當前位置:首頁 >  IDC >  安全 >  正文

云鼎安全視點:基于騰訊云的安全趨勢洞察

 2017-08-16 09:59  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

8月15日,第三屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(CSS2017)在北京國家會議中心舉行。騰訊云鼎實驗室負責人Killer進行了主題為《云鼎視點:公有云惡意代碼趨勢解讀》的分享,以下為Killer主要分享內(nèi)容:

隨著越來越多的企業(yè)逐步把自身IT基礎(chǔ)設(shè)施服務(wù)遷移到云上,云上的安全風險趨勢到底如何?近期重大勒索事件頻頻發(fā)生,企業(yè)該如何去有效提升自身的安全防護能力?在這里,我想跟大家分享一下我們云鼎實驗室對云上安全風險的趨勢觀察,以及對企業(yè)用戶的一些建議。

一、云上安全風險趨勢

數(shù)據(jù)庫類服務(wù)端口風險高。端口就是服務(wù)器的入口,入侵者往往使用掃描器對目標機器進行端口掃描,然后實施攻擊和入侵。在去年和今年年初,爆出了多起企業(yè)數(shù)據(jù)庫服務(wù)被加密勒索事件,需要支付比特幣才可以獲得數(shù)據(jù)解密;今年3月1號,我們云鼎實驗室發(fā)布的《MySQL 成勒索新目標,數(shù)據(jù)服務(wù)基線安全問題迫在眉睫》就對這些事件進行了分析,主要是企業(yè)在在公網(wǎng)上開放了MySQL、Redis、Eelasticsearch等數(shù)據(jù)服務(wù)端口,同時由于存在弱密碼或者沒有密碼,黑客可以直接訪問,導(dǎo)致被黑客入侵勒索。

漏洞是造成入侵的主要途徑。根據(jù)我們對被入侵機器的入侵原因分析結(jié)果來看,漏洞是造成服務(wù)器被入侵的主要途徑,約超過60%的入侵事件跟漏洞有關(guān)。而國內(nèi)企業(yè),對漏洞的修復(fù)情況是非常不理想的。方程式漏洞被公布以后,我們針對MS17-010漏洞的修復(fù)進展進行監(jiān)測發(fā)現(xiàn),某企業(yè)在爆發(fā)一個月后只對其中約60%的漏洞機器進行了修復(fù),兩個月后,還有24%的漏洞機器并未修復(fù),這樣就給入侵者提供了可乘之機。而在小型企業(yè),整體修復(fù)比例往往還要低得多。

密碼破解攻擊呈現(xiàn)常態(tài)化。相對于Web應(yīng)用漏洞,暴力破解的利用方式比較簡單,成功后可以直接獲得目標服務(wù)器權(quán)限,從而進一步進行植入木馬、后門等操作,整個過程通過自動化程序?qū)崿F(xiàn),是一種成本極低的攻擊方式。而據(jù)公開資料說,某IDC上日均遭受破解攻擊5萬次左右,騰訊云上每臺機器日均被攻擊2759次。云主機相對遭受的破擊攻擊次數(shù)少,這主要歸功于云平臺廠商在網(wǎng)絡(luò)出口對一些惡意的破解行為做了自動化攔截。

高危漏洞的出現(xiàn),容易造成木馬病毒感染高峰。NSA漏洞包公開Windows漏洞期間,木馬檢出量先后發(fā)生了兩次爆發(fā)。當前云上監(jiān)測到的木馬文件主要分為兩大類型,Shell(占比80%)及二進制木馬(占比20%)。Shell主要通過Web應(yīng)用漏洞上傳寫入,主要在入侵過程起到跳板的作用,方便進一步進行提權(quán)、植入惡意文件等操作;而二進制木馬主要帶有挖礦、端口掃描、DDoS等惡意行為,是整個入侵的最終目標植入。目前,利用NSA漏洞包漏洞傳播的病毒最多的并不是WannaCry,而是挖礦病毒。而WebShell已經(jīng)具有很強的免殺特性,建站工具弱口令問題則是WebShell的上傳主要來源。

服務(wù)器上安全軟件使用率偏低。目前,云上只有約7%的服務(wù)器使用了安全軟件,整體使用比例偏低,這里面,其中有很大一部分的用戶使用了PC安全防護軟件來解決服務(wù)器安全防護需求,說明目前國內(nèi)的服務(wù)器安全防護軟件在市場上影響力不大,也在一定程度上反映國內(nèi)的服務(wù)器安全軟件市場值得繼續(xù)大力投入。

二、云上更安全

企業(yè)面臨的整體安全環(huán)境并不樂觀:漏洞仍然是造成入侵的主要途徑;黑客也在逐步升級自己的技術(shù),一些低成本高收益的攻擊逐漸自動化,例如密碼破解攻擊呈現(xiàn)常態(tài)化趨勢;隨著比特幣這類匿名電子貨幣的興起,使得黑客變現(xiàn)的主要方式從劫持肉雞流量進行DDoS變現(xiàn),變成了加密勒索。

但前段時間,在WannaCry和暗云事件的爆發(fā)中,我們對云上用戶和普通用戶的感染風險進行了對比。云上更安全的顯著統(tǒng)計差異,堅定了我繼續(xù)深耕云安全的決心。

WannaCry勒索病毒的爆發(fā),使得全球150個國家受到了影響,在我們國內(nèi)也有10萬左右的用戶中招。據(jù)統(tǒng)計,全球因此造成的損失達80億美元,并且深入影響到金融,能源,醫(yī)療等眾多行業(yè),造成嚴重的危機管理問題。部分企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后,導(dǎo)致無法正常工作。然而在云上的企業(yè)用戶,因為及時做了大量的預(yù)警和防護工作,被感染的比例很小。

而近年來感染用戶最多的木馬之一,暗云,它的功能比較復(fù)雜,通過修改多個游戲微端,采用多種技術(shù)方案逃開殺軟檢測,還自掏腰包買流量,推廣感染的游戲微端,更新頻繁,影響用戶數(shù)百萬。病毒團隊通過各種手段獲取暴利,更發(fā)動針對國內(nèi)多家云服務(wù)商的DDoS攻擊。我們云鼎實驗室在第一時間發(fā)現(xiàn)并確認了樣本關(guān)聯(lián)性,并聯(lián)合騰訊電腦管家和多個安全合作伙伴進行全網(wǎng)清理,有效降低了暗云木馬的影響。

三、對企業(yè)用戶提四點安全建議

第一是要重視數(shù)據(jù)備份。任何企業(yè)都需要考慮一些突發(fā)災(zāi)難或者黑客攻擊帶來的業(yè)務(wù)中斷,一旦遭受這類黑天鵝事件,快速恢復(fù)業(yè)務(wù)才能把損失降到最低,所以數(shù)據(jù)備份是一個十分重要且不可忽視的工作。我們在云上,可以方便的通過云平臺提供的鏡像備份,云存儲服務(wù)來實現(xiàn)對重要數(shù)據(jù)進行備份。

其次是軟件要及時更新。前面提到,造成入侵的主要原因是自身存在漏洞,事實上,新漏洞爆發(fā)出來時,軟件生產(chǎn)者都會第一時間公布修復(fù)補丁或者方案,對于運維人員來說,及時打上補丁就可以消除漏洞風險,目前看來,及時打補丁依然是對抗漏洞風險最有效的手段。

第三是提升員工安全意識。安全意識一定程度上代表了企業(yè)安全事件的出現(xiàn)幾率,很多企業(yè)發(fā)生的安全事件都是因為內(nèi)部員工安全意識薄弱導(dǎo)致的。例如,某員工將公司網(wǎng)站代碼儲存到某第三方平臺,被發(fā)現(xiàn)后被大面積曝光,導(dǎo)致公司出現(xiàn)了嚴重的數(shù)據(jù)泄露風險。事實上,行業(yè)內(nèi)安全做得不錯的成熟型企業(yè),都有一些機制來促使員工在日常工作中更多的思考安全風險,定期進行員工安全意識培訓(xùn)和考試還是容易做得到的。

最后一點建議就是基礎(chǔ)設(shè)施上云。業(yè)務(wù)上云后,你會發(fā)現(xiàn),便利性提升的同時,整體安全防護水平也會提升。因為在基礎(chǔ)設(shè)施層面,云平臺廠商會提供統(tǒng)一的安全運維保障,而在服務(wù)和應(yīng)用層,云平臺廠商同樣會提供豐富的安全解決方案供企業(yè)選擇,所以,相對于云下,企業(yè)在云上可以低成本、更靈活地構(gòu)建起安全防護體系。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦