2023上半年云安全态势报告
AI智能总结
引言 在数字化转型的大潮中,云计算作为实现创新和提高运营效率的关键技术,成为了新一代信息技术的核心引擎。随着云计算市场的快速发展,云安全已成为实施云战略的重要保障。如何在加强企业自身安全基础设施建设的同时,帮助企业实现关键业务目标,从而更好地支持企业数字化转型和业务的持续创新,已成为当前云安全建设的新挑战。 为了帮助读者了解云安全的现状和挑战,腾讯安全和腾讯研究院共同撰写了《2023上半年云安全态势报告》(以下简称《报告》)。报告将从2023上半年云上攻击态势、云安全的现状与挑战、云安全防护建议等多个方面出发,全面分析和总结当前云安全领域的现状和安全威胁。此外,报告还将关注API安全、容器安全等领域的最新发展和趋势,为读者提供有价值的参考信息,帮助企业更好地保护数据和应用程序的安全。 发布时间:2023年9月 参与机构:腾讯安全 腾讯研究院 目录 2023上半年云上攻击态势 行业攻击态势网络架构攻击态势2023上半年云上用户面临的安全威胁2023上半年活跃漏洞排名2023典型漏洞安全事件回顾0102040710 2023云安全的现状与挑战 企业云安全建设水平现状2023上半年企业云安全建设面临的挑战1315 2023上半年云安全态势总结及建议 17云上安全态势总结及建议 2023上半年云上攻击态势 行业攻击态势 互联网、金融、工业云成为被攻击的TOP3行业 2023上半年从不同行业角度的拦截数据来看,各个行业遭受攻击的次数呈现出明显的差异。互联网(通用工具、技术服务、通用SaaS)、金融和工业云成为被攻击的TOP3行业,它们在云上所面临的安全挑战和风险更为突出。 互联网行业由于其庞大的用户群体和业务需求,依赖于云计算技术来支持服务。攻击者往往试图利用云上的漏洞获取用户数据或破坏服务,使其成为遭受攻击次数最多的行业,占到了2023上半年云上总攻击次数的53.97%。 其次,工业云作为制造业数字化转型的关键支撑,在云上同样面临着较高的攻击风险,攻击者可能试图窃取商业机密或破坏生产过程,对企业造成严重损失。2023上半年工业云在各行业客户平均被攻击次数排名中位列第二位,占总攻击次数的8.17%。 最后,金融行业由于涉及大量敏感数据和资金交易,一直是黑客攻击的重点目标。相较其他行业,金融行业在云上遭受的攻击次数不仅频繁,攻击手段也更加高级和隐蔽。上半年金融行业被攻击次数占总次数的7.1%。 从行业攻击态势来看,这些行业在2023上半年受到了攻击者的重点关照,需要尤其关注自身的云安全建设,并采取针对性的安全措施,确保业务和数据安全。 网络架构攻击态势 攻击来源:96.1%攻击主要来自外网,边界安全防护仍是网络安全防护的重中之重 云上业务在面临攻击时,攻击来源可能多种多样。依据腾讯安全2023上半年的拦截数据统计,96.1%的云上攻击主要来源于外网,剩余3.9%的攻击来自内网横移、跨网段攻击、负载均衡等其他来源。 外网攻击通常由黑客、网络犯罪团伙等组织发起,这些组织仍然是云上业务面临的主要风险来源。他们利用各种攻击手段,包括漏洞利用、恶意软件和拒绝服务攻击等不同方式,来达到窃取数据和破坏服务等非法目的。在2023上半年,就有96.1%的云上攻击源自外网。因此,加强边缘安全防护仍然是网络安全防护的核心任务。 除外网攻击以外,其余攻击来源的占比如下: 内网攻击占总攻击次数的0.2%。内网攻击主要来自具有合法访问权限的内部人员,如恶意员工、合作伙伴等。他们可能因为贪婪、报复等动机,滥用权限窃取数据或破坏系统。内网攻击者通常对企业的业务流程和系统架构较为了解,对安全防护的威胁较大。 跨网段攻击占总攻击次数的0.3%。跨网段攻击指攻击者利用企业内部网络的不同网段之间的通信漏洞,发起攻击。攻击者可能通过垂直特权升级、横向移动等手段,窃取数据或控制关键系统。这类攻击需要企业加强内部网络安全防护,确保云上环境的安全。 负载均衡攻击占总攻击次数的3.4%。负载均衡攻击针对的是企业在云上部署的负载均衡器。攻击者可能通过恶意流量攻击、会话劫持等手段,试图破坏负载均衡器的正常工作,进而影响整个应用程序的可用性和性能。 资产被攻击情况:主机资产占54.94%,容器资产占45.06% 在云环境中,负载资产包括主机负载和容器负载,根据腾讯安全在2023年上半年的统计,容器负载被攻击占比为45.06%,主机负载被攻击的占比为54.94%,两类资产的被攻击占比基本达到1:1,企业在云安全防护上应兼顾主机安全和容器安全,确保资产可以得到全面的安全防护。 主机负载通常包括虚拟机、物理服务器等,是存储和处理敏感数据的关键节点,一旦被攻击,可能导致数据被窃取篡改,业务中断等严重后果。同时,作为最后一道防线,主机在网络安全防御中也承担着重要任务,作为攻击者的核心攻击目标之一,需要具备资产清点、安全加固、恶意攻击阻断等防护能力。同时,在混合云部署的趋势下,云下资产同样需要重视,企业可以使用支持混合云接入的安全工具,将云端的安全能力输出到私有数据中心,由此提升整体安全水平。 容器负载作为一种轻量级的虚拟化技术,能够更快速的部署和扩展应用程序,云原生技术不仅革新了云上软件架构和应用模式,也加速了云安全向云原生安全演进的趋势。同时容器的特性给传统安全防护体系带来了新的挑战。攻击者一旦攻破容器,就可以进一步获取宿主机系统权限,威胁宿主机上的其他容器和内网安全。为了避免容器成为新型攻击的突破口,企业需要关注容器生命周期的各个阶段,并采取相应的安全措施,收敛镜像、容器、集群、编排工具等攻击面。 2023上半年云上用户面临的安全威胁 数据窃取、建立僵尸网络和恶意挖矿是攻击者的主要攻击目的 在云安全防护中,企业需要关注攻击者的目的和手段,攻击目的是指攻击者发动攻击的最终意图,而攻击手段则是实现这一目的所采用的具体方法和技术。了解攻击者的攻击目的占比有助于企业更好地制定安全策略,针对不同的攻击目的采取相应的防护措施,可以帮助企业提高整体安全防护水平,确保数据和应用程序的安全。 根据腾讯安全的2023上半年的统计数据,攻击者抱有控制受害云主机资源获取企业敏感数据、下载运行挖矿木马牟利、建立僵尸网络目的的攻击最为常见,其次漏洞利用准备、勒索等安全事件也时有发生。以下是2023上半年攻击者主要攻击目的的占比: 恶意挖矿(20%) 攻击者利用受害者的计算资源进行加密货币挖矿,以谋求经济利益。 数据窃取(49%) 数据窃取类型攻击者者试图获取企业敏感数据,如客户信息、知识产权等。这类攻击目的占比最高,反映了攻击者对数据价值的认识。 建立僵尸网络(22%) 攻击者控制受害者设备,将其用作发起其他攻击的跳板或工具。 漏洞利用准备(9%) 攻击者在实施具体攻击行动之前,进行一系列的信息收集、漏洞探测和环境评估等活动,以便更有效地利用已知或未知的漏洞对目标系统发起攻击。 暴力破解、DDoS和漏洞利用仍是黑客最常用的攻击手段 为了达成攻击目的,攻击者往往会针对目标采用多种攻击行为。根据腾讯安全2023上半年收集的攻击行为数据,在所有被拦截的攻击中攻击者利用的路径和手段包括暴力破解、漏洞利用、APIKey攻击、社工攻击、钓鱼攻击等多种方式。其中需要我们关注的几个路径如下: 暴力破解 在所有被拦截的攻击中,暴力破解仍然是2023上半年最主流的攻击手段,攻击次数达到了59亿次,占上半年攻击次数的47.24%。攻击者主要利用弱密码、默认密码和密码重用等现象,通过尝试大量可能的组合来猜测正确的凭据,这类攻击仍是目前最具性价比的攻击之一。为应对暴力破解类攻击,企业需要采取包括强密码策略、多因素认证、安全监控与告警以及安全教育与培训等一系列措施,来提升自身的安全防护能力。 DDoS 随着云计算技术和IOT技术的发展,越来越多的可利用设备暴露在公共网络之中,攻击者对DDoS资源的获取变的越来越容易。根据腾讯安全的统计数据,上半年DDoS攻击达到了38亿占总次数的30.93%。同以往的DDoS攻击不同,攻击者会使用BOT、养号、恶意注册、CC攻击等更高级的攻击手段,构造恶意的“正常访问”来绕过传统的检测设备,给企业带来了更大的安全威胁。 漏洞利用 利用系统、应用程序或网络设备中的安全缺陷来突破安全防护,实现非法访问或操作一直是黑客的主要攻击手段之一。根据腾讯安全在2023上半年的数据,攻击者利用已知或未知漏洞发起的攻击占上半年总次数的15.60%,以RCE、XSS和SQL注入为首的漏洞武器仍是黑客的最爱。 依据上半年攻防演练的统计显示,企业70%以上的资产是被攻击者利用0day漏洞攻陷的。所以对于云服务使用方来说,虽然云服务提供商可以提供漏洞管理相关的服务,但云服务使用者仍然需要提高安全意识,部分情况下由于具体业务的逻辑性处理、系统兼容性等原因,云服务使用者甚至可能选择不修复或稍后修复漏洞,这都会给整体云计算平台的安全性带来较大的影响。 API Key攻击 随着各个企业云上业务的快速发展,越来越多的应用开发深度依赖API之间的相互调用,同时API作为系统间的通信桥梁也逐渐成为攻击者重点攻击的目标。根据2023上半年的攻击数据显示,攻击者利用API Key、敏感文件执行、敏感信息读取等手段发起的攻击次数呈明显上升趋势,占总攻击事件的1.69%。API滥用已成为导致企业Web应用程序数据泄露的最常见的攻击媒介,通过攻击API来达成攻击目的,已成为上半年攻防演练中各攻击队最常用的攻击手段之一。 2023上半年活跃漏洞排名 根据腾讯安全产品拦截到的漏洞攻击性质统计,2023上半年黑客最常利用的漏洞武器为远程代码执行漏洞(RCE),其他依次是扫描探测、SQL注入等漏洞。2023上半年云上活跃漏洞共211个,这些漏洞涉及操作系统、中间件、Web应用程序等多个层面。黑客和网络犯罪团伙不断尝试利用这些漏洞发起攻击,窃取数据和破坏服务。 1.Confluence 远程代码执行漏洞(CVE-2022-26134)【远程代码执行】2.Weblogic 未授权命令执行(CVE-2020-14882)【远程代码执行】3.Hadoop YARN 资源管理系统 REST API未授权访问【未授权访问漏洞】4.GitLab 远程命令执行漏洞(CVE-2021-22205)【远程代码执行】5.nginxWebUI runCmd 远程命令执行漏洞【远程代码执行】 腾讯安全根据最活跃的恶意软件家族使用的漏洞武器,整理出2023上半年漏洞利用的TOP5: Confluence 远程代码执行漏洞(CVE-2022-26134)1 Confluence是Atlassian公司开发和维护的一款企业级知识管理和协同软件,广泛应用于构建企业wiki。它支持团队成员进行信息共享、文档协作、集体讨论和信息推送等任务,具备便捷的编辑和站点管理功能。然而,在2022年6月1日,Atlassian公司发布了关于Confluence Server和Data Center版本存在远程代码执行漏洞的安全公告。攻击者可以在未经身份验证的情况下远程利用该漏洞,通过发送恶意Web请求注入命令,从而在目标服务器上实现任意代码执行并控制服务器。 Weblogic 未授权命令执行(CVE-2020-14882)2 Oracle WebLogic Server是Oracle公司开发的一款适用于云环境和传统环境的应用服务中间件。该中间件提供了一个现代化的轻量级开发平台,支持从开发到生产的应用全生命周期管理,简化了应用部署和管理过程。然而,Oracle WebLogic Server Console的多个版本存在安全漏洞。这些漏洞允许未经身份验证的攻击者通过HTTP访问网络,进而破坏Oracle WebLogic Server。受影响的版本包括:10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。 Hadoop YARN
