8月15日,第三屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(CSS2017)在北京國家會(huì)議中心舉行。騰訊云鼎實(shí)驗(yàn)室負(fù)責(zé)人Killer進(jìn)行了主題為《云鼎視點(diǎn):公有云惡意代碼趨勢解讀》的分享,以下為Killer主要分享內(nèi)容:
隨著越來越多的企業(yè)逐步把自身IT基礎(chǔ)設(shè)施服務(wù)遷移到云上,云上的安全風(fēng)險(xiǎn)趨勢到底如何?近期重大勒索事件頻頻發(fā)生,企業(yè)該如何去有效提升自身的安全防護(hù)能力?在這里,我想跟大家分享一下我們云鼎實(shí)驗(yàn)室對云上安全風(fēng)險(xiǎn)的趨勢觀察,以及對企業(yè)用戶的一些建議。
一、云上安全風(fēng)險(xiǎn)趨勢
數(shù)據(jù)庫類服務(wù)端口風(fēng)險(xiǎn)高。端口就是服務(wù)器的入口,入侵者往往使用掃描器對目標(biāo)機(jī)器進(jìn)行端口掃描,然后實(shí)施攻擊和入侵。在去年和今年年初,爆出了多起企業(yè)數(shù)據(jù)庫服務(wù)被加密勒索事件,需要支付比特幣才可以獲得數(shù)據(jù)解密;今年3月1號,我們云鼎實(shí)驗(yàn)室發(fā)布的《MySQL 成勒索新目標(biāo),數(shù)據(jù)服務(wù)基線安全問題迫在眉睫》就對這些事件進(jìn)行了分析,主要是企業(yè)在在公網(wǎng)上開放了MySQL、Redis、Eelasticsearch等數(shù)據(jù)服務(wù)端口,同時(shí)由于存在弱密碼或者沒有密碼,黑客可以直接訪問,導(dǎo)致被黑客入侵勒索。
漏洞是造成入侵的主要途徑。根據(jù)我們對被入侵機(jī)器的入侵原因分析結(jié)果來看,漏洞是造成服務(wù)器被入侵的主要途徑,約超過60%的入侵事件跟漏洞有關(guān)。而國內(nèi)企業(yè),對漏洞的修復(fù)情況是非常不理想的。方程式漏洞被公布以后,我們針對MS17-010漏洞的修復(fù)進(jìn)展進(jìn)行監(jiān)測發(fā)現(xiàn),某企業(yè)在爆發(fā)一個(gè)月后只對其中約60%的漏洞機(jī)器進(jìn)行了修復(fù),兩個(gè)月后,還有24%的漏洞機(jī)器并未修復(fù),這樣就給入侵者提供了可乘之機(jī)。而在小型企業(yè),整體修復(fù)比例往往還要低得多。
密碼破解攻擊呈現(xiàn)常態(tài)化。相對于Web應(yīng)用漏洞,暴力破解的利用方式比較簡單,成功后可以直接獲得目標(biāo)服務(wù)器權(quán)限,從而進(jìn)一步進(jìn)行植入木馬、后門等操作,整個(gè)過程通過自動(dòng)化程序?qū)崿F(xiàn),是一種成本極低的攻擊方式。而據(jù)公開資料說,某IDC上日均遭受破解攻擊5萬次左右,騰訊云上每臺機(jī)器日均被攻擊2759次。云主機(jī)相對遭受的破擊攻擊次數(shù)少,這主要?dú)w功于云平臺廠商在網(wǎng)絡(luò)出口對一些惡意的破解行為做了自動(dòng)化攔截。
高危漏洞的出現(xiàn),容易造成木馬病毒感染高峰。NSA漏洞包公開Windows漏洞期間,木馬檢出量先后發(fā)生了兩次爆發(fā)。當(dāng)前云上監(jiān)測到的木馬文件主要分為兩大類型,Shell(占比80%)及二進(jìn)制木馬(占比20%)。Shell主要通過Web應(yīng)用漏洞上傳寫入,主要在入侵過程起到跳板的作用,方便進(jìn)一步進(jìn)行提權(quán)、植入惡意文件等操作;而二進(jìn)制木馬主要帶有挖礦、端口掃描、DDoS等惡意行為,是整個(gè)入侵的最終目標(biāo)植入。目前,利用NSA漏洞包漏洞傳播的病毒最多的并不是WannaCry,而是挖礦病毒。而WebShell已經(jīng)具有很強(qiáng)的免殺特性,建站工具弱口令問題則是WebShell的上傳主要來源。
服務(wù)器上安全軟件使用率偏低。目前,云上只有約7%的服務(wù)器使用了安全軟件,整體使用比例偏低,這里面,其中有很大一部分的用戶使用了PC安全防護(hù)軟件來解決服務(wù)器安全防護(hù)需求,說明目前國內(nèi)的服務(wù)器安全防護(hù)軟件在市場上影響力不大,也在一定程度上反映國內(nèi)的服務(wù)器安全軟件市場值得繼續(xù)大力投入。
二、云上更安全
企業(yè)面臨的整體安全環(huán)境并不樂觀:漏洞仍然是造成入侵的主要途徑;黑客也在逐步升級自己的技術(shù),一些低成本高收益的攻擊逐漸自動(dòng)化,例如密碼破解攻擊呈現(xiàn)常態(tài)化趨勢;隨著比特幣這類匿名電子貨幣的興起,使得黑客變現(xiàn)的主要方式從劫持肉雞流量進(jìn)行DDoS變現(xiàn),變成了加密勒索。
但前段時(shí)間,在WannaCry和暗云事件的爆發(fā)中,我們對云上用戶和普通用戶的感染風(fēng)險(xiǎn)進(jìn)行了對比。云上更安全的顯著統(tǒng)計(jì)差異,堅(jiān)定了我繼續(xù)深耕云安全的決心。
WannaCry勒索病毒的爆發(fā),使得全球150個(gè)國家受到了影響,在我們國內(nèi)也有10萬左右的用戶中招。據(jù)統(tǒng)計(jì),全球因此造成的損失達(dá)80億美元,并且深入影響到金融,能源,醫(yī)療等眾多行業(yè),造成嚴(yán)重的危機(jī)管理問題。部分企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后,導(dǎo)致無法正常工作。然而在云上的企業(yè)用戶,因?yàn)榧皶r(shí)做了大量的預(yù)警和防護(hù)工作,被感染的比例很小。
而近年來感染用戶最多的木馬之一,暗云,它的功能比較復(fù)雜,通過修改多個(gè)游戲微端,采用多種技術(shù)方案逃開殺軟檢測,還自掏腰包買流量,推廣感染的游戲微端,更新頻繁,影響用戶數(shù)百萬。病毒團(tuán)隊(duì)通過各種手段獲取暴利,更發(fā)動(dòng)針對國內(nèi)多家云服務(wù)商的DDoS攻擊。我們云鼎實(shí)驗(yàn)室在第一時(shí)間發(fā)現(xiàn)并確認(rèn)了樣本關(guān)聯(lián)性,并聯(lián)合騰訊電腦管家和多個(gè)安全合作伙伴進(jìn)行全網(wǎng)清理,有效降低了暗云木馬的影響。
三、對企業(yè)用戶提四點(diǎn)安全建議
第一是要重視數(shù)據(jù)備份。任何企業(yè)都需要考慮一些突發(fā)災(zāi)難或者黑客攻擊帶來的業(yè)務(wù)中斷,一旦遭受這類黑天鵝事件,快速恢復(fù)業(yè)務(wù)才能把損失降到最低,所以數(shù)據(jù)備份是一個(gè)十分重要且不可忽視的工作。我們在云上,可以方便的通過云平臺提供的鏡像備份,云存儲服務(wù)來實(shí)現(xiàn)對重要數(shù)據(jù)進(jìn)行備份。
其次是軟件要及時(shí)更新。前面提到,造成入侵的主要原因是自身存在漏洞,事實(shí)上,新漏洞爆發(fā)出來時(shí),軟件生產(chǎn)者都會(huì)第一時(shí)間公布修復(fù)補(bǔ)丁或者方案,對于運(yùn)維人員來說,及時(shí)打上補(bǔ)丁就可以消除漏洞風(fēng)險(xiǎn),目前看來,及時(shí)打補(bǔ)丁依然是對抗漏洞風(fēng)險(xiǎn)最有效的手段。
第三是提升員工安全意識。安全意識一定程度上代表了企業(yè)安全事件的出現(xiàn)幾率,很多企業(yè)發(fā)生的安全事件都是因?yàn)閮?nèi)部員工安全意識薄弱導(dǎo)致的。例如,某員工將公司網(wǎng)站代碼儲存到某第三方平臺,被發(fā)現(xiàn)后被大面積曝光,導(dǎo)致公司出現(xiàn)了嚴(yán)重的數(shù)據(jù)泄露風(fēng)險(xiǎn)。事實(shí)上,行業(yè)內(nèi)安全做得不錯(cuò)的成熟型企業(yè),都有一些機(jī)制來促使員工在日常工作中更多的思考安全風(fēng)險(xiǎn),定期進(jìn)行員工安全意識培訓(xùn)和考試還是容易做得到的。
最后一點(diǎn)建議就是基礎(chǔ)設(shè)施上云。業(yè)務(wù)上云后,你會(huì)發(fā)現(xiàn),便利性提升的同時(shí),整體安全防護(hù)水平也會(huì)提升。因?yàn)樵诨A(chǔ)設(shè)施層面,云平臺廠商會(huì)提供統(tǒng)一的安全運(yùn)維保障,而在服務(wù)和應(yīng)用層,云平臺廠商同樣會(huì)提供豐富的安全解決方案供企業(yè)選擇,所以,相對于云下,企業(yè)在云上可以低成本、更靈活地構(gòu)建起安全防護(hù)體系。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!