《2021網路空間測繪年報》解讀|公有云資產畫像與風險度量

綠盟科技發表於2022-03-13

近日,綠盟科技與中國電信聯合釋出《2021網路空間測繪年報》,旨在透過測繪的方法,發現物聯網、公有云、工控系統、安全裝置、資料庫、智慧平臺等關鍵領域資產在公網上的暴露情況,分析各個領域資產所面臨的安全隱患,助力於數字化轉型背景下新興資產服務的安全管理。


本文為《2021網路空間測繪年報》精華解讀系列第三篇,主要介紹公有云的資產測繪與風險度量。


PART  01

公有云資產測繪的動因與挑戰


近年來公有云安全事件數量呈現上升趨勢,特別是非法利用雲資源挖礦和雲上資料洩露。隨著各個行業上雲步伐加快,雲上業務及資料變得越來越重要,同時,公有云上服務租戶眾多,資料儲存巨大,安全事件的影響具有規模性。2021年4月,公有云服務提供商DreamHost洩露了8億使用者資料,包括諸多WordPress賬戶資訊及其關聯的郵件地址,郵件地址的暴露可能使攻擊者發起針對性的釣魚攻擊或其他社會工程詐騙。


由此看來,雲上安全風險一直存在且影響範圍廣泛。風險態勢評估的前提是資產梳理,對雲上資產服務的宏觀把握十分重要。因此,對公有云資產的梳理與測繪勢在必行。然而,對公有云資產開展測繪工作也存在著許多挑戰。


首先,大部分公有云廠商不會公開自己的主機IP庫,且許多公有云主機IP處於動態變化中。發現存活雲主機是梳理雲上服務的第一步,而IP庫的缺失與IP的多變性為存活雲主機的發現帶來了巨大挑戰。其次,雲上資產數量巨大,AWS所公開的IP就有一億多個,要進一步挖掘這些IP上開放的埠與對外提供的服務所需要的時間成本是巨大的。再次,公有云上租戶眾多,執行在其上的業務多種多樣,資產部署情況複雜,為資產梳理也帶來了難度。


PART  02    

公有云資產多維畫像


在《2021網路空間測繪年報》中,我們經過多方調研與對比測試,針對國內幾大公有云廠商,整理出了相對可靠的IP庫。而後利用測繪系統對公有云資產從存活主機、暴露埠、對外服務等多個維度入手,進行了統計分析。最終基本梳理出了國內幾大公有云廠商的資產暴露情況。其中部分結果展示如下。

《2021網路空間測繪年報》解讀|公有云資產畫像與風險度量

圖1 阿里雲主機地理分佈情況


《2021網路空間測繪年報》解讀|公有云資產畫像與風險度量

圖2 華為雲開放數量前六的服務情況


PART  03

公有云關鍵資產風險度量


在風險度量方面,《2021網路空間測繪年報》從公有云重要資產——物件儲存服務入手,對雲上資料洩露風險進行了具體分析。我們以Amazon AWS的S3物件儲存服務為例,利用資料分析的手段生成了一部分S3訪問域名,並對數千個S3儲存桶中的資料型別進行了統計分析,分析結果如圖3所示。最終在文件型別資料中發現了部分敏感資訊,證明了公有云上的資料洩露事件時刻存在。

《2021網路空間測繪年報》解讀|公有云資產畫像與風險度量

圖3 可公開訪問儲存桶資料型別分佈圖


PART 04

總結


面向公有云資產的測繪與風險度量十分重要且挑戰巨大。如何構建較為全面的公有云IP庫、如何高效地挖掘出資產資訊以及如何把控複雜多變的公有云環境都是值得進一步研究的問題。


報告下載


想了解更多的物聯網資產測繪資訊,請關注綠盟科技《2021網路空間測繪年報》。

請在綠盟科技公眾號後臺回覆“空間測繪年報”可獲取下載連結,或在綠盟科技官方公眾號中點選【綠盟精選】-【綠盟書櫥】可直接閱讀。

相關文章