2019年云安全趋势分析（一）

《2019年国务院政府工作报告》提出，新旧动能接续转换包括传统产业升级和新兴产业的规模化，是中国未来发展的重点目标之一，这其中使当前的安全趋势发生了变化。

一、现状与趋势

安全包括两部分。云计算丰富的扩展性、便捷性使企业逐步接受了云。在上云过程中，安全是企业关注的重要因素。一方面是关注数据安全，另一方面是关注业务的稳定性。

云安全走向主动化。 近年来，企业的安全投资从威胁防御向主动检测转变，各云安全厂商均推出自己的安全运营产品，如态势感知、安全运营中心等。

AI等预测技术成为安全防护的方向。传统安全依赖于特征匹配模式，需要将漏洞、攻击事件写入特征库，而此模式存在滞后性，永远落后于攻击方。云情报、机器学习等AI技术正成为安全防护的重点。

二、2019上半年出现了一些典型的安全事件

5月14日，微软发布高危漏洞，其远程桌面RDP服务存在严重漏洞，可以在受攻击主机创建拥有完全用户权限的新帐户，覆盖XP至2008 R2版本。

6月，Linux TCP "SACK PANIC"漏洞，攻击者可利用该漏洞构造并发送特定SACKY序列请求至目标服务器，导致Server崩溃或拒绝服务。近十年的Linux内核版本均涉及此问题，影响面巨大。

三、安全事件向云上转移

大量企业把业务迁移上去，恶意程序也在向云上转移，而黑灰产利用云资源做恶意行为时，云服务商也将“背锅。

黑灰产借力云AI化。由于GPU、深度学习技术的突破，AI逐步替代许多劳动密集型工作，如训练验证码自动识别引擎、更拟人化的自动攻击攻击。未来的安全从业人员将与AI斗争。

漏洞发现和利用周期变短。新漏洞的发现和被恶意使用周期越来越短，使运维人员无法在合理短时间完成补丁。

精准勒索增多。黑客通过人工主动攻击后，确认高价值服务器后，将加密数据并勒索赎金。

四、云主机类的安全威胁

云主机是应用最广泛的云化设施。主要的安全风险来源于：

1、弱密码。如"123456"，"password"等弱口令

2、漏洞攻击。不同威胁级别的漏洞所造成的危害也有所不同。云服务商对漏洞的关注度明显提升，并开始自研漏洞检测引擎。其中RPC远程代码执行漏洞数29%，SQL注入漏洞34%。

3、暴力破解。只要破解的字典数够用，一定能够破解成功。1至6月，暴破攻击的来源IP在不断增加。攻击来源TOP：瑞典、郑州、南京、乌克兰等。境外攻击大多来源于欧洲，如瑞典、乌克兰。而国外攻击源都不是来自于互联网的一线城市。

4、恶意文件入侵。恶意文件入侵成本低、效率高，通过在服务器执行程序过程，被主动、被动植入。基于Linux的ELF程序、WebShell攻击文件最多。其中WebShell也就是在Web程序中挂码，主要程序体为PHP。