信息化觀察網(wǎng)

《2019年上半年云上企業(yè)安全指南》是阿里云基于對云安全中心監(jiān)測到的威脅情報(bào)進(jìn)行分析，形成的一份云上企業(yè)安全建設(shè)指南。通過對云上企業(yè)安全建設(shè)現(xiàn)狀及多維度威脅情報(bào)的分析，得出企業(yè)安全建設(shè)目前存在的突出問題以及面臨的主要安全風(fēng)險(xiǎn)，讓企業(yè)可以清晰地了解到做好云上安全建設(shè)的核心發(fā)力點(diǎn)；并通過提供針對性的安全建議及行動指南，助力云上企業(yè)用最少的時(shí)間、精力、成本建設(shè)更強(qiáng)壯的安全體系。

本文選取報(bào)告部分精華內(nèi)容與大家分享，詳細(xì)報(bào)告請點(diǎn)擊文末鏈接。

一、核心概要

1. 2019 年上半年排名前三的安全威脅是挖礦病毒、感染型病毒和木馬程序，由于企業(yè)未安裝主機(jī)安全產(chǎn)品導(dǎo)致被入侵的事件屢有發(fā)生。

2. 企業(yè)對病毒的認(rèn)識不足導(dǎo)致安全隱患長期存在。挖礦病毒已經(jīng)取代勒索病毒成為黑產(chǎn)獲利的主要手段，由于挖礦病毒造成的危害并不像勒索軟件那么直接，所以企業(yè)往往忽視或者不重視對挖礦病毒的防御，實(shí)際上，挖礦病毒竊取企業(yè)計(jì)算資源造成的破壞不可小覷。

3. 漏洞利用和弱口令爆破是黑客攻擊成功的主要方式，由此可見，及時(shí)修復(fù)高危漏洞、設(shè)置復(fù)雜口令并定期更換對于企業(yè)來說至關(guān)重要。對于影響范圍廣泛的漏洞，阿里云會上線默認(rèn)防御策略，防止云上用戶受影響，但是企業(yè)及時(shí)修復(fù)自身系統(tǒng)漏洞才能從根本上杜絕安全隱患。

4. 漏洞攻擊中的中間件漏洞入侵已經(jīng)成為攻擊主流，企業(yè)缺乏對中間件漏洞的檢測和修復(fù)能力是導(dǎo)致被攻擊的主要原因。

5. AccessKey泄漏成為企業(yè)數(shù)據(jù)安全隱形殺手，由于企業(yè)內(nèi)部缺乏有效的預(yù)防手段，導(dǎo)致 AccessKey 一旦泄露，造成的損失巨大。

6. 云上企業(yè)的安全意識亟待提高，很多安全事件的發(fā)生并不是新的安全威脅造成的，而是之前的安全漏洞并沒有被消除，例如，兩年前爆發(fā)的 WannaCry 勒索病毒目前依然是給企業(yè)帶來危害的最大家族，這說明仍然有很多企業(yè)沒有修復(fù) WannaCry 利用的 “永恒之藍(lán)” 漏洞。

二、企業(yè)安全建設(shè)現(xiàn)狀及威脅分析

1. 主機(jī)威脅概況

阿里云安全中心發(fā)現(xiàn)，挖礦病毒、感染型病毒、木馬程序是 2019 年上半年云上的主要安全威脅，如圖 3-1-1 所示。2018 年，挖礦病毒已經(jīng)成為企業(yè)公害，每一波熱門 0Day 的出現(xiàn)都伴隨著挖礦病毒的爆發(fā)性傳播。2019 年上半年，挖礦病毒依然以高達(dá) 38.78% 的占比穩(wěn)居榜首，這與近幾年各種虛擬貨幣頗受追捧不無關(guān)系；感染型病毒和木馬程序占比基本相同，分別為16.55%、16.31%。

值得注意是 2019 年上半年中，勒索病毒在所有威脅中僅占比 1.36%，但對企業(yè)的危害卻很大，因?yàn)槠髽I(yè)一旦中招勒索病毒，除了繳納贖金，幾乎無法恢復(fù)被黑客加密的數(shù)據(jù)。所以企業(yè)應(yīng)對勒索病毒時(shí)刻警惕，以免中招。

1.1. 挖礦病毒

圖 3-1-3 展示了挖礦病毒的感染趨勢，從中可以看出，從 2 月份開始感染量一直在持續(xù)增加，4 月份相對于 3 月份而言，增加的尤其明顯，近一倍的大幅提升。導(dǎo)致挖礦病毒持續(xù)上升有兩大主要原因：一是越來越多的黑客希望利用挖礦來獲利；二是企業(yè)對防御挖礦病毒的重視程度不夠，導(dǎo)致挖礦病毒的感染愈演愈烈。

挖礦病毒大部分是使用網(wǎng)上開源的門羅幣挖礦程序，再配合自動化腳本做持久化。云上用戶應(yīng)對挖礦病毒攻擊最有效的方式就是修復(fù)漏洞。因?yàn)椴《径际峭ㄟ^已知的漏洞進(jìn)行批量自動化的攻擊，因此確保漏洞及時(shí)發(fā)現(xiàn)和修復(fù)，是避免挖礦病毒攻擊的有效方式。

1.2. 感染型病毒

感染型病毒是在網(wǎng)絡(luò)環(huán)境中分布最廣的病毒類型，主要原因是被感染的程序會通過主機(jī)間的文件傳輸繼續(xù)感染其他主機(jī)，嚴(yán)重時(shí)可導(dǎo)致全網(wǎng)都被感染。從圖 3-1-4 可以看出，感染型病毒的感染量一直處于高位，這反映了很多企業(yè)的主機(jī)缺乏有效的反病毒能力，無法在第一時(shí)間攔截病毒，感染后也無法阻斷病毒的擴(kuò)散。

據(jù)阿里云安全中心觀察，弱口令爆破和第三方軟件傳播是感染型病毒主要的入侵傳播方式。弱口令爆破是利用企業(yè)在主機(jī)使用了不夠復(fù)雜的密碼，讓攻擊者可以使用弱口令庫結(jié)合腳本的方式實(shí)現(xiàn)自動化嘗試輸入口令登錄主機(jī)，以實(shí)現(xiàn)獲取主機(jī)密碼的方式。第三方軟件傳播是通過在下載站植入偽裝成正常軟件的病毒，誘導(dǎo)用戶下載并在主機(jī)運(yùn)行后成功實(shí)現(xiàn)感染主機(jī)的方式。

1.3. 網(wǎng)站后門

通過阿里云安全中心長期對攻防數(shù)據(jù)的觀察發(fā)現(xiàn)，黑客攻擊是導(dǎo)致webshell入侵的主要渠道，占比達(dá) 31.38%，如圖 3-1-7 所示。黑客通過攻擊獲得網(wǎng)站的管理工具的密碼，然后通過管理工具上傳腳本。常見的攻擊方式是爆破、弱口令。從這點(diǎn)可以看出，定期更換密碼、提高密碼復(fù)雜度的重要性，否則只會為黑客攻擊創(chuàng)造有利條件。

另外一點(diǎn)值得注意的是，企業(yè)對網(wǎng)站后門文件的處置率普遍不高，未處理率高達(dá) 82.83%，如圖 3-1-8 所示。很多企業(yè)由于安全意識不足或者欠缺專業(yè)安全運(yùn)營人員，而忽略了云安全中心的 Webshell 告警信息，即使對于已處置的企業(yè)來說，也存在部分企業(yè)處置不及時(shí)的問題。這種不處置或處置不及時(shí)的情況，進(jìn)一步導(dǎo)致了網(wǎng)站被黑客重復(fù)入侵、深入入侵等情況。從圖 3-1-7 可以看到，平均每天新增的 Webshell 中，通過老 Webshell 上傳新 Webshell 的方式位居第二大入侵方式，占比 19.16%。一旦新的 Webshell 上傳有可能會延長下次檢出的時(shí)間，延誤了清理時(shí)間可能會導(dǎo)致更多的網(wǎng)站后門被上傳。同時(shí)，植入的 Webshell 還可能被其他黑客利用，病毒源源不斷入侵，造成更大的危害。

1.4. 蠕蟲病毒

蠕蟲病毒是一種常見的計(jì)算機(jī)病毒，通過網(wǎng)絡(luò)和電子郵件進(jìn)行復(fù)制和傳播，傳播速度快、影響范圍廣。蠕蟲病毒一般出現(xiàn)在局域網(wǎng)內(nèi)，主要利用弱口令掃描爆破、SMB 協(xié)議的漏洞在局域網(wǎng)內(nèi)進(jìn)行橫向傳播，進(jìn)一步擴(kuò)大入侵的成果，拿下更多的機(jī)器。

在上半年，蠕蟲病毒并沒有突增的爆發(fā)情況，發(fā)展趨勢比較平緩，如圖 3-1-9 所示。弱口令爆破和共享服務(wù)是主要的入侵方式。

今年微軟爆出 RDP 協(xié)議的漏洞 CVE-2019-0708，阿里云安全中心在第一時(shí)間通知用戶修復(fù)漏洞，但就目前數(shù)據(jù)來看，還有大量用戶并未修復(fù)，雖然該漏洞可利用的要求較高，但也不排除黑客或是病毒通過該漏洞進(jìn)行大規(guī)模的感染。就像 2017 年 WannaCry 所使用的 “永恒之藍(lán)” 漏洞，從發(fā)現(xiàn)到爆發(fā)使用僅僅幾個(gè)月的時(shí)間。

1.5. 勒索軟件

伴隨著數(shù)字貨幣越來越流行，黑客們充分利用數(shù)字貨幣來謀取暴利的產(chǎn)物就是勒索病毒。這幾年勒索病毒越來越猖獗，是對企業(yè)造成危害最大的一類病毒。不同家族的勒索病毒如雨后春筍般涌現(xiàn)，且各個(gè)家族的版本迭代也非?？?。著名的勒索病毒 GandCrab 家族自 2018 年 1 月至 2019 年 6 月，從 1.0 版本更新到 5.2，獲利數(shù)十億美金。

在上半年，勒索病毒在 4 - 5 月份的攻擊態(tài)勢呈遞增趨勢，6 月份有所下降，如圖 3-1-10 所示，雖然沒有爆出新的勒索家族，但勒索病毒利用的漏洞數(shù)量在增加，惡意軟件入侵利用的方式越來越多，最新公布的 Nday 或者 0day 漏洞能迅速集成到黑客的武器庫中，并被黑客加以利用，傳播惡意軟件，這對企業(yè)的資產(chǎn)安全造成極大的威脅。云安全中心建議用戶在收到漏洞預(yù)警和告警的第一時(shí)間修復(fù)自身存在的漏洞，避免被黑客入侵，造成損失。

據(jù)阿里云觀察，弱口令是造成勒索病毒入侵的主要原因，除此之外，未修復(fù)的漏洞是第二大原因，且通過漏洞入侵趨勢正在增長。攻擊者們最喜歡利用的漏洞是 Weblogic 漏洞，也就是 Web 應(yīng)用所使用中間件。因?yàn)楹拖到y(tǒng)漏洞相比，這種類型的漏洞除了開發(fā)者不容易發(fā)現(xiàn)外，修復(fù)的成本也遠(yuǎn)比修復(fù)系統(tǒng)漏洞更高，建議用戶使用 Web 應(yīng)用防火墻避免網(wǎng)絡(luò)的漏洞攻擊利用，同時(shí)在服務(wù)器安裝主機(jī)安全產(chǎn)品，從而在惡意程序運(yùn)行時(shí)就及時(shí)進(jìn)行攔截，同時(shí)使用防篡改的產(chǎn)品，避免重要文件被篡改。

圖 3-1-11 展示了上半年勒索病毒家族分布情況。非常值得關(guān)注的是，WannaCry 病毒已爆發(fā)兩年之久，但目前依然是給企業(yè)帶來危害最大的家族，這說明依然有很多企業(yè)沒有修復(fù) WannaCry 利用的 “永恒之藍(lán)” 漏洞。不得不說，對于每個(gè)企業(yè)來說，有時(shí)候安全不僅僅是技術(shù)問題，而是意識問題。

1.6. AccessKey 泄露問題

API 憑證，在阿里云被稱為 AccessKey，簡稱 AK，作為用戶訪問內(nèi)部資源最重要的身份憑證，被外部人員惡意獲取或被內(nèi)部員工無心泄露的案例時(shí)有發(fā)生，其導(dǎo)致的數(shù)據(jù)泄露非常嚴(yán)重，因此如何做好 API 憑證管理和監(jiān)測就顯得非常重要。在大多數(shù) AK 泄露的案例中，都是開發(fā)者不小心將自己的AK提交到了任何人都可以訪問的公共代碼托管平臺，導(dǎo)致安全防線毀于一旦。

圖 3-1-12 是上半年企業(yè)AK泄漏的數(shù)量趨勢，雖然泄露數(shù)量的絕對值不算大，但是 AK 作為訪問企業(yè)內(nèi)部資源最重要的身份憑證，一旦外泄可能造成的損失將難以想象。

圖 3-1-13 是上半年 AK 調(diào)用異常的告警數(shù)量，這表示被泄漏的 AK 很有可能已經(jīng)被攻擊者成功利用來調(diào)用企業(yè)的服務(wù)，以達(dá)到獲取企業(yè)重要數(shù)據(jù)的目的。

阿里云率先和最大的開源代碼托管服務(wù)商 Github 合作，引入 Token 掃描機(jī)制。整個(gè)流程完全自動化，可以實(shí)現(xiàn)高效且精準(zhǔn)的檢測到在 Github 上泄漏的 AK。實(shí)際場景中，阿里云能夠做到在含有 AK 的代碼提交到 Github 的數(shù)秒之內(nèi)就通知用戶，盡可能減少對用戶產(chǎn)生的負(fù)面影響。

2. 網(wǎng)絡(luò)威脅

Web 應(yīng)用攻擊依然是互聯(lián)網(wǎng)安全的最大威脅來源之一，從攻擊的時(shí)間趨勢來看，2019 年上半年除了 2 月份春節(jié)以外，每個(gè)月的攻擊次數(shù)都成遞增趨勢，到 5 月每個(gè)月攔截的攻擊超過 19 億，6 月份攔截的攻擊突破 20 億，如圖 3-2-1 所示。

從圖 3-2-3 看到，2019 年的第二季度，連續(xù)兩個(gè)月 DDoS 攻擊流量接近 Tb 級，6 月份稍有下降。

據(jù)阿里云安全團(tuán)隊(duì)觀察，2019 年上半年應(yīng)用層攻擊形勢依然嚴(yán)峻，偽裝成正常應(yīng)用的惡意 APP 已讓海量移動設(shè)備成為新一代肉雞。目前已有五十余萬臺移動設(shè)備被用來當(dāng)做黑客的攻擊工具，達(dá)到 PC 肉雞單次攻擊源規(guī)模。傳統(tǒng)的簡單粗暴的將攻擊 IP 拉黑防御手段失效，企業(yè)需要具備快速的應(yīng)用層流量分析能力，同時(shí)必須準(zhǔn)確且自動化的產(chǎn)出多維度的防御策略。

3. 主機(jī)漏洞

圖 3-3-1 展示的是不同危害等級的漏洞分布情況，其中，中危和高危漏洞共占 26%，超過四分之一，這是企業(yè)最需要修復(fù)的兩類漏洞。

但從實(shí)際情況來看，企業(yè)對漏洞的修復(fù)率普遍不高。高危漏洞是對企業(yè)造成損失最大的一類漏洞，但是從 2019 上半年的數(shù)據(jù)來看，企業(yè)對高危漏洞的修復(fù)率僅占 6.11%，如圖 3-3-2 所示。這表示了企業(yè)普遍不理解漏洞存在的嚴(yán)重性及修復(fù)的必要性，或者是企業(yè)的安全意識不足，并未重視漏洞告警做出及時(shí)處理。

4. 安全基線

主機(jī)基線檢查，主要對操作系統(tǒng)、數(shù)據(jù)庫、中間件的身份鑒別、訪問控制、服務(wù)配置、安全審計(jì)、入侵防范等基礎(chǔ)安全配置以及登錄弱口令進(jìn)行風(fēng)險(xiǎn)檢測。

圖 3-4-2 展示了云上企業(yè)基線安全問題分布情況，其中操作系統(tǒng)配置弱點(diǎn)占比 82.22%，包括應(yīng)用層的中間件系統(tǒng)的配置基線占絕大部分，可以被直接利用的公網(wǎng)開放及弱密碼基線占比相對低，但以互聯(lián)網(wǎng)服務(wù)器的總數(shù)來看，數(shù)量級不可小覷。近期全球影響較大的安全事件均與利用基線風(fēng)險(xiǎn)有關(guān)，但兩者間并不是孰輕孰重的關(guān)系，而是相輔相成的關(guān)系。

三、安全建議

基于對2019年上半年云上企業(yè)安全建設(shè)現(xiàn)狀及面臨的安全風(fēng)險(xiǎn)的分析，我們給出如下安全自檢項(xiàng)目，企業(yè)可以進(jìn)行一一比對，從而找出自身的安全體系存在的問題：

1). 確保主機(jī)的基線檢查已經(jīng)通過；

2). 確保主機(jī)系統(tǒng)的中高危漏洞已經(jīng)修復(fù)；

3). 確保主機(jī)應(yīng)用使用模塊組件的漏洞已經(jīng)修復(fù)；

4). 確保主機(jī)網(wǎng)絡(luò)安全組配置正確；

5). 確保其他云產(chǎn)品的配置沒有安全隱患，例如數(shù)據(jù)庫的ACL、子母賬號的MFA設(shè)置等。

同時(shí)，我們給出如下行動指南，助力企業(yè)做好云上安全建設(shè)：

1. 做好主機(jī)安全

選擇有效的主機(jī)安全產(chǎn)品，以確保主機(jī)具備合格的反病毒和威脅檢測能力，從而有效預(yù)防病毒和黑客攻擊造成的破壞。

2. 縮小攻擊面

配置云防火墻，統(tǒng)一梳理云環(huán)境對互聯(lián)網(wǎng)的資產(chǎn)暴露情況，一鍵接入，智能防御。有效縮小網(wǎng)絡(luò)攻擊面，同時(shí)把網(wǎng)路邊界隔離做好，避免內(nèi)部攻擊的橫向感染。

3. 保障網(wǎng)絡(luò)安全

選擇有效的Web應(yīng)用防火墻和抗 DDoS 產(chǎn)品，可以有效阻擋來自網(wǎng)路的攻擊流量或是漏洞攻擊，避免攻擊造成的業(yè)務(wù)中斷。

4. 做好漏洞管理

中間件漏洞已經(jīng)成為主要的入侵方式，用戶需要選擇有具備應(yīng)用漏洞檢測的安全產(chǎn)品，從而確保在第一時(shí)間發(fā)現(xiàn)漏洞并修復(fù)。如果無法修復(fù)，也要確保網(wǎng)絡(luò)有 Web 應(yīng)用防火墻攔截漏洞利用的攻擊，同時(shí)在主機(jī)上安裝有效的安全產(chǎn)品及網(wǎng)頁防篡改能力的產(chǎn)品，以保障被入侵后可以有效的阻斷攻擊鏈。

5. 做好AccessKey安全

預(yù)防 AccessKey 泄漏最好的方式是在企業(yè)內(nèi)部建設(shè)良好的代碼規(guī)范和代碼掃描機(jī)制，保障代碼提交的時(shí)候就能夠第一時(shí)間檢測 AccessKey 是否寫到代碼中，避免被誤傳至 GitHub。同時(shí)企業(yè)可以考慮使用阿里云安全中心的 AK 泄漏檢測功能，在 AK 被上傳的第一時(shí)間發(fā)現(xiàn)，同時(shí)通過 AK 異常調(diào)用檢測功能實(shí)時(shí)檢測 AK 是否已經(jīng)被泄露并利用。