騰訊安全發布《2020年公有雲安全報告》,重點剖析8大主流安全風險

2021-02-23 騰訊安全威脅情報中心


長按二維碼關注

騰訊安全威脅情報中心

 

產業網際網路的升級換代,也同時帶來網絡安全的巨大變化。傳統威脅是在客戶端、企業私有雲環境,隨著業務上雲,安全風險也隨之上雲。比如,以往傳統認為linux系統沒有惡意軟體不需要安全軟體,在產業網際網路普及的今天,這一錯誤認知已徹底被打破。雲端,已經成為硝煙瀰漫的網絡安全新戰場。

 

騰訊安全威脅情報中心對過去一年由騰訊雲租戶提交的各類網絡安全事件工單進行統計分析,整理髮布了《2020年公有雲安全報告》(以下簡稱《報告》),對2020年公有雲環境網絡攻擊特點進行總結,重點分析了惡意木馬、雲上勒索、異常登錄、爆破攻擊、漏洞風險、安全基線風險、高危命令執行,以及針對公有雲的網絡攻擊等主流風險類型,數據顯示多數風險呈明顯增長態勢。

1

惡意木馬事件呈上升趨勢,27%已發現木馬未被及時處理

報告顯示,有6.3%的公有雲環境曾在一個月內發生惡意木馬事件。這表明,雲上主機遭遇惡意木馬威脅已經不是小概率事件(統計學上,低於5%的概率被認為是小概率事件)。其中常見類型有:挖礦木馬、DDoS攻擊木馬、後門木馬,又以挖礦木馬最為流行。從處理結果看,在發現的惡意木馬事件中,有27%未被及時處理,甚至有1%被信任。從每月惡意木馬趨勢看,總體呈上升趨勢,其中8、9、10三個月漲幅明顯。

 

騰訊安全專家建議政企用戶重視雲上伺服器的惡意木馬事件,惡意木馬事件是雲上主機存在安全弱點的最明確檢測標誌。切不可輕易將此類事件忽略或信任,推薦在每臺雲主機上部署主機安全產品,及時全面的檢查雲主機風險,才是正確的解決之道。

2

雲上勒索病毒需重點防範,主要表現資料庫鎖庫勒索和勒索病毒加密

在數以億計的雲上攻擊事件中,勒索病毒攻擊的案例相對較少,但因一旦發生,若沒有可靠的數據恢復方案時,會造成無可挽回的後果,須特別提醒企業安全運維人員注意。雲上勒索事件主要表現為資料庫鎖庫勒索和勒索病毒加密兩類,又以mysql鎖庫攻擊較多見,攻擊方式多為掃描公網開放的埠,再爆破入侵後登錄資料庫鎖庫、刪庫或運行勒索病毒。

 

幸運的是,實踐中,企業對重點業務較多採用了騰訊雲提供的數據鏡像恢復解決方案,騰訊雲集成的騰訊安全威脅情報系統,對雲上勒索進行快速響應,實時攔截,使攻擊者難以得逞。儘管網絡黑灰產業針對雲上資產的勒索時有發生,但其危害規模不如針對企業私有網絡的攻擊。

 

騰訊安全專家建議業務上雲的政企機構採用騰訊雲數據安全服務,定期備份重要數據,及時創建數據鏡像,防止因意外丟失和雲上勒索攻擊而給企業造成重大損失。

3

異常登錄事件顯著上升,22埠異常登錄超2.5億次

通過騰訊主機安全(雲鏡)專業版檢測到的異常登錄數據,發現該威脅全年呈顯著上升趨勢。其中,linux雲主機默認的遠程登錄埠22被異常登錄的次數全年超過2.5億次。而常用的root、work、game、administrator等常見或默認用戶名,產生異常登錄的次數亦高達數千萬次。

騰訊安全專家提醒政企機構運維人員充分利用騰訊主機安全的異常登錄審計功能,重視異常登錄事件告警,建議只將少數指定的登錄源添加到信任白名單,通過訪問控制策略限制風險IP登錄。企業運維人員管理的用戶名密碼等敏感信息應妥善管理,防止洩露或被盜,堅決避免使用弱口令。

4

爆破攻擊事件全年超高頻發生,默認用戶名、埠名被攻擊數十億次

爆破攻擊全年明顯上升,在攻擊埠上,默認埠22和3389被爆破攻擊達到驚人的32億次和17億次;從爆破攻擊使用的用戶名看,黑客使用默認用戶名爆破攻擊達70億次,其中root超37億次、administrator近33億次、admin近22億次。

 

騰訊安全專家建議業務系統使用自定義的埠號和用戶名,同時避免使用弱密碼,以大幅減少爆破攻擊風險。數據顯示,自定義的用戶名、埠號遭遇的異常登錄次數顯著低於默認值。建議企業網管制定嚴格的帳號密碼管理策略,杜絕使用弱口令,密碼定期更換。

5

漏洞數量持續增大,有一半企業曾在3天內發現過漏洞風險

由於企業業務環境複雜,採用的雲上組件數量眾多,更新迭代快,安全漏洞出現的風險隨之增大。僅2020年12月,作為網絡基礎組件的OpenSSL暴出拒絕服務漏洞(CVE-2020-1971),當月即成為2020年全年漏洞風險最大的一個月,存在漏洞的主機數量超過1000000臺。

在漏洞風險類型統計中,拒絕服務漏洞、遠程代碼執行和任意文件讀取漏洞為主要的高風險漏洞。按漏洞風險等級統計,中危佔54%,高危佔45%。按漏洞檢測時間統計,發現54%的企業曾在3天內發現過漏洞風險,這表明有較多的安全漏洞並沒有及時進行修復。

 

騰訊安全專家建議政企機構安全運維團隊使用騰訊主機安全(雲鏡)專業版對企業網上資產存在的漏洞情況進行檢測摸底,制定漏洞修復管理策略,實施組件升級漏洞修復工作,減少黑客攻擊的時間窗口。對於因資產多、業務複雜、來不及全面修復的高危漏洞,可通過配置騰訊雲防火牆的入侵防禦策略,啟用「威脅情報+基礎防禦+虛擬補丁」的綜合措施,攔截最流行最高發的漏洞攻擊。

和漏洞風險相比,安全基線更加突出信息安全管理責任。通過基線檢測,可以發現屬於系統配置不當造成的黑客入侵隱患。通過騰訊主機安全(雲鏡)專業版的基線管理數據顯示,政企機構雲上資產基線管理現狀不容樂觀,11月發現的安全基線問題超過了700萬條,政企機構雲上業務存在高中危以上隱患的達到83%。

 

存在的基線風險主要有:Linux口令過期後帳號最長有效天數策略、Linux帳戶超時自動登出配置和限制root權限用戶遠程登錄等等。

 

在多數情況下,一些系統或服務組件的默認配置,容易給黑客入侵提供方便,也容易被安全運維人員忽略。騰訊安全專家建議政企機構IT管理運維人員充分使用騰訊主機安全(雲鏡)專業版的基線管理功能,對企業網絡資產進行全面檢測排查,發現潛在的安全隱患,按照基線安全規範進行配置,使企業網絡資產符合國家等保合規要求,按照安全基線標準檢測、調整配置,可大幅減少黑客入侵攻擊面。

高危命令有可能是黑客入侵執行的命令,可能造成破壞性影響。也有可能是企業運維人員日常操時執行的高風險命令。

 

騰訊主機安全(雲鏡)專業版的檢測數據顯示,2020年雲主機檢測到的主要高危命令包括:設置操作命令不記錄進日誌、nc命令執行和wget下載後執行命令等,其中設置操作命令不記錄進日誌超過了250000次。

騰訊安全專家指出,高危命令並非一定由攻擊者執行,如果運維人員過於頻繁執行高危命令,可能存在安全管理疏忽大意、權限管理不夠嚴謹等風險,需要企業IT負責人警惕。運維人員可以通過「標記正常」來設置白名單,從而減少幹擾,當真正的攻擊者使用高危命令時,可以及時發現。

8

騰訊雲防火牆攔截的漏洞攻擊數據顯示,Weblogic最受青睞

2020年針對公有雲的網絡攻擊事件整體呈上升趨勢,騰訊雲防火牆的入侵防禦功能10月份的攔截次數達到峰值:180萬次。根據騰訊雲防火牆攔截到的網絡攻擊數據,以下列表中的漏洞利用為2020年漏洞利用次數最多的前20名。列表可見有7個CVE歸屬於Weblogic組件,Apache相關組件、Jenkins也在其中。

騰訊安全專家建議安全運維人員儘快修復以上黑客最熱衷使用的安全漏洞。如果由於某些特殊原因,無法及時修補漏洞時。推薦開啟騰訊雲防火牆的基礎防禦功能和虛擬補丁功能進行防禦。騰訊安全團隊會快速跟蹤、響應那些熱門、易利用、危害嚴重、影響面廣的高危漏洞,通過及時發布攔截規則和熱補丁,在用戶未能及時安裝補丁時,也可攔截漏洞利用。

騰訊主機安全(雲鏡)專業版或騰訊雲防火牆,對於利用漏洞對雲主機進行的攻擊活動,可在攔截威脅的同時將攻擊數據包存檔記錄。通過對攻擊數據包的技術分析,可判斷攻擊者意圖,發現攻擊者的共同特徵,對攻擊者家族團夥進行歸類追蹤。還可以通過對單個攻擊事件的分析,來評估全網受威脅的整體情況。


安全建議:部署雲原生安全防護體系,全面應對企業上雲新挑戰

針對日趨複雜的公有雲安全威脅,騰訊安全專家建議政企機構部署雲原生安全防護體系(騰訊雲主機防護產品、騰訊雲防火牆)來檢測風險、防禦風險、處置風險,對安全事件進行技術回溯分析,強化政企機構自身網絡安全防護體系建設,依法打擊各種網絡攻擊破壞活動。

 

通過騰訊主機安全產品內建的基線檢測能力,全面排查檢測公有雲網絡資產存在的安全隱患,使其符合國家等保合規要求,最大限度縮小黑客攻擊面。

相關焦點

  • 騰訊雲11·11:千億訂單背後的安全「暗戰」
    那麼針對這些問題,騰訊雲是如何助力其電商客戶解決?本文將從海量並發、安全性、用戶體驗幾個方面,深入講解騰訊雲電商平臺最佳實踐方案。回顧近年來的電商大促,最具特色的便是搶購、秒殺活動了,而這也使得 Web 訪問量可能瞬間陡增十倍甚至是數十倍,對接入層、邏輯層的按需、實時、快速平行擴展能力提出了較高的要求,如選用傳統的硬體設備搭建集群,會遇到成本高昂,運維繁瑣等問題。
  • 騰訊安全對SolarWinds供應鏈攻擊事件的技術分析及產品應對
    2020年12月13日,據海外媒體報告,某黑客組織掌控了美財政部電子郵件系統進行間諜活動(Suspected Russian hackers spied on U.S.並表示,到目前為止發現的黑客攻擊可能只是冰山一角,白宮於上周六召開國家安全委員會會議討論此問題。騰訊安全正密切關注該事件,已對該事件進行應急響應。據外媒報告,網絡間諜通過暗中篡改IT公司SolarWinds發布的軟體更新而獲得的,該公司為美政府客戶提供服務。
  • 天空衛士發布專注數據安全的雲戰略
    由於雲計算平臺的複雜性,其安全範疇也同樣包含廣泛,需要從多個層次和維度去看待雲安全要求,解決雲安全問題。天空衛士發布的雲安全戰略,則是基於雲數據安全保護,以人和數據為核心,幫助企業應對公有雲、私有雲和混合雲環境下的安全威脅,讓安全防護走在威脅攻擊的前面。
  • 公有雲平臺DDoS防護系統揭秘
    >模擬私有協議的真實設備流量攻擊(CFA)帶調度平臺的公有雲高防服務方案將來PC殭屍IDC殭屍主機IoT移動終端1T攻擊常態化以上攻擊類型總和基於運營商近源清洗的公有雲高防服務方案從公有雲廠商基礎設施建設的第一天開始就在遭受DDoS
  • SHC-Miner挖礦團夥通過SSH爆破攻擊上千臺雲主機,騰訊主機安全支持查殺
    被入侵的雲主機將被修改登錄密碼,添加名為shindei的管理員權限帳戶,添加系統免密登錄配置,使失陷系統被黑客完全控制,進而導致信息洩露風險。攻擊者下載植入的多個惡意模塊互相守護運行,進行挖礦運算會大量消耗系統資源,將嚴重影響正常業務系統運行。已部署騰訊主機安全、騰訊雲防火牆的系統均安然無恙。攻擊者使用的惡意程序大部分為ELF文件格式,基於x86_64指令集。
  • 中國「網絡安全」的 12 大頂級企業實驗室
    2021年,奇安信代碼安全實驗室研究員曾為微軟發現「高危漏洞」,黑客利用此漏洞,則可以獲得企業員工電腦的控制權,從而攻破企業的安全防護措施,直接獲得內部網絡和數據的訪問權,造成極大的安全問題。該漏洞是首個由國內安全研究員發現並提交的蠕蟲級漏洞,危害巨大,CVSS 評分為9.8分,堪比去年微軟修復的類似漏洞 (CVE-2020-1350)。
  • 中國成為全球APT攻擊的主要受害國之一——《騰訊安全2018年APT研究報告》
    針對企業的APT攻擊最終會殃及普通網民,2018年典型的攻擊案例之一是黑客團夥對驅動人生公司的定向攻擊,通過控制、篡改伺服器配置,利用正常軟體的升級通道大規模安裝雲控木馬。騰訊御見威脅情報中心高級持續性威脅(APT)研究小組在長期對全球範圍內的APT組織進行長期深入的跟蹤和分析,我們根據我們的研究成果以及各大安全廠商的APT攻擊報告,完成了該份2018年APT研究報告。
  • 360安全大腦重磅發布:2020全球高級持續性威脅APT研究報告
    該報告立足國內放眼全球網絡安全建設,並綜合360全網安全大數據、360高級威脅研究院全年研究成果,以及第三方公開情報數據,研判2020年全球高級持續性威脅整體態勢,呈現獨家觀點及安全態勢解析,深度揭示全球APT未來發展態勢。
  • DarkSide勒索黑客攻擊美最大燃油管道商,騰訊安全專家解讀勒索黑客行為
    也有部分勒索黑客會利用殭屍網絡控制的肉雞渠道分發。 第二步,擴散勒索黑客入侵某一臺主機之後,往往並不立即運行勒索病毒,而是儘可能的利用各種攻擊手法在目標網絡橫向擴散以增加受控主機數量。勒索黑客在此階段會通過下載各種攻擊工具包,包括流行漏洞利用工具、密碼提取工具、遠程控制木馬或後門、下載密碼字典繼續使用爆破入侵等等。
  • Windows Installer在野提權0day漏洞風險通告,騰訊安全已應急響應
    2020年12月26日,國外安全研究員公開了一個Windows Installer(MSI 管理器)的0day提權漏洞,該漏洞允許攻擊者在最新的Windows系統中完成特權提升。由於目前還沒有補丁,該漏洞尚處於0day階段,但漏洞利用代碼(EXP)已被公開,意味著該漏洞風險極大,且黑客的惡意利用可能很快到來。騰訊安全專家建議用戶不要隨意點擊可疑程序(攻擊者可能通過郵件、社交媒體工具等途徑發送誘餌文件),安裝騰訊電腦管家或零信任無邊界訪問控制系統(iOA)可檢測已出現的在野攻擊樣本。
  • 安全報告 | SSH 暴力破解趨勢:從雲平臺向物聯網設備遷移
    導語:近日,騰訊雲發布2018上半年安全專題系列研究報告,該系列報告圍繞雲上用戶最常遭遇的安全威脅展開,用數據統計揭露攻擊現狀,通過溯源還原攻擊者手法
  • 騰訊安全的「進化戰爭」
    2017年在上海舉辦的國家網絡安全宣傳周上,騰訊安全又強勢刷了一波存在,我又見到了騰訊系的幾位安全大佬。我想通過幾個有代表性的大咖,回憶一下騰訊在安全方面這幾年的「進化戰爭」。王琦告訴我,今年的極棒將會把美國站作為一個重頭戲,重點就是各種對人工智慧的破解。這已經是目前網絡安全的最前沿了。據說目前已有一眾神秘黑客報名,預計到時候,又會吸引一波公眾的注意力。
  • 美發布《2020年中國軍事和安全發展報告》
    圖:《2020年中國軍事和安全發展報告》封面據媒體翻譯整理,該報告的主要內容包括:(1)中國的國家戰略,即2049年實現「中華民族的偉大復興」,並討論了中國的對外政策、經濟政策、國防政策與軍事戰略等。(2)新時代中國武裝部隊的任務、使命與現代化建設,在2035年前基本完成軍事現代化,並在2049年前將解放軍發展成為「世界一流」軍隊。
  • 2017「一帶一路」沿線國家安全風險地圖發布
    「安全與發展是相互依存的關係,只有做好萬全準備應對『一帶一路』建設中存在的風險,才能使倡議紮實推進。」日前中國現代關係研究院院長特別助理李偉主編的2017年《「一帶一路」沿線國家安全風險地圖》正式發布。  《「一帶一路」沿線國家安全風險地圖》系國內最早「一帶一路」沿線國家安全風險分析和預警專著,自2015年開始,每年發布。
  • Mirai殭屍網絡騰訊雲防火牆攔截量暴漲,請雲租戶加強防範
    從騰訊雲防火牆捕捉的攻擊數據包看,該團夥還同時掃描攻擊物聯網設備,包括存在未授權遠程命令執行漏洞(CVE-2020-9054)的ZyXEL NAS設備,存在命令注入漏洞(CVE-2018-10562)的GPON家用光纖路由器設備等。
  • 騰訊安全截獲TeamTNT挖礦木馬最新變種,失陷主機被安裝IRC後門,攻擊者可實現任意目的
    趨勢科技在12.18發布的文章中提到TeamTNT在部署具有DoS功能的IRC Bot TNTbotinger,騰訊安全威脅情報中心也監測到TeamTNT變種利用IRC進行通信控制肉雞伺服器組建殭屍網絡,此次使用的IRC採用的是github開源的oragono,暫未檢測到後門有執行拒絕服務(DoS)功能。
  • 網絡安全與國家安全,休戚與共
    20年來,中國網際網路抓住機遇,快速推進,中國已是名副其實的網絡大國。但一些數據顯示,大不一定強,中國離網絡強國目標仍有差距。網絡安全失守,對國家來說,可能意味著對整個國家安全的威脅;對個人來說,風險一點兒也不少。  網絡已成大國新的爭奪戰場  放眼世界,各國都在大力加強網絡安全建設和頂層設計。
  • 騰訊安全檢測到新勒索病毒MAKOP通過郵件傳播
    makop勒索病毒出現於2020年1月下旬,這是一個新出現的勒索家族,該病毒加密文件完成後會添加.makop擴展後綴,目前已知主要通過惡意郵件渠道傳播。makop病毒作者疑似俄語系國家,根據其在網絡公開的更新計劃,可知在近期時間內病毒更新頻繁,由於該病毒使用RSA+AES的方式加密文件,暫無有效的解密工具,因此,我們提醒各政企機構提高警惕,做好安全防範措施。
  • 騰訊主機安全(雲鏡)捕獲新挖礦木馬LoggerMiner,該木馬感染Docker容器,功能在持續完善中
    /product/cfw騰訊T-Sec  主機安全(Cloud Workload  Protection,CWP)已支持檢測:LoggerMiner挖礦木馬相關文件查殺 騰訊主機安全(雲鏡)提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。
  • 盤點 | 成都鏈安:8月發生較典型安全事件超『39』起.本月安全事件頻發,整體風險評級為『高』,需敲響警鐘
    本月安全事件的整體風險評級為『高』,需區塊鏈生態各項目方引起重視,防微杜漸。與7月相比,8月各版塊所發生的安全事件均呈上漲趨勢。YFI創始人Andre Cronje也在推特表示,該項目確實存在風險,需手動取消授權。Defi項目仍是當下階段的熱門趨勢,有許多項目上線後,就被曝出嚴重的安全漏洞。成都鏈安建議:各大項目方在項目上線之前,一定要做好安全審計工作,根除安全隱患,從而減少不必要的損失。