2023上半年云安全态势报告
AI智能总结
2023上半年 云安全态势报告 引言 在数字化转型的大潮中,云计算作为实现创新和提高运营效率的关键技术,成为了新一代信息技术的核心引擎。随着云计算市场的快速发展,云安全已成为实施云战略的重要保障。如何在加强企业自身安全基础设施建设的同时,帮助企业实现关键业务目标,从而更好地支持企业数字化转型和业务的持续创新,已成为当前云安全建设的新挑战。 为了帮助读者了解云安全的现状和挑战,腾讯安全和腾讯研究院共同撰写了《2023上半年云安全态势报告》(以下简称《报告》)。报告将从2023上半年云上攻击态势、云安全的现状与挑战、云安全防护建议等多个方面出发,全面分析和总结当前云安全领域的现状和安全威胁。此外,报告还将关注API安全、容器安全等领域的最新发展和趋势,为读者提供有价值的参考信息,帮助企业更好地保护数据和应用程序的安全。 参与机构:腾讯安全腾讯研究院发布时间:2023年9月 目录 2023上半年云上攻击态势 行业攻击态势01 网络架构攻击态势02 2023上半年云上用户面临的安全威胁04 2023上半年活跃漏洞排名07 2023典型漏洞安全事件回顾10 2023云安全的现状与挑战 企业云安全建设水平现状13 2023上半年企业云安全建设面临的挑战15 2023上半年云安全态势总结及建议 云上安全态势总结及建议17 2023 上半年云上攻击态势 行业攻击态势 互联网、金融、工业云成为被攻击的TOP3行业 2023上半年从不同行业角度的拦截数据来看,各个行业遭受攻击的次数呈现出明显的差异。互联网(通用工具、技术服务、通用SaaS)、金融和工业云成为被攻击的TOP3行业,它们在云上所面临的安全挑战和风险更为突出。 互联网行业由于其庞大的用户群体和业务需求,依赖于云计算技术来支持服务。攻击者往往试图利用云上的漏洞获取用户数据或破坏服务,使其成为遭受攻击次数最多的行业,占到了2023上半年云上总攻击次数的53.97%。 2023上半年各行业用户平均被攻击次数 互联网通用工具 工电业商云 互联网技术服务 互联网SaaS服务 金融 生活服务 医疗 教育 能源 智慧零售 建筑 社交娱乐 消费电子 传媒 出行 政法 农文旅 运营商 政务 交通 其他 游戏 图1:2023上半年各行业用户平均被攻击次数 其次,工业云作为制造业数字化转型的关键支撑,在云上同样面临着较高的攻击风险,攻击者可能试图窃取商业机密或破坏生产过程,对企业造成严重损失。2023上半年工业云在各行业客户平均被攻击次数排名中位列第二位,占总攻击次数的8.17%。 最后,金融行业由于涉及大量敏感数据和资金交易,一直是黑客攻击的重点目标。相较其他行业,金融行业在云上遭受的攻击次数不仅频繁,攻击手段也更加高级和隐蔽。上半年金融行业被攻击次数占总次数的7.1%。 从行业攻击态势来看,这些行业在2023上半年受到了攻击者的重点关照,需要尤其关注自身的云安全建设,并采取针对性的安全措施,确保业务和数据安全。 金融7.1% 工业云8.17% 互联网通用工具8.31% 电商17.78% 其他行业30.76% 互联网技术服务27.88% 其他行业 互联网技术服务电商 互联网通用工具工业云 金融 图2:2023上半年云上各行业受攻击总次数 网络架构攻击态势 攻击来源:96.1%攻击主要来自外网,边界安全防护仍是网络安全防护的重中之重 云上业务在面临攻击时,攻击来源可能多种多样。依据腾讯安全2023上半年的拦截数据统计,96.1%的云上攻击主要来源于外网,剩余3.9%的攻击来自内网横移、跨网段攻击、负载均衡等其他来源。 外网攻击通常由黑客、网络犯罪团伙等组织发起,这些组织仍然是云上业务面临的主要风险来源。他们利用各种攻击手段,包括漏洞利用、恶意软件和拒绝服务攻击等不同方式,来达到窃取数据和破坏服务等非法目的。在2023上半年,就有96.1%的云上攻击源自外网。因此,加强边缘安全防护仍然是网络安全防护的核心任务。 除外网攻击以外,其余攻击来源的占比如下: 内网攻击占总攻击次数的0.2%。内网攻击主要来自具有合法访问权限的内部人员,如恶 意员工、合作伙伴等。他们可能因为贪婪、报复等动机,滥用权限窃取数据或破坏系统。内 网攻击者通常对企业的业务流程和系统架构较为了解,对安全防护的威胁较大。 跨网段攻击占总攻击次数的0.3%。跨网段攻击指攻击者利用企业内部网络的不同网段之 间的通信漏洞,发起攻击。攻击者可能通过垂直特权升级、横向移动等手段,窃取数据或 控制关键系统。这类攻击需要企业加强内部网络安全防护,确保云上环境的安全。 负载均衡攻击占总攻击次数的3.4%。负载均衡攻击针对的是企业在云上部署的负载均衡 器。攻击者可能通过恶意流量攻击、会话劫持等手段,试图破坏负载均衡器的正常工作, 进而影响整个应用程序的可用性和性能。 跨网段攻击0.3% 负载均衡3.4% 图3:2023上半年云上被攻击次数来源占比图 内网横移0.2% 外网攻击96.1% 外网攻击负载均衡跨网段攻击内网横移 资产被攻击情况:主机资产占54.94%,容器资产占45.06% 在云环境中,负载资产包括主机负载和容器负载,根据腾讯安全在2023年上半年的统计,容器负载被攻击占比为45.06%,主机负载被攻击的占比为54.94%,两类资产的被攻击占比基本达到1:1,企业在云安全防护上应兼顾主机安全和容器安全,确保资产可以得到全面的安全防护。 主机负载通常包括虚拟机、物理服务器等,是存储和处理敏感数据的关键节点,一旦被 产清点、安全加固、恶意攻击阻断等防护能力。同时,在混合云部署的趋势下,云下资产 在网络安全防御中也承担着重要任务,作为攻击者的核心攻击目标之一,需要具备资 攻击,可能导致数据被窃取篡改,业务中断等严重后果。同时,作为最后一道防线,主机 私有数据中心,由此提升整体安全水平。 同样需要重视,企业可以使用支持混合云接入的安全工具,将云端的安全能力输出到 容器负载作为一种轻量级的虚拟化技术,能够更快速的部署和扩展应用程序,云原生 以进一步获取宿主机系统权限,威胁宿主机上的其他容器和内网安全。为了避免容器 势。同时容器的特性给传统安全防护体系带来了新的挑战。攻击者一旦攻破容器,就可 技术不仅革新了云上软件架构和应用模式,也加速了云安全向云原生安全演进的趋 措施,收敛镜像、容器、集群、编排工具等攻击面。 成为新型攻击的突破口,企业需要关注容器生命周期的各个阶段,并采取相应的安全 容器主机 45.06%54.94% 主机容器 图4:2023上半年云上资产被攻击次数占比图 2023上半年云上用户面临的安全威胁 数据窃取、建立僵尸网络和恶意挖矿是攻击者的主要攻击目的 在云安全防护中,企业需要关注攻击者的目的和手段,攻击目的是指攻击者发动攻击的最终意图,而攻击手段则是实现这一目的所采用的具体方法和技术。了解攻击者的攻击目的占比有助于企业更好地制定安全策略,针对不同的攻击目的采取相应的防护措施,可以帮助企业提高整体安全防护水平,确保数据和应用程序的安全。 恶意挖矿(20%) 攻击者利用受害者的计算资源进行加密货币挖矿,以谋求经济利益。 数据窃取(49%) 的数占据比窃最取高类,型反攻映击了者攻者击试者图对获数取据企价业值敏的感认数识据。,如客户信息、知识产权等。这类攻击目 建立僵尸网络(22%) 攻击者控制受害者设备,将其用作发起其他攻击的跳板或工具。 漏洞利用准备(9%) 动攻,击以者便在更实有施效具地体利攻用击已行知动或之未前知,的进漏行洞一对系目列标的系信统息发收起集攻、击漏。洞探测和环境评估等活 根据腾讯安全的2023上半年的统计数据,攻击者抱有控制受害云主机资源获取企业敏感数据、下载运行挖矿木马牟利、建立僵尸网络目的的攻击最为常见,其次漏洞利用准备、勒索等安全事件也时有发生。以下是2023上半年攻击者主要攻击目的的占比: 图5:2023上半年黑客云上攻击目的占比图 2023上半年云安全态势报告 恶意挖矿20% 建立僵尸网络22%漏洞利用准备9% 04 2023上半年攻击者云上攻击目的占比 数据窃取49% 数据窃取 漏洞利用准备建立僵尸网络恶意挖矿 暴力破解、DDoS和漏洞利用仍是黑客最常用的攻击手段 为了达成攻击目的,攻击者往往会针对目标采用多种攻击行为。根据腾讯安全2023上半年收集的攻击行为数据,在所有被拦截的攻击中攻击者利用的路径和手段包括暴力破解、漏洞利用、APIKey攻击、社工攻击、钓鱼攻击等多种方式。其中需要我们关注的几个路径如下: 暴力破解 重用等现象,通过尝试大量可能的组合来猜测正确的凭据,这类攻击仍是目前最具性 到了59亿次,占上半年攻击次数的47.24%。攻击者主要利用弱密码、默认密码和密码 在所有被拦截的攻击中,暴力破解仍然是2023上半年最主流的攻击手段,攻击次数达 证、安全监控与告警以及安全教育与培训等一系列措施,来提升自身的安全防护能力。 价比的攻击之一。为应对暴力破解类攻击,企业需要采取包括强密码策略、多因素认 DDoS 达到了38亿占总次数的30.93%。同以往的DDoS攻击不同,攻击者会使用BOT、养号、 者对DDoS资源的获取变的越来越容易。根据腾讯安全的统计数据,上半年DDoS攻击 随着云计算技术和IOT技术的发展,越来越多的可利用设备暴露在公共网络之中,攻击 备,给企业带来了更大的安全威胁。 恶意注册、CC攻击等更高级的攻击手段,构造恶意的“正常访问”来绕过传统的检测设 漏洞利用 一直是黑客的主要攻击手段之一。根据腾讯安全在2023上半年的数据,攻击者利用已 利用系统、应用程序或网络设备中的安全缺陷来突破安全防护,实现非法访问或操作 漏洞武器仍是黑客的最爱。 知或未知漏洞发起的攻击占上半年总次数的15.60%,以RCE、XSS和SQL注入为首的 但云服务使用者仍然需要提高安全意识,部分情况下由于具体业务的逻辑性处理、系 陷的。所以对于云服务使用方来说,虽然云服务提供商可以提供漏洞管理相关的服务, 依据上半年攻防演练的统计显示,企业70%以上的资产是被攻击者利用0day漏洞攻 云计算平台的安全性带来较大的影响。 统兼容性等原因,云服务使用者甚至可能选择不修复或稍后修复漏洞,这都会给整体 APIKey攻击 用,同时API作为系统间的通信桥梁也逐渐成为攻击者重点攻击的目标。根据2023上半 随着各个企业云上业务的快速发展,越来越多的应用开发深度依赖API之间的相互调 攻击次数呈明显上升趋势,占总攻击事件的1.69%。API滥用已成为导致企业Web应用 年的攻击数据显示,攻击者利用APIKey、敏感文件执行、敏感信息读取等手段发起的 演练中各攻击队最常用的攻击手段之一。 程序数据泄露的最常见的攻击媒介,通过攻击API来达成攻击目的,已成为上半年攻防 2023上半年各类攻击次数占比 2.32% 15.6% 2.21% 1.69% 47.24% 30.93% 暴力破解DDoS攻击漏洞利用其他钓鱼攻击/社工攻击APIKey攻击 图6:云上各类攻击次数占比 2023上半年活跃漏洞排名 根据腾讯安全产品拦截到的漏洞攻击性质统计,2023上半年黑客最常利用的漏洞武器为远程代码执行漏洞(RCE),其他依次是扫描探测、SQL注入等漏洞。2023上半年云上活跃漏洞共211个,这些漏洞涉及操作系统、中间件、Web应用程序等多个层面。黑客和网络犯罪团伙不断尝试利用这些漏洞发起攻击,窃取数据和破坏服务。 6.6% nginxWebUIru... 7.44% CVE-2021-22205 7.74% 8.89% 其他漏洞 HadoopYARN...CVE-2020-14882 27.92% CVE-2022-26134 41.41% *备注 1.Confluence远程代码执行漏洞(CVE-2022-26134【)远程代码执行】 2.
