云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報告》

云計算因低成本、高配置以及安全等配套服務的連帶附加等突出優(yōu)勢，成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型升級的首要選擇。IDC最新預測數(shù)據(jù)顯示，全球公有云收入到2021年將達到2783億元，較之2017年同比增長87.36%。隨著越來越多的企業(yè)選擇上云，云上安全也成為云服務商和租戶共同關注的話題。

近日，騰訊安全云鼎實驗室基于對云安全情報數(shù)據(jù)的統(tǒng)計分析和最新云安全攻防趨勢的研究，聯(lián)合GeekPwn發(fā)布了《2019云安全威脅報告》(以下簡稱《報告》)，在整體把握云安全威脅形勢的基礎上，對基礎設施、數(shù)據(jù)、身份驗證和訪問管理、云中安全管理、微服務及Serverless以及跨云等云上安全威脅形勢進行了梳理，并提出云服務廠商和使用方的責任共擔已成為新威脅形勢下的應對標配。

云上攻擊路徑全景首次公開，云資源攻擊占比近50%

云技術表現(xiàn)出的服務成本低、便捷性高、擴展性好等特點，在為用戶提供更多層次服務的同時，也給云平臺帶來了更多可利用的攻擊面。騰訊安全的情報數(shù)據(jù)顯示，云資源作為攻擊源的比例已占國內(nèi)所有攻擊源的45.55%。

AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(安全攻擊來源占比統(tǒng)計)

《報告》首次對外披露了云鼎實驗室基于真實云上攻防的研究，詳細詮釋了八條縱向和八條橫向的云攻擊路徑?？傮w而言，攻擊者既能在無任何授權(quán)的情況下自云外縱向進入云平臺展開攻擊，也能在進入云平臺后通過橫向遷移獲取更多租戶資源和數(shù)據(jù)。也是說，與傳統(tǒng)攻擊路徑相比，云資源攻擊表現(xiàn)出更為多元、復雜和脆弱的特性。

AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(攻擊方式模型全景圖)

伴隨著云服務提供向底層資源共享方式不斷延展的趨勢加劇，云服務提供商和使用者對不同層次安全問題采取共同負擔或分而治之的策略，是實現(xiàn)云上安全防護最佳實踐的重要趨勢。同時，對于構(gòu)筑完善安全保障體系而言勢在必行。

AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(安全責任共擔模型)

2/3 DDoS攻擊指向云平臺,基礎設施安全形勢嚴峻

針對網(wǎng)絡、主機和應用等基礎設施的安全攻擊由來已久。騰訊安全情報數(shù)據(jù)顯示，約2/3的網(wǎng)絡DDoS攻擊事件都以云平臺IP作為攻擊目標，超99.6%的攻擊流量皆小于200G，攻擊趨勢呈現(xiàn)出行業(yè)分布廣泛、超大流量攻擊次數(shù)增加、整體攻擊次數(shù)減少、低成本高度集成管理的特點，給云服務上帶來了更高級別的網(wǎng)絡風險。

(DDoS攻擊目標分布)

而在主機安全方面，由軟硬件虛擬化帶來的是傳統(tǒng)安全與虛擬化安全威脅的糅合。其中，漏洞利用和惡意文件仍是傳統(tǒng)主機安全面臨的重要挑戰(zhàn)。抽樣數(shù)據(jù)顯示，云中70%以上漏洞均為基線漏洞，且中風險漏洞超60%。此外，2019年云平臺惡意文件數(shù)量月均增長17.5萬/個，DDoS和代理類型的樣本數(shù)量有所增加，側(cè)面反映云平臺主機資源濫用威脅不斷加劇。除此之外，當下云平臺還面臨著包含存儲、網(wǎng)絡、管理等在內(nèi)的虛擬化安全威脅。任何基于虛擬化技術的攻擊都有可能對整個云上用戶造成災難性影響。

(云上漏洞類別占比圖)

應用程序或軟件作為云上企業(yè)開展業(yè)務直接使用的對象，其安全性直接關乎業(yè)務安全。騰訊云安全統(tǒng)計數(shù)據(jù)顯示，SMB相關漏洞是黑產(chǎn)對應用發(fā)起攻擊的首選手段，Web類攻擊次之。除常規(guī)應用漏洞外，用于客戶管理云服務和交互的API(應用程序編程接口)和UI(用戶接口)如若設計不當，也將導致濫用甚至數(shù)據(jù)泄露。隨著SaaS和PaaS應用的增加，云服務提供商成為應用安全防護的主力。

數(shù)據(jù)安全面臨挑戰(zhàn)，身份驗證和訪問管理成數(shù)據(jù)安全關鍵

《報告》指出，包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等在內(nèi)的數(shù)據(jù)安全威脅已成為當前上云企業(yè)面必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計，2019年上半年世界范圍內(nèi)已經(jīng)發(fā)生了3813起數(shù)據(jù)泄露事件，被公開數(shù)據(jù)高達41億條。騰訊安全情報數(shù)據(jù)顯示，“數(shù)據(jù)”、“身份證”、“密碼”等關于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。與此同時，因技術受限存在數(shù)據(jù)丟失風險和對個人隱私數(shù)據(jù)合規(guī)保護的法規(guī)出臺，拓展著數(shù)據(jù)泄露帶來的損失面和負面效益。

除此之外，來自身份驗證和訪問管理方面的安全威脅使得數(shù)據(jù)泄露面臨著更為嚴峻的形勢。《報告》指出，調(diào)查顯示，約38%的云用戶賬戶已處于危險之中。其中賬戶劫持占比最大，約為三分之一，且主要以自動化撞庫為主要方式。

(黑產(chǎn)攻擊方式占比圖)

云主機資源濫用嚴重，云安全服務多元化趨勢明顯

一方面，云生態(tài)下數(shù)據(jù)所有權(quán)與管理權(quán)的分析使得云中的安全管理面臨新挑戰(zhàn)。騰訊安全云鼎實驗室對騰訊云上的惡意文件分布情況進行分析后發(fā)現(xiàn)，云資源濫用行為逐步增多，其中，linux和windows操作系統(tǒng)的云主機已分別成為了DDoS攻擊和代理類濫用行為的重災區(qū)。由云資源濫用帶來的安全威脅也在逐步增大，CNCERT抽樣檢測數(shù)據(jù)顯示，針對境內(nèi)目標IP的DDoS攻擊中80.1%的攻擊來源為國內(nèi)云服務提供商，極大地影響云服務使用者的可用容量。

(linux和windows操作系統(tǒng)惡意樣本占比圖)

另一方面，為滿足用戶對云計算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求，應勢而生的微服務和無服務器計算(Serverless)等新服務架構(gòu)也帶來了可利用攻擊面擴大、傳統(tǒng)監(jiān)控方法失效等新安全管理問題。新服務模式的特征要求云上安全需要更具前瞻性的設計架構(gòu)和囊括業(yè)務邏輯、代碼、數(shù)據(jù)和應用程序等在內(nèi)的安全配置。

除此之外，Gartner曾預測，到2020年，90%的企業(yè)將采用混合基礎設施管理功能。Intercloud(跨云)趨勢是企業(yè)未來的發(fā)展方向。云間的身份管理和身份認證、云服務安全架構(gòu)、數(shù)據(jù)加密傳輸以及安全合規(guī)性將成為關乎企業(yè)安全管理的重要部分。另外，伴隨著云計算在各領域的應用拓展，工業(yè)云平臺和物聯(lián)網(wǎng)云平臺的安全性也將是未來安全威脅和管理的重點關注領域。

目前來看，云平臺不僅要應對傳統(tǒng)網(wǎng)絡架構(gòu)中存有的DDoS、入侵、病毒等常態(tài)問題，還要高度重視云平臺架構(gòu)的虛擬機逃逸、資源濫用、橫向穿透等新安全問題。針對云安全“新舊”威脅糅合的安全形勢，《報告》根據(jù)主機安全、數(shù)據(jù)安全、身份認證和訪問管理等具體的安全威脅特征，提出了具有行業(yè)通用性的應對手段與防范建議。

例如針對數(shù)據(jù)安全問題，《報告》中提出云服務提供商需要負責為客戶建立以數(shù)據(jù)為中心的安全架構(gòu)，對數(shù)據(jù)產(chǎn)生、流動、存儲、使用及銷毀進行全流程加密保護;而云服務使用者則須細化身份認證和訪問控制配置的顆粒度，配合賬戶安全管理，防止數(shù)據(jù)內(nèi)部泄露。

(數(shù)據(jù)中臺架構(gòu)全景圖)

《報告》強調(diào)云服務提供商和使用者之間的安全責任共擔將是應對新威脅的關鍵思路。而騰訊安全作為國內(nèi)領先的云安全廠商之一，將致力成為產(chǎn)業(yè)數(shù)字化升級的安全戰(zhàn)略官，不斷開放安全能力和產(chǎn)品，持續(xù)為云端企業(yè)高效御敵提供力量支撐。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。