2020開年,一場新冠肺炎疫情迅速蔓延,病毒打破了物理邊界,對人類社會的發展帶來了不可預料的變數。而在陸、海、天、空外的「第五空間」——網絡空間,隨著物理與虛擬世界的深度融合,未知的威脅不斷觸碰安全紅線,預防網絡安全刻不容緩。這其中,對企業而言,主機是承載企業數據和服務的核心,是抗擊網絡威脅的最後一公裡防線,如何解決其安全隱患尤為關鍵。
為使各行各業的組織機構全面而清晰地了解當前主機安全狀況,以及如何守護主機安全。近日,青藤雲安全攜手中國產業網際網路發展聯盟(IDAC)、騰訊標準、騰訊安全,共同發布《2019中國主機安全服務報告》。該報告以理論結合實踐為指導思想,通過前期大量數據調研,分析當前我國主機安全整體狀況、主機安全產品成熟度,為主機安全未來的發展指明了方向。
4個維度20個視角剖析主機整體狀況
本報告將從主機資產概況、主機風險分析、主機入侵檢測、主機合規分析四個方面詳細分析2019年主機安全的整體概況。
清點擁有哪些資產
如果沒有完整的、詳細的主機資產清單,安全運維團隊將無法確保組織機構的安全,因為任何人都無法保護「未知」事物的安全性。本報告通過分析大量的企業級主機核心資產情況,從而為各企業制定安全防護策略提供支持和幫助。
通過統計分析發現,在企業級客戶中,超過81.45%的主機使用都是Linux作業系統,只有18.55%主機使用的是Windows作業系統。這其中原因有很多,比如Linux兼容性更好、模塊化、資源消耗少等等原因,讓很多客戶都會選擇Linux系統。
圖一:不同主機作業系統的使用比例
通過對樣本數據的分析可知,74%的主機上都存在UID為0、GID為0、Root/Administrator帳號、Sudo權限等特殊帳號。這些特殊帳號,往往會成為備受黑客青睞的資產,屬於高危重點保護資產。
圖二:主機特殊帳號的使用情況
此外,在樣本數據分析中,發現在Linux系統中,使用最多的Web服務應用是Tomcat服務,高達58%,其次是Nginx,使用率達到了32%。
圖三:Linux Top5 Web服務的使用情況
而在Windows環境下,IIS使用最多,達到47%,其次是Tomcat,達到36%。另外,Apache和Nginx的使用也佔到了一定比例。
圖四:Windows Top5 Web服務的使用情況
評估存在什麼風險
為了在黑客入侵前發現系統風險點,安全人員需要通過專業的風險評估工具,對風險進行檢測、移除和控制,來減小攻擊面,包括安全補丁、漏洞、弱密碼、應用風險、帳號風險等。
基於漏洞所影響的主機數量,發現2019年影響範圍最大的TOP10漏洞,有很多都是前幾年的漏洞。尤其是針對那些老舊資產,補丁修復更是嚴重不足,因此,這些漏洞就成為了黑客入侵的突破口。
圖五:2019年影響主機TOP10的漏洞
除了漏洞風險之外,在對Web伺服器等網際網路空間資產做空間測繪後發現,有大量的資產開放了高危埠,存在較高的安全隱患。例如,很多黑客攻擊者很喜歡嘗試入侵22、3389埠。如果主機存在弱密碼登錄的情況,很容易就被暴破成功,進而伺服器被黑客控制。特別是今年曝光的 BlueKeep(CVE-2019-0708)、Windows RDS(CVE-2019-1181),均是Windows遠程桌面服務的漏洞並且危害巨大,而3389又是Windows遠程桌面的默認埠,開放3389的Windows伺服器更容易受到入侵攻擊。建議伺服器修改默認的遠程連接埠,如無必要,可關閉該埠。
圖六:常見高危埠的開放情況
此外,不同服務都有一些具有各自服務特色的弱口令,有一部分是安裝時的默認密碼。比如MySQL資料庫的默認密碼為空。通過分析發現,主機軟體弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應用上,其中MySQL和SSH弱密碼問題更是超過了30%。
圖七:主機軟體弱密碼盤點
木馬病毒也是主機中最常見的風險,風險木馬類軟體在各行業的染毒事件中佔比最高(40%以上),科技行業相對其他行業感染風險木馬軟體的比例更小。由於風險木馬軟體的感染主要是不良的上網習慣及缺乏安全意識引起的(如使用盜版軟體或外掛工具等),可能科技行業從業人員的上網安全意識相對更高。
感染型木馬在教育行業感染比例相對較高,可能和該行業頻繁的文件交互傳輸有關。
圖八:不同行業感染病毒類型分布
後門遠控類木馬是除了風險軟體之外感染量最大的染毒類型,佔比在20%左右。後門遠控類木馬有著極高的隱蔽性,接受遠程指令執行信息竊取、截屏、文件上傳等操作,對金融科技等信息敏感行業可造成極大危害。
檢測存在什麼攻擊
通過對暴露在公網的伺服器做抽樣分析發現,在常見的攻擊類型中,遠程代碼執行(RCE)、SQL注入、XSS攻擊類型比例較高,同時黑客為了獲取伺服器、網站的基本信息,常見的探測性掃描(Probe Scan)量同樣非常高。
圖九:常見主機漏洞
2019年,全國企業用戶伺服器病毒木馬感染事件超百萬起。其中Webshell惡意程序感染事件佔73.27%;Windows惡意程序感染事件佔18.05%;Linux惡意程序感染事件佔8.68%。
圖十:主機感染病毒木馬的情況
從感染主機中,總共發現超1萬種木馬病毒,其中Webshell約佔27%,Windows木馬病毒約佔61%,Linux木馬病毒約佔12%。
圖十一:病毒木馬種類分布
由上文可知,2019年Webshell惡意程序感染事件為近80萬起,佔所有感染事件的70%。從被感染伺服器的數量來看,Windows伺服器感染Webshell佔所有Windows伺服器的約44%,Linux伺服器感染Webshell佔所有Linux伺服器的約0.2%。這說明Windows伺服器更容易受到Webshell的攻擊。
從感染的Webshell語言類型來看,PHP類型的Webshell是最多的,其次是ASP語言。
圖十二:Webshell語言類型的比例分布
此外,在本報告中,根據不同作業系統樣本數據進行分析,總共發現超過3000臺Windows伺服器感染了挖礦木馬,其中超2000臺Linux伺服器感染了挖礦木馬。
通過對被感染的主機進行分析,發現挖礦木馬主要挖比特幣與門羅幣。猜測其原因,可能是比特幣是數字貨幣的開創者,其價值非常高,當仁不讓地成為黑客的重點關注對象。而門羅幣則是新興的數字貨幣,由於主要使用CPU進行挖礦,所以黑產團夥喜歡利用入侵伺服器進行挖礦。從入侵挖礦時間的角度來看:
Windows平臺挖礦事件主要出現的年初(1月-3月)和年底(12月)如下圖所示:
圖十三:Windows平臺挖礦事件月度統計
但是,Linux平臺挖礦事件主要集中在年中(4月-6月)和年底(11月-12月):
圖十四:Linux平臺挖礦事件月度統計
可以看出,無論Windows平臺還是Linux平臺,年底都是挖礦入侵事件的高發時期,這段時間需要重點關注伺服器是否出現CPU佔用過高的情況。
判斷是否滿足合規
所有企事業單位的網絡安全建設都需要滿足國家或監管單位的安全標準,如等保2.0、CIS安全標準等。安全標準,也稱為「安全基線」。安全基線的意義在於為達到最基本的防護要求而制定一系列基準,在金融、運營商、網際網路等行業的應用範圍非常廣泛。通過合規基線進行自查和自加固可以更好地幫助企業認清自身風險現狀和漏洞隱患。
主機帳號安全性的重要性不言而喻,但是在樣本分析過程中,我們仍然發現很多帳號存在不合規情況,例如未設置密碼嘗試次數鎖定、未設置密碼複雜度限制等,這不符合國家等級保護相關要求。在等保2.0通用基本要求的身份驗證控制項中明確要求「應對登錄的用戶進行身份標識和鑑別,身份標識具有唯一性,身份鑑別信息具有複雜度要求並定期更換」、「應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施」。
圖十五:主機帳號的不合規情況
此外,主機伺服器上承載了非常多的應用,如果應用中存在不合規的情況,例如配置錯誤、未修補的漏洞補丁等。那麼黑客通過應用就能進入主機系統內部,這將帶來極大風險。
圖十六:常見應用的配置風險
當然,如果沒有對主機底層的作業系統進行適當配置,就會引發許多安全問題。建議安全運維人員能夠謹慎配置主機來滿足組織機構的安全需求,並能夠根據需求重新配置。通過研究分析樣本數據,發現GRUB密碼設置、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機系統風險中所佔比例最多的三類。
圖十七:主機系統不合規的情況分析
3個層面解讀未來主機安全進化方向
正如達爾文《進化論》說,進化來源於突變,而安全面對的正是「不可預知的未來」。主機安全作為網絡安全領域中的重要分支,面對難以預測黑客攻擊手段,傳統的防範、阻止策略已經行不通。
一方面,攻擊者和防守者處於天然不對等的地位,傳統基於報警或已存在的威脅特徵的檢測技術,包括防火牆、IPS、殺毒、沙箱等被動防禦手段,更是讓這種不平等愈發嚴重。很多被黑客攻陷的企業組織,雖然已經構建了一定的安全防禦體系,但仍然沒能及時發現或阻止威脅,將損失降到最低。主要是因為當下檢測體系在應對未知威脅過程中存在一些不足,表現為以下幾個方面:
檢測技術單一:基於籤名檢測技術無法檢測未知威脅,更無法定位失陷主機。
缺乏持續檢測:只能做階段性檢測,無法覆蓋威脅的全生命周期。
無法進行聯動:各安全檢測產品獨立工作,攻擊告警信息割裂,無法聯動。
另一方面,當前安全攻防對抗日趨激烈,單純指望通過防範和阻止的策略已行不通,必須更加注重檢測與響應。企業組織要在已遭受攻擊的假定前提下,構建集防禦、檢測、響應和預防於一體的全新安全防護體系。這從2019年6月網絡演習的規則也能看得出來,不強制要求系統不被入侵,而是強調入侵之後的快速響應能力。
最後,隨著雲計算的快速發展,多雲和雲原生趨勢漸漸成為主流,面對多雲、雲原生等新型架構也不斷湧現,原有的主機安全產品如何適配新的架構,也成為了企業不得不考慮的話題。
為了應對外在環境的不斷演進,主機安全防護軟體也在不斷更新迭代,衍生出了一系列細分領域的主機安全產品。從主機安全產品發展級別來看,大體上可以概括為「基礎性的主機安全產品」、「以應用為核心的主機安全產品」、「以檢測響應為核心的主機安全產品」、「以主動防禦為核心的主機安全產品」、「新形態下的主機安全產品」五個階段。
圖十八:主機安全成熟度曲線
我們可以洞見,未來,作為企業基礎建設的必需品,主機安全產品只有向「持續檢測、快速響應、全面適配」方向發展,才能助力企業更好地應對不可知的未來。
寫在最後
《2019中國主機安全服務報告》宏大的理論體系,不僅促進了市場全面理解中國主機安全的現狀,且為主機安全的發展指明了方向。未來,作為國內主機安全領導者,青藤將不斷加深該領域的探索與推進,持續助力政府、金融、網際網路、運營商、醫療、教育等不同行業用戶,築牢網絡安全最後一公裡防線,為中國網絡安全事業輸出源源不斷的安全免疫力!
(來源:金羊網)