2019 年,越来越多的企业开始采用云计算,“上云”理念逐渐深入人心。在选择是否上云的过程中,安全是企业关注的重要问题。这种安全性,一是企业重视自身数据在云端的安全,二是企业担心自身业务的稳定性是否能在云上得到保证。
《2019 年上半年云安全趋势报告》由腾讯安全和FreeBuf联合出品,对企业上云过程中面临的安全态势、风险趋势、应对力量和监管状态等进行了梳理,以期为行业提供阶段性的总结和建议。
一、2019 上半年云安全概况
报告认为,云安全对企业的战略意义凸显。2019 年 3 月,Gartner 发布了 2019 年七大新兴安全和风险管理趋势。Gartner 指出,安全和风险管理对于企业的业务能力和成果具有战略意义,企业的安全投资正在从威胁防御向威胁检测转变。此外,随着云计算在各行各业的不断渗透,网络安全的人才缺口不断扩大,专业安全供应商的价值愈发受到重视,而云计算平台投资的主要方向也在向云安全能力方向迁移。
另一个明显变化是,云情报、机器学习等人工智能预测技术成为安全防护的重点。当前,网络安全界的潮流是转后手为先手,让安全变得更主动、更前置,主要的技术手段包括安全情报和机器学习预测技术。
此外,相关法律法规明确安全发展方向。一是网络安全等级保护作为国家网络安全保障的基本制度、基本策略、基本方 法,监管对象有了很大扩展,等级保护建设和测评成为安全合规的必经之路。二是保护作为“国家基础性战略资源”的数据,对重要数据和个人信息的数据安全和控制权等提出更高要求。三是安全可信,四是国产密码技术。
二、云安全黑灰产新变化
随着云计算越来越便捷高效,大量企业逐渐把业务迁移到云上。但基于同样的原因,恶意程序也在向云上转移。当黑灰产利用云资源发 起各种恶意行为时,往往导致云厂商为其“背锅”。
1. 黑灰产借力云 AI 化
近年来,黑灰产通过租用云端 GPU 训练恶意模型逐渐增多,例如通过 DeepFake 生成换脸色情视频、训练验证码自动识别引擎、更加拟人化的自动化攻击技术等。
2. 漏洞曝光和利用周期变短
腾讯安全监测显示,由于黑客基础设施的完善,针对新漏洞的探测和利用尝试周期正在逐渐变短。过去针对新漏洞的大规模扫描需要过几天才会出现,而现在往往在新漏洞被发现的第一时间,就会爆发大量的扫描行为。
3. 黑产犯罪国际化趋势明显
报告指出,东南亚菲律宾、越南、柬埔寨等地逐渐成为赌博、诈骗类犯罪的温床,例如今年非常火爆的“东南亚杀猪盘”诈骗类型,以情感欺诈为切入口,再利用云上的博彩、交易平台等形式,诱骗对方充值。甚至出现一个网站只针对一个被骗对象的情形,一旦对方被骗,直接网站销毁。
4. 针对性勒索增多
从 2019 年来看,除了广撒网式的勒索之外,针对性勒索逐渐增多。黑客通过人工主动渗透确认高价值服务器后,加密数据并勒索高额赎金。针对性勒索大大降低了黑客程序曝光的概率,未来可能占比更大。
三、重点威胁及攻击趋势分析
1.云主机类
随着云计算、大数据等技术高速发展,企业业务不断上云,以数据为载体的数字资产已逐渐成为企业核心资产。同时,黑客将通过多种恶意攻击手段,有针对性的对云主机进行攻击,一旦入侵成功并窃取核心资产,将给企业带来巨大损失。
1.1 云主机漏洞
漏洞入侵是攻击者最喜欢使用也是出现频次最高的一项攻击手段。不同威胁级别的漏洞所造成的危害也有所不同。使用正确的漏洞利用代码,只需很短的时间即可获得服务器比较高的权限,甚至是完全的控制权。
1.2 云主机暴力破解
暴力破解就是攻击者通过使用自己的密码字典对攻击目标的账户进行枚举并尝试登录。理论上来说,只要字典足够庞大,暴力破解就能成功。
据悉,从 2019 上半年暴力破解攻击的监测情况来看,1 月到 6 月间,爆破攻击的来源 IP 在不断增加,同时对爆破攻击事件的防御次数也呈现缓慢上涨的形势。简言之,整个 2019 年上半年,暴力破解事件有愈演愈烈的趋势。
1.3 恶意文件入侵
2019 年上半年,腾讯安全通过抽样百万云主机,监控新增文件 172,375,762 个,其中恶意文件 1,038,617 个,占新增文件的 0.6%。恶意文件攻击的用户行业分布,个人用户占比最大,其次是电商行业、游戏行业、工业云。
2. DDoS 攻击
2019 年上半年,随着云计算行业的快速增长,云上客户遭受DDoS攻击呈现次数多、强度高、手法新、来源广等特点。相比 2018 年,2019 上半年 DDoS 攻击次数持续增多,并在 2019 年 6 月迎来一波爆发式增长。除此之外,TB 级攻击也愈发屡见不鲜。从 2013 年至今统计结果来看,自去年上半年一起 Memcached DDoS 攻击,峰值 1.7 Tbps 创造攻击流量峰值记录以来,近两年的攻击达到了前所未有的强度。
2019 上半年,国内 DDoS 攻击形势呈现出攻击手法复杂多变,攻击资源来源广泛等特点。从攻击手法来看,HTTPS 类攻击崭露头角;TCP 反射类攻击成为行业公害,可利用的资源广泛(CDN 厂商、云计算厂商大量开放 80、443 端口);伪造 4 层协议攻击浮出水面,攻击手法越来越多样化,防护难度持续攀升。
从行业来看,体现了“钱在哪儿,攻击者就在哪儿”这一铁律。2019 年上半年,游戏行业遭受 DDoS 攻击全行业占比高达 42%,电商、网络服务、企业门户、音视频等紧随其后。
3. 数据安全
数据泄漏是安全界长盛不衰的话题。尤其是个人信息泄漏的影响面极广,可能对个人造成较大伤害,即使是顶尖安全人员也难幸免。 2018 年,影响最大的个人信息泄漏事件是酒店客户信息泄漏,某酒店集团分别泄漏了 3.83 亿 和 5 亿条用户信息。
3.1 常见的数据泄露方式
3.1.1 数据库未授权访问
从今年的简历泄漏事件来看,由于数据库配置问题,不少公司的数据被直接放到公网上可以无密码访问。一方面是技术人员安全意识薄弱,另一方面是存在侥幸心理。在我们之前的研究中发现,每个 IP 平均每天要遭受数万到数十万次不等的扫描,相当于每天有春运期 间一火车站的人在你家窗口偷看里面有什么好东西,如此情况下,数据不泄漏才奇怪了。
3.1.2 黑客入侵盗取
高价值公司遭遇定向渗透,数据被盗。
3.1.3 内鬼倒卖
相较黑客盗取,企业内鬼倒卖数据远远多过黑客,如某些电商或快递的实时交易数据,各种人肉搜索的调查渠道。
3.1.4 平台私自贩卖
部分小厂商,提供服务的同时倒卖用户数据,如有些 APP 获取额外权限如定位等,用于倒卖盈利; 还有一些服务灰产的供应商如短信发送接口,也存在倒卖数据的情况。
3.1.5 爬虫爬取
一些公司接口代码不严谨或风控不足,数据被恶意爬取或越权爬取,导致数据泄露。
3.1.6 密码泄露
一些公司的开发人员由于安全意识薄弱,将代码传到如GitHub等在线服务商处,导致代码中的敏感密码泄漏,造成数据泄漏。类似情况近年频繁发生,如今年某知名视频网站后台源码被上传到 GitHub。
3.2 数据安全趋势
3.2.1 数据泄露背景下,建立以数据为中心的安全架构
大规模的数据泄露事件,尤其是核心关键数据的泄露,将给企业业务带来严重甚至致命性的损失。数据已经成为业务发展的核心和驱动力,企业的安全架构策略也逐步发展为“以数据为中心 Data-Centric”的数据安全策略。
3.2.2 数据加密,业务安全
在数据安全策略中,应用密码技术是保障敏感核心数据的机密性、真实性、不可否认性和完整性的有效措施。近年来,全球各国及各行业都发布了关于数据安全及数据加密的法律法规,如中国的等保 2.0、密码法(征求意见稿)、香港的 CAP 486、欧洲的 GDPR、美国的 SOX 等法案,确保核心数据资产保护及加密策略的有效应用。
3.2.3 数据安全及数据加密,云用户关注点
严峻的数据安全态势及加密合规策略推动下,云平台加密基础设施能力成为云用户的核心关注点。在加密能力支持上,要求云平台能提供覆盖全数据生命周期,并提供包括密钥管理、金融支付等不同领域的加密应用支持。
此外,密码及加密应用国密化也是今年以来,国内各大行业用户数据保护策略应用重要趋势之一。
3.3 风控安全
在产业快速发展的同时,业务场景复杂化、数据海量化、信息价值不断趋高,为企业带来了更多的新型风险和黑产的觊觎。 据统计,我国黑产从业者规模超百万,年产值高达千亿。而在黑产的分工越来越专业、行动遍布全网、并且由个人方式发展成了“团伙作 战”的现状下,如何构建行之有效的风控系统至关重要。攻击的动力依旧来源于利益,而常见的攻击维度集中在营销风控、内容风控、金融风控几大领域。
3.3.1 营销风控
基于营销目的,企业通常会采取优惠券、现金红包或完成指定任务即发放奖励等激励手段进行拉新,在这个过程中,黑产通过各种手段有规模地薅取企业福利。这可以分为 3 个发展阶段:自动化平台——群控——群控+人工。
3.3.2 内容风控
随着网络时代个人发声平台(短视频、直播、即时通讯平台等)不断延展,门槛低,流量高的优势使其同样成为了黑产的娱乐所,用以传播色情、暴力、赌博、垃圾广告等不良信息。
常见的攻击手段:
文本变体:使用各种特殊字符暗示销售对象;
图片引流:在图片中嵌入文本,结合色情照片引流用户到风险网站;
擦边球视频:视频画面无违规,但声音违规(比如各种娇喘声);
3.3.3 金融风控
互金行业向来是风控重灾区。一方面是支付行业不断向纵深发展,各种新型支付手段和支付工具层出不穷带来的与预授权套现、信用卡大额套现、冲正撤销、持卡人信息泄密、跨境移机、测录等风险事件日趋增多;另一方面是消费信贷不断上升,但整个信贷环节,从贷前、贷中到贷后都面临各种各样的欺诈。
根据天御所监测的数据来看,从 2018 年下半年开始,金融反欺诈请求数大幅增加。2019 年上半年反欺诈请求数均值超过 600 万,较去年同比增长近一倍。而在所监测到的恶意行为中,最常见的是异常支付行为、信贷中介以及疑似恶意欺诈。
四、安全建议
新技术在促进业务发展的同时,往往也伴随着风险。随着云计算浪潮的进一步扩张,企业的 IT 架构必将随之变化,网络安全边界也变得越来越模糊。通过前文列举的案例不难发现,直到今天依然有大量的企业用户暴露在危险当中,随时可能中招。报告通过对国内云安全状况的深入分析,总结了部分切实可行的安全建议,期望与大家携手共践云安全防护之路。
4.1 安全运营建议
企业可以把更多的精力投入到安全运营上,可借助安全运营中心或事件管理平台所发现的漏洞情报、漏洞告警、入侵事件、安全配置事件进行风险管理和收敛,规避已知事前存量风险;
充分利用云上安全组、WAF 等功能,做好访问控制和常见威胁的入侵防御,可以规避很多事中的风险利用;
做好 Windows 系统的补丁管理,可以规避很多潜在的 Windows 蠕虫传播、远程入侵攻击或本地提权行为;
做好数据的备份,任何时候,都无法保障关键应用或数据的万无一失,云厂商提供了便捷的快照备份、镜像备份、数据备份功能,这 个对于企业尤为重要。
4.2 云主机防护建议
面对黑客入侵的各种攻击方式,主机安全(云镜)建议用户日常需要加强安全意识,提前安装主机安全类产品,做好相应防御措施,有效规避潜在风险。
建议如下:
设置复杂的密码,一般来说 12 位以上且字母大小写、数字、特殊字符四种中至少三种,并且尽量包含部分无意义的组合,以此降低被暴力破解的概率。不同服务器设置不同的密码,以防止通过社工的方式猜解密码;
关注重要安全公告,及时修复披露的漏洞;对于包含“远程代码执行”、“未授权访问”关键字的漏洞尤其需要关注,此类漏洞相当于将服务器大门敞开给攻击者;同时请一定按照官方修复建议进行修复;
至少安装一套安全类软件,通过安全软件可以了解服务器安全情况,及时了解漏洞信息,同时可以查杀恶意文件;
加强安全意识,设置密码要达到安全要求,不随意下载运行非官方的程序,尤其是二进制程序,不随意点击来历不明的邮件;对于披露出来的漏洞要加强关注,尤其涉及到个人负责的组件,不能由于“怕麻烦”而放弃或延缓安全修复措施;
建立安全评审机制,可定期对服务器进行安全机制评审;如果成本允许,可做安全渗透测试。
4.3 DDoS 安全防护建议
1、在业务主机上要进行 IP 过滤等设置,以应对同 IP 发起 DDoS 的情况。除常规的限次数、限地域外,还要以进行一些固定反射源的过滤, 因为有反射源访问业务,一般都是不合理的,这样有助于快速排查问题所在,及时开启防护;
2、隐藏真实的业务 IP,进行 IP 保障,以让攻击者攻击时增加定位难度;
3、针对业务的侧重点不同,要选择有针对性的 DDoS 防护产品。不用大而全,过度浪费,也不能不设置防御,被攻击时临时抱佛脚;
4、及时进行服务器中的系统及各应用软件的补丁更新,随时关注安全时势动态,针对一些 0day 或未能及时修复或处理的逻辑漏洞进行人工的临时策略处理。这样可以防止服务器被入侵或被用作反射点,Memcached 反射源就是最好的例子。被用作反射源会对外发出大量的数据包,会占用自身海量的带宽,也是一种变相的遭受 DDoS 攻击的受害者;
5、在业务代码侧与逻辑侧,做好针对 DDoS 攻击类型的预防,例如针对 SYNFlood 这种半开连接,可以在业务展前端做一层代理层,来吞吐流量,将 TCP 成功连接后的再去唤醒业务侧真正的服务处置等。
4.4 数据安全建议
开发人员增强安全意识,各种软件环境不使用默认密码或弱密码;
规范代码管理和编码安全意识;
不把重要数据传送到不规范的服务商;
加强安全管理或使用更专业的云安全服务。
4.5 风控安全建议
评估是重中之重,务必在风控前做好产业、经营数据、上下游往来业务的全面调查、了解;
基于对业务场景的认知和长期积累的对抗经验,需要不断训练风控模型,加强防护;
风控人员和运营人员都需增强风险意识;
对中小微企业而言,相较于自建风控系统,购买云模式仍是首选;
数据决定模型准确率上线:推动风控系统进一步拥抱人工智能
非结构化数据给风控带来新挑战。随着 IoT 的发展,越来越多的短视频、图片、语音类数据或占数据流主要份额,而这类数据由于结构各不相同、数据非常大但单位价值相对低,如何高效解析和处理这些非结构化数据,避免黑产恶意攻击隐匿其中,成为风控新挑战;
新硬件的发展提升风控能力。目前大趋势是计算层面越来越与新硬件的创新紧密结合,而芯片类、存储类等新硬件与软件的配合或将为风控带来更大的力量对抗攻击。
评论