云上攻防发展洞察 版权声明 本报告版权属于中国通信标准化协会云计算标准和开源推进委员会,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国通信标准化协会云计算标准和开源推进委员会”。违反上述声明者,委员会将追究其相关法律责任。 前言 云计算技术持续迭代创新,企业上云转型加速进行,随着企业云上资产和业务的比重逐渐提升,安全问题日益凸显。针对云上资产的网络攻击事件层出不穷,云计算技术被滥用的风险迅速增加,云上攻防态势和发展备受关注。 本报告梳理了云计算场景下的网络攻防态势现状,分析当前我国云上攻防行业市场格局,归纳常见网络攻击技术和防御手段,以探讨传统网络攻防和云计算结合的新态势,洞察云计算时代网络空间安全的行业未来发展。 编制组 王睿宁孔松郭雪吴剑刚梁伟廖铨何永翀严仍义周月徐贤范淑杰李晓明郑斌刘金革陈焕新 目录 一、云上攻防态势洞察1 (一)云上风险点位增加,攻防视角发生变化1 1.云上风险点位变化1 2.网络攻击目标变化2 3.网络攻防形式变化4 (二)科技竞争引导网络博弈,云上防御体系逐渐完善6 二、云上攻防市场洞察8 (一)我国云上攻防市场不断扩大8 (二)国内外市场格局基本形成12 1.云计算攻防产品和服务品类丰富12 2.国内外云安全市场参与者众多13 三、云上攻防技术洞察16 (一)攻防技术逐渐适应云计算环境16 (二)攻防框架构建体系化知识库23 四、发展趋势与建议26 (一)ICT新技术融合加速云上攻防态势复杂化26 (二)多措并举维护云安全生态28 附录:云安全实践优秀案例30 图目录 图1云上攻防场景示意图1 图22022中国通用网络安全服务细分市场规模9 图32022年中国数据安全、安全网关、终端安全市场占有率10 图4企业云安全建设主要驱动因素11 图5云上攻防产品和服务概览13 图6最受关注的API安全问题Top1017 图7云平台DDoS防御架构参考21 表目录 表1近期大规模云上网络攻击事件3 表2国外云安全市场典型企业14 表3国内云安全市场典型企业15 一、云上攻防态势洞察 云计算标准和开源推进委员会 随着数字化转型不断推进,云计算与大数据的应用衍生至千行百业,各类云服务承载了无法估量的数字资产,互联网则支撑了海量数据和信息在云上业务间传递。云计算在赋能数字化发展的同时,也为黑客提供了新的攻击目标和攻击手段。时逢全球局势动荡,科技竞争激烈,网络攻防态势日益严峻。本报告从网络攻击侧和防御侧的典型态势出发,聚焦云计算环境新风险,洞察云上攻防新趋势。 来源:中国信息通信研究院 图1云上攻防场景示意图 (一)云上风险点位增加,攻防视角发生变化 1.云上风险点位变化 业务上云打破了传统数据中心的集中式部署方式,分散化的数据存储和即开即用的原生化服务对网络性能高度依赖,增加了云计算安全的风险点位。 云计算标准和开源推进委员会 隐私和数据泄露风险增加,一些云用户安全意识薄弱,时常出现凭据信息保存不当、数据访问操作不规范等情况,增加了敏感信息暴露在网络中的潜在风险。服务可用性不受控,云厂商承担着大部分数字基础设施运行和维护的责任,一旦遭受网络攻击造成服务不可用,可能会影响众多企业的业务运营,云用户自身则难以规避此类风险。云上风险暴露面扩大,为满足日益复杂的业务需求,多云、混合云部署成为常态,各类管理平台、运维工具关联众多云上资产,每一个开放接口和网络边界都是潜在的攻击面,增加了风险暴露管理的难度。易受互联网波动影响,用户上云用云高度依赖互联网,尤其是公有云和专有云,用户侧的网络传输质量不确定性大,网络延迟、中断等情况将严重影响使用体验和安全性。企业上云使得潜在的安全风险发生变化,面向云的攻击者与防御者视角也随之改变。 2.网络攻击目标变化 传统数据中心多为“存用一体”的业务架构,对于攻击者来说,能够渗透目标企业的网络、存储等基础设施,就意味着对数据和应用的破坏也轻而易举,而在云计算环境中,攻击目标被拆分成云服务商和云用户两个主体,双方面临不同的安全风险。 一是面向云服务商的攻击主要针对数字基础设施,造成大规模数据泄露、服务不可用和数据勒索等事件。目前,数据窃取仍是黑客云上攻击的主要意图,其影响范围广且难以预防。2023年数据泄露的平均成本达到445万美元,创历史新高。今年5月,云存储巨头Snowflake 的大量客户实例遭黑客攻击,导致全球超过165家知名企业发生大规 模数据泄露,成为云计算历史上最严重的数据泄漏事件之一。此外,对云服务商的勒索攻击迅速增长,涉及数据量和金额不断创下新高,由于各国对勒索事件的监管力度不一,存在大量灰色地带,其扩张趋势在短时间内难以遏制。 云计算标准和开源推进委员会 二是面向云用户的攻击主要集中在用户终端或云外网络,利用了部分用户安全意识薄弱、安全配置不足的特点。主要手段包括通过网络钓鱼窃取隐私信息、利用暴露的网络端口和API进行非法访问、扫描并入侵用户配置漏洞和未及时更新的系统漏洞等。云上攻击者利用APIKey、敏感文件执行等手段发起攻击的次数明显上升,暴力破解、钓鱼攻击、社会工程等针对用户侧的攻击大幅增加。虽然大多数企业都已建立安全防御体系,但由于安全人员匮乏、安全预算不足、云安全理念和决策落后等原因,往往处于被动防御状态,为不法分子创造了可乘之机。 表1近期大规模云上网络攻击事件 时间 安全事件 攻击方式与影响 2023年8月 数据加密勒索 丹麦大型云服务提供商CloudNordic服务器遭勒索软件加密,所有系统、网站和邮件不可用,导致全部客户数据丢失,公司陷入“彻底瘫痪”。 2023年11月 密码泄露 斯洛文尼亚电力公司HSE遭受勒索软件攻击,攻击者通过从未受保护的云存储实例中窃取了HSE系统的密码,锁定了IT系统和文件。 2024年1月 API数据泄露 Atlassian旗下的在线项目管理工具Trello遭到黑客攻击,黑客利用其公共API匹配 时间 安全事件 攻击方式与影响 现有的电子邮件数据库,超1500万数据被泄露。 2024年2月 数据加密勒索 美国最大的医疗IT公司ChangeHealthcare遭受了医疗系统有史以来最严重的勒索软件攻击之一,导致美国各地药店瘫痪,处方药的配送出现严重问题,初步损失超60亿元。 2024年3月 DDoS攻击 法国多个政府机构遭遇了大规模的分布式拒绝服务(DDoS)攻击,影响了超过300个网页域名和177,000个IP地址,导致重要公共服务网站的严重中断。黑客组织AnonymousSudan声称对此次攻击负责。 2024年5月 云存储数据泄露 云存储巨头Snowflake的大量客户实例遭黑客攻击,导致全球超过165家知名企业发生大规模数据泄露,数以亿计的个人受到影响。 云计算标准和开源推进委员会 3.网络攻防形式变化 来源:公开资料整理 云计算在提供便捷的计算资源和服务的同时,也为网络攻击提供了更多形式和手段,大规模、有组织的长期对抗成为主流。云计算环境数据集中化,是网络攻击的重点目标,更是国际上有组织、有实力的黑客团体制造大规模安全事件的绝佳标靶。反之,云计算分布式部署和资源虚拟化的特性同样可能被黑客利用,捏造虚拟身份,隐藏真实地址,增加了企业威胁防御的难度,也使得攻击溯源更加复杂。 一是大规模恶意攻击以云网络为介质,传播速度快,攻击频率高,破坏力强。黑客突破云服务商内部防火墙,将木马病毒植入到云服务器上,就能够利用云计算的特性轻而易举地侵占计算资源或传播木马病毒。近年来,针对云平台的大规模挖矿攻击层出不穷。“8220”挖矿组织通过向云平台传播恶意脚本,自动下载挖矿程序以及其他恶意程序。“Outlaw”则是攻击云服务器组建僵尸网络,在节点中植入挖矿木马,并通过云网渗透扩张,以获得更大规模的计算资源。这些挖矿组织长期活跃,造成了大量算力流失和资源浪费。 云计算标准和开源推进委员会 二是云计算提供虚拟资源和服务,为匿名访问提供便利,攻击者真实身份难追溯。洋葱网络(Tor)是黑客常用的分布式匿名网络,可以通过多次跳转来保护用户的隐私和匿名性。攻击者在云计算环境中部署Tor节点用以传播恶意流量,不但弱化了网络攻击地域限制和资源限制,还可以利用协议伪装使得攻击流量几乎不能被溯源工具拆解分析。 三是云计算成为关键数字基础设施,云上攻击对重点行业的影响加剧。长期以来,高级持续攻击(APT)都是黑客组织入侵他国数字基础设施,破坏重要机构,窃取机密信息的主要手段。随着军事战术、空天科技、信息通信等国家重要领域不断上云转型,对数字基础设施的依赖程度加深,加剧了其遭受国际组织APT攻击的潜在风险。俄乌冲突、巴以冲突都将网络攻击置于重要战略地位,不断使用APT、DDoS等手段攻击数字基础设施,造成了通讯延迟、能源供应中断等影响。 (二)科技竞争引导网络博弈,云上防御体系逐渐完善 云计算作为众多数字基础设施的运行平台和数据信息的传递媒介,承载了大量信息通信、经济运行和公共服务等活动,是国家科技实力的重要体现,当今网络空间和云环境已成为国际科技和经济竞争的重要战场,云上攻防态势愈演愈烈。 云计算标准和开源推进委员会 云上攻击方式复杂多变。一是云计算作为攻击目标,遭破坏后影响广泛。据IBM报告显示,2023年与云环境中所存储数据相关的泄露事件占总数的82%,其中39%的攻击跨越多个云环境,造成的平均损失高达475万美元。互联网、金融云、工业云仍是遭受网络攻击最多的三大领域,近年来已发生数起重大云安全事件,诸如加拿大石油巨头遭到网络攻击导致全国加油服务中断、Microsoft365及Azure云服务因DDoS攻击而频繁中断、OpenAI和阿里云同时遭受DDoS攻击影响全系产品等。二是云计算作为攻击手段,能够加剧网络攻击效果。实际上,使用网络攻击对关键数字基础设施造成持久的物理损害并不普遍,其在科技竞争中的应用更多是作为威胁手段和设置阻碍。一些基于云计算的攻击即服务(AaaS)、勒索软件即服务(RaaS)和僵尸在互联网灰色地带异常活跃。利用云服务提供的高带宽和计算资源,攻击者可以发动规模更大、更复杂的DDoS攻击,瘫痪目标系统。攻击者通过云平台实时更新恶意代码,绕过传统的安全防护措施,并迅速传播到全球的目标系统,不仅提高了攻击的成功率,还使得防御方难以迅速响应和溯源。 云计算标准和开源推进委员会 云上防御体系基本成形。一是各国云上安全政策逐步完善,监管力度提升、粒度细化。美国发布《国防部云战略》、《美国本土外云计算战略》等文件,明确了云计算运用发展的指导原则,将重要数据和应用服务向云上迁移。俄乌冲突爆发后,欧洲陆续发布《网络安全条例》、《网络团结法案》等多项法规,巩固云安全防线。各国对网络空间的防御策略逐渐转变,由被动防护转变为主动防御,由对网络关基设施的关注延伸到各个领域的上云业务。二是技术创新不断落地,国家级防御体系加快建设。一些政府组织已开始尝试将云计算引入国家防御体系。美空军加速推进“一号云”和“联合作战云能力”两大云计算项目,提升军事信息系统的服务可靠性、存储灵活性和安全性。欧盟着眼于未来网络安全技术研发,在6G、量子安全体系等方面投入大量资源,建立联合网络单元共享预警信息,确保组织内对网络安全事件响应协调一致。三是广交同盟,共建网络空间防御共同体。发起安全倡议、组建多方联盟等是各大利益共同体提升网络防御能力的常见方式。2023年,欧盟发布提案建立欧洲网络护盾和区域网络合作中心,提升组织内部和与周边国家的网络安全战略关系。北约合作网络防御卓越中心面向成员国和合作伙伴共享威胁情报和防御资源,提 升整体网络防御能力。 二、云上攻防市场洞察 (一)我国云上攻防市场不断扩大 网络安全是维护企业数字业务平稳运行的基石,企业对攻防产品和服务需求多样化,传统网络攻防市场基本盘稳定,以攻防即服务引导的云上攻防市场增长迅速。 云计算标准和开源推进委员会 从市场规模来看,我国网络攻防市场体量较小,云安全市场仍处于上升期。企业参与网络