《2019中國主機安全服務報告》釋出
2020開年,一場新冠疫情迅速蔓延,病毒打破了物理邊界,對人類社會的發展帶來了不可預料的變數。而在陸、海、天、空外的“第五空間”——網路空間,隨著物理與虛擬世界的深度融合,未知的威脅不斷觸碰安全紅線,預防網路安全黑天鵝刻不容緩。這其中,對企業而言,主機是承載企業資料和服務的核心,是抗擊網路威脅的最後一公里防線,如何解決其安全隱患尤為關鍵。
為使各行各業的組織機構全面而清晰地瞭解當前主機安全狀況,以及如何守護主機安全。近日,青藤雲安全攜手中國產業網際網路發展聯盟(IDAC)、騰訊標準、騰訊安全,共同釋出《2019中國主機安全服務報告》。該報告以理論結合實踐為指導思想,透過前期大量資料調研,分析當前我國主機安全整體狀況、主機安全產品成熟度,為主機安全未來的發展指明瞭方向。
4個維度20個視角剖析主機整體狀況
本報告將從主機資產概況、主機風險分析、主機入侵檢測、主機合規分析四個方面詳細分析2019年主機安全的整體概況。
清點擁有哪些資產
如果沒有完整的、詳細的主機資產清單,安全運維團隊將無法確保組織機構的安全,因為任何人都無法保護“未知”事物的安全性。本報告透過分析大量的企業級主機核心資產情況,從而為各企業制定安全防護策略提供支援和幫助。
透過統計分析發現,在企業級客戶中,超過81.45%的主機使用都是Linux作業系統,只有18.55%主機使用的是Windows作業系統。這其中原因有很多,比如Linux相容性更好、模組化、資源消耗少等等原因,讓很多客戶都會選擇Linux系統。
圖一:不同主機作業系統的使用比例
透過對樣本資料的分析可知,74%的主機上都存在UID為0、GID為0、Root/Administrator賬號、Sudo許可權等特殊賬號。這些特殊賬號,往往會成為備受駭客青睞的資產,屬於高危重點保護資產。
圖二:主機特殊賬號的使用情況
此外,在樣本資料分析中,發現在Linux系統中,使用最多的Web服務應用是Tomcat服務,高達58%,其次是Nginx,使用率達到了32%。
圖三:Linux Top5 Web服務的使用情況
而在Windows環境下,IIS使用最多,達到47%,其次是Tomcat,達到36%。另外,Apache和Nginx的使用也佔到了一定比例。
圖四:Windows Top5 Web服務的使用情況
評估存在什麼風險
為了在駭客入侵前發現系統風險點,安全人員需要透過專業的風險評估工具,對風險進行檢測、移除和控制,來減小攻擊面,包括安全補丁、漏洞、弱密碼、應用風險、賬號風險等。
基於漏洞所影響的主機數量,發現2019年影響範圍最大的TOP10漏洞,有很多都是前幾年的漏洞。尤其是針對那些老舊資產,補丁修復更是嚴重不足,因此,這些漏洞就成為了駭客入侵的突破口。
圖五:2019年影響主機TOP10的漏洞
除了漏洞風險之外,在對Web伺服器等網際網路空間資產做空間測繪後發現,有大量的資產開放了高危埠,存在較高的安全隱患。例如,很多駭客攻擊者很喜歡嘗試入侵22、3389埠。如果主機存在弱密碼登入的情況,很容易就被暴破成功,進而伺服器被駭客控制。特別是今年曝光的 BlueKeep(CVE-2019-0708)、Windows RDS(CVE-2019-1181) ,均是Windows 遠端桌面服務的漏洞並且危害巨大,而3389又是Windows遠端桌面的預設埠,開放3389的Windows伺服器更容易受到入侵攻擊。建議伺服器修改預設的遠端連線埠,如無必要,可關閉該埠。
圖六:常見高危埠的開放情況
此外,不同服務都有一些具有各自服務特色的弱口令,有一部分是安裝時的預設密碼。比如MySQL資料庫的預設密碼為空。透過分析發現,主機軟體弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應用上,其中MySQL和SSH弱密碼問題更是超過了30%。
圖七:主機軟體弱密碼盤點
木馬病毒也是主機中最常見的風險,風險木馬類軟體在各行業的染毒事件中佔比最高(40%以上),科技行業相對其他行業感染風險木馬軟體的比例更小。由於風險木馬軟體的感染主要是不良的上網習慣及缺乏安全意識引起的(如使用盜版軟體或外掛工具等),可能科技行業從業人員的上網安全意識相對更高。
感染型木馬在教育行業感染比例相對較高,可能和該行業頻繁的檔案互動傳輸有關。
圖八:不同行業感染病毒型別分佈
後門遠控類木馬是除了風險軟體之外感染量最大的染毒型別,佔比在20%左右。後門遠控類木馬有著極高的隱蔽性,接受遠端指令執行資訊竊取、截圖、檔案上傳等操作,對金融科技等資訊敏感行業可造成極大危害。
檢測存在什麼攻擊
透過對暴露在公網的伺服器做抽樣分析發現,在常見的攻擊型別中,遠端程式碼執行(RCE)、SQL隱碼攻擊、XSS攻擊型別比例較高,同時駭客為了獲取伺服器、網站的基本資訊,常見的探測性掃描(Probe Scan)量同樣非常高。
圖九:常見主機漏洞
2019年,全國企業使用者伺服器病毒木馬感染事件超百萬起。其中Webshell惡意程式感染事件佔73.27%;Windows惡意程式感染事件佔18.05%;Linux惡意程式感染事件佔8.68%。
圖十:主機感染病毒木馬的情況
從感染主機中,總共發現超1萬種木馬病毒,其中Webshell 約佔27%,Windows木馬病毒約佔61%,Linux木馬病毒約佔12%。
圖十一:病毒木馬種類分佈
由上文可知,2019年Webshell惡意程式感染事件為近80萬起,佔所有感染事件的70%。從被感染伺服器的數量來看,Windows伺服器感染Webshell佔所有Windows伺服器的約44%,Linux伺服器感染Webshell佔所有Linux伺服器的約0.2%。這說明Windows伺服器更容易受到Webshell的攻擊。
從感染的Webshell語言型別來看,PHP型別的Webshell是最多的,其次是ASP語言。
圖十二:Webshell語言型別的比例分佈
此外,在本報告中,根據不同作業系統樣本資料進行分析,總共發現超過3000臺Windows伺服器感染了挖礦木馬,其中超2000臺Linux伺服器感染了挖礦木馬。
透過對被感染的主機進行分析,發現挖礦木馬主要挖比特幣與門羅幣。猜測其原因,可能是比特幣是數字貨幣的開創者,其價值非常高,當仁不讓地成為駭客的重點關注物件。而門羅幣則是新興的數字貨幣,由於主要使用CPU進行挖礦,所以黑產團伙喜歡利用入侵伺服器進行挖礦。從入侵挖礦時間的角度來看:
Windows平臺挖礦事件主要出現的年初(1月-3月)和年底(12月)如下圖所示:
圖十三:Windows平臺挖礦事件月度統計
但是,Linux平臺挖礦事件主要集中在年中(4月-6月)和年底(11月-12月):
圖十四:Linux平臺挖礦事件月度統計
可以看出,無論Windows平臺還是Linux平臺,年底都是挖礦入侵事件的高發時期,這段時間需要重點關注伺服器是否出現CPU佔用過高的情況。
判斷是否滿足合規
所有企事業單位的網路安全建設都需要滿足國家或監管單位的安全標準,如等保2.0、CIS安全標準等。安全標準,也稱為“安全基線”。安全基線的意義在於為達到最基本的防護要求而制定一系列基準,在金融、運營商、網際網路等行業的應用範圍非常廣泛。透過合規基線進行自查和自加固可以更好地幫助企業認清自身風險現狀和漏洞隱患。
主機賬號安全性的重要性不言而喻,但是在樣本分析過程中,我們仍然發現很多賬號存在不合規情況,例如未設定密碼嘗試次數鎖定、未設定密碼複雜度限制等,這不符合國家等級保護相關要求。在等保2.0通用基本要求的身份驗證控制項中明確要求“應對登入的使用者進行身份標識和鑑別,身份標識具有唯一性,身份鑑別資訊具有複雜度要求並定期更換”、“應具有登入失敗處理功能,應配置並啟用結束會話、限制非法登入次數和當登入連線超時自動退出等相關措施”。
圖十五:主機賬號的不合規情況
此外,主機伺服器上承載了非常多的應用,如果應用中存在不合規的情況,例如配置錯誤、未修補的漏洞補丁等。那麼駭客透過應用就能進入主機系統內部,這將帶來極大風險。
圖十六:常見應用的配置風險
當然,如果沒有對主機底層的作業系統進行適當配置,就會引發許多安全問題。建議安全運維人員能夠謹慎配置主機來滿足組織機構的安全需求,並能夠根據需求重新配置。透過研究分析樣本資料,發現GRUB密碼設定、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機系統風險中所佔比例最多的三類。
圖十七:主機系統不合規的情況分析
3個層面解讀未來主機安全進化方向
正如達爾文《進化論》說,進化來源於突變,而安全面對的正是“不可預知的未來”。主機安全作為網路安全領域中的重要分支,面對難以預測駭客攻擊手段,傳統的防範、阻止策略已經行不通。
一方面, 攻擊者和防守者處於天然不對等的地位,傳統基於報警或已存在的威脅特徵的檢測技術,包括防火牆、IPS、防毒、沙箱等被動防禦手段,更是讓這種不平等愈發嚴重。很多被駭客攻陷的企業組織,雖然已經構建了一定的安全防禦體系,但仍然沒能及時發現或阻止威脅,將損失降到最低。主要是因為當下檢測體系在應對未知威脅過程中存在一些不足,表現為以下幾個方面:
檢測技術單一:基於簽名檢測技術無法檢測未知威脅,更無法定位失陷主機。
缺乏持續檢測:只能做階段性檢測,無法覆蓋威脅的全生命週期。
無法進行聯動:各安全檢測產品獨立工作,攻擊告警資訊割裂,無法聯動。
另一方面,當前安全攻防對抗日趨激烈,單純指望透過防範和阻止的策略已行不通,必須更加註重檢測與響應。企業組織要在已遭受攻擊的假定前提下,構建集防禦、檢測、響應和預防於一體的全新安全防護體系。這從2019年6月網路演習的規則也能看得出來,不強制要求系統不被入侵,而是強調入侵之後的快速響應能力。
最後,隨著雲端計算的快速發展,多雲和雲原生趨勢漸漸成為主流,面對多雲、雲原生等新型架構也不斷湧現,原有的主機安全產品如何適配新的架構,也成為了企業不得不考慮的話題。
為了應對外在環境的不斷演進,主機安全防護軟體也在不斷更新迭代,衍生出了一系列細分領域的主機安全產品。從主機安全產品發展級別來看,大體上可以概括為“基礎性的主機安全產品”、“以應用為核心的主機安全產品”、“以檢測響應為核心的主機安全產品”、“以主動防禦為核心的主機安全產品”、“新形態下的主機安全產品”五個階段。
圖十八:主機安全成熟度曲線
我們可以洞見,未來,作為企業基礎建設的必需品,主機安全產品只有向“持續檢測、快速響應、全面適配”方向發展,才能助力企業更好地應對不可知的未來。
寫在最後
《2019中國主機安全服務報告》宏大的理論體系,不僅促進了市場全面理解中國主機安全的現狀,且為主機安全的發展指明瞭方向。未來,作為國內主機安全領導者,青藤將不斷加深該領域的探索與推進,持續助力政府、金融、網際網路、運營商、醫療、教育等不同行業使用者,築牢網路安全最後一公里防線,為中國網路安全事業輸出源源不斷的安全免疫力!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69970410/viewspace-2685206/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 《2019中國主機安全服務報告》釋出:透析三大趨勢破解七大風險
- 阿里雲安全管家服務重磅釋出!阿里
- 《資料安全產品與服務觀察報告》重磅釋出,美創科技深度參編!
- Gartner 釋出中國IaaS PaaS市場服務報告,天翼雲強勢入選
- 《2022年全球主機遊戲市場調查報告》摘要釋出遊戲
- Swissquote釋出報告表示加密貨幣服務使其利潤上漲44%加密
- 騰訊(主機安全)被列入Gartner釋出的《雲工作負載保護平臺市場指南》報告負載
- 騰訊安全釋出《2020年上半年手機安全報告》,揭示手機安全四大趨勢
- phoenix API服務釋出API
- 360釋出《2022年上半年度中國手機安全狀況報告》(資料篇)
- 埃森哲:英國福利服務報告
- 擁抱雲原生,騰訊釋出TCSS容器安全服務!CSS
- 擁抱雲原生,騰訊釋出TCSS容器安全服務CSS
- 重磅釋出!騰訊安全託管服務TA來了!
- 騰訊安全釋出安全託管服務MSS,推動網路安全建設向服務驅動轉變
- 2020年中國雲主機安全市場報告出爐,騰訊雲綜合排名第一
- 商務部:2020中國服務外包發展報告
- 商務部:2019中國服務外包發展報告
- 使用InstallUtil釋出windows服務Windows
- GeoServer釋出影像WMTS服務Server
- 機器之心A100數智中國榜釋出:讓中小企業看懂、選對、用好數智化服務方案(附研究報告)
- 全球頂級研報釋出:騰訊安全入選零信任成長型服務商
- 白帽匯安全研究院釋出區塊鏈安全分析報告區塊鏈
- 360釋出《2022年第一季度中國手機安全狀況報告》(資料篇)
- 銀彈谷:2022中國企業數智服務市場趨勢洞察報告正式釋出(附下載)
- 實力認證|綠盟科技連續被列入Gartner釋出的安全威脅情報產品與服務市場指南報告
- 2021可信雲大會 | 聚焦服務安全,雲端計算服務安全要求系列標準即將釋出!
- 重磅!頂象釋出《城市消費券安全調研報告》
- Istio 1.2服務網格釋出
- 阿里雲釋出 Elasticsearch 雲服務阿里Elasticsearch
- Kubernetes POD與NodePort服務釋出
- 雲服務測試報告測試報告
- 360釋出《2018中國PC端遊戲研究報告》遊戲
- 亞信安全釋出2016第二季度安全威脅報告
- 德國醫療巨頭輸液泵存在安全漏洞,邁克菲釋出研究報告
- 商務部:中國數字服務貿易發展報告 2018
- 商務部:2020年中國服務貿易發展報告
- 詳解資料服務共享釋出