為國內(nèi)領(lǐng)先的云安全廠商之一,將致力成為產(chǎn)業(yè)數(shù)字化升級的安全戰(zhàn)略官,不斷開放安全能力和產(chǎn)品,持續(xù)為云端企業(yè)高效御敵提供力量支撐。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號