產(chǎn)業(yè)互聯(lián)網(wǎng)時代���,得益于云計算架構(gòu)的設(shè)計簡單����、性價比高�����、系統(tǒng)靈活等優(yōu)勢,業(yè)務(wù)上云成為許多企業(yè)的選擇����。隨著算力、IT架構(gòu)���、攻防節(jié)奏��、以及數(shù)據(jù)資產(chǎn)的不斷變化��,云上安全也迎來了新的挑戰(zhàn),安全攻防的主戰(zhàn)場轉(zhuǎn)而上云���。
近日����,騰訊安全威脅情報中心根據(jù)騰訊云租戶過去一年提交的各類安全事件工單進行統(tǒng)計分析整理出《2020年公有云安全報告》(以下簡稱《報告》)�,騰訊安全中心專家團隊對這些安全事件工單進行整理分析總結(jié)出2020年公有云的攻擊特點,重點分析了惡意木馬��、云上勒索�����、異常登錄、爆破攻擊�����、漏洞風險�����、安全基線風險���、高危命令執(zhí)行����、針對公有云的網(wǎng)絡(luò)攻擊等主流安全風險�����,其中多數(shù)風險數(shù)據(jù)呈增長態(tài)勢�������!秷蟾妗丰槍Τ2.5億次異常登錄����、99%高中危漏洞風險等安全風險,建議企業(yè)綜合部署云上安全產(chǎn)品應(yīng)對云計算時代的安全挑戰(zhàn)���。
惡意木馬事件明顯上升��,27%已發(fā)現(xiàn)木馬未被及時處理
云上惡意木馬事件在下半年呈現(xiàn)上升趨勢����,《報告》數(shù)據(jù)顯示有6.3%的公司曾在一個月內(nèi)發(fā)現(xiàn)惡意木馬事件,其中感染型木馬����、DDoS攻擊木馬和后門木馬為主要木馬類型���,挖礦木馬是最為流行的安全事件之一�����。在發(fā)現(xiàn)的惡意木馬中��,有27%未被及時處理�,甚至有1%被信任,騰訊安全建議企業(yè)不要輕易將惡意木馬添加至信任區(qū)���,并及時查殺發(fā)現(xiàn)的惡意木馬防止進一步擴散�����。
數(shù)據(jù)庫鎖庫勒索和勒索病毒加密流行�,云上勒索病毒需重點防范
云上攻擊事件中�,勒索病毒攻擊依然流行�,主要為數(shù)據(jù)庫鎖庫勒索和勒索病毒加密兩類。勒索病毒會通過加密主機上的數(shù)據(jù)文件來勒索巨額贖金�����,得益于業(yè)務(wù)上云之后可選擇相對完善的數(shù)據(jù)備份方案�����,針對公有云的勒索軟件攻擊相對不易得逞。盡管黑灰產(chǎn)業(yè)針對云上資產(chǎn)的勒索時有發(fā)生�,但其危害不如針對企業(yè)私有網(wǎng)絡(luò)的攻擊,騰訊安全團隊仍建議業(yè)務(wù)上云的政企機構(gòu)重點防范勒索威脅�����,定期備份重要數(shù)據(jù)防止丟失和被勒索��。
異常登錄行為顯著上升�����,22端口被爆破次數(shù)超2.5億
騰訊安全團隊觀察到云上主機異常登錄事件呈明顯上升趨勢�����,其中遠程登錄服務(wù)默認端口22在2020年被爆破超過2.5億次��,root����、work���、game����、administrator等常見或默認的用戶名異常登錄次數(shù)超千萬次。這提醒企業(yè)安全運維人員需高度重視異常登錄事件��,只將可信的登錄源添加至白名單��,注意防范運維系統(tǒng)本身遭遇黑客攻擊��,防止運維管理帳號密碼泄露引發(fā)異常登陸行為���。
爆破攻擊全年明顯上升��,默認用戶名攻擊次數(shù)達70億
爆破攻擊全年明顯上升�����,在攻擊端口上�����,默認端口22和3389被爆破攻擊達到驚人的32億次和17億次;在用戶名上�,默認用戶名攻擊達到70億次����,其中root超37億次�����、administrator近33億次����。騰訊安全建議業(yè)務(wù)系統(tǒng)使用自定義的端口號和用戶名��,同時避免使用弱密碼����,以大幅減少爆破攻擊風險。
漏洞風險利用持續(xù)增加����,高中危風險占99%
近年來組件漏洞的披露越來越頻繁,僅2020年12月漏洞風險就超1000000���,而54%的企業(yè)在3天內(nèi)發(fā)現(xiàn)過漏洞風險��,意味著較多企業(yè)服務(wù)組件存在安全漏洞風險沒有及時修復。在統(tǒng)計的漏洞風險中�,拒絕服務(wù)漏洞�、遠程代碼執(zhí)行和任意文件讀取漏洞為主要的漏洞風險�����,其中中危占54%�,高危占45%���!秷蟾妗方ㄗh安全運維人員積極修復安全漏洞�,避免云上資產(chǎn)淪為黑客攻擊目標�����。
安全基線風險日益凸顯��,83%云上業(yè)務(wù)存在高中危風險
安全基線檢測數(shù)據(jù)顯示�,云上資產(chǎn)安全現(xiàn)狀不容樂觀,11月發(fā)現(xiàn)的安全基線問題超過了700萬條�����,政企機構(gòu)云上業(yè)務(wù)存在高中危以上風險的達到83%���,主要為Linux口令過期后賬號最長有效天數(shù)策略���、Linux帳戶超時自動登出配置和限制root權(quán)限用戶遠程登錄���。安全基線檢測能有效提高入侵門檻,容易被安全運維人員忽略而成為黑客利用的漏洞�,需要嚴格按照安全規(guī)范配置,符合國家等保合規(guī)要求�����。
高危命令執(zhí)行增加黑客入侵可能�����,單項執(zhí)行超25萬次
高危命令有可能是黑客入侵之后執(zhí)行的命令����,以企圖控制主機甚至破壞系統(tǒng),也有可能是運維人員在日常操作時候執(zhí)行的風險命令�����。數(shù)據(jù)顯示2020年主要的高危命令有設(shè)置操作命令不記錄進日志����、nc命令執(zhí)行和wget下載后執(zhí)行命令等�,其中設(shè)置操作命令不記錄進日志超過了250000次����。即使高危命令并非攻擊者執(zhí)行�����,但過于頻繁執(zhí)行高危命令���,意味著可能存在安全管理疏忽大意��、權(quán)限管理不夠嚴謹?shù)蕊L險��,需要企業(yè)IT負責人警惕���。
網(wǎng)絡(luò)攻擊事件整體上升,10月峰值達180萬次
2020年網(wǎng)絡(luò)攻擊事件整體呈上升趨勢�����,10月達到峰值180萬次����,主要類型命令注入攻擊全年超過170萬次����。以往APT定向攻擊往往針對國家重點單位進行攻擊�,如今多個行業(yè)均出現(xiàn)了APT攻擊的身影。對于入侵成功的攻擊��,企業(yè)需要及時進行阻斷��,防止企業(yè)重要IT資產(chǎn)淪陷��。
安全建議:綜合部署云上安全產(chǎn)品
面對快速增長的云上安全需求����,騰訊安全依托20余年安全領(lǐng)域積累,圍繞安全治理�、數(shù)據(jù)安全、應(yīng)用安全�����、計算安全和網(wǎng)絡(luò)安全五個層面打造了云原生安全防護體系����,并開放“騰訊級”安全能力����,為政務(wù)�、金融、醫(yī)療�����、直播�����、醫(yī)療��、電商等十八大行業(yè)的云上客戶提供安全保障�����。
針對日趨復雜的公有云安全威脅��,企業(yè)需要綜合部署云上安全產(chǎn)品����,《報告》從主機安全�、重點服務(wù)器的保護、權(quán)限管控3個維度提出安全建議:全網(wǎng)安裝部署終端安全管理軟件和主機安全軟件;對重要的網(wǎng)絡(luò)服務(wù)進行遠程訪問策略配置、對管理節(jié)點進行限制���,只限定允許的IP地址訪問管理后臺��,并在企業(yè)內(nèi)網(wǎng)向公有云的“橫向移動”過程中強化權(quán)限管控����。企業(yè)用戶可以使用騰訊T-Sec云防火墻部署云主機訪問控制策略����,通過騰訊T-Sec云防火墻、騰訊T-Sec主機安全系統(tǒng)及時檢測��、分析�����、處置各種異常安全告警信息���,對網(wǎng)絡(luò)安全弱點進行重點修復�����,將安全風險降到最低���。
京公網(wǎng)安備 11010502041587號