腾讯安全联合GeekPwn发布《云安全威胁报告》云资源攻击占比接近50%

万博manbetx官网登录
iverskiy.com

云计算因低成本、高配置以及安全等配套服务的连带附加等突出优势,成为越来越多企业数字化转型升级的首要选择。IDC最新预测数据显示,全球公有云收入到2021年将达到2783亿元,较之2017年同比增长87.36%。随着越来越多的企业选择上云,云上安全也成为云服务商和租户共同关注的话题。

近日,腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究,联合GeekPwn发布了《2019云安全威胁报告》(以下简称《报告》),在整体把握云安全威胁形势的基础上,对基础设施、数据、身份验证和访问管理、云中安全管理、微服务及Serverless以及跨云等云上安全威胁形势进行了梳理,并提出云服务厂商和使用方的责任共担已成为新威胁形势下的应对标配。

针对网络、主机和应用等基础设施的安全攻击由来已久。腾讯安全情报数据显示,约2/3的网络DDoS攻击事件都以云平台IP作为攻击目标,超99.6%的攻击流量皆小于200G,攻击趋势呈现出行业分布广泛、超大流量攻击次数增加、整体攻击次数减少、低成本高度集成管理的特点,给云服务上带来了更高级别的网络风险。

(数据中台架构全景图)

2/3 DDoS攻击指向云平台,基础设施安全形势严峻

(DDoS攻击目标分布)

尼玛白珍对于氆氇编织 “情有独钟”,这是她养家糊口的营生。“我现在一个月工资有4000元,在微信上卖氆氇和藏装每月还有一两千元提成,家里生活够用了。”尼玛白珍说。

(黑产攻击方式占比图)

来自日喀则市谢通门县的多杰,患有先天性双腿残疾,行走靠双拐,加之长期营养不良,瘦骨嶙峋,23岁的小伙子看起来只有10岁孩子身材大小。

除了小额信贷金融产品,产业扶贫贴息贷款也有力撬动了民族手工艺企业的发展潜能,助扶贫工作一臂之力。

(linux和windows操作系统恶意样本占比图)

(安全责任共担模型)

例如针对数据安全问题,《报告》中提出云服务提供商需要负责为客户建立以数据为中心的安全架构,对数据产生、流动、存储、使用及销毁进行全流程加密保护;而云服务使用者则须细化身份认证和访问控制配置的颗粒度,配合账户安全管理,防止数据内部泄露。

“钻、金、银、铜”四卡小额信用贷款是中国农业银行西藏自治区分行为农牧民研发的4种贷款产品,其中钻石卡最高贷款额度为30万元。

多杰说:“这里就是我的第二个家,学徒期间老板不仅包吃包住,还带我看病。像我这样的人能有这么一份工作我做梦都没想到,明年我就能正式拿工资了,一个月有3000多元。”

多年来,“四卡”信贷不仅让广大农牧民受益,更使一部分创业者圆了致富梦。从创业伊始的3000元“银卡”贷款,到今年申请的30万元“钻石卡”贷款,信贷等级随着贡嘎拉宗的事业发展越提越高。

应用程序或软件作为云上企业开展业务直接使用的对象,其安全性直接关乎业务安全。腾讯云安全统计数据显示,SMB相关漏洞是黑产对应用发起攻击的首选手段,Web类攻击次之。除常规应用漏洞外,用于客户管理云服务和交互的API(应用程序编程接口)和UI(用户接口)如若设计不当,也将导致滥用甚至数据泄露。随着SaaS和PaaS应用的增加,云服务提供商成为应用安全防护的主力。

《报告》首次对外披露了云鼎实验室基于真实云上攻防的研究,详细诠释了八条纵向和八条横向的云攻击路径。总体而言,攻击者既能在无任何授权的情况下自云外纵向进入云平台展开攻击,也能在进入云平台后通过横向迁移获取更多租户资源和数据。也是说,与传统攻击路径相比,云资源攻击表现出更为多元、复杂和脆弱的特性。

洛桑旦达的公司以绘制并售卖唐卡为主,在日喀则颇有名气。公司里的画师、工作人员中有9人是建档立卡贫困户,其中3人身患残疾。

“我们公司成立于2017年,前身是雪村编织厂,公司里的24名编织工都来自于雪村,有的已经是老师傅,还有一些是学徒,他们不是家庭困难就是低保户。”公司负责人贡嘎拉宗说。

从白手起家的农民到成为带领乡亲们脱贫致富的领路人,谈及创业,贡嘎拉宗提到了“四卡信贷”。

而在主机安全方面,由软硬件虚拟化带来的是传统安全与虚拟化安全威胁的糅合。其中,漏洞利用和恶意文件仍是传统主机安全面临的重要挑战。抽样数据显示,云中70%以上漏洞均为基线漏洞,且中风险漏洞超60%。此外,2019年云平台恶意文件数量月均增长17.5万/个,DDoS和代理类型的样本数量有所增加,侧面反映云平台主机资源滥用威胁不断加剧。除此之外,当下云平台还面临着包含存储、网络、管理等在内的虚拟化安全威胁。任何基于虚拟化技术的攻击都有可能对整个云上用户造成灾难性影响。

(安全攻击来源占比统计)

(攻击方式模型全景图)

贡嘎拉宗告诉记者,今年她申请的30万元贷款,准备用来购买机器设备和羊毛,进一步扩大企业规模,吸纳更多像尼玛白珍一样的困难户到公司来,带动他们就业致富,力争将民族手工艺品推向更广阔的市场。

另一方面,为满足用户对云计算便捷部署、灵活拓展、数据中心统一等需求,应势而生的微服务和无服务器计算(Serverless)等新服务架构也带来了可利用攻击面扩大、传统监控方法失效等新安全管理问题。新服务模式的特征要求云上安全需要更具前瞻性的设计架构和囊括业务逻辑、代码、数据和应用程序等在内的安全配置。

云上攻击路径全景首次公开,云资源攻击占比近50%

目前来看,云平台不仅要应对传统网络架构中存有的DDoS、入侵、病毒等常态问题,还要高度重视云平台架构的虚拟机逃逸、资源滥用、横向穿透等新安全问题。针对云安全“新旧”威胁糅合的安全形势,《报告》根据主机安全、数据安全、身份认证和访问管理等具体的安全威胁特征,提出了具有行业通用性的应对手段与防范建议。

数据安全面临挑战,身份验证和访问管理成数据安全关键

除此之外,来自身份验证和访问管理方面的安全威胁使得数据泄露面临着更为严峻的形势。《报告》指出,调查显示,约38%的云用户账户已处于危险之中。其中账户劫持占比最大,约为三分之一,且主要以自动化撞库为主要方式。

一方面,云生态下数据所有权与管理权的分析使得云中的安全管理面临新挑战。腾讯安全云鼎实验室对腾讯云上的恶意文件分布情况进行分析后发现,云资源滥用行为逐步增多,其中,linux和windows操作系统的云主机已分别成为了DDoS攻击和代理类滥用行为的重灾区。由云资源滥用带来的安全威胁也在逐步增大,CNCERT抽样检测数据显示,针对境内目标IP的DDoS攻击中80.1%的攻击来源为国内云服务提供商,极大地影响云服务使用者的可用容量。

“这种产业扶贫贷款利息很低,只有1.08%。2015年我贷了500万元,已经还清。这次的1300万元贷款用来买绘画唐卡所需的矿物质颜料和木器等。”洛桑旦达说。

藏装、氆氇、卡垫、邦典等具有西藏民族特色的手工艺品是博巴印民族产品有限公司的主打产品。坐落于山南市乃东区颇章乡雪村的小公司在生意日渐兴隆的同时,也成了当地困难户谋生的依靠。

除此之外,Gartner曾预测,到2020年,90%的企业将采用混合基础设施管理功能。Intercloud(跨云)趋势是企业未来的发展方向。云间的身份管理和身份认证、云服务安全架构、数据加密传输以及安全合规性将成为关乎企业安全管理的重要部分。另外,伴随着云计算在各领域的应用拓展,工业云平台和物联网云平台的安全性也将是未来安全威胁和管理的重点关注领域。

记者了解到,目前公司里的大部分画师每月工资6000元至1.1万元。唐卡这个民族手工技艺在有序传承的同时,也为家境贫困者提供了谋生之道。

《报告》强调云服务提供商和使用者之间的安全责任共担将是应对新威胁的关键思路。而腾讯安全作为国内领先的云安全厂商之一,将致力成为产业数字化升级的安全战略官,不断开放安全能力和产品,持续为云端企业高效御敌提供力量支撑。

云技术表现出的服务成本低、便捷性高、扩展性好等特点,在为用户提供更多层次服务的同时,也给云平台带来了更多可利用的攻击面。腾讯安全的情报数据显示,云资源作为攻击源的比例已占国内所有攻击源的45.55%。

听着老阿妈脚踩手推老式木棱织机传来的织布声,看着精美的手工艺品远销拉萨、那曲等地……贡嘎拉宗感慨万千。

《报告》指出,包括数据泄露、数据丢失以及隐私数据利用和泄露等在内的数据安全威胁已成为当前上云企业面必须直面的挑战。据Risk Based Security统计,2019年上半年世界范围内已经发生了3813起数据泄露事件,被公开数据高达41亿条。腾讯安全情报数据显示,“数据”、“身份证”、“密码”等关于数据泄露的词汇在暗网的热词分析中占比极大。与此同时,因技术受限存在数据丢失风险和对个人隐私数据合规保护的法规出台,拓展着数据泄露带来的损失面和负面效益。

云主机资源滥用严重,云安全服务多元化趋势明显

位于日喀则市桑珠孜区的西藏藏露文化发展有限公司总经理洛桑旦达,最近在正等待中国农业银行日喀则分行即将发放的一笔1300万元产业扶贫贷款。

(云上漏洞类别占比图)

伴随着云服务提供向底层资源共享方式不断延展的趋势加剧,云服务提供商和使用者对不同层次安全问题采取共同负担或分而治之的策略,是实现云上安全防护最佳实践的重要趋势。同时,对于构筑完善安全保障体系而言势在必行。

自幼父亲去世,多杰的母亲体弱多病,两个哥哥患有不同程度的精神疾病,他家属于贫中之贫。虽身体残疾,但多杰头脑聪慧,2017年他在这里学习画唐卡,近三年来,白描、勾线、上色等绘画技巧已娴熟掌握。

Related Post