云鼎安全视点:基于腾讯云的安全趋势洞察

随着越来越多的企业逐步把自身 IT 基础设施服务迁移到云上,云上的安全风险趋势到底如何?近期重大勒索事件频频发生,企业该如何去有效提升自身的安全防护能力?在这里,我想跟大家分享一下我们云鼎实验室对云上安全风险的趋势观察,以及对企业用户的一些建议。

云鼎实验室 Killer 

2017/8/15

▲腾讯云鼎实验室负责人 Killer 在 CSS 2017

云上安全风险趋势

数据库类服务端口风险高

端口就是服务器的入口,入侵者往往使用扫描器对目标机器进行端口扫描,然后实施攻击和入侵。在去年和今年年初,爆出了多起企业数据库服务被加密勒索事件,需要支付比特币才可以获得数据解密;今年3月1号,我们云鼎实验室发布的《MySQL 成勒索新目标,数据服务基线安全问题迫在眉睫》就对这些事件进行了分析,主要是企业在在公网上开放了 MySQL、Redis、Eelasticsearch 等数据服务端口,同时由于存在弱密码或者没有密码,黑客可以直接访问,导致被黑客入侵勒索。

漏洞是造成入侵的主要途径

根据我们对被入侵机器的入侵原因分析结果来看,漏洞是造成服务器被入侵的主要途径,约超过60%的入侵事件跟漏洞有关。而国内企业,对漏洞的修复情况是非常不理想的。方程式漏洞被公布以后,我们针对 MS17-010 漏洞的修复进展进行监测发现,某企业在爆发一个月后只对其中约60%的漏洞机器进行了修复,两个月后,还有24%的漏洞机器并未修复,这样就给入侵者提供了可乘之机。而在小型企业,整体修复比例往往还要低得多。

密码破解攻击呈现常态化

相对于 Web 应用漏洞,暴力破解的利用方式比较简单,成功后可以直接获得目标服务器权限,从而进一步进行植入木马、后门等操作,整个过程通过自动化程序实现,是一种成本极低的攻击方式。而据公开资料说,某 IDC 上日均遭受破解攻击5万次左右,腾讯云上每台机器日均被攻击2759次。云主机相对遭受的破击攻击次数少,这主要归功于云平台厂商在网络出口对一些恶意的破解行为做了自动化拦截。

高危漏洞的出现,容易造成木马病毒感染高峰

NSA 漏洞包公开 Windows 漏洞期间,木马检出量先后发生了两次爆发。当前云上监测到的木马文件主要分为两大类型,Shell(占比80%)及二进制木马(占比20%)。Shell主要通过Web应用漏洞上传写入,主要在入侵过程起到跳板的作用,方便进一步进行提权、植入恶意文件等操作;而二进制木马主要带有挖矿、端口扫描、DDoS 等恶意行为,是整个入侵的最终目标植入。目前,利用 NSA 漏洞包漏洞传播的病毒最多的并不是 WannaCry,而是挖矿病毒。而 WebShell 已经具有很强的免杀特性,建站工具弱口令问题则是 WebShell 的上传主要来源。

服务器上安全软件使用率偏低

目前,云上只有约7%的服务器使用了安全软件,整体使用比例偏低,这里面,其中有很大一部分的用户使用了 PC 安全防护软件来解决服务器安全防护需求,说明目前国内的服务器安全防护软件在市场上影响力不大,也在一定程度上反映国内的服务器安全软件市场值得继续大力投入。

云上更安全

企业面临的整体安全环境并不乐观,漏洞仍然是造成入侵的主要途径;黑客也在逐步升级自己的技术,一些低成本高收益的攻击逐渐自动化,例如密码破解攻击呈现常态化趋势;随着比特币这类匿名电子货币的兴起,使得黑客变现的主要方式从劫持肉鸡流量进行 DDoS 变现,变成了加密勒索。

但前段时间,在 WannaCry 和暗云事件的爆发中,我们对云上用户和普通用户的感染风险进行了对比。云上更安全的显著统计差异,坚定了我继续深耕云安全的决心。

WannaCry 勒索病毒的爆发,使得全球150个国家受到了影响,在我们国内也有10万左右的用户中招。据统计,全球因此造成的损失达80亿美元,并且深入影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。部分企业的应用系统和数据库文件被加密后,导致无法正常工作。然而在云上的企业用户,因为及时做了大量的预警和防护工作,被感染的比例很小。

而近年来感染用户最多的木马之一,暗云,它的功能比较复杂,通过修改多个游戏微端,采用多种技术方案逃开杀软检测,还自掏腰包买流量,推广感染的游戏微端,更新频繁,影响用户数百万。病毒团队通过各种手段获取暴利,更发动针对国内多家云服务商的 DDoS 攻击。我们云鼎实验室在第一时间发现并确认了样本关联性,并联合腾讯电脑管家和多个安全合作伙伴进行全网清理,有效降低了暗云木马的影响。

对企业用户提四点安全建议

01

第一是要重视数据备份。任何企业都需要考虑一些突发灾难或者黑客攻击带来的业务中断,一旦遭受这类黑天鹅事件,快速恢复业务才能把损失降到最低,所以数据备份是一个十分重要且不可忽视的工作。我们在云上,可以方便的通过云平台提供的镜像备份,云存储服务来实现对重要数据进行备份。

02

其次是软件要及时更新。前面提到,造成入侵的主要原因是自身存在漏洞,事实上,新漏洞爆发出来时,软件生产者都会第一时间公布修复补丁或者方案,对于运维人员来说,及时打上补丁就可以消除漏洞风险,目前看来,及时打补丁依然是对抗漏洞风险最有效的手段。

03

第三是提升员工安全意识。安全意识一定程度上代表了企业安全事件的出现几率,很多企业发生的安全事件都是因为内部员工安全意识薄弱导致的。例如,某员工将公司网站代码储存到某第三方平台,被发现后被大面积曝光,导致公司出现了严重的数据泄露风险。事实上,行业内安全做得不错的成熟型企业,都有一些机制来促使员工在日常工作中更多的思考安全风险,定期进行员工安全意识培训和考试还是容易做得到的。

04

最后一点建议就是基础设施上云。业务上云后,你会发现,便利性提升的同时,整体安全防护水平也会提升。因为在基础设施层面,云平台厂商会提供统一的安全运维保障,而在服务和应用层,云平台厂商同样会提供丰富的安全解决方案供企业选择,所以,相对于云下,企业在云上可以低成本、更灵活地构建起安全防护体系.

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-08-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人称T客

SAP管理系统隐患不断 细数这些年的安全事件

在前些年我们不太注重企业管理的安全,但是随着斯诺登事件的爆发,国家开始对安全可控进行重新定义,安全问题一夜之间成为全民热议的焦点,作为全球知名的管理软件厂商SA...

3699
来自专栏云鼎实验室的专栏

云鼎安全视点:基于腾讯云的安全趋势洞察

随着越来越多的企业逐步把自身IT基础设施服务迁移到云上,云上的安全风险趋势到底如何?近期重大勒索事件频频发生,企业该如何去有效提升自身的安全防护能力?

1690
来自专栏FreeBuf

电网遭受攻击停电怎么办?DARPA斥资860万美元计划打造电网攻击预警系统

美国国防高级研究计划局(DARPA)钦定BAE Systems来加快网络开发的进程,这将有助于在恶意网络攻击后恢复电网。 美国国防高级研究计划局(DARPA)本...

1849
来自专栏黑白安全

重视GitHub类安全威胁 从企业外部风险监测入手

黑客在黑市出售客户数据的事件时有发生,而GitHub作为主流的面向开源及私有软件项目的托管平台,似乎每逢重大数据泄露事件发生,总能看到它的身影。

623
来自专栏安恒信息

企业安全最佳实践:多层级对抗DDoS攻击

 最近《纽约时报》报道了反垃圾邮件组织Spamhaus如何深受史上最大型DDoS攻击之害。很少有人会忘记那次针对全球金融机构JP Morgan Chase,We...

2728
来自专栏腾讯云安全的专栏

行业首批︱腾讯云云镜荣获云计算产品信息安全和 CSA CSTR 双证书

腾讯云云镜通过公安部第三研究所检测中心联合云安全联盟的严格评测,成为首批通过该认证的极少数产品之一。

9.3K3
来自专栏金融民工小曾

无卡支付、快捷支付、代扣有什么区别?

无卡支付,指无须开通网银,利用支付验证要素,结合安全认证,让持卡人完成互联网支付的支付方式。具有统一、快速、便捷三大特点。一般来说,交易时录入四要素即可完成支付...

892
来自专栏人称T客

SAP终于修补拖了3年之久的软件漏洞 用户至上在哪儿?

T客汇官网:tikehui.com 撰文 |人称T客 ? 根据Onapsis的调查报告,全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响,可能导...

2816
来自专栏FreeBuf

浅析煤炭企业如何进行工控安全建设

煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成,它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能全面的安全生产信息应用系...

733
来自专栏FreeBuf

MongoDB数据库遭大规模勒索攻击,被劫持26000多台服务器

MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。 ? “MongoDB启...

3529

扫码关注云+社区