云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》

云計(jì)算因低成本、高配置以及安全等配套服務(wù)的連帶附加等突出優(yōu)勢(shì),成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)的首要選擇。IDC最新預(yù)測(cè)數(shù)據(jù)顯示,全球公有云收入到2021年將達(dá)到2783億元,較之2017年同比增長(zhǎng)87.36%。隨著越來越多的企業(yè)選擇上云,云上安全也成為云服務(wù)商和租戶共同關(guān)注的話題。

近日,騰訊安全云鼎實(shí)驗(yàn)室基于對(duì)云安全情報(bào)數(shù)據(jù)的統(tǒng)計(jì)分析和最新云安全攻防趨勢(shì)的研究,聯(lián)合GeekPwn發(fā)布了《2019云安全威脅報(bào)告》(以下簡(jiǎn)稱《報(bào)告》),在整體把握云安全威脅形勢(shì)的基礎(chǔ)上,對(duì)基礎(chǔ)設(shè)施、數(shù)據(jù)、身份驗(yàn)證和訪問管理、云中安全管理、微服務(wù)及Serverless以及跨云等云上安全威脅形勢(shì)進(jìn)行了梳理,并提出云服務(wù)廠商和使用方的責(zé)任共擔(dān)已成為新威脅形勢(shì)下的應(yīng)對(duì)標(biāo)配。

云上攻擊路徑全景首次公開,云資源攻擊占比近50%

云技術(shù)表現(xiàn)出的服務(wù)成本低、便捷性高、擴(kuò)展性好等特點(diǎn),在為用戶提供更多層次服務(wù)的同時(shí),也給云平臺(tái)帶來了更多可利用的攻擊面。騰訊安全的情報(bào)數(shù)據(jù)顯示,云資源作為攻擊源的比例已占國內(nèi)所有攻擊源的45.55%。

云上攻擊路徑全景首次公弚???AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(安全攻擊來源占比統(tǒng)計(jì))

《報(bào)告》首次對(duì)外披露了云鼎實(shí)驗(yàn)室基于真實(shí)云上攻防的研究,詳細(xì)詮釋了八條縱向和八條橫向的云攻擊路徑??傮w而言,攻擊者既能在無任何授權(quán)的情況下自云外縱向進(jìn)入云平臺(tái)展開攻擊,也能在進(jìn)入云平臺(tái)后通過橫向遷移獲取更多租戶資源和數(shù)據(jù)。也是說,與傳統(tǒng)攻擊路徑相比,云資源攻擊表現(xiàn)出更為多元、復(fù)雜和脆弱的特性。

云上攻擊路徑全景首次公弚???AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(攻擊方式模型全景圖)

伴隨著云服務(wù)提供向底層資源共享方式不斷延展的趨勢(shì)加劇,云服務(wù)提供商和使用者對(duì)不同層次安全問題采取共同負(fù)擔(dān)或分而治之的策略,是實(shí)現(xiàn)云上安全防護(hù)最佳實(shí)踐的重要趨勢(shì)。同時(shí),對(duì)于構(gòu)筑完善安全保障體系而言勢(shì)在必行。

云上攻擊路徑全景首次公弚???AIOiFvuiur+WuieWFqOiBlOWQiEdlZWtQd27lj5HluIPjgIrkupHlronlhajlqIHog4HmiqXlkYrjgIs="/>

(安全責(zé)任共擔(dān)模型)

2/3 DDoS攻擊指向云平臺(tái),基礎(chǔ)設(shè)施安全形勢(shì)嚴(yán)峻

針對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用等基礎(chǔ)設(shè)施的安全攻擊由來已久。騰訊安全情報(bào)數(shù)據(jù)顯示,約2/3的網(wǎng)絡(luò)DDoS攻擊事件都以云平臺(tái)IP作為攻擊目標(biāo),超99.6%的攻擊流量皆小于200G,攻擊趨勢(shì)呈現(xiàn)出行業(yè)分布廣泛、超大流量攻擊次數(shù)增加、整體攻擊次數(shù)減少、低成本高度集成管理的特點(diǎn),給云服務(wù)上帶來了更高級(jí)別的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》

(DDoS攻擊目標(biāo)分布)

而在主機(jī)安全方面,由軟硬件虛擬化帶來的是傳統(tǒng)安全與虛擬化安全威脅的糅合。其中,漏洞利用和惡意文件仍是傳統(tǒng)主機(jī)安全面臨的重要挑戰(zhàn)。抽樣數(shù)據(jù)顯示,云中70%以上漏洞均為基線漏洞,且中風(fēng)險(xiǎn)漏洞超60%。此外,2019年云平臺(tái)惡意文件數(shù)量月均增長(zhǎng)17.5萬/個(gè),DDoS和代理類型的樣本數(shù)量有所增加,側(cè)面反映云平臺(tái)主機(jī)資源濫用威脅不斷加劇。除此之外,當(dāng)下云平臺(tái)還面臨著包含存儲(chǔ)、網(wǎng)絡(luò)、管理等在內(nèi)的虛擬化安全威脅。任何基于虛擬化技術(shù)的攻擊都有可能對(duì)整個(gè)云上用戶造成災(zāi)難性影響。

云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》

(云上漏洞類別占比圖)

應(yīng)用程序或軟件作為云上企業(yè)開展業(yè)務(wù)直接使用的對(duì)象,其安全性直接關(guān)乎業(yè)務(wù)安全。騰訊云安全統(tǒng)計(jì)數(shù)據(jù)顯示,SMB相關(guān)漏洞是黑產(chǎn)對(duì)應(yīng)用發(fā)起攻擊的首選手段,Web類攻擊次之。除常規(guī)應(yīng)用漏洞外,用于客戶管理云服務(wù)和交互的API(應(yīng)用程序編程接口)和UI(用戶接口)如若設(shè)計(jì)不當(dāng),也將導(dǎo)致濫用甚至數(shù)據(jù)泄露。隨著SaaS和PaaS應(yīng)用的增加,云服務(wù)提供商成為應(yīng)用安全防護(hù)的主力。

數(shù)據(jù)安全面臨挑戰(zhàn),身份驗(yàn)證和訪問管理成數(shù)據(jù)安全關(guān)鍵

《報(bào)告》指出,包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等在內(nèi)的數(shù)據(jù)安全威脅已成為當(dāng)前上云企業(yè)面必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計(jì),2019年上半年世界范圍內(nèi)已經(jīng)發(fā)生了3813起數(shù)據(jù)泄露事件,被公開數(shù)據(jù)高達(dá)41億條。騰訊安全情報(bào)數(shù)據(jù)顯示,“數(shù)據(jù)”、“身份證”、“密碼”等關(guān)于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。與此同時(shí),因技術(shù)受限存在數(shù)據(jù)丟失風(fēng)險(xiǎn)和對(duì)個(gè)人隱私數(shù)據(jù)合規(guī)保護(hù)的法規(guī)出臺(tái),拓展著數(shù)據(jù)泄露帶來的損失面和負(fù)面效益。

除此之外,來自身份驗(yàn)證和訪問管理方面的安全威脅使得數(shù)據(jù)泄露面臨著更為嚴(yán)峻的形勢(shì)?!秷?bào)告》指出,調(diào)查顯示,約38%的云用戶賬戶已處于危險(xiǎn)之中。其中賬戶劫持占比最大,約為三分之一,且主要以自動(dòng)化撞庫為主要方式。

云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》

(黑產(chǎn)攻擊方式占比圖)

云主機(jī)資源濫用嚴(yán)重,云安全服務(wù)多元化趨勢(shì)明顯

一方面,云生態(tài)下數(shù)據(jù)所有權(quán)與管理權(quán)的分析使得云中的安全管理面臨新挑戰(zhàn)。騰訊安全云鼎實(shí)驗(yàn)室對(duì)騰訊云上的惡意文件分布情況進(jìn)行分析后發(fā)現(xiàn),云資源濫用行為逐步增多,其中,linux和windows操作系統(tǒng)的云主機(jī)已分別成為了DDoS攻擊和代理類濫用行為的重災(zāi)區(qū)。由云資源濫用帶來的安全威脅也在逐步增大,CNCERT抽樣檢測(cè)數(shù)據(jù)顯示,針對(duì)境內(nèi)目標(biāo)IP的DDoS攻擊中80.1%的攻擊來源為國內(nèi)云服務(wù)提供商,極大地影響云服務(wù)使用者的可用容量。

云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》

(linux和windows操作系統(tǒng)惡意樣本占比圖)

另一方面,為滿足用戶對(duì)云計(jì)算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求,應(yīng)勢(shì)而生的微服務(wù)和無服務(wù)器計(jì)算(Serverless)等新服務(wù)架構(gòu)也帶來了可利用攻擊面擴(kuò)大、傳統(tǒng)監(jiān)控方法失效等新安全管理問題。新服務(wù)模式的特征要求云上安全需要更具前瞻性的設(shè)計(jì)架構(gòu)和囊括業(yè)務(wù)邏輯、代碼、數(shù)據(jù)和應(yīng)用程序等在內(nèi)的安全配置。

除此之外,Gartner曾預(yù)測(cè),到2020年,90%的企業(yè)將采用混合基礎(chǔ)設(shè)施管理功能。Intercloud(跨云)趨勢(shì)是企業(yè)未來的發(fā)展方向。云間的身份管理和身份認(rèn)證、云服務(wù)安全架構(gòu)、數(shù)據(jù)加密傳輸以及安全合規(guī)性將成為關(guān)乎企業(yè)安全管理的重要部分。另外,伴隨著云計(jì)算在各領(lǐng)域的應(yīng)用拓展,工業(yè)云平臺(tái)和物聯(lián)網(wǎng)云平臺(tái)的安全性也將是未來安全威脅和管理的重點(diǎn)關(guān)注領(lǐng)域。

目前來看,云平臺(tái)不僅要應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中存有的DDoS、入侵、病毒等常態(tài)問題,還要高度重視云平臺(tái)架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新安全問題。針對(duì)云安全“新舊”威脅糅合的安全形勢(shì),《報(bào)告》根據(jù)主機(jī)安全、數(shù)據(jù)安全、身份認(rèn)證和訪問管理等具體的安全威脅特征,提出了具有行業(yè)通用性的應(yīng)對(duì)手段與防范建議。

例如針對(duì)數(shù)據(jù)安全問題,《報(bào)告》中提出云服務(wù)提供商需要負(fù)責(zé)為客戶建立以數(shù)據(jù)為中心的安全架構(gòu),對(duì)數(shù)據(jù)產(chǎn)生、流動(dòng)、存儲(chǔ)、使用及銷毀進(jìn)行全流程加密保護(hù);而云服務(wù)使用者則須細(xì)化身份認(rèn)證和訪問控制配置的顆粒度,配合賬戶安全管理,防止數(shù)據(jù)內(nèi)部泄露。

云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》

(數(shù)據(jù)中臺(tái)架構(gòu)全景圖)

《報(bào)告》強(qiáng)調(diào)云服務(wù)提供商和使用者之間的安全責(zé)任共擔(dān)將是應(yīng)對(duì)新威脅的關(guān)鍵思路。而騰訊安全作為國內(nèi)領(lǐng)先的云安全廠商之一,將致力成為產(chǎn)業(yè)數(shù)字化升級(jí)的安全戰(zhàn)略官,不斷開放安全能力和產(chǎn)品,持續(xù)為云端企業(yè)高效御敵提供力量支撐。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-12-31
云上攻擊路徑全景首次公開 騰訊安全聯(lián)合GeekPwn發(fā)布《云安全威脅報(bào)告》
云計(jì)算因低成本、高配置以及安全等配套服務(wù)的連帶附加等突出優(yōu)勢(shì),成為越來越多企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)的首要選擇。

長(zhǎng)按掃碼 閱讀全文