云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報告》

云計算因低成本、高配置以及安全等配套服務(wù)的連帶附加等突出優(yōu)勢，成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型升級的首要選擇。IDC最新預(yù)測數(shù)據(jù)顯示，全球公有云收入到2021年將達到2783億元，較之2017年同比增長87.36%。隨著越來越多的企業(yè)選擇上云，云上安全也成為云服務(wù)商和租戶共同關(guān)注的話題。

近日，騰訊安全云鼎實驗室基于對云安全情報數(shù)據(jù)的統(tǒng)計分析和最新云安全攻防趨勢的研究，聯(lián)合GeekPwn發(fā)布了《2019云安全威脅報告》(以下簡稱《報告》)，在整體把握云安全威脅形勢的基礎(chǔ)上，對基礎(chǔ)設(shè)施、數(shù)據(jù)、身份驗證和訪問管理、云中安全管理、微服務(wù)及Serverless以及跨云等云上安全威脅形勢進行了梳理，并提出云服務(wù)廠商和使用方的責(zé)任共擔(dān)已成為新威脅形勢下的應(yīng)對標(biāo)配。

云上攻擊路徑全景首次公開，云資源攻擊占比近50%

云技術(shù)表現(xiàn)出的服務(wù)成本低、便捷性高、擴展性好等特點，在為用戶提供更多層次服務(wù)的同時，也給云平臺帶來了更多可利用的攻擊面。騰訊安全的情報數(shù)據(jù)顯示，云資源作為攻擊源的比例已占國內(nèi)所有攻擊源的45.55%。

AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(安全攻擊來源占比統(tǒng)計)

《報告》首次對外披露了云鼎實驗室基于真實云上攻防的研究，詳細詮釋了八條縱向和八條橫向的云攻擊路徑?？傮w而言，攻擊者既能在無任何授權(quán)的情況下自云外縱向進入云平臺展開攻擊，也能在進入云平臺后通過橫向遷移獲取更多租戶資源和數(shù)據(jù)。也是說，與傳統(tǒng)攻擊路徑相比，云資源攻擊表現(xiàn)出更為多元、復(fù)雜和脆弱的特性。

AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(攻擊方式模型全景圖)

伴隨著云服務(wù)提供向底層資源共享方式不斷延展的趨勢加劇，云服務(wù)提供商和使用者對不同層次安全問題采取共同負擔(dān)或分而治之的策略，是實現(xiàn)云上安全防護最佳實踐的重要趨勢。同時，對于構(gòu)筑完善安全保障體系而言勢在必行。

AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(安全責(zé)任共擔(dān)模型)

2/3 DDoS攻擊指向云平臺,基礎(chǔ)設(shè)施安全形勢嚴峻

針對網(wǎng)絡(luò)、主機和應(yīng)用等基礎(chǔ)設(shè)施的安全攻擊由來已久。騰訊安全情報數(shù)據(jù)顯示，約2/3的網(wǎng)絡(luò)DDoS攻擊事件都以云平臺IP作為攻擊目標(biāo)，超99.6%的攻擊流量皆小于200G，攻擊趨勢呈現(xiàn)出行業(yè)分布廣泛、超大流量攻擊次數(shù)增加、整體攻擊次數(shù)減少、低成本高度集成管理的特點，給云服務(wù)上帶來了更高級別的網(wǎng)絡(luò)風(fēng)險。

(DDoS攻擊目標(biāo)分布)

而在主機安全方面，由軟硬件虛擬化帶來的是傳統(tǒng)安全與虛擬化安全威脅的糅合。其中，漏洞利用和惡意文件仍是傳統(tǒng)主機安全面臨的重要挑戰(zhàn)。抽樣數(shù)據(jù)顯示，云中70%以上漏洞均為基線漏洞，且中風(fēng)險漏洞超60%。此外，2019年云平臺惡意文件數(shù)量月均增長17.5萬/個，DDoS和代理類型的樣本數(shù)量有所增加，側(cè)面反映云平臺主機資源濫用威脅不斷加劇。除此之外，當(dāng)下云平臺還面臨著包含存儲、網(wǎng)絡(luò)、管理等在內(nèi)的虛擬化安全威脅。任何基于虛擬化技術(shù)的攻擊都有可能對整個云上用戶造成災(zāi)難性影響。

(云上漏洞類別占比圖)

應(yīng)用程序或軟件作為云上企業(yè)開展業(yè)務(wù)直接使用的對象，其安全性直接關(guān)乎業(yè)務(wù)安全。騰訊云安全統(tǒng)計數(shù)據(jù)顯示，SMB相關(guān)漏洞是黑產(chǎn)對應(yīng)用發(fā)起攻擊的首選手段，Web類攻擊次之。除常規(guī)應(yīng)用漏洞外，用于客戶管理云服務(wù)和交互的API(應(yīng)用程序編程接口)和UI(用戶接口)如若設(shè)計不當(dāng)，也將導(dǎo)致濫用甚至數(shù)據(jù)泄露。隨著SaaS和PaaS應(yīng)用的增加，云服務(wù)提供商成為應(yīng)用安全防護的主力。

數(shù)據(jù)安全面臨挑戰(zhàn)，身份驗證和訪問管理成數(shù)據(jù)安全關(guān)鍵

《報告》指出，包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等在內(nèi)的數(shù)據(jù)安全威脅已成為當(dāng)前上云企業(yè)面必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計，2019年上半年世界范圍內(nèi)已經(jīng)發(fā)生了3813起數(shù)據(jù)泄露事件，被公開數(shù)據(jù)高達41億條。騰訊安全情報數(shù)據(jù)顯示，“數(shù)據(jù)”、“身份證”、“密碼”等關(guān)于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。與此同時，因技術(shù)受限存在數(shù)據(jù)丟失風(fēng)險和對個人隱私數(shù)據(jù)合規(guī)保護的法規(guī)出臺，拓展著數(shù)據(jù)泄露帶來的損失面和負面效益。

除此之外，來自身份驗證和訪問管理方面的安全威脅使得數(shù)據(jù)泄露面臨著更為嚴峻的形勢。《報告》指出，調(diào)查顯示，約38%的云用戶賬戶已處于危險之中。其中賬戶劫持占比最大，約為三分之一，且主要以自動化撞庫為主要方式。

(黑產(chǎn)攻擊方式占比圖)

云主機資源濫用嚴重，云安全服務(wù)多元化趨勢明顯

一方面，云生態(tài)下數(shù)據(jù)所有權(quán)與管理權(quán)的分析使得云中的安全管理面臨新挑戰(zhàn)。騰訊安全云鼎實驗室對騰訊云上的惡意文件分布情況進行分析后發(fā)現(xiàn)，云資源濫用行為逐步增多，其中，linux和windows操作系統(tǒng)的云主機已分別成為了DDoS攻擊和代理類濫用行為的重災(zāi)區(qū)。由云資源濫用帶來的安全威脅也在逐步增大，CNCERT抽樣檢測數(shù)據(jù)顯示，針對境內(nèi)目標(biāo)IP的DDoS攻擊中80.1%的攻擊來源為國內(nèi)云服務(wù)提供商，極大地影響云服務(wù)使用者的可用容量。

(linux和windows操作系統(tǒng)惡意樣本占比圖)

另一方面，為滿足用戶對云計算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求，應(yīng)勢而生的微服務(wù)和無服務(wù)器計算(Serverless)等新服務(wù)架構(gòu)也帶來了可利用攻擊面擴大、傳統(tǒng)監(jiān)控方法失效等新安全管理問題。新服務(wù)模式的特征要求云上安全需要更具前瞻性的設(shè)計架構(gòu)和囊括業(yè)務(wù)邏輯、代碼、數(shù)據(jù)和應(yīng)用程序等在內(nèi)的安全配置。

除此之外，Gartner曾預(yù)測，到2020年，90%的企業(yè)將采用混合基礎(chǔ)設(shè)施管理功能。Intercloud(跨云)趨勢是企業(yè)未來的發(fā)展方向。云間的身份管理和身份認證、云服務(wù)安全架構(gòu)、數(shù)據(jù)加密傳輸以及安全合規(guī)性將成為關(guān)乎企業(yè)安全管理的重要部分。另外，伴隨著云計算在各領(lǐng)域的應(yīng)用拓展，工業(yè)云平臺和物聯(lián)網(wǎng)云平臺的安全性也將是未來安全威脅和管理的重點關(guān)注領(lǐng)域。

目前來看，云平臺不僅要應(yīng)對傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中存有的DDoS、入侵、病毒等常態(tài)問題，還要高度重視云平臺架構(gòu)的虛擬機逃逸、資源濫用、橫向穿透等新安全問題。針對云安全“新舊”威脅糅合的安全形勢，《報告》根據(jù)主機安全、數(shù)據(jù)安全、身份認證和訪問管理等具體的安全威脅特征，提出了具有行業(yè)通用性的應(yīng)對手段與防范建議。

例如針對數(shù)據(jù)安全問題，《報告》中提出云服務(wù)提供商需要負責(zé)為客戶建立以數(shù)據(jù)為中心的安全架構(gòu)，對數(shù)據(jù)產(chǎn)生、流動、存儲、使用及銷毀進行全流程加密保護;而云服務(wù)使用者則須細化身份認證和訪問控制配置的顆粒度，配合賬戶安全管理，防止數(shù)據(jù)內(nèi)部泄露。

(數(shù)據(jù)中臺架構(gòu)全景圖)

《報告》強調(diào)云服務(wù)提供商和使用者之間的安全責(zé)任共擔(dān)將是應(yīng)對新威脅的關(guān)鍵思路。而騰訊安全作為國內(nèi)領(lǐng)先的云安全廠商之一，將致力成為產(chǎn)業(yè)數(shù)字化升級的安全戰(zhàn)略官，不斷開放安全能力和產(chǎn)品，持續(xù)為云端企業(yè)高效御敵提供力量支撐。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。