首次公开云上攻击路径全景,腾讯安全联合GeekPwn发布《2019云安全威胁报告》

云计算因低成本、高配置以及安全等配套服务等突出优势,成为越来越多企业数字化转型升级的首要选择。

IDC最新预测数据显示,全球公有云收入到2021年将达到2783亿元,较之2017年同比增长87.36%。随着越来越多的企业选择上云,云上安全也成为云服务商和租户共同关注的话题。

近日,腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究,联合GeekPwn发布了《2019云安全威胁报告》(以下简称《报告》),在整体把握云安全威胁形势的基础上,对基础设施、数据、身份验证和访问管理、云中安全管理、微服务及Serverless以及跨云等云上安全威胁形势进行了梳理,并提出云服务厂商和使用方的责任共担已成为新威胁形势下的应对标配。

关注腾讯安全(公众号:TXAQ2019)

回复云安全威胁报告获取PDF精排版

云上攻击路径全景首次公开

云资源攻击占比近50%

云技术表现出的服务成本低、便捷性高、扩展性好等特点,在为用户提供更多层次服务的同时,也给云平台带来了更多可利用的攻击面。腾讯安全的情报数据显示,云资源作为攻击源的比例已占国内所有攻击源的45.55%。

(安全攻击来源占比统计)

《报告》首次对外披露了云鼎实验室基于真实云上攻防的研究,详细诠释了八条纵向和八条横向的云攻击路径。总体而言,攻击者既能在无任何授权的情况下自云外纵向进入云平台展开攻击,也能在进入云平台后通过横向迁移获取更多租户资源和数据。也是说,与传统攻击路径相比,云资源攻击表现出更为多元、复杂和脆弱的特性。

(攻击方式模型全景图)

伴随着云服务提供向底层资源共享方式不断延展的趋势加剧,云服务提供商和使用者对不同层次安全问题采取共同负担或分而治之的策略,是实现云上安全防护最佳实践的重要趋势。同时,对于构筑完善安全保障体系而来势在必行。

(安全责任共担模型)

2/3 DDoS攻击指向云平台

基础设施安全形势严峻

针对网络、主机和应用等基础设施的安全攻击由来已久。腾讯安全情报数据显示,约2/3的网络DDoS攻击事件都以云平台IP作为攻击目标,超99.6%的攻击流量皆小于200G,攻击趋势呈现出行业分布广泛、超大流量攻击次数增加、整体攻击次数减少、低成本高度集成管理的特点,给云服务上带来了更高级别的网络风险。

(DDoS攻击目标分布)

而在主机安全方面,由软硬件虚拟化带来的是传统安全与虚拟化安全威胁的糅合。其中,漏洞利用和恶意文件仍是传统主机安全面临的重要挑战。抽样数据显示,云中70%以上漏洞均为基线漏洞,且中风险漏洞超60%。此外,2019年云平台恶意文件数量月均增长17.5万/个,DDoS和代理类型的样本数量有所增加,侧面反映云平台主机资源滥用威胁不断加剧。除此之外,当下云平台还面临着包含存储、网络、管理等在内的虚拟化安全威胁。任何基于虚拟化技术的攻击都有可能对整个云上用户造成灾难性影响。

(云上漏洞类别占比图)

应用程序或软件作为云上企业开展业务直接使用的对象,其安全性直接关乎业务安全。腾讯云安全统计数据显示,SMB相关漏洞是黑产对应用发起攻击的首选手段,Web类攻击次之。除常规应用漏洞外,用于客户管理云服务和交互的API(应用程序编程接口)和UI(用户接口)如若设计不当,也将导致滥用甚至数据泄露。随着SaaS和PaaS应用的增加,云服务提供商成为应用安全防护的主力。

数据安全面临挑战

身份验证和访问管理成数据安全关键

《报告》指出,包括数据泄露、数据丢失以及隐私数据利用和泄露等在内的数据安全威胁已成为当前上云企业面必须直面的挑战。据Risk Based Security 统计,2019年上半年世界范围内已经发生了3813起数据泄露事件,被公开数据高达41亿条。腾讯安全情报数据显示,“数据”、“身份证”、“密码”等关于数据泄露的词汇在暗网的热词分析中占比极大。与此同时,因技术受限存在数据丢失风险和对个人隐私数据合规保护的法规出台,拓展着数据泄露带来的损失面和负面效益。

除此之外,来自身份验证和访问管理方面的安全威胁使得数据泄露面临着更为严峻的形势。《报告》指出,调查显示,约38%的云用户账户已处于危险之中。其中账户劫持占比最大,约为三分之一,且主要以自动化撞库为主要方式。

(黑产攻击方式占比图)

云主机资源滥用严重

云安全服务多元化趋势明显

一方面,云生态下数据所有权与管理权的分析使得云中的安全管理面临新挑战。腾讯安全云鼎实验室对腾讯云上的恶意文件分布情况进行分析后发现,云资源滥用行为逐步增多,其中,Linux和Windows操作系统的云主机已分别成为了DDoS攻击和代理类滥用行为的重灾区。由云资源滥用带来的安全威胁也在逐步增大,CNCERT抽样检测数据显示,针对境内目标IP的DDoS攻击中80.1%的攻击来源为国内云服务提供商,极大地影响云服务使用者的可用容量。

(Linux和Windows操作系统恶意样本占比图)

另一方面,为满足用户对云计算便捷部署、灵活拓展、数据中心统一等需求,应势而生的微服务和无服务器计算(Serverless)等新服务架构也带来了可利用攻击面扩大、传统监控方法失效等新安全管理问题。新服务模式的特征要求云上安全需要更具前瞻性的设计架构和囊括业务逻辑、代码、数据和应用程序等在内的安全配置。

除此之外,Gartner曾预测,到2020年,90%的企业将采用混合基础设施管理功能。Intercloud(跨云)趋势是企业未来的发展方向。云间的身份管理和身份认证、云服务安全架构、数据加密传输以及安全合规性将成为关乎企业安全管理的重要部分。另外,伴随着云计算在各领域的应用拓展,工业云平台和物联网云平台的安全性也将是未来安全威胁和管理的重点关注领域。

目前来看,云平台不仅要应对传统网络架构中存有的DDoS、入侵、病毒等常态问题,还要高度重视云平台架构的虚拟机逃逸、资源滥用、横向穿透等新安全问题。针对云安全“新旧”威胁糅合的安全形势,《报告》根据主机安全、数据安全、身份认证和访问管理等具体的安全威胁特征,提出了具有行业通用性的应对手段与防范建议。

例如针对数据安全问题,《报告》中提出云服务提供商需要负责为客户建立以数据为中心的安全架构,对数据产生、流动、存储、使用及销毁进行全流程加密保护;而云服务使用者则须细化身份认证和访问控制配置的颗粒度,配合账户安全管理,防止数据内部泄露。

(数据中台架构全景图)

《报告》强调云服务提供商和使用者之间的安全责任共担将是应对新威胁的关键思路。而腾讯安全作为国内领先的云安全厂商之一,将致力成为产业数字化升级的安全战略官,不断开放安全能力和产品,持续为云端企业高效御敌提供力量支撑。

点击阅读原文获取《2019云安全威胁报告》PDF精排版

➤推荐阅读

  • 一文透析腾讯云如何为企业构建「数据全生命周期保护」
  • 政务上云,如何做好数据安全保护? 
  • 数据加密、区块链、可信计算、Serverless…丨Techo云安全专场七大前沿议题拆解
  • Techo云安全专场议题前瞻丨数据安全解决方案重磅首发、区块链安全威胁全景公开……
  • 首届腾讯Techo开发者大会来袭,云上安全极简之道倾囊相授! 
  • 密码法正式发布,企业该如何准备?
  • 腾讯安全打造真实云端攻防战 GeekPwn 云安全挑战赛0ops摘冠
  • 【安全预警】泛微e-cology OA数据库配置信息泄露漏洞预警
  • 【安全预警】PHP远程代码执行漏洞风险预警(CVE-2019-11043)
  • 倒计时 1 天 | 攻防升温,GeekPwn 云上挑战即将登场

关注云鼎实验室,获取更多安全情报