保定网路资讯网-网络信息体系的共享技术平台
网络信息技术-信息应用系统-保定网路资讯网
当前位置:网站首页 > 资讯安全 > 正文

《2019云安全威胁报告》全文

作者:admin发布时间:2020-01-14分类:资讯安全浏览:11评论:0


导读:原标题:《2019云安全威胁报告》全文来源:腾讯安全云安全威胁报告(2019)1、概述结合多种现有技术,...
原标题:《2019云安全威胁报告》全文

《2019云安全威胁报告》全文 资讯安全 第1张

来源:腾讯安全

云安全威胁报告

(2019)

1、概述

结合多种现有技术,将各种硬件资源,宽带资源,以及虚拟化技术聚集在一起,创造一种 云计算 的生态系统,向 云计算 服务使用方提供一种按需提供IT 资源并解决高峰使用的解决方案。这种解决方案使用户能够使用最低的成本获得满足其自身需求的资源配置。更重要的是,用户在使用 云计算 解决方案的同时,还可以根据云服务提供商提供的相关服务,购买所需的安全服务或者其他满足其业务需求的微服务,更大程度的减少其所需要处理的或者因经验不足而忽略的安全问题或者IT 问题。

随着解决方案优势的体现,越来越多的用户选择将其业务上云,而服务提供商有更广阔的市场。与此同时,所面临安全问题也日益增多,除了传统安全问题外,也面临场景所带来的新的安全挑战。根据预测数据来看(如图1-1 所示),到2021 年,全球公有云收入预测将达到2783 亿元,云管理和安全服务收入预测也将达到163 亿元,与2017 相比,同比增长87.36%。

《2019云安全威胁报告》全文 资讯安全 第2张

展开全文

图1-1 全球公有云服务收入预测

代表一种新的计算模型,解决方案也是一种新型解决方案。因此如何实现所有级别(例如,网络,,应用程序和数据级别)的安全性存在很大的不确定性,这种不确定性决定了安全是需要解决的头等大事。随后的章节将结合现有情况说明云上安全威胁和趋势。

2、云安全威胁全景

在产业互联网的推动下,云计算技术快速、创新发展,云服务提供商向用户提供多元、多层次的不同服务,同时由于云技术本身共享的特性,内部各层次有相互关联,暴露在公众视线的资产、服务、接口更多,影响的用户也更多,“云”的安全问题被提升到至关重要的位置。

在传统的家用网络或企业网络中,攻击者会根据攻击目标暴露的资产和服务情况,自外向内逐层进入,使用相对固定的攻击路径。在云平台上,传统网络架构中的DDoS、入侵、病毒等安全问题是常态问题;与此同时,针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷;而且,由于云服务成本低、便捷性高、扩展性好的特点,利用云提供的服务或资源去攻击其他目标的也成为一种新的安全问题。根据腾讯云安全团队的情报数据显示,云资源作为攻击源的比例在所有国内攻击源中已接近一半(如图2-1 所示)。

《2019云安全威胁报告》全文 资讯安全 第3张

图2-1 攻击来源中云资源占比(国内)

在云计算的生态系统中,云服务提供商使用虚拟化技术将计算资源(CPU,存储,网络,内存,应用程序堆栈和数据库)抽象,使之成为共享的资源池,供云服务使用者通过标准化方法透明地使用这些资源。虚拟化技术可以通过合理的配置,为所有云服务使用者(也就是租户)提供可扩展的共享资源平台来支持多租户云业务模型,并为每一个租户提供专用的资源视图。从公有云角度来看,虚拟化技术使云服务资源在各方面(例如,操作系统,存储,数据库,应用程序)透明显示为独立资源,提供给云服务使用者按需选择使用或者在必要时候扩展使用。

在云计算生态环境下,暴露给攻击者的信息表面看与传统架构中基本一致,但是由于云生态环境下虚拟化技术、共享资源、相对复杂的架构、以及逻辑层次的增加,导致可利用的攻击面增加,攻击者可使用的攻击路径和复杂度也大大增加。

如图2-2 所示,显示了云生态环境下攻击者可以选择利用的潜在攻击路径。

《2019云安全威胁报告》全文 资讯安全 第4张

图2-2 云平台攻击路径全景模型

如图所示的八条纵向攻击路径,是指恶意攻击者从Internet 环境下可能攻击云租户和平台(可能是云平台的底层资源、管理软件、管理界面、服务器集群等)的攻击路径,具体的路径包括:

1)裸金属服务器管理接口

潜在攻击者通过裸金属服务开放的IPMI 等管理接口存在的漏洞和缺陷,控制服务器底层硬件,并进一步利用带外管理网络横向扩展,作为跳板访问云管理和控制平台的内部接口,尝试对平台和其他租户发起攻击;

2)租户虚拟机逃逸

潜在攻击者通过租户应用的数据库、web 等应用程序漏洞,进入云服务使用者(IaaS 平台的租户所拥有的虚拟机实例)的操作系统,并进一步通过潜在的虚拟化逃逸漏洞进入云资源底层的Hypervisor,进而控制云平台底层资源并进行横向扩展;

3)独立租户VPC 实例模式的容器和微服务网络攻击

潜在攻击者通过微服务管理系统的脆弱性或容器安全漏洞,进入云服务提供商所使用的虚拟机实例操作系统,随后进一步通过潜在的虚拟化逃逸漏洞进入云资源底层的Hypervisor,进而控制云平台底层资源并进行横向扩展;

4)共享集群模式容器和微服务网络攻击

潜在攻击者通过容器逃逸或微服务组件漏洞,直接控制物理服务器执行恶意操作或进行横向扩展;

5)SaaS 服务共享集群模式攻击

潜在攻击者通过云服务提供商所提供的SaaS 类服务能够使用的API、中间件、数据库等漏洞,直接逃逸或越权访问进入提供服务的底层服务器集群,执行恶意操作,窃取数据或进行横向扩展;

6)恶意攻击者针对云服务平台业务互联网络的旁路攻击

恶意攻击者通过对于云平台业务连接的相关企业内部网络进行APT 攻击,并进一步迂回横向扩展返回攻击云平台业务、运维或管理网络;

7)恶意攻击者针对云服务平台开发/运营网络的旁路攻击

恶意攻击者通过对于云平台连接的运维或管理内部网络进行APT 攻击,并进一步迂回横向扩展返回攻击云平台业务、运维或管理网络;

8)针对云用户控制台界面或开放式API 的攻击

潜在攻击者通过云服务提供商提供的控制台或开放式API,利用控制台应用漏洞或API 漏洞访问,对租户资源或平台进行攻击。

在攻击路径图中,还存在一系列横向扩展路径,横向扩展指当攻击者成功获取到租户或平台系统的一定权限后,利用网络或共享资源进行横向迁移,进一步扩大攻击范围,获取其他租户和系统的资源、数据或访问权限的情况,具体的路径包括:

利用租户资源和访问权限,在VPC 内进行横向迁移攻击,或作为跳板攻击其他用户;

利用微服务不同功能组件间共享资源或权限的横向迁移;

利用共享数据库集群间的资源或数据进行横向迁移;

当成功实现虚拟机逃逸后,利用Hypervisor 和硬件层面的控制面网络和接口进行横向迁移;

利用网络虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移;

利用存储虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移;

利用云平台管理面/控制面和业务面间的接口进行横向迁移;

BMC 等固件破坏后获取进行物理机层面的潜伏,或利用底层硬件权限反向获取Hypervisor OS 或租户虚拟机OS 的数据和系统访问权限。

2019 年10 月24 日,GeekPwn 极棒与腾讯云鼎实验室联合推出了全球首个基于真实通用云环境的安全挑战赛,通过一套模拟真实云环境的系统和不同层级,不同攻击场景的赛题,覆盖了云平台上多数可能的路径攻击与防御,供选手进行尝试挑战。不同的选手可以选择不同的攻击入口点进入云环境,选择不同的横向渗透方式获取更多的资源。

比赛中模拟真实云环境的攻击环境设置,攻击者可以利用入口点包括:云服务提供商SaaS 服务的Elastic Search、Redis、Mysql 等常用的数据库漏洞、云服务提供商PaaS 服务的docker 容器、云服务使用者对外提供的web 服务、云服务使用者拥有的虚拟机实例、以及需要使用“0day”漏洞才能进入的云管理平台web 页面、云母机操作系统、以及底层的虚拟机管理程序。攻击者可以通过比赛环境中预设的攻击入口,利用应用程序漏洞提权、docker 溢出或者内核漏洞提升权限等任一入口进入,之后进一步打破网络隔离探查其他虚拟机实例的可能漏洞并加以利用,达到从不同的入口点开始,横向平移或者层层递进,进而实现最终目标的目的。

比赛环境中部署了全方位的监控进行实时的攻击路径、攻击方法和关键的信息获取,监控数据实时反映了多支队伍的不同攻击方法和攻击路径,最终呈现的攻击路径结果(如图2-3 所示)也说明:在云平台的复杂环境下,暴露的攻击面和攻击路径远远多于传统的网络环境部署,与传统攻击路径相比,具有更多元、更复杂、更脆弱的特性。

《2019云安全威胁报告》全文 资讯安全 第5张

图2-3 模拟真实云环境的多选手攻击路径

3、云安全责任共担

云生态环境下,云服务提供商使用底层资源共享的方式向云服务使用者提供服务。例如IaaS 服务模式下,使用云服务的组织或个人只对自己所拥有的虚拟机实例资源具有全部访问权限,传统的防火墙、WAF 等盒子安全产品无法适应新的架构而发挥原有功能;云服务提供商对最底层的硬件资源、母机操作系统、虚拟层组件及管理软件、以及虚拟化资源分配管理等重要资源和组件具有全部权限,为了向云服务使用者提供稳定、持续的可用服务,必须担负起云服务基础设施层面、虚拟化管理层面等安全责任。

如图3-1 所示,在公有云环境下的针对IaaS、PaaS、SaaS 三种服务模式,云服务提供商和云服务使用者对部分层次的安全问题共同负担,部分层次的安全问题分而治之,以达到最佳实践。以IaaS 为例,云服务提供商负责整个云计算环境底层的物理和基础架构安全;云服务使用者需要对数据安全、终端安全、访问控制管理和应用安全负责;主机和网络层面的安全管理则由云服务提供商与使用者共同承担。

《2019云安全威胁报告》全文 资讯安全 第6张

图3-1 Shared Responsibility Model

面对云生态环境下攻击面的扩展和多样化的攻击路径,云服务提供商需要持续提高自身的安全能力和安全服务能力,与云服务使用者共同建立完善的安全保障体系。本文以公有云下的IaaS 服务模式为例,按照云安全项分类,列出了云服务提供商和云服务使用方重点关注的安全问题详细列表(如表3-2 所示),后文将针对列表中重要的安全威胁和新兴的其他类型的安全威胁进行具体的阐述。

《2019云安全威胁报告》全文 资讯安全 第7张

表3-2 责任共担下安全问题列表

4、基础攻击面

4.1 网络攻击

4.1.1 流量攻击

DoS / DDoS(分布式拒绝服务)攻击的历史由来已久,它并不是云生态环境下的特殊产物。随着云计算技术和IoT 技术的发展,越来越多的可利用设备暴露在公共网络中;另一方面,某些国外用户甚至可以自己申请成为通信服务运营商,获取更多的带宽资源以及自行配置路由器选项的权限,都导致攻击者对DDoS资源的获取变的越来越容易。同时,随着整个云服务提供商对网络外部资源的使用增加,DDoS 攻击对整个云服务提供商网络级别上的风险也同步有所增加。根据腾讯云安全团队的情报数据统计(如图4-1 所示),网络上发生的DDoS 攻击事件约三分之二是以云平台上IP 作为攻击目标,超过四分之一的目标IP 是专门的IDC 机房IP 或高防机房IP,其余针对个人或单独组织的相对较少。新的DDoS攻击类型、以及攻击者对于云服务提供商防御措施的长期探查和了解,都导致云服务提供商在网络级别上的风险更高。一旦云服务提供商组织内部的网络出现中断或抖动,对于整个云平台上的租户都会产生影响,影响范围非常广泛。

《2019云安全威胁报告》全文 资讯安全 第8张

图4-1 DDoS 攻击目标分布

根据腾讯云的数据情况来看,当前DDoS 的攻击趋势呈现行业分布广泛、超大流量攻击次数增加、整体攻击次数减少、精准攻击的趋势。如图4-2 所示,目前DDoS 在多个行业都面临极大的威胁,尤其在行业工具(包括企业服务、通信服务、常用软件工具等)、游戏、电商三个领域极为广泛。从全年的攻击流量分布情况上看,攻击流量约98.8%以上为小于100G 的流量,99.6%以上为小于200G 流量;如图4-3 所示,与往年相比,300-400G 梯度的大流量攻击基本持平,大于400G 的超大型攻击流量的次数明显超过往年。

《2019云安全威胁报告》全文 资讯安全 第9张

图4-2 DDoS 攻击行业分布情况

《2019云安全威胁报告》全文 资讯安全 第10张

图4-3 DDoS 攻击流量分布

结合腾讯云内部数据分析发现,虽然DDoS 的超大攻击流量的次数有所增加,但全年对平台的攻击数据有所减少。目前的DDoS 攻击高度集成管理,尤其在攻击时长和攻击效果等方面都得到尽可能的优化,攻击者试图以最小的成本达到最优的效果。从结果来看,攻击者的尝试也确实取得一定效果,全年的攻击次数有所回落,但攻击有效性大大提升。可以推断,随着云平台使用者数目的增多,攻击者也投入了精力了解各个云服务平台的防御手段和防御策略,针对不同的云服务提供商应用不同的DDoS 攻击策略,以最小成本达到最佳效果的精准攻击也将是今后DDoS 攻击的一大趋势。

4.1.2 BGP 劫持

互联网由多个互连的大型网络组成,每个大型网络/网络组由单个组织管理称之为自治系统(AS),云服务提供商为了实现快速网络路径查找的目标,使用BGP 协议(边界网关协议),使得路由尽可能高效的查找到目标IP 并进行数据通信。

BGP 前缀劫持(即伪造网络层可达性信息)的情况下,某个AS 公告实际上不属于此AS 控制的自治系统地址空间,而此公告未被过滤,传播到正常的BGP路由表中,从而引发全球性的路由查找错误。这种错误通常是由于配置错误而发生的,但是仍然有很大可能影响云资源的可用性。

2018 年4 月,攻击者使用BGP 协议将部分流量重新路由到亚马逊(目前世界上最大的商业云提供商)的Route 53 服务,重新路由了DNS 流量(时间长达两个多小时),明确重定向了某加密货币网站,并成功窃取了此网站内客户的加密货币。

4.2 主机安全

云计算未出现以前,由用户自行配置软硬件进行使用,云计算出现以后,由云服务提供商提供服务资源供云服务使用者使用。云计算服务的核心是虚拟化技术,虚拟化技术的本质在于对底层计算机系统软硬件资源的划分和抽象,然后由云服务提供商将抽象后的资源提供给用户使用,用户可以自由选择自己习惯或者需要的虚拟机实例操作系统(比如Microsoft Windows,不同厂商/内核版本的linux 操作系统),运行相应的应用程序,而对更底层的硬件资源分配和其他虚拟机实例毫无感知。对于云服务提供商来说,除了对母机的硬件/固件资源管理外,还承担着虚拟化资源的分配、管理的职责,这其中都会使用虚拟化技术。虚拟化是确保多租户环境中客户虚拟机彼此分隔和隔离的基本要素,因此确保虚拟化管理程序和虚拟化资源分配程序的安全性备受关注。网络划分、存储逻辑隔离、共享资源分配等虚拟化技术的使用,导致整个云计算架构复杂度提升,攻击面范围扩大。如图4-4 所示,按照目前云计算的架构层次,自底向上的显示了云服务提供商和云服务提供方在传统安全和虚拟化安全面临的可能安全威胁。

《2019云安全威胁报告》全文 资讯安全 第11张

图4-4 传统和虚拟化安全威胁

4.2.1 传统主机攻击方法

在云计算的架构中,无论是最底层的母机,还是在IaaS 中提供给用户使用的虚拟机实例,都是传统意义上的主机,其安全性从PC 机时代开始,就是一个经久不衰的问题,包括:系统和应用漏洞管理、恶意程序入侵、账户劫持、系统身份验证和访问控制等,此章节对漏洞管理和恶意程序入侵的安全威胁进行叙述,其他相关的安全项将在后续章节说明。

4.2.1.1 漏洞利用

从计算机发明以来,漏洞就存在。云计算的普及,虚拟化技术的使用,共享的CPU、内存、网络资源等在带来便捷的同时,也带来了如虚拟机逃逸、虚拟化软件漏洞利用等新技术带来的挑战,云生态环境下暴露出新的攻击面和攻击路径。随着云计算多租户的出现,来自不同组织、不同个人的租户实例使用共同的底层资源,对于单一的主机实例,其主机安全风险可能会随着同一云服务提供商中租户数量的增多而增大。

根据腾讯云的抽样数据显示:云中含漏洞的用户数量和机器数量所占比例都超过一半,其中这些漏洞中70%以上为基线漏洞(如图4-5 所示),超过一半以上为中风险漏洞(如图4-6 所示)。这些数据都说明租户的安全意识仍然相对薄弱。

《2019云安全威胁报告》全文 资讯安全 第12张

图4-5 漏洞类型分布

《2019云安全威胁报告》全文 资讯安全 第13张

图4-6 漏洞等级分布

对云服务提供商来说,安全的架构设计能够尽可能降低攻击者通过某个云主机实例入口点控制多个实例的机会;为用户提供最新的加固版本的操作系统镜像,定时提供漏洞扫描、检测和修复服务,及时更新系统版本和使用的应用版本。对于云服务使用方来说,虽然云服务提供商可以提供漏洞管理相关的服务,但云服务使用者仍然需要提高安全意识,部分情况下由于具体业务的逻辑性处理、系统兼容性等原因,云服务使用者甚至可能选择不修复或稍后修复漏洞,这都会给整体云计算平台的安全性带来一定程度的影响。

4.2.1.2 恶意文件

恶意软件也出现于传统PC 时代,从腾讯云的数据来看,恶意软件的数量和功能在云计算生态环境下持续增加,恶意软件的成功入侵与上一小节中的漏洞管理、以及后续章节中会阐释说的身份验证和访问管理、云中的安全管理等方面有紧密的联系。恶意软件入侵的威胁仍将持续,而且将在很长一段时间内,仍然是云安全中的重要问题。一般来说,恶意软件入侵有以下几个目的:

DoS(拒绝服务)

资源利用(如僵尸网络利用网络资源,挖矿程序利用计算资源)

信息窃取(如间谍软件)

经济利益获取(如勒索软件、广告推广等)

根据腾讯云的抽样数据7 显示:2019 年云平台的恶意文件数量占总样本数量的0.6%,月均增长17.5 万/个(如图4-7 所示),其中linux 平台的恶意软件主要为DDoS 软件(如图4-8 所示)。对比2018 年和2019 年常见的恶意文件类型发现(如图4-9 所示),脚本文件的数量有所较少,但DDoS 和代理类型的样本数量有所增加,侧面反映了云平台的滥用情况已逐步增加,云资源逐渐成为DDoS和其他黑灰产的重要资源来源。

《2019云安全威胁报告》全文 资讯安全 第14张

图4-7 2019 年月度新增恶意文件数目统计

《2019云安全威胁报告》全文 资讯安全 第15张

图4-8 常见恶意文件的数量情况

《2019云安全威胁报告》全文 资讯安全 第16张

图4-9 常见恶意文件类型数量对比

由于云具有共享资源的特性,攻击者可以在云平台上暴露的任意一个脆弱点作为攻击入口点,通过纵向深入或者横向穿透的方式,危及更多云服务使用者的资产。例如2017 年爆发的WannaCry 蠕虫病毒,利用SMB 的“永恒之蓝”漏洞横向传播,在云平台中很难根除,通过分析发现,主要原因是各种云平台下的虚拟主机在重新恢复主机资源后,会再次被云平台上的其他WannaCry 样本感染。

4.2.2 虚拟化穿透

云服务提供商掌握着物理机、内存、CPU 等硬件和底层固件、母机OS 等资源,面临传统的漏洞管理、权限控制等方面的传统安全威胁;还面临在虚拟化技术应用后的虚拟化存储、虚拟化网络、以及虚拟化管理和虚拟机实例管理方面的虚拟化安全威胁。对于云服务提供商来说,任何针对于虚拟化技术/虚拟化层的成功攻击都可能对整个云上的用户群造成灾难性的影响。曾经一家英国的web托管公司Vaserv 就因虚拟机管理程序的安全威胁导致用户数据的丢失,黑客利用HyperVM 2.0.7992(虚拟机管理程序)版本中的“0day”漏洞,成功获取了母机上的root 权限,并删除了10 万多个账户的数据。

随着云计算服务的繁荣发展,云服务提供商的数量也随之增长,但云计算所使用的虚拟化实现技术(例如Xen,KVM,WMware,Hyper-V 等)相对固定,多家云服务提供商可能都使用的是同一种虚拟化实现或者相同的虚拟化管理软件。如果在这些相同或相似的技术/管理软件中出现安全漏洞,那么会影响更多的云服务提供商,进而可能会影响更多的客户。因此云服务提供商必需要建立完善的安全架构和必要的安全控制措施,限制对虚拟机管理程序和其他形式的虚拟化层的物理和逻辑访问。对于云服务使用方来说,面临的依然是传统安全中漏洞管理、身份验证和访问权限、应用安全和数据安全等主机安全问题。

4.3 应用程序利用

应用程序或软件是使用云服务使用者的组织或公司向其自身用户提供服务,或者满足自身业务需求的直接使用对象,多数组织使用诸如内容管理系统(CMS),Wiki,门户,公告板和讨论论坛之类的Web 应用程序,各种Web 框架(PHP,NET,J2EE 等)为其业务开发和维护定制的Web 应用程序;使用数据库软件存储业务或内部管理数据;使用邮件、FTP 服务器构建企业内部服务等。腾讯云安全团队对云上攻击的统计显示(如图4-10 所示),SMB 相关漏洞为攻击的首选,主要是利用SMB 漏洞能够横向传播的特性,一次病毒感染后续就能自动传播;web 类攻击次之,究其原因,web 类漏洞发展时间较久,技术也相对成熟,攻击者的入门门槛相对较低;再次,容易受攻击的应用包括远程登录、服务器使用以及各种类型的数据库等。

《2019云安全威胁报告》全文 资讯安全 第17张

图4-10 云上攻击的主要类型分布

对于发展时间比较久的WEB 类攻击,OWASP 会持续更新的web 类安全风险列表(如表4-11 所示),云服务使用者需要尤其关注这些风险点进行防护。随着SaaS 和PaaS 应用的增加,更多的应用服务由云服务提供商提供,安全责任也从云服务使用者转向云服务提供商。

《2019云安全威胁报告》全文 资讯安全 第18张

表4-11 OWASP WEB 安全风险项TOP108

对于云服务提供商来说,除了需要管理常规的应用漏洞外,还有其暴露出的用于客户管理云服务和交互的API(应用程序编程接口)和UI(用户接口),也面临安全威胁。API 和UI 是系统中最容易暴露的部分,通常是在受信任边界之外提供给其用户使用的具有可用公共IP 地址的唯一资产,通用云服务的安全性和可用性取决于这些API 的安全性。设计不当的API 可能会导致滥用甚至是更严重的数据泄露。因此,这些接口的设计需要能够足够安全,防止意外和恶意的企图绕过安全策略的情况出现。

5、数据威胁

对于任何企业而言,数据都是最宝贵的资产,尤其是业务数据和用户数据,更是关乎其企业存亡的关键信息,企业对于上云后数据的安全考量一直是在云中存储数据的主要问题之一,随着越来越多的企业将业务迁移到云上,部分敏感数据也驻留在云上。如图5-1 所示,未来2 年内,将会有更多的敏感数据驻留在云内,数据安全已经成为所有企业在产业互联网时代必须直面的挑战。

《2019云安全威胁报告》全文 资讯安全 第19张

图5-1 企业数据情况分布占比

5.1 数据泄露

据risk based security 统计,2019 年上半年,世界范围内已经发生了3813起数据泄露事件,被公开的数据达41 亿条。全球正遭受高频次爆发的数据泄露安全事件困扰,通过腾讯云安全团队对暗网的热词分析发现,“数据”、“身份证”、“四件套”、“密码”等关于数据泄露的词汇占比极大(如图5-2 所示),数据泄露短期看似乎不能产生重要影响,但长期来看是关乎个人、组织、企业,甚至是国家安全的重要事件。

《2019云安全威胁报告》全文 资讯安全 第20张

图5-2 暗网热词

随着企业级云服务使用者数量的增多,越来越多的敏感数据可能放置在公有云上,一旦发生数据泄露,相关组织或企业可能遭受巨额罚款,还可能受到民事诉讼,在某些情况下还会受到刑事指控。企业受到的间接影响损失也难以估计,例如品牌声誉受损和由此造成的业务损失,长期维持客户的离开,新用户获取的成本增加等等。

2018 年,健身公司fitmetrix 部署在AWS 上的Elasticsearch 数据库暴露了其用户的个人信息,包括姓名、性别、邮箱地址、出生年月、身高体重等,其影响的用户数目达到百万级别。2019 年,国外研究团队UpGuard 又发现了Attunity公司(服务客户数目超过2000 家企业,包含《财富》前100 强中超过半数的企业)存储在AWS 上的客户数据泄露。2019 年以来,CNCERT(国家互联网应急中心)在持续开展的MongoDB、Elasticsearch 等数据库数据泄露风险应急处置过程中,发现存在隐患的数据库搭建在云服务提供商平台上的数量占比超过40%。常见的数据泄露方式包括:

数据库未授权访问

数据库相关账户劫持

不完善的身份验证逻辑

用户错误配置

不安全的API 接口(爬虫爬取)

内鬼倒卖

平台私自贩卖

密码泄漏

针对上述列举的可能的信息泄露途径,数据全生命周期防护关键点是在数据的产生、流动、存储、使用及销毁过程中应用加密技术进行保护,并进行细粒度的身份认证和访问控制。

对于云服务提供商来说,可以提供数据分类,以及合适的安全方案和策略来防止数据泄露。建立以数据为中心的安全架构(如图5-3 所示)是现行云服务提供商为客户提供安全方案的一种趋势:首先,在数据分类分级和安全策略上,对数据进行梳理分级,辨析出需要进行加密的敏感数据以及敏感数据的数据状态;其次,结合相应的合规标准和业务需求,实施不同的加密方式和合规策略,实现对数据全生命周期进行管控;最后,按照制定的加密策略应用到企业核心业务、敏感数据以及数据链路上,确保企业用户数据在传输、存储、使用的任何一个环节,都具有完整性、可用性、安全性。

《2019云安全威胁报告》全文 资讯安全 第21张

图5-3 中 台架构全景图

云服务提供商通常对其负责的方面具有良好的安全性,但最终客户也有责任通过正确配置、使用云服务商提供的数据保护服务、数据加密等方式,保护其在云中的数据。云服务使用方可以在数据库使用之初进行完善的配置和良好的身份验证访问和管理机制,使用云服务提供商提供的多重身份认证以及密钥管理服务进行数据库访问的相关操作,对流程中的数据使用加密传输和加密存储;同时加强内部员工的安全意识培训,防止在内部出现数据泄露。

5.2 数据丢失

在现代社会,数据是企业的重要资产,无论是用户数据、业务核心代码、业务运营数据都在企业运营,尤其是互联网企业运营的重要资本。普华永道的统计结果显示,70%小企业在发生数据丢失后的一年即发生停业。数据丢失的可能原因包含:

意外删除文件

恶意软件(勒索软件)

硬盘故障

电源故障

账号劫持/入侵

其他意外情况

在众多企业选择上云的形式下,传统的公有云云服务提供商在部署云基础设施之初就考虑数据备份问题,一般选择多副本技术、多地容灾等安全策略来为云平台提供可靠性和可用性更高的数据保护服务,同时云服务提供商也向云服务使用方提供数据备份服务和工具(例如快照、灾备、离线备份等),用以支撑用户自己对数据备份的操作。除此之外,云服务提供商还具有专门的IT 运维团队,及时处理备份、以及紧急情况。从资源、人力方面看,云服务提供商往往比企业(尤其是小企业)具有更高的数据保护和容灾能力。

对于云服务使用方而言,多数使用方可能缺乏专门的运维/IT 人员,或者对数据丢失缺乏足够的关注,导致企业内部没有进行备份方案,更没有容灾措施来应对数据丢失。因此对于云服务使用者来说,提高IT 相关人员或者操作人员的安全意识,提升高权限人员和运维人员的技术水平也是迫在眉睫的事。造成数据丢失的另一主要原因是企业内部人员违反安全策略,缺乏有效的访问控制以及员工使用自己的设备的影响。企业内部人员需要培养安全意识,进行正确的数据库相关配置、保留高权限用户的有限传播、利用密钥管理服务对磁盘中的数据进行加密、业务场景使用时采用加密传输等,云服务使用者(尤其是企业用户的)IT团队需要制定保护其业务所需风险管理策略并确保其业务架构的合规性。

除了客观原因的数据丢失和安全意识不到位导致的数据丢失外,还有近几年新出现的主机被入侵导致安装勒索软件等恶意软件而导致的数据丢失。面对层出不穷的漏洞和横向渗透增加的可能性,无论是云服务提供商,还是云服务使用方都需要对此加大关注,日常注意主机安全,同时提高运维人员的安全意识和处理能力。对于中国用户而言,面对使用比特币支付的勒索软件几乎可以说是毫无转圜余地。

5.3 隐私数据攻击

除了业务数据,隐私数据也在数据安全中有着至关重要的地位。随着欧盟通用数据保护条例(GDPR)于2018 年5 月生效,确立了保护属于欧盟公民的数据的新要求,关于个人隐私的探讨上升到了新的高度。根据GDPR 的规定,不遵守法规要求的组织将受到最高2000 万欧元的罚款,或最高占其全球年度总营业额的4%。

云服务提供商和企业级别的云服务使用者,在进行服务提供的过程中,通常需要收集用户的行为数据,建立合适的风险控制和管理模型,以规避可能的风险点;也会对用户使用产品、业务、服务过程中的数据进行收集、整理和分析,以关注产品需求和改善;同时也会对用户访问的具体业务进行收集,用于后续的数据分析等用途。除了安全性需要隐私数据支撑,云服务提供商提供的精准广告推送、用户行为分析统计等也需要用户个人信息数据作为数据分析的基础。

多种场景都为隐私数据的利用和泄露提供了可能,短期看,使用隐私数据可能会给云服务提供商和企业级别的云服务使用者带来巨大的利益,但是长期来看,除了各项隐私法案给组织带来的巨额罚款外,还有企业信誉、用户信任度等产生巨大的影响,其中facebook 就因频繁的用户隐私泄露问题导致其在Interbrand排行榜上跌出前十。

云作为一个可以同时集成企业信息、企业用户信息、个人用户信息的平台,云服务提供商不可避免地需要在云隐私的道路上有更长远的打算。作为云服务使用方,选择可靠的具有高度安全性的云服务提供商也是对抗隐私数据泄露的有效手段,但通过加密数据的方式,将数据控制权完全掌握在自己手中,才是对抗可能的云隐私泄露的最有效手段。

6、身份验证和访问管理

如今,身份和访问管理(Identity and Access Management,IAM)是当今云环境中最关键且发展最快的安全控制领域之一。IAM 正在迅速成为大多数云实施中必不可少的元素。在国外的调查中显示,超过一半的受访者(52%)表示他们正在将内部用户目录同步到基于云的目录服务,例如Azure Active Directory(Azure AD)等,使用户仅仅使用身份验证就可以访问多项在线服务。目前,已有云服务提供商开始向云服务使用方提供身份即服务(IDaaS),将传统的本地IAM 服务集成到云中供用户使用。由此来看,身份验证和访问管理一方面需要接受传统攻击方法的考验,另一方面也在云生态环境下面对着新的考验。

6.1 账户攻击

账户安全,通常第一时间想到的是账户劫持。账户劫持是指个人或组织的账户被攻击者通过一些途径获取(这些途径包括:网络钓鱼、软件漏洞利用、撞库、密码猜解、密码泄露等),进行一些恶意的操作或者未授权的活动。随着云解决方案逐渐盛行,组织的网络、资源、服务部署变得越来越集中,账户劫持所带来的攻击影响也逐渐放大。比如,攻击者可以通过获取的某个云账户访问凭据,浏览整个组织的资产详情和部署情况,窃取组织的数据信息,在某些情况下甚至可以直接获取组织服务的域名解析情况并进行更改,重定向到恶意网站,对组织的业务和声誉造成非常严重的危害。调查显示,约38%的云用户账户已在危险之中。

2019 年6 月,全球第二大市值的游戏公司EA Games 被曝出发现账户劫持漏洞,此漏洞操纵EA Games 的域名注册方式,劫持了微软Azure 云中的子域

名,继而可以完全接管玩家账户,使3 亿游戏账户面临账户劫持的威胁。2012年,黑客获取了基于云的代码托管服务Code Spaces 的Amazon 控制面板,删除了所有的快照、存储是一些实例机器,导致大部分数据、备份、计算机配置和异地备份基本上被全部删除,随后该公司宣布破产。

为实现账户劫持的目标,攻击者通常会进行账户攻击行为。腾讯安全团队的情报数据发现(如图6-1 所示),常见的黑灰产中账户劫持占比最大,约为三分之一,其中自动化的账户劫持(与社工方式的主要以前期信息收集,后期人力分析的账户劫持区分)主要以撞库方式进行。通过对情报数据和黑产账户劫持的相关产业的联合分析,得到了产业链的简要流程(如图6-2 所示),账号信息的获取是黑灰产从业者进行下一步直接或间接经济利益或者有效信息获取的第一步。黑灰产从业者通过搜索网络上泄露的数据库、使用技术手段自行脱库、购买数据库或者手机号段账号扫描的方式获取有效的账号、邮箱、手机号、密码等一系列强关联的信息,使用这些信息进行撞库获取网络账户上的虚拟资产、真实资产、或其他更有效的信息。

《2019云安全威胁报告》全文 资讯安全 第22张

图6-1 常见黑灰产中账号安全占比最大

《2019云安全威胁报告》全文 资讯安全 第23张

图6-2 账户安全相关黑产产业流程

为应对此类威胁,云服务提供商需要建立完善的身份验证和访问控制策略,使用多重身份验证、密钥管理等方式,避免在提供商的层面影响更大范围的云服务使用者。作为云服务使用方,在以组织方式使用云服务时,应及时更新使用的各种软件,设置安全架构,设计安全的WEB 页面和API 接口;避免多个用户、多个服务之间共享账户凭证的情况;使用云服务提供商提供的身份验证和访问控制策略,做好账户和账户活动的监管。

6.2 内部威胁

在安全行业中,“人是系统中最大的漏洞”是公认的真理,无论是多么严谨完备的安全架构和控制措施,都很难抵御内部威胁。CERT 对内部威胁的定义是:“对组织的网络、系统或数据具有访问权限的前任雇员,承包商或其他业务伙伴,恶意使用或滥用访问权限,对组织信息或信息系统的机密性、完整性或可用性造成负面影响”。实际上,内部具有访问权限的在任普通雇员也有可能因安全意识缺失、错误的软件/服务配置或者不规范的软件使用等原因造成内部安全威胁。根据国外的调查显示,59%的特权IT 用户对组织构成最大的内部安全风险,其次是合作商,约77%的数据泄露是由内部人员造成的。如果有心怀不满的内部人员具有云资产控制面板的访问权限,类似Code Spaces 因资源被强制删除导致破产的情况非常容易被复制。

针对内部威胁,云服务提供商除提供身份验证和访问控制策略外,也有相对应的监控和风险控制机制来应对。作为云服务使用方,除提高员工的安全意识外,也需要遵循职责分离和最低特权的策略,例如要求获得两名系统管理员批准,才能删除关键数据或更改配置,要求至少两名用户授权,才能拷贝数据等;部署基于角色的访问控制并配置组策略,以防止员工访问其工作所不需要的信息或服务,并确保具有管理员角色的员工对其管理和非管理活动具有单独的唯一帐户;内部建立账户监控和访问限制等安全控制措施。

7、云中的安全管理

如第3 章所述,云服务使用方使用云服务提供商提供的资源和服务,云生态环境中数据的所有权和管理权相互分离,云服务提供商和云服务使用方采用共同负担,分而治之的方式,达到安全的最佳实践。云服务使用方将自己的数据存储到云服务提供商处,由云服务提供商进行全面管理;云服务提供商确保提供服务的持续可用性,在可用性管理、访问控制、漏洞管理、补丁程序管理、配置管理、事件响应、系统使用和访问监控等重点领域进行管理。但是,由于云服务提供商没有对云数据的所有权,无法直接对用户数据进行查看和处理,管理上会受到部分限制;另外,云服务提供商无法得知用户使用的终端及进行的相关操作是否安全,由此可能引发许多不可控的、意料之外的安全风险和安全威胁。云服务提供商面临着新的管理挑战,其中一项主要的威胁是云资源滥用。

7.1 云资源滥用攻击

云服务提供商提升自身的知名度和产品推广,通常会向用户提供免费的试用产品或服务;同时,随着云技术的发展越来越成熟以及多个云服务提供商之间的商业竞争,云资源的价格也会一定程度降低,能够被多数组织/个人所接受。这些免费或低廉的云服务资源就很容易被熟悉黑灰产商机的恶意攻击者注意,引发资源滥用,常见的滥用行为包括:发起DDoS 攻击、电子邮件垃圾邮件和网络钓鱼活动、数字货币的“采矿”、刷单、暴力破解、DDoS 攻击、恶意VPN 代理、违法网站等。通过对腾讯云上恶意文件的分布情况(如图7-1 和图7-2 所示,结合图4-8 和图4-9 分析)也发现,linux 操作系统的云主机已成为DDoS 攻击滥用的重灾区,windows 操作系统的云主机也已成为代理类滥用行为的重灾区。

《2019云安全威胁报告》全文 资讯安全 第24张

图7-1 linux 平台的恶意样本占比图

《2019云安全威胁报告》全文 资讯安全 第25张

7-2 windows 平台的恶意样本占比

根据腾讯云内部的数据分析发现,滥用的行为逐渐增多,添加了许多新的类型,比如:云养号、恶意刷域名备案等行为。

随着AI 技术、IoT 技术等新兴技术的发展,这些滥用行为也将逐步增多,威胁也会逐渐增大。CNCERT 的抽样监测结果显示(如图7-3 所示):针对境内目标IP 的DDoS 攻击中80.1%的攻击来源为国内云服务提供商;C2 远程控制端IP中约59%为国内云服务提供商IP;对外植入网站后门的IP 中约39.4%的境内IP 来源于国内云服务提供商,这些数据都表明云计算服务在带来便捷性、可靠性、低成本、高性能的前提下,其网络流量的复杂性和良好的隐匿性都为黑客提供了便利性,也让云平台的风险性进一步提升。

《2019云安全威胁报告》全文 资讯安全 第26张

图7-3 国内云上恶意IP 占比

滥用云服务资源会减少云服务提供商正常能够提供给合法客户的可用容量,对大量滥用服务做出响应也会降低用于解决合法客户问题的响应资源的可用性。后续可能会有国家范围或者全球范围的第三方监管机构(目前已有全球性的机构如spamhaus.org)统一对滥用行为进行治理,将用户责任上升到平台责任,拒绝全球范围内的云服务提供商服务以达到强制治理的效果。由于云服务的共享性质,云服务提供商性质的拒绝服务会给使用正常服务的用户带来数据和服务可用性方面的问题。

因此,为避免此类情况的出现,云服务提供商需要具有事件响应和风险控制框架,来解决资源滥用问题。与此同时,还需要向客户提供相关的监控,使云服务使用方也能及时自检其所用服务的负载情况,从而有进一步的处理行动。

8、微服务及serverless 安全

为了更好的利用云计算便捷性的特点,微服务和无服务器计算(serverless)应运而生,其相对复杂的架构也带来了新的安全威胁。微服务和无服务器计算相对比传统企业或组织使用的基础设施即服务(IaaS),能够解耦复杂的业务架构,使开发者更专注于业务逻辑,快速独立部署上线。在云服务提供商和云服务使用方安全责任共担模型下,面临的安全威胁主要有两个方面:一方面是传统的安全威胁,随着云服务提供商所提供服务类型的改变,部分责任从云服务使用方迁移到了云服务提供商,具体内容如图8-1 所示,具体对比显示了IaaS、微服务和serverless(Faas)中云服务提供商和云服务使用者的安全责任;另一方面,解耦的复杂模块为快捷开发和部署提供了便利条件,但整体安全的服务架构设计和模块间的通信等相关内容也增加了复杂度,扩大了攻击面。

《2019云安全威胁报告》全文 资讯安全 第27张

图8-1 IaaS vs 微服务vs serverless(Faas)安全

8.1 微服务威胁

微服务具有快速部署、服务独立性增强等优点,使得现在许多公司开始接受微服务,微服务和容器也开始逐渐流行。根据NIST 的定义,微服务是应用程序组件以松散耦合的模式组成应用系统,这些应用程序组件使用标准通信协议和定义明确的API 相互通信,而与任何供应商,产品或技术无关26。从定义可以看出,微服务是由一系列运行在容器内的应用程序组件、使用公共的通信协议或API相互通信而构成的应用系统,每个应用程序间相互独立,虽然这些因素给微服务带来了部署简单、可扩展性强、低依赖性、故障隔离、数据中心统一等优势,但同时也带来了系统复杂度增加、故障排除困难等问题,尤其是因系统复杂度增加造成的可利用攻击面增大、传统监控方法失效等问题,为微服务带来了巨大的安全挑战。

随着越来越多的组织转向基于微服务和容器的体系结构,需要有更具有前瞻性安全设计架构,优良稳定的安全策略来确保微服务从产生之初就具有安全的特性;需要对部署应用程序的多个容器进行良好的配置管理,同时关注容器自身的漏洞,建立标准的最佳实践;需要确保部署容器的操作系统平台具有安全合规性,无论是用户身份验证、授权、角色访问等都符合必需的要求、规范以及安全策略。

对于使用微服务的用户来说,使用符合要求的用户身份验证、授权和访问权限控制,确保模块间数据传输的安全性、以及接口的安全使用也都是必须确保微服务安全使用的必要规范。

8.2 Serverless 威胁

微服务解耦了复杂的架构,能够基于业务构建,在容器内独立部署,但其本质上依然需要有底层操作系统的支持,而serverless 的出现彻底摆脱服务器、存储等底层设施的牵制,以功能即服务(Function as a service, FaaS)的方式提供给用户使用。用户可以专注于业务逻辑实现,完全忽略基础设施、资源开销等问题。

对于云服务提供商来说,更多的是底层基础设施和操作系统层面的安全;对于serverless 服务使用者来说,仍然需要负责业务逻辑,代码,数据和应用程序层配置的安全性。根据CSA 的研究报告显示,12 项主要威胁如下:

功能事件数据注入

身份验证失败

不安全的无服务器部署配置

特权过多的功能权限和角色

功能监视和记录不足

不安全的第三方依赖关系

不安全的应用程序秘密存储

拒绝服务和财务资源枯竭

无服务器功能执行流程操纵

错误的异常处理和详细的错误消息

废弃的函数、云资源和事件触发

交叉执行导致的数据驻留

9、新兴安全威胁

9.1 Intercloud 安全

Intercloud(中文称为跨云,也有英文成cross-cloud),是连接云网络(包括公共云,私有云和混合云)的概念,它整合了多项技术,以改善多个不同云网络之间的互操作性和可移植性。“Intercloud”一词最初是由记者和技术作家凯文·凯利(Kevin Kelly)创造,随后, IEEE 也发表了论文,希望能够连接不同的云计算平台,并允许将数据和应用程序移植到数据中心或云服务之间。图9-1显示了Cisco 对跨云的观点,其希望连接微软Azure、amazon、google 等公有云、企业的私有云,能够无缝连接云间的数据中心。

《2019云安全威胁报告》全文 资讯安全 第28张

图9-1 Cisco Intercloud view

目前,很多大企业为了确保数据安全性,有自建私有云的实践指导;在互联网环境下又有使用公有云服务提供商提供的产品/服务的需求;以及确保自身业务持续可用性或者满足自身业务需求,使用多个公有云服务提供商的需求。要同时满足这些需求,跨云必将成为一种趋势。在多云时代,IT 组织需要通过一个统一的实时视图来掌握所有私有云、公有云和分布式云的状况。早在2017 年,Gartner 就发布了预测:到2020 年,90%的企业将采用混合基础设施管理功能。

跨云需要实现网络互通、数据访问,此时云间的身份管理和身份认证、实践良好的跨云服务安全架构、跨云间的数据加密传输、以及云的安全合规性都将成为尤其重要的关键环节。

9.2 行业安全趋势

解决方案不仅在 互联网 行业发光发热,也已在金融、政务、医疗、教育等多个领域展示出蓬勃的生命力,随着产业 互联网 的发展以及国家对于 网络安全 的重视,会有更多的领域业务开始上云,需要云服务提供商和使用者对其安全威胁进行关注。 可预见的工业云平台安全性和 物联网 云平台安全性也是未来安全威胁的重点关注领域。

实施工业云及工业 大数据 创新应用试点,建设一批高质量的工业云服务和工业 大数据 平台,推动软件与服务、设计与制造资源、关键技术与标准的开放共享。 工业和信息化部通过政策引导、资金支持、试点示范、宣传推广等工作,全面部署推进工业 互联网 ,编制印发了《推动企业上云实施指南(2018-2020 年)》等文件。 近些年来,国家还发布了《智能制造发展规划(2016-2020 年)》、《国务院关于深化“ 互联网 +先进制造业”发展工业 互联网 的指导意见》等一系列政策文件,工业云作为推动两化深度融合的重要抓手获得高度重视。 通过业态细分加总,考虑产品更新与迭代,2020 年工业云市场规模可达1500 亿元。

根据Strategy Analytics 研究报告,到2019 年,消费者在智能家居相关硬件、服务和安装费用上的支出将达到1030 亿美元,并将以11%的复合年均增长率增长到2023 年的1570 亿美元。由于市场规模巨大,智能家居设备占据极大的市场份额,足够支撑起 物联网 云平台的发展,并且在未来依然还有较大空间。

标签:服务攻击全文宽带资源威胁技术问题租户平台数据


欢迎 发表评论: