专栏首页腾讯安全首次公开云上攻击路径全景,腾讯安全联合GeekPwn发布《2019云安全威胁报告》
原创

首次公开云上攻击路径全景,腾讯安全联合GeekPwn发布《2019云安全威胁报告》

云计算因低成本、高配置以及安全等配套服务等突出优势,成为越来越多企业数字化转型升级的首要选择。

IDC最新预测数据显示,全球公有云收入到2021年将达到2783亿元,较之2017年同比增长87.36%。随着越来越多的企业选择上云,云上安全也成为云服务商和租户共同关注的话题。

近日,腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究,联合GeekPwn发布了《2019云安全威胁报告》(以下简称《报告》),在整体把握云安全威胁形势的基础上,对基础设施、数据、身份验证和访问管理、云中安全管理、微服务及Serverless以及跨云等云上安全威胁形势进行了梳理,并提出云服务厂商和使用方的责任共担已成为新威胁形势下的应对标配。

关注腾讯安全(公众号:TXAQ2019)

回复云安全威胁报告获取PDF精排版

云上攻击路径全景首次公开

云资源攻击占比近50%

云技术表现出的服务成本低、便捷性高、扩展性好等特点,在为用户提供更多层次服务的同时,也给云平台带来了更多可利用的攻击面。腾讯安全的情报数据显示,云资源作为攻击源的比例已占国内所有攻击源的45.55%。

(安全攻击来源占比统计)

《报告》首次对外披露了云鼎实验室基于真实云上攻防的研究,详细诠释了八条纵向和八条横向的云攻击路径。总体而言,攻击者既能在无任何授权的情况下自云外纵向进入云平台展开攻击,也能在进入云平台后通过横向迁移获取更多租户资源和数据。也是说,与传统攻击路径相比,云资源攻击表现出更为多元、复杂和脆弱的特性。

(攻击方式模型全景图)

伴随着云服务提供向底层资源共享方式不断延展的趋势加剧,云服务提供商和使用者对不同层次安全问题采取共同负担或分而治之的策略,是实现云上安全防护最佳实践的重要趋势。同时,对于构筑完善安全保障体系而来势在必行。

(安全责任共担模型)

2/3 DDoS攻击指向云平台

基础设施安全形势严峻

针对网络、主机和应用等基础设施的安全攻击由来已久。腾讯安全情报数据显示,约2/3的网络DDoS攻击事件都以云平台IP作为攻击目标,超99.6%的攻击流量皆小于200G,攻击趋势呈现出行业分布广泛、超大流量攻击次数增加、整体攻击次数减少、低成本高度集成管理的特点,给云服务上带来了更高级别的网络风险。

(DDoS攻击目标分布)

而在主机安全方面,由软硬件虚拟化带来的是传统安全与虚拟化安全威胁的糅合。其中,漏洞利用和恶意文件仍是传统主机安全面临的重要挑战。抽样数据显示,云中70%以上漏洞均为基线漏洞,且中风险漏洞超60%。此外,2019年云平台恶意文件数量月均增长17.5万/个,DDoS和代理类型的样本数量有所增加,侧面反映云平台主机资源滥用威胁不断加剧。除此之外,当下云平台还面临着包含存储、网络、管理等在内的虚拟化安全威胁。任何基于虚拟化技术的攻击都有可能对整个云上用户造成灾难性影响。

(云上漏洞类别占比图)

应用程序或软件作为云上企业开展业务直接使用的对象,其安全性直接关乎业务安全。腾讯云安全统计数据显示,SMB相关漏洞是黑产对应用发起攻击的首选手段,Web类攻击次之。除常规应用漏洞外,用于客户管理云服务和交互的API(应用程序编程接口)和UI(用户接口)如若设计不当,也将导致滥用甚至数据泄露。随着SaaS和PaaS应用的增加,云服务提供商成为应用安全防护的主力。

数据安全面临挑战

身份验证和访问管理成数据安全关键

《报告》指出,包括数据泄露、数据丢失以及隐私数据利用和泄露等在内的数据安全威胁已成为当前上云企业面必须直面的挑战。据Risk Based Security 统计,2019年上半年世界范围内已经发生了3813起数据泄露事件,被公开数据高达41亿条。腾讯安全情报数据显示,“数据”、“身份证”、“密码”等关于数据泄露的词汇在暗网的热词分析中占比极大。与此同时,因技术受限存在数据丢失风险和对个人隐私数据合规保护的法规出台,拓展着数据泄露带来的损失面和负面效益。

除此之外,来自身份验证和访问管理方面的安全威胁使得数据泄露面临着更为严峻的形势。《报告》指出,调查显示,约38%的云用户账户已处于危险之中。其中账户劫持占比最大,约为三分之一,且主要以自动化撞库为主要方式。

(黑产攻击方式占比图)

云主机资源滥用严重

云安全服务多元化趋势明显

一方面,云生态下数据所有权与管理权的分析使得云中的安全管理面临新挑战。腾讯安全云鼎实验室对腾讯云上的恶意文件分布情况进行分析后发现,云资源滥用行为逐步增多,其中,Linux和Windows操作系统的云主机已分别成为了DDoS攻击和代理类滥用行为的重灾区。由云资源滥用带来的安全威胁也在逐步增大,CNCERT抽样检测数据显示,针对境内目标IP的DDoS攻击中80.1%的攻击来源为国内云服务提供商,极大地影响云服务使用者的可用容量。

(Linux和Windows操作系统恶意样本占比图)

另一方面,为满足用户对云计算便捷部署、灵活拓展、数据中心统一等需求,应势而生的微服务和无服务器计算(Serverless)等新服务架构也带来了可利用攻击面扩大、传统监控方法失效等新安全管理问题。新服务模式的特征要求云上安全需要更具前瞻性的设计架构和囊括业务逻辑、代码、数据和应用程序等在内的安全配置。

除此之外,Gartner曾预测,到2020年,90%的企业将采用混合基础设施管理功能。Intercloud(跨云)趋势是企业未来的发展方向。云间的身份管理和身份认证、云服务安全架构、数据加密传输以及安全合规性将成为关乎企业安全管理的重要部分。另外,伴随着云计算在各领域的应用拓展,工业云平台和物联网云平台的安全性也将是未来安全威胁和管理的重点关注领域。

目前来看,云平台不仅要应对传统网络架构中存有的DDoS、入侵、病毒等常态问题,还要高度重视云平台架构的虚拟机逃逸、资源滥用、横向穿透等新安全问题。针对云安全“新旧”威胁糅合的安全形势,《报告》根据主机安全、数据安全、身份认证和访问管理等具体的安全威胁特征,提出了具有行业通用性的应对手段与防范建议。

例如针对数据安全问题,《报告》中提出云服务提供商需要负责为客户建立以数据为中心的安全架构,对数据产生、流动、存储、使用及销毁进行全流程加密保护;而云服务使用者则须细化身份认证和访问控制配置的颗粒度,配合账户安全管理,防止数据内部泄露。

(数据中台架构全景图)

《报告》强调云服务提供商和使用者之间的安全责任共担将是应对新威胁的关键思路。而腾讯安全作为国内领先的云安全厂商之一,将致力成为产业数字化升级的安全战略官,不断开放安全能力和产品,持续为云端企业高效御敌提供力量支撑。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 2019中国国际软件博览会上,我们又秀了一把黑科技

    ? AI、5G、云计算、大数据等信息化最新成果涌现的同时,信息安全再度成为关注焦点。 如何通过大数据的分析及可视化呈现,让全国网络设备的安全情况一目了然,实现...

    腾讯安全
  • 全新升级!腾讯云安全运营中心开放内测

    还记得在今年的CSS互联网安全领袖峰会上,我们提出要让安全“举重若轻”,降低企业安全建设的门槛。大量的企业IT小哥都想知道安全管理怎么“轻”,不仅每天要提防黑客...

    腾讯安全
  • 如何构建高效协同的企业级重保体系?答案在这里!

    近年来,企业级安全建设面临混合云、DevSecOps、零信任体系、敏捷开发要求等综合复杂场景引入,安全问题出现了不同于以往的新形态。如何在新形态下做好IPO等关...

    腾讯安全
  • 从SDLC到DevOps下的广义应用安全管控体系

    17年起,我们引入建立了适合内部研发的SDLC流程,在传统的研发模式下,一个需求从意向拆分到用户故事,再到开发子任务,一次迭代大多都要经过2周以上的时间。经过重...

    FB客服
  • 如何做一个好的安全运营工程师

    年底了给自己放个假,跑到了北极圈来吹冷空气,同时希望自己运气能够好一点看到高端版“光污染”,虽然人放假了,但是对于安全的思考不能停下。

    信安之路
  • CSS 云安全巅峰对话 先睹为快|北京见

    腾讯云安全
  • 浅谈华为SDL软件安全工程能力

    谈华为安全,缺一漏万,笔者认为其是在SDL领域国内最强的公司,其建设的难点也同互联网公司迥然不同,在于历史债务如何处理,如何做工程化,下面简单介绍下软件...

    Ramos
  • 在腾讯云+未来安全论坛,听赵伟、TK、Killer讲段子是什么体验?

    又到一年一度的腾讯云+未来峰会,笔者有幸受邀参加安全论坛,来广州听赵伟、TK、Killer等顶尖大佬同场PK。都说羊城热情似火,本人作证此言非虚,一下飞机就被3...

    FB客服
  • 塔秘 | 云计算的安全比以往任何时候都显得重要

    导读 云计算市场近几年的迅猛发展,使得越来越多的企业对云计算的认可度不断提高,这是得益于云计算确实给企业云业务所带来了便捷与高效等利好。与此同时,资本市场对于云...

    灯塔大数据
  • 定了!CSS 2019将于7月30日在京举办,聚焦产业互联网时代的安全之道

    产业互联网时代,企业如何应对全新的安全挑战?安全如何助力企业真正地实现降本增效?——来CSS 2019,解码产业互联网时代的安全之道。 2019年7月30日-...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券