威胁研究正文

腾讯安全发布《2020年公有云安全报告》,重点剖析8大主流安全风险

2021-02-05 10:51:15

腾讯安全威胁情报中心对过去一年由腾讯云租户提交的各类网络安全事件工单进行统计分析,整理发布了《2020年公有云安全报告》(以下简称《报告》),对2020年公有云环境网络攻击特点进行总结,重点分析了恶意木马、云上勒索、异常登录、爆破攻击、漏洞风险、安全基线风险、高危命令执行,以及针对公有云的网络攻击等主流风险类型,数据显示多数风险呈明显增长态势。

产业互联网的升级换代,也同时带来网络安全的巨大变化。传统威胁是在客户端、企业私有云环境,随着业务上云,安全风险也随之上云。比如,以往传统认为linux系统没有恶意软件不需要安全软件,在产业互联网普及的今天,这一错误认知已彻底被打破。云端,已经成为硝烟弥漫的网络安全新战场。 

腾讯安全威胁情报中心对过去一年由腾讯云租户提交的各类网络安全事件工单进行统计分析,整理发布了《2020年公有云安全报告》(以下简称《报告》),对2020年公有云环境网络攻击特点进行总结,重点分析了恶意木马、云上勒索、异常登录、爆破攻击、漏洞风险、安全基线风险、高危命令执行,以及针对公有云的网络攻击等主流风险类型,数据显示多数风险呈明显增长态势。 

恶意木马事件明显上升,27%已发现木马未被及时处理 

报告显示,有6.3%的公有云环境曾在一个月内发生恶意木马事件。这表明,云上主机遭遇恶意木马威胁已经不是小概率事件(统计学上,低于5%的概率被认为是小概率事件)。其中常见类型有:挖矿木马、DDoS攻击木马、后门木马,又以挖矿木马最为流行。从处理结果看,在发现的恶意木马事件中,有27%未被及时处理,甚至有1%被信任。从每月恶意木马趋势看,有明显上升趋势。

 

腾讯安全专家建议政企用户重视云上服务器的恶意木马事件,恶意木马事件是云上主机存在安全弱点的最明确检测标志。切不可轻易将此类事件忽略或信任,推荐在每台云主机上部署主机安全产品,及时全面的检查云主机风险,才是正确的解决之道。 

云上勒索病毒需重点防范,主要表现数据库锁库勒索和勒索病毒加密 

在数以亿计的云上攻击事件中,勒索病毒攻击的案例相对较少,但因一旦发生,若没有可靠的数据恢复方案时,会造成无可挽回的后果,须特别提醒企业安全运维人员注意。云上勒索事件主要表现为数据库锁库勒索和勒索病毒加密两类,又以mysql锁库攻击较多见,攻击方式多为扫描公网开放的端口,再爆破入侵后登录数据库锁库、删库或运行勒索病毒。 

幸运的是,实践中,企业对重点业务较多采用了腾讯云提供的数据镜像恢复解决方案,腾讯云集成的腾讯安全威胁情报系统,对云上勒索进行快速响应,实时拦截,使攻击者难以得逞。尽管网络黑灰产业针对云上资产的勒索时有发生,但其危害规模不如针对企业私有网络的攻击。 

腾讯安全专家建议业务上云的政企机构采用腾讯云数据安全服务,定期备份重要数据,及时创建数据镜像,防止因意外丢失和云上勒索攻击而给企业造成重大损失。 

异常登录事件显著上升,22端口异常登录超2.5亿次 

通过腾讯主机安全(云镜)专业版检测到的异常登录数据,发现该威胁全年呈显著上升趋势。其中,linux云主机默认的远程登录端口22被异常登录的次数全年超过2.5亿次。而常用的rootworkgameadministrator等常见或默认用户名,产生异常登录的次数亦高达数千万次。


腾讯安全专家提醒政企机构运维人员充分利用腾讯主机安全的异常登录审计功能,重视异常登录事件告警,建议只将少数指定的登录源添加到信任白名单,通过访问控制策略限制风险IP登录。企业运维人员管理的用户名密码等敏感信息应妥善管理,防止泄露或被盗,坚决避免使用弱口令。 

爆破攻击事件全年超高频发生,默认用户名、端口名被攻击数十亿次 

爆破攻击全年明显上升,在攻击端口上,默认端口223389被爆破攻击达到惊人的32亿次和17亿次;从爆破攻击使用的用户名看,默认用户名被攻击达到70亿次,其中root37亿次、administrator33亿次、admin22亿次。


腾讯安全专家建议业务系统使用自定义的端口号和用户名,同时避免使用弱密码,以大幅减少爆破攻击风险。数据显示,自定义的用户名、端口号遭遇的异常登录次数显著低于默认值。建议企业网管制定严格的帐号密码管理策略,杜绝使用弱口令,密码定期更换。 

漏洞数量持续增大,有一半企业曾在3天内发现过漏洞风险 

由于企业业务环境复杂,采用的云上组件数量众多,更新迭代快,安全漏洞出现的风险随之增大。仅202012月,作为网络基础组件的OpenSSL 暴出拒绝服务漏洞(CVE-2020-1971),当月即成为2020年全年漏洞风险最大的一个月,存在漏洞的主机数量超过1000000台。

 

在漏洞风险类型统计中,拒绝服务漏洞、远程代码执行和任意文件读取漏洞为主要的高风险漏洞。按漏洞风险等级统计,中危占54%,高危占45%。按漏洞检测时间统计,发现54%的企业曾在3天内发现过漏洞风险,这表明有较多的安全漏洞并没有及时进行修复。 

腾讯安全专家建议政企机构安全运维团队使用腾讯主机安全(云镜)专业版对企业网上资产存在的漏洞情况进行检测摸底,制定漏洞修复管理策略,实施组件升级漏洞修复工作,减少黑客攻击的时间窗口。对于因资产多、业务复杂、来不及全面修复的高危漏洞,可通过配置腾讯云防火墙的入侵防御策略,启用“威胁情报+基础防御+虚拟补丁”的综合措施,拦截最流行最高发的漏洞攻击。

安全基线风险凸显,83%云上业务存在高中危隐患 

和漏洞风险相比,安全基线更加突出信息安全管理责任。通过基线检测,可以发现属于系统配置不当造成的黑客入侵隐患。通过腾讯主机安全(云镜)专业版的基线管理数据显示,政企机构云上资产基线管理现状不容乐观,11月发现的安全基线问题超过了700万条,政企机构云上业务存在高中危以上隐患的达到83% 

存在的基线风险主要有:Linux口令过期后账号最长有效天数策略、Linux帐户超时自动登出配置和限制root权限用户远程登录等等。


在多数情况下,一些系统或服务组件的默认配置,容易给黑客入侵提供方便,也容易被安全运维人员忽略,腾讯安全专家建议政企机构IT资产管理人员充分使用腾讯主机安全(云镜)专业版的基线管理功能,对企业网络资产进行全面检测普查,发现潜在的安全隐患,按照基线安全规范进行配置,使企业网络资产符合国家等保合规要求,按照安全基线标准检测、调整配置,可大幅减少黑客入侵攻击面。 

通过高危命令执行审计发现高风险操作 

高危命令有可能是黑客入侵执行的命令,可能造成破坏性影响。也有可能是企业运维人员日常操时执行的高风险命令。 

腾讯主机安全(云镜)专业版的检测数据显示,2020年云主机检测到的主要高危命令包括:设置操作命令不记录进日志、nc命令执行和wget下载后执行命令等,其中设置操作命令不记录进日志超过了250000次。


腾讯安全专家指出,高危命令并非一定由攻击者执行,如果运维人员过于频繁执行高危命令,可能存在安全管理疏忽大意、权限管理不够严谨等风险,需要企业IT负责人警惕。运维人员可以通过“标记正常”来设置白名单,从而减少干扰,当真正的攻击者使用高危命令时,可以及时发现。 

对公有云的网络攻击呈上升趋势,10月峰值达180万次 

2020年针对公有云的网络攻击事件整体呈上升趋势,10月达到峰值180万次,主要类型命令注入攻击全年超过170万次。根据腾讯云防火墙拦截到的网络攻击数据,以下列表中的漏洞攻击为2020年攻击利用次数最多的前20名。

腾讯主机安全(云镜)专业版或腾讯云防火墙可以第一时间拦截入侵者针对公有云主机的攻击活动,并对攻击数据包存档记录。通过对攻击数据包的技术分析,可以判断攻击者意图,发现攻击者的共同特征,对攻击者家族团伙进行归类追踪。还可以通过对一个攻击事件的分析,来全面评估全网受威胁的整体情况。 

安全建议:部署云原生安全防护体系,全面应对企业上云的新挑战 

面对快速增长的云上安全需求,腾讯安全依托20余年安全领域积累,围绕安全治理、数据安全、应用安全、计算安全和网络安全五个层面打造了云原生安全防护体系,并开放“腾讯级”安全能力,为各个行业的云上客户提供安全保障。 

针对日趋复杂的公有云安全威胁,腾讯安全专家建议政企机构部署云原生安全防护体系(腾讯云主机防护产品、腾讯云防火墙)来检测风险、防御风险、处置风险,对安全事件进行技术回溯分析,强化政企机构自身网络安全防护体系建设,依法打击各种网络攻击破坏活动。 

通过腾讯主机安全产品内建的基线检测能力,全面普查检测公有云网络资产存在的安全隐患,使其符合国家等保合规要求,最大限度缩小黑客攻击面。

在线咨询

方案定制