2019上半年云安全趋势报告腾讯安全51页

2019上半年本报告为FreeBuf与腾讯安全联合研究成果。报告中所涉及的数据来自网上公开数据，或采取合法技术手段、深度调查、抽样调查等方式获取。由于统计方法不同、视角和数据观察维度不同，与市场实情可能存在一定误差。此外，报告中所涉及的人名均为化名。FreeBuf和腾讯安全对本文数据和内容拥有全部版权，未经许可不得擅自使用。本报告最终解释权归FreeBuf和腾讯安全所有。本文仅从学术角度做分析研究，任何非法行为都将受到法律严惩。关于FreeBuf研究院FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的信息安全网站与社区。FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，呈现有深度的安全行业现状和趋势分析。关于腾讯安全腾讯安全作为互联网安全领先品牌，致力于成为产业数字化升级进程中的安全战略官，依托20年多业务安全运营及黑灰产对抗经验，凭借行业顶尖安全专家、最完备安全大数据及AI技术积累，为企业从“情报-攻防-管理-规划”四维构建安全战略，并提供紧贴业务需要的安全最佳实践，守护政府及企业的数据、系统、业务安全，为产业数字化升级保驾护航。声明FreeBuf研究院：谢忱、鲍弘捷、施东奇、许皓翔、金方成城腾讯安全：刘志高、王婷、谢灿、宋兵、喻峰、张祖优、李智鹏、谭光西、郭佳楠、江慧敏、郭佳楠、周耀辉、王冠楠美术设计：姚媛出品方关于报告《2019上半年云安全趋势报告》基于互联网、产业互联网及相关领域在上云过程当中面临的安全态势、风险趋势、应对力量以及监管状态等进行了梳理，以期为行业提供阶段性的总结和建议，助力云上各方有策略的建立安全能力，更好应对安全风险。CONTENTSTWOONETHREE2.1现状与趋势2.1.1云安全对企业的战略意义凸显2.1.2AI等预测技术成为安全防护的重点2.1.3相关法律法规明确安全发展方向2.2危机预警情况2.3危害案例2019上半年云安全概况Cloudsecurityoverview3.1黑灰产借力云AI化3.2漏洞曝光和利用周期变短3.3黑产犯罪国际化趋势明显3.4针对性勒索增多云安全黑灰产新变化Cloudsecurityblackashproductionnewchanges引言IntroductionFOURFIVE4.1云主机类4.1.1云主机安全意识概况4.1.2云主机漏洞概况4.1.3云主机暴力破解概况4.1.4恶意文件入侵4.2DDoS4.2.1DDoS攻击趋势4.2.2DDoS攻击形势4.2.3DDoS攻击产业链4.3数据安全4.3.1什么数据最受黑灰产偏爱4.3.2常见的数据泄露方式4.3.3数据安全趋势4.4风控安全4.4.1营销风控4.4.2内容风控4.4.3金融风控5.1安全运营建议5.2云主机防护建议5.3DDoS防护建议5.4数据安全建议5.5风控安全建议重点威胁及攻击趋势分析Keythreatsandattacktrendanalysis安全建议SecurityadviceCHAPTERONE引言第一章引言《2019年国务院政府工作报告》提出，新旧动能接续转换包括传统产业升级和新兴产业的规模化，将成为中国未来发展的重点目标之一。依托产业互联网构建新型的、产业级的数字形态，打通各产业间、内外部的连接，以新兴产业的技术提高传统产业效率、以传统产业的市场带动新兴产业规模，达到1+12的效果，从而能够支持动能转换更好更快地实现。产业互联网以数据作为基础，综合运用互联网、移动互联网、物联网、大数据、云计算、人工智能等下一代信息技术，来促进传统产业转型升级，同时带动新兴产业发展。利用信息技术，传统产业的物理产品将嵌入越来越多的数字功能。这促进了硬件产品向软件化、服务化的方向发展，使得用户和企业都可以持续保持连接和交互，按使用购买服务的方式将广泛普及。随着云计算等企业级技术应用的发展普及，产业互联网实际已经在各行各业展开实践。广度上不仅覆盖服务业、工业和农业，还从商业扩展到公益和政府，整个社会走向全面互联网；深度上，从营销服务、生产研发到运营管理，互联网渗透到组织内部的各个环节。数据信息由此实现从消费端到供给端的高效流通，数字产业与传统产业相互协同带动，助推中国经济迈向高质量发展阶段。在新旧动能接续转换的过程中，传统产业的数字化升级和新兴产业的数字化能力建设，使当前的安全趋势发生了变化。《2019年上半年云安全趋势报告》基于互联网、产业互联网及相关领域在上云过程当中面临的安全态势、风险趋势、应对力量以及监管状态等进行了梳理，以期为行业提供阶段性的总结和建议，助力云上各方有策略的建立安全能力，更好应对安全风险。2019上半年云安全趋势报告CHAPTERTWO2019上半年云安全概况2019上半年云安全趋势报告第二章2019上半年云安全概况2019年上半年，数字化转型的浪潮席卷全球，越来越多的企业开始应用云计算技术。云计算丰富的扩展性、便捷性逐步成为促进企业积极上云的驱动因素。在选择是否上云的过程中，安全是企业首要关注的问题，一方面，企业重视对自身数据在云端的安全性，另一方面，企业也担心自身业务的稳定性是否能够在云上得到保证。2019年3月，Gartner发布了2019年七大新兴安全和风险管理趋势。Gartner指出，安全和风险管理对于企业的业务能力和成果具有战略意义，企业的安全投资正在从威胁防御向威胁检测转变。此外，随着云计算在各行各业的不断渗透，网络安全的人才缺口不断扩大，专业安全供应商的价值愈发受到重视，而云计算平台投资的主要方向也在向云安全能力方向迁移。目前，国内的各大云平台厂商均推出或更新了自身的安全运营系产品，如态势感知、安全运营中心等，加强用户侧风险管理和运营。2.1现状与趋势2.1.1云安全对企业的战略意义凸显2019年上半年的另一个明显变化就是云情报、机器学习等人工智能预测技术成为安全防护的重点。传统的安全架构中，较多依赖特征匹配的模式。在这种模式中，防护设备需要先将某个漏洞或攻击事件写入特征库，然后才能防御或检测该类攻击，而且安全特征库数量非常有限，在云环境中存在一定滞后性和局限性，防护方永远落后于攻击方，对0day等未知威胁无能为力。如今，网络安全界的潮流是转后手为先手，让安全变得更主动、更前置，主要的技术手段包括云安全情报和机器学习预测技术。2.1.2AI等预测技术成为安全防护的重点密集出台的法律法规和标准，明确了几个安全发展方向，一是网络安全等级保护作为国家网络安全保障的基本制度、基本策略、基本方法，监管对象有了很大扩展，等级保护建设和测评成为安全合规的必经之路。二是保护作为“国家基础性战略资源”的数据，对重要数据和个人信息的数据安全和控制权等提出更高要求。加之等保2.0及密码法（征求意见稿）等法案的发布，进一步确保了核心数据资产保护及加密策略的有效应用。三是安全可信，可信计算已成为保卫我国网络安全战略的核心技术，从通信网络、区域边界、计算环境构建健康、安全、可信的网络体系。最后是国产密码技术，加密算法是安全的基础，国产密码技术将在关键基础行业加强推广力度。2.1.3相关法律法规明确安全发展方向2019年上半年，腾讯云官网累计发布高危预警38次，其中对云上用户影响面较广且危害极高的漏洞覆盖Windows、Linux、Unix等多个版本系统，同时也覆盖到了Kubernetes、Docker、runC等云相关容器及运行环境以及包含Tomcat、ThinkPHP等常用应用。2019年5月14日，微软发布了高危安全漏洞CVE-2019-0708紧急通告，披露了其操作系统远程桌面服务（RemoteDesktopServices）存在严重安全漏洞，攻击者在没有任何授权的情况下，可以直接远程攻击操作系统开放的3389服务，在受害主机上执行恶意攻击行为，包括安装后门，查看、篡改隐私数据，创建拥有完全用户权限的新账户，影响范围从WindowsXP到Windows2008R2。腾讯安全云鼎实验室情报团队监测到来自暗网的RDP漏洞探测流量，正在为下一步的攻击收集相关情报。2019年6月，腾讯云安全中心情报平台监测到LinuxTCPSACKPANIC远程拒绝服务漏洞，攻击者可利用该漏洞构造并发送特定的SACK序列请求到目标服务器，导致服务器崩溃或拒绝服务。近十年的Linux内核版本包括Unix均在影响范围之内，由于本次的漏洞涉及内核处理TCP协议问题，影响面巨大。除此之外，2019年上半年还出现了不少“明星漏洞”：2.2危机预警情况2.3危害案例TOPTENOFMAXIMUMIMPACTVULNERABILITY2019上半年影响范围最大漏洞TOP1001LinuxTCPSACKPANIC远程拒绝服务漏洞（CVE-2019-11477,CVE-2019-11478,CVE-2019-11479）影响范围广：近10年的Linux内核均在受影响范围，涉及Redhat、CentOS、Debian、Ubuntu、FreeBSD等发行系统，涉及全球数百万主机排名上榜漏洞影响范围广：近10年的Linux内核均在受影响范围，涉及Redhat、CentOS、Debian、Ubuntu、FreeBSD等发行系统，涉及全球数百万主机。上榜理由：危害大，影响面较广：企业操作系统方面虽然只影响Server2003和Server2008/2008R2操作系统，但漏洞可被远程直接控制，且漏洞一旦被利用，具备类似Wannacry的感染力，故排名第二。上榜理由：02WindowsRDP服务远程代码执行漏洞预警（CVE-2019-0708）影响面广，硬件漏洞：虽然属于信息泄露漏洞，危害较低，但由于是硬件类漏洞，总会引起行业高度关注，因为本身利用难度较高也开始逐步被大众遗忘。上榜理由：03Intel处理器微体系架构数据采样（MDS）漏洞风险预警影响面广，硬件漏洞：借Spectre（“幽灵”）漏洞之势，再次进入大众视野，同上面的MDS漏洞，几乎所有现代英特尔处理器都存在该漏洞，但由于利用难度、修复复杂度等原因，最终也没有掀起大的波澜。上榜理由：04IntelSPOILER信息泄露漏洞容器界影响极广的漏洞：runc是一款广泛用于生成及运行容器的CLI工具，Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层均存在漏洞，该漏洞允许恶意攻击者对主机系统进行root访问，被称为多年以来容器领域曝出的最为严重的问题。上榜理由：05容器运行环境runC逃逸漏洞（CVE-2019-5736）频繁而危险：可以说这五个字形容再贴切不过，属于比较危险（可导致远程代码执行）的漏洞，同时也是频繁出现的漏洞，历史上Weblogic的RCE不在少数，每次也是缝缝补补的。上榜理由：06OracleWebLogic组件远程代码执行漏洞预警（CVE-2019-2725，CVE-2019-2729）值得关注的容器漏洞：容器安全在2019年上半年开始被各行各业重点关注，尤其是这次的权限逃逸，让大家对容器安全开始更加重视，此次的漏洞影响虽然集中在本地，但容器的使用不当（如运行不信任的容易，在节点执行dockercp），却也会放大该漏洞的危害。上榜理由：07Dockercp命令容器权限逃逸安全漏洞（CVE-2018-15664、CVE-2019-11246、CVE-2019-1002101）看似危害很大实际国人体味不深的漏洞：该漏洞各大外媒报道受影响量达数百万主机，而国内讨论声寥寥，可说是“雷声大，雨点小的漏洞。上榜理由：09知名邮件代理程序Exim远程代码执行漏洞（CVE-2019-10149）小有威力的本地提权漏洞：大家理解的本地提权可能影响有限，但由于默认安装到了Ubuntu18.04，且漏洞PoC很快公布，在一小段时间里却也引起了大家较大关注。上榜理由：10UbuntuSnap本地提权漏洞（CVE-2019-7304频发RCE的CMS漏洞：