騰訊安全釋出《2020年公有云安全報告》，重點剖析8大主流安全風險

產業網際網路的升級換代，也同時帶來網路安全的巨大變化。傳統威脅是在客戶端、企業私有云環境，隨著業務上雲，安全風險也隨之上雲。比如，以往傳統認為linux系統沒有惡意軟體不需要安全軟體，在產業網際網路普及的今天，這一錯誤認知已徹底被打破。雲端，已經成為硝煙瀰漫的網路安全新戰場。

騰訊安全威脅情報中心對過去一年由騰訊雲租戶提交的各類網路安全事件工單進行統計分析，整理釋出了《2020年公有云安全報告》（以下簡稱《報告》），對2020年公有云環境網路攻擊特點進行總結，重點分析了惡意木馬、雲上勒索、異常登入、爆破攻擊、漏洞風險、安全基線風險、高危命令執行，以及針對公有云的網路攻擊等主流風險型別，資料顯示多數風險呈明顯增長態勢。

惡意木馬事件明顯上升，27%已發現木馬未被及時處理

報告顯示，有6.3%的公有云環境曾在一個月內發生惡意木馬事件。這表明，雲上主機遭遇惡意木馬威脅已經不是小機率事件（統計學上，低於5%的機率被認為是小機率事件）。其中常見型別有：挖礦木馬、DDoS攻擊木馬、後門木馬，又以挖礦木馬最為流行。從處理結果看，在發現的惡意木馬事件中，有27%未被及時處理，甚至有1%被信任。從每月惡意木馬趨勢看，有明顯上升趨勢。

騰訊安全專家建議政企使用者重視雲上伺服器的惡意木馬事件，惡意木馬事件是雲上主機存在安全弱點的最明確檢測標誌。切不可輕易將此類事件忽略或信任，推薦在每臺雲主機上部署主機安全產品，及時全面的檢查雲主機風險，才是正確的解決之道。

雲上勒索病毒需重點防範，主要表現資料庫鎖庫勒索和勒索病毒加密

在數以億計的雲上攻擊事件中，勒索病毒攻擊的案例相對較少，但因一旦發生，若沒有可靠的資料恢復方案時，會造成無可挽回的後果，須特別提醒企業安全運維人員注意。雲上勒索事件主要表現為資料庫鎖庫勒索和勒索病毒加密兩類，又以mysql鎖庫攻擊較多見，攻擊方式多為掃描公網開放的埠，再爆破入侵後登入資料庫鎖庫、刪庫或執行勒索病毒。

幸運的是，實踐中，企業對重點業務較多采用了騰訊雲提供的資料映象恢復解決方案，騰訊雲整合的騰訊安全威脅情報系統，對雲上勒索進行快速響應，實時攔截，使攻擊者難以得逞。儘管網路黑灰產業針對雲上資產的勒索時有發生，但其危害規模不如針對企業私有網路的攻擊。

騰訊安全專家建議業務上雲的政企機構採用騰訊雲資料安全服務，定期備份重要資料，及時建立資料映象，防止因意外丟失和雲上勒索攻擊而給企業造成重大損失。

異常登入事件顯著上升，22埠異常登入超2.5億次

透過騰訊主機安全（雲鏡）專業版檢測到的異常登入資料，發現該威脅全年呈顯著上升趨勢。其中，linux雲主機預設的遠端登入埠22被異常登入的次數全年超過2.5億次。而常用的root、work、game、administrator等常見或預設使用者名稱，產生異常登入的次數亦高達數千萬次。

騰訊安全專家提醒政企機構運維人員充分利用騰訊主機安全的異常登入審計功能，重視異常登入事件告警，建議只將少數指定的登入源新增到信任白名單，透過訪問控制策略限制風險IP登入。企業運維人員管理的使用者名稱密碼等敏感資訊應妥善管理，防止洩露或被盜，堅決避免使用弱口令。

爆破攻擊事件全年超高頻發生，預設使用者名稱、埠名被攻擊數十億次

爆破攻擊全年明顯上升，在攻擊埠上，預設埠22和3389被爆破攻擊達到驚人的32億次和17億次；從爆破攻擊使用的使用者名稱看，預設使用者名稱被攻擊達到70億次，其中root超37億次、administrator近33億次、admin近22億次。

騰訊安全專家建議業務系統使用自定義的埠號和使用者名稱，同時避免使用弱密碼，以大幅減少爆破攻擊風險。資料顯示，自定義的使用者名稱、埠號遭遇的異常登入次數顯著低於預設值。建議企業網管制定嚴格的帳號密碼管理策略，杜絕使用弱口令，密碼定期更換。

漏洞數量持續增大，有一半企業曾在3天內發現過漏洞風險

由於企業業務環境複雜，採用的雲上元件數量眾多，更新迭代快，安全漏洞出現的風險隨之增大。僅2020年12月，作為網路基礎元件的OpenSSL 暴出拒絕服務漏洞(CVE-2020-1971)，當月即成為2020年全年漏洞風險最大的一個月，存在漏洞的主機數量超過1000000臺。

在漏洞風險型別統計中，拒絕服務漏洞、遠端程式碼執行和任意檔案讀取漏洞為主要的高風險漏洞。按漏洞風險等級統計，中危佔54%，高危佔45%。按漏洞檢測時間統計，發現54%的企業曾在3天內發現過漏洞風險，這表明有較多的安全漏洞並沒有及時進行修復。

騰訊安全專家建議政企機構安全運維團隊使用騰訊主機安全（雲鏡）專業版對企業網上資產存在的漏洞情況進行檢測摸底，制定漏洞修復管理策略，實施元件升級漏洞修復工作，減少駭客攻擊的時間視窗。對於因資產多、業務複雜、來不及全面修復的高危漏洞，可透過配置騰訊雲防火牆的入侵防禦策略，啟用“威脅情報+基礎防禦+虛擬補丁”的綜合措施，攔截最流行最高發的漏洞攻擊。

安全基線風險凸顯，83%雲上業務存在高中危隱患

和漏洞風險相比，安全基線更加突出資訊保安管理責任。透過基線檢測，可以發現屬於系統配置不當造成的駭客入侵隱患。透過騰訊主機安全（雲鏡）專業版的基線管理資料顯示，政企機構雲上資產基線管理現狀不容樂觀，11月發現的安全基線問題超過了700萬條，政企機構雲上業務存在高中危以上隱患的達到83%。

存在的基線風險主要有：Linux口令過期後賬號最長有效天數策略、Linux帳戶超時自動登出配置和限制root許可權使用者遠端登入等等。

在多數情況下，一些系統或服務元件的預設配置，容易給駭客入侵提供方便，也容易被安全運維人員忽略，騰訊安全專家建議政企機構IT資產管理人員充分使用騰訊主機安全（雲鏡）專業版的基線管理功能，對企業網路資產進行全面檢測普查，發現潛在的安全隱患，按照基線安全規範進行配置，使企業網路資產符合國家等保合規要求，按照安全基線標準檢測、調整配置，可大幅減少駭客入侵攻擊面。

透過高危命令執行審計發現高風險操作

高危命令有可能是駭客入侵執行的命令，可能造成破壞性影響。也有可能是企業運維人員日常操時執行的高風險命令。

騰訊主機安全（雲鏡）專業版的檢測資料顯示，2020年雲主機檢測到的主要高危命令包括：設定操作命令不記錄進日誌、nc命令執行和wget下載後執行命令等，其中設定操作命令不記錄進日誌超過了250000次。

騰訊安全專家指出，高危命令並非一定由攻擊者執行，如果運維人員過於頻繁執行高危命令，可能存在安全管理疏忽大意、許可權管理不夠嚴謹等風險，需要企業IT負責人警惕。運維人員可以透過“標記正常”來設定白名單，從而減少干擾，當真正的攻擊者使用高危命令時，可以及時發現。

騰訊雲防火牆攔截的漏洞攻擊資料顯示，Weblogic最受青睞

2020年針對公有云的網路攻擊事件整體呈上升趨勢，10月達到峰值180萬次，主要型別命令注入攻擊全年超過170萬次。根據騰訊雲防火牆攔截到的網路攻擊資料，以下列表中的漏洞攻擊為2020年攻擊利用次數最多的前20名。

騰訊主機安全（雲鏡）專業版或騰訊雲防火牆可以第一時間攔截入侵者針對公有云主機的攻擊活動，並對攻擊資料包存檔記錄。透過對攻擊資料包的技術分析，可以判斷攻擊者意圖，發現攻擊者的共同特徵，對攻擊者家族團伙進行歸類追蹤。還可以透過對一個攻擊事件的分析，來全面評估全網受威脅的整體情況。

安全建議：部署雲原生安全防護體系，全面應對企業上雲的新挑戰

面對快速增長的雲上安全需求，騰訊安全依託20餘年安全領域積累，圍繞安全治理、資料安全、應用安全、計算安全和網路安全五個層面打造了雲原生安全防護體系，並開放“騰訊級”安全能力，為各個行業的雲上客戶提供安全保障。

針對日趨複雜的公有云安全威脅，騰訊安全專家建議政企機構部署雲原生安全防護體系（騰訊雲主機防護產品、騰訊雲防火牆）來檢測風險、防禦風險、處置風險，對安全事件進行技術回溯分析，強化政企機構自身網路安全防護體系建設，依法打擊各種網路攻擊破壞活動。

透過騰訊主機安全產品內建的基線檢測能力，全面普查檢測公有云網路資產存在的安全隱患，使其符合國家等保合規要求，最大限度縮小駭客攻擊面。