首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn發布《2019雲安全威脅報告》

  • 2019 年 12 月 30 日
  • 筆記

雲計算因低成本、高配置以及安全等配套服務等突出優勢,成為越來越多企業數字化轉型升級的首要選擇。

IDC最新預測數據顯示,全球公有雲收入到2021年將達到2783億元,較之2017年同比增長87.36%。隨著越來越多的企業選擇上雲,雲上安全也成為雲服務商和租戶共同關注的話題。

近日,騰訊安全雲鼎實驗室基於對雲安全情報數據的統計分析和最新雲安全攻防趨勢的研究,聯合GeekPwn發布了《2019雲安全威脅報告》(以下簡稱《報告》),在整體把握雲安全威脅形勢的基礎上,對基礎設施、數據、身份驗證和訪問管理、雲中安全管理、微服務及Serverless以及跨雲等雲上安全威脅形勢進行了梳理,並提出雲服務廠商和使用方的責任共擔已成為新威脅形勢下的應對標配。

關注騰訊安全(公眾號:TXAQ2019)

回復雲安全威脅報告獲取PDF精排版

雲上攻擊路徑全景首次公開

雲資源攻擊佔比近50%

雲技術表現出的服務成本低、便捷性高、擴展性好等特點,在為用戶提供更多層次服務的同時,也給雲平台帶來了更多可利用的攻擊面。騰訊安全的情報數據顯示,雲資源作為攻擊源的比例已佔中國所有攻擊源的45.55%。

(安全攻擊來源佔比統計)

《報告》首次對外披露了雲鼎實驗室基於真實雲上攻防的研究,詳細詮釋了八條縱向和八條橫向的雲攻擊路徑。總體而言,攻擊者既能在無任何授權的情況下自雲外縱向進入雲平台展開攻擊,也能在進入雲平台後通過橫向遷移獲取更多租戶資源和數據。也是說,與傳統攻擊路徑相比,雲資源攻擊表現出更為多元、複雜和脆弱的特性。

(攻擊方式模型全景圖)

伴隨著雲服務提供向底層資源共享方式不斷延展的趨勢加劇,雲服務提供商和使用者對不同層次安全問題採取共同負擔或分而治之的策略,是實現雲上安全防護最佳實踐的重要趨勢。同時,對於構築完善安全保障體系而來勢在必行。

(安全責任共擔模型)

2/3 DDoS攻擊指向雲平台

基礎設施安全形勢嚴峻

針對網路、主機和應用等基礎設施的安全攻擊由來已久。騰訊安全情報數據顯示,約2/3的網路DDoS攻擊事件都以雲平台IP作為攻擊目標,超99.6%的攻擊流量皆小於200G,攻擊趨勢呈現出行業分布廣泛、超大流量攻擊次數增加、整體攻擊次數減少、低成本高度集成管理的特點,給雲服務上帶來了更高級別的網路風險。

(DDoS攻擊目標分布)

而在主機安全方面,由軟硬體虛擬化帶來的是傳統安全與虛擬化安全威脅的糅合。其中,漏洞利用和惡意文件仍是傳統主機安全面臨的重要挑戰。抽樣數據顯示,雲中70%以上漏洞均為基準線漏洞,且中風險漏洞超60%。此外,2019年雲平台惡意文件數量月均增長17.5萬/個,DDoS和代理類型的樣本數量有所增加,側面反映雲平台主機資源濫用威脅不斷加劇。除此之外,當下雲平台還面臨著包含存儲、網路、管理等在內的虛擬化安全威脅。任何基於虛擬化技術的攻擊都有可能對整個雲上用戶造成災難性影響。

(雲上漏洞類別佔比圖)

應用程式或軟體作為雲上企業開展業務直接使用的對象,其安全性直接關乎業務安全。騰訊雲安全統計數據顯示,SMB相關漏洞是黑產對應用發起攻擊的首選手段,Web類攻擊次之。除常規應用漏洞外,用於客戶管理雲服務和交互的API(應用程式編程介面)和UI(用戶介面)如若設計不當,也將導致濫用甚至數據泄露。隨著SaaS和PaaS應用的增加,雲服務提供商成為應用安全防護的主力。

數據安全面臨挑戰

身份驗證和訪問管理成數據安全關鍵

《報告》指出,包括數據泄露、數據丟失以及隱私數據利用和泄露等在內的數據安全威脅已成為當前上雲企業面必須直面的挑戰。據Risk Based Security 統計,2019年上半年世界範圍內已經發生了3813起數據泄露事件,被公開數據高達41億條。騰訊安全情報數據顯示,「數據」、「身份證」、「密碼」等關於數據泄露的辭彙在暗網的熱詞分析中佔比極大。與此同時,因技術受限存在數據丟失風險和對個人隱私數據合規保護的法規出台,拓展著數據泄露帶來的損失面和負面效益。

除此之外,來自身份驗證和訪問管理方面的安全威脅使得數據泄露面臨著更為嚴峻的形勢。《報告》指出,調查顯示,約38%的雲用戶賬戶已處於危險之中。其中賬戶劫持佔比最大,約為三分之一,且主要以自動化撞庫為主要方式。

(黑產攻擊方式佔比圖)

雲主機資源濫用嚴重

雲安全服務多元化趨勢明顯

一方面,雲生態下數據所有權與管理權的分析使得雲中的安全管理面臨新挑戰。騰訊安全雲鼎實驗室對騰訊雲上的惡意文件分布情況進行分析後發現,雲資源濫用行為逐步增多,其中,Linux和Windows作業系統的雲主機已分別成為了DDoS攻擊和代理類濫用行為的重災區。由雲資源濫用帶來的安全威脅也在逐步增大,CNCERT抽樣檢測數據顯示,針對境內目標IP的DDoS攻擊中80.1%的攻擊來源為中國雲服務提供商,極大地影響雲服務使用者的可用容量。

(Linux和Windows作業系統惡意樣本佔比圖)

另一方面,為滿足用戶對雲計算便捷部署、靈活拓展、數據中心統一等需求,應勢而生的微服務和無伺服器計算(Serverless)等新服務架構也帶來了可利用攻擊面擴大、傳統監控方法失效等新安全管理問題。新服務模式的特徵要求雲上安全需要更具前瞻性的設計架構和囊括業務邏輯、程式碼、數據和應用程式等在內的安全配置。

除此之外,Gartner曾預測,到2020年,90%的企業將採用混合基礎設施管理功能。Intercloud(跨雲)趨勢是企業未來的發展方向。雲間的身份管理和身份認證、雲服務安全架構、數據加密傳輸以及安全合規性將成為關乎企業安全管理的重要部分。另外,伴隨著雲計算在各領域的應用拓展,工業雲平台和物聯網雲平台的安全性也將是未來安全威脅和管理的重點關注領域。

目前來看,雲平台不僅要應對傳統網路架構中存有的DDoS、入侵、病毒等常態問題,還要高度重視雲平台架構的虛擬機逃逸、資源濫用、橫向穿透等新安全問題。針對雲安全「新舊」威脅糅合的安全形勢,《報告》根據主機安全、數據安全、身份認證和訪問管理等具體的安全威脅特徵,提出了具有行業通用性的應對手段與防範建議。

例如針對數據安全問題,《報告》中提出雲服務提供商需要負責為客戶建立以數據為中心的安全架構,對數據產生、流動、存儲、使用及銷毀進行全流程加密保護;而雲服務使用者則須細化身份認證和訪問控制配置的顆粒度,配合賬戶安全管理,防止數據內部泄露。

(數據中台架構全景圖)

《報告》強調雲服務提供商和使用者之間的安全責任共擔將是應對新威脅的關鍵思路。而騰訊安全作為中國領先的雲安全廠商之一,將致力成為產業數字化升級的安全戰略官,不斷開放安全能力和產品,持續為雲端企業高效禦敵提供力量支撐。

VirMach 便宜 VPS

QNews

QNews