首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

騰訊安全發表於2019-12-31

雲端計算因低成本、高配置以及安全等配套服務等突出優勢,成為越來越多企業數字化轉型升級的首要選擇。

IDC最新預測資料顯示,全球公有云收入到2021年將達到2783億元,較之2017年同比增長87.36%。隨著越來越多的企業選擇上雲,雲上安全也成為雲服務商和租戶共同關注的話題。
近日,騰訊安全雲鼎實驗室基於對雲安全情報資料的統計分析和最新雲安全攻防趨勢的研究,聯合GeekPwn釋出了《2019雲安全威脅報告》(以下簡稱《報告》),在整體把握雲安全威脅形勢的基礎上,對基礎設施、資料、身份驗證和訪問管理、雲中安全管理、微服務及Serverless以及跨雲等雲上安全威脅形勢進行了梳理,並提出雲服務廠商和使用方的責任共擔已成為新威脅形勢下的應對標配。

關注騰訊安全(公眾號:TXAQ2019)
回覆雲安全威脅報告獲取PDF精排版首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

雲上攻擊路徑全景首次公開
雲資源攻擊佔比近50%

雲技術表現出的服務成本低、便捷性高、擴充套件性好等特點,在為使用者提供更多層次服務的同時,也給雲平臺帶來了更多可利用的攻擊面。騰訊安全的情報資料顯示,雲資源作為攻擊源的比例已佔國內所有攻擊源的45.55%。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(安全攻擊來源佔比統計)
《報告》首次對外披露了雲鼎實驗室基於真實雲上攻防的研究,詳細詮釋了八條縱向和八條橫向的雲攻擊路徑。總體而言,攻擊者既能在無任何授權的情況下自雲外縱向進入雲平臺展開攻擊,也能在進入雲平臺後通過橫向遷移獲取更多租戶資源和資料。也是說,與傳統攻擊路徑相比,雲資源攻擊表現出更為多元、複雜和脆弱的特性。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(攻擊方式模型全景圖)
伴隨著雲服務提供向底層資源共享方式不斷延展的趨勢加劇,雲服務提供商和使用者對不同層次安全問題採取共同負擔或分而治之的策略,是實現雲上安全防護最佳實踐的重要趨勢。同時,對於構築完善安全保障體系而來勢在必行。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(安全責任共擔模型)

2/3 DDoS攻擊指向雲平臺
基礎設施安全形勢嚴峻

針對網路、主機和應用等基礎設施的安全攻擊由來已久。騰訊安全情報資料顯示,約2/3的網路DDoS攻擊事件都以雲平臺IP作為攻擊目標,超99.6%的攻擊流量皆小於200G,攻擊趨勢呈現出行業分佈廣泛、超大流量攻擊次數增加、整體攻擊次數減少、低成本高度整合管理的特點,給雲服務上帶來了更高階別的網路風險。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(DDoS攻擊目標分佈)
而在主機安全方面,由軟硬體虛擬化帶來的是傳統安全與虛擬化安全威脅的糅合。其中,漏洞利用和惡意檔案仍是傳統主機安全面臨的重要挑戰。抽樣資料顯示,雲中70%以上漏洞均為基線漏洞,且中風險漏洞超60%。此外,2019年雲平臺惡意檔案數量月均增長17.5萬/個,DDoS和代理型別的樣本數量有所增加,側面反映雲平臺主機資源濫用威脅不斷加劇。除此之外,當下雲平臺還面臨著包含儲存、網路、管理等在內的虛擬化安全威脅。任何基於虛擬化技術的攻擊都有可能對整個雲上使用者造成災難性影響。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(雲上漏洞類別佔比圖)
應用程式或軟體作為雲上企業開展業務直接使用的物件,其安全性直接關乎業務安全。騰訊雲安全統計資料顯示,SMB相關漏洞是黑產對應用發起攻擊的首選手段,Web類攻擊次之。除常規應用漏洞外,用於客戶管理雲服務和互動的API(應用程式程式設計介面)和UI(使用者介面)如若設計不當,也將導致濫用甚至資料洩露。隨著SaaS和PaaS應用的增加,雲服務提供商成為應用安全防護的主力。


資料安全面臨挑戰
身份驗證和訪問管理成資料安全關鍵

《報告》指出,包括資料洩露、資料丟失以及隱私資料利用和洩露等在內的資料安全威脅已成為當前上雲企業面必須直面的挑戰。據Risk Based Security 統計,2019年上半年世界範圍內已經發生了3813起資料洩露事件,被公開資料高達41億條。騰訊安全情報資料顯示,“資料”、“身份證”、“密碼”等關於資料洩露的詞彙在暗網的熱詞分析中佔比極大。與此同時,因技術受限存在資料丟失風險和對個人隱私資料合規保護的法規出臺,擴充著資料洩露帶來的損失面和負面效益。除此之外,來自身份驗證和訪問管理方面的安全威脅使得資料洩露面臨著更為嚴峻的形勢。《報告》指出,調查顯示,約38%的雲使用者賬戶已處於危險之中。其中賬戶劫持佔比最大,約為三分之一,且主要以自動化撞庫為主要方式。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(黑產攻擊方式佔比圖)

雲主機資源濫用嚴重
雲安全服務多元化趨勢明顯

一方面,雲生態下資料所有權與管理權的分析使得雲中的安全管理面臨新挑戰。騰訊安全雲鼎實驗室對騰訊雲上的惡意檔案分佈情況進行分析後發現,雲資源濫用行為逐步增多,其中,Linux和Windows作業系統的雲主機已分別成為了DDoS攻擊和代理類濫用行為的重災區。由雲資源濫用帶來的安全威脅也在逐步增大,CNCERT抽樣檢測資料顯示,針對境內目標IP的DDoS攻擊中80.1%的攻擊來源為國內雲服務提供商,極大地影響雲服務使用者的可用容量。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(Linux和Windows作業系統惡意樣本佔比圖)
另一方面,為滿足使用者對雲端計算便捷部署、靈活擴充、資料中心統一等需求,應勢而生的微服務和無伺服器計算(Serverless)等新服務架構也帶來了可利用攻擊面擴大、傳統監控方法失效等新安全管理問題。新服務模式的特徵要求雲上安全需要更具前瞻性的設計架構和囊括業務邏輯、程式碼、資料和應用程式等在內的安全配置。
除此之外,Gartner曾預測,到2020年,90%的企業將採用混合基礎設施管理功能。Intercloud(跨雲)趨勢是企業未來的發展方向。雲間的身份管理和身份認證、雲服務安全架構、資料加密傳輸以及安全合規性將成為關乎企業安全管理的重要部分。另外,伴隨著雲端計算在各領域的應用擴充,工業雲平臺和物聯網雲平臺的安全性也將是未來安全威脅和管理的重點關注領域。目前來看,雲平臺不僅要應對傳統網路架構中存有的DDoS、入侵、病毒等常態問題,還要高度重視雲平臺架構的虛擬機器逃逸、資源濫用、橫向穿透等新安全問題。針對雲安全“新舊”威脅糅合的安全形勢,《報告》根據主機安全、資料安全、身份認證和訪問管理等具體的安全威脅特徵,提出了具有行業通用性的應對手段與防範建議。例如針對資料安全問題,《報告》中提出雲服務提供商需要負責為客戶建立以資料為中心的安全架構,對資料產生、流動、儲存、使用及銷燬進行全流程加密保護;而云服務使用者則須細化身份認證和訪問控制配置的顆粒度,配合賬戶安全管理,防止資料內部洩露。

首次公開雲上攻擊路徑全景,騰訊安全聯合GeekPwn釋出《2019雲安全威脅報告》

(資料中臺架構全景圖)
《報告》強調雲服務提供商和使用者之間的安全責任共擔將是應對新威脅的關鍵思路。而騰訊安全作為國內領先的雲安全廠商之一,將致力成為產業數字化升級的安全戰略官,不斷開放安全能力和產品,持續為雲端企業高效禦敵提供力量支撐。

相關文章