2024年云安全态势报告

前言 云计算经过多年的发展，已经逐渐成为了企业的基础设施，其弹性与便捷让企业能够快速拓展并抓住机遇，随着业务复杂性的提升，如今，多云混合云架构已经成为多数企业的首选。同时，GenAI的到来也在改变企业的基础设施选择，容器Serverless等资产使用比例明显上升。然而，这些创新和灵活性的背后，是成倍增加的复杂性，“复杂性”意味着更多的“脆弱性”，据阿里云观测数据显示，2024年云上有风险的资产数量增加了40。 为了解决这些风险，企业将持续面对安全碎片化问题。我们常常会看到，在传统方案中，一家企业往往部署了十余种甚至更多的安全工具，每款工具都有无数的告警需要处理。此外，不同的基础设施，不同的云针对产品的使用配置也不尽相同，一个错误的配置就可能增加暴露风险，带来数据泄露的可能。 随着数字经济的持续发展，安全对抗也在变得愈发强烈。过去一年，我们看到漏洞、勒索软件的数量和攻击手法都在迭代更新。作为保护者，阿里云也在持续更新原生安全能力，当然我们不仅要提供安全的云服务，更要帮助客户安全地使用云。 在这份报告中，我们整理了2024年云上各类风险态势，包含配置、响应、漏洞、勒索等方面，并给出相应的治理建议，希望能帮助企业构建适合自身的安全防护策略，在日益复杂多变的环境中，稳健发展、不断前行。 欧阳欣阿里云安全产品总经理 编写单位 阿里云安全团队 指导委员会 欧阳欣阿里云安全产品总经理祝建跃阿里云安全产品负责人 刘志生阿里云安全产品技术负责人 编写组成员（以下按姓氏拼音首字母排序） 联系我们 云，是安全碎片化的终结者。 我们长期以来一直致力于保护企业的环境，并坚持三体化安全建设思路，帮助客户实现：不同环境（公有云、专有云及线下IDC）的安全统管 不同安全产品告警信息的聚合和关联分析 生产网和办公网的统一管理和运维 曹波 陈恒毅 罗博文 李浩然 刘晋成 梁雷 李玉琳 吕英豪 莫诚就 马乐乐 屠励杰 田民 陶夏溦 谭肖依 伍悦 杨李贝 王巍淇 钟丹 周来 张旭俊 钟现奎设计支持徐方芳 单夷繁 李梦平 在2012年，阿里云推出了第一款主机类防护产品：安骑士，并在2019年正式更新成云原生的应用平台保护产品：云安全中心，旨在帮助客户建立多云混合云的安全配置、威胁、告警统管，实现安全运营的闭环，2024年阿里云累计检测客户漏洞数量超过3亿个，帮助用户修复漏洞超过5000万个。同时，我们也在积极探索GenAI能为安全带来何种助益，在2022年阿里云已正式推出安全大模型，为客户提供清晰的风险解释和处置手段，目前AI助手实现了99的告警事件覆盖，用户调用量提升超过300。 3亿 累计检测客户漏洞数量 5000万 帮助用户修复漏洞 99 AI助手告警事件覆盖 300 用户调用量提升 01 企业的基础设施正在变得越来越复杂，多云混合云成为主流的选择，云已经成为企业的基础设施。 受保护的资产持续增加，日均安全扫描量破百万，容器Serverless等资产使用比例明显上升，GenAI时代正在改变企业的基础设施选择。但“复杂性”意味着更多的“脆弱性”，阿里云观测到，有风险的资产数量增加40，集中在计算（ECS）、身份认证（RAM）、存储 （OSSNAS）、数据库（RDSKVSTORE）等核心资产中。 通过对资产的持续性扫描，阿里云整理了六大典型的安全配置风险，并梳理了典型的攻击路径。其中，机器身份的大量应用，让身份安全和权限管控成为重中之重：AK泄漏、弱密码、过度授权任意的脆弱性都有可能成为攻击链路上的击破点，正确管理企业云上的身份与授 权是安全的基石。 同样，随着AI和大模型的快速发展，相关企业也成为了新的攻击对象，服务中断、数据泄露等事件层出不穷。阿里云整理了模型从部署、训练到上线全流程的安全风险和防护建议，高算力、高资源、高迭代的特点，也给其安全带来了更多的挑战。 02 漏洞数量和高危漏洞所带来的威胁态势呈增长态势。 2024年，阿里云漏洞库累计收录40209个漏洞，较2023年增长12。其中，CVSS评价为高危的漏洞数22489个，较2023年增长4。开源组件漏洞是主要的云上风险，组件使用者配置不当是漏洞形成的主要成因。漏洞利用是勒索软件常用的攻击手段。 客户应采用自动化的漏洞修复工具，降低MTTDMTTR是应对漏洞风险的有效手段。一方面，提前发现并修复漏洞，可有效保护企业和用户的信息安全。2024年阿里云累计检测客户漏洞数量超过3亿个，帮助用户修复漏洞超过5000万个。另一方面，在运行时，依托自动化和智能化增强入侵检测与防御能力，可有效减少漏洞检测与修复时间。基于大模型的阿里云云安全中心AI助手的引入实现了99的告警事件覆盖，AI助手的用户调用量提升超过300。 03 2024年，安全对抗也在持续增强。 勒索软件呈现爆发式增长趋势，涨幅达到74，随着Bitcoin等加密货币价格大幅飙升，勒索攻击者活动愈发猖獗，且表现出高度的执着与专业性，单次攻击时间可持续数小时，采用多种手段。同时，随着头部RaaS生态变动，大量从头部勒索组织脱离的附属机构会优先选择攻击防护能力较弱的中小企业。 同时，勒索组织的勒索效率也在提升，且行为更加隐蔽，在约50的勒索事件中，攻击者会优先选择攻击EDR、HIPS等安全防护产品，在安全模块无法工作后才进行勒索，确保新型的勒索病毒不被安全产品收集。在攻防态势愈发严峻的当下，企业应尽快提升自身的安全防护力。 ALIBABACLOUDSECURITY 24 200Chapter1 企业基础设施 变得越来越复杂 AnnualReport AboutAlibabaCloudSecurity 企业基础设施正在变得越来越复杂，含有配置问题的风险资产增多 2024年，随着GenAI和大模型的蓬勃发展，新的业务形态持续出现，生成式人工智能正在颠覆安全领域。一方面，AIGC等新业务形态的出现带来的新的安全风险，大模型的推理技术也越来越多地被用在攻防对抗中，安全团队需要对攻防技术和策略进行快速的更新；另一方面，企业的基础设施正在变得越来越复杂，多云混合云部署成为主流，围绕着AI模型的训练、推理，容器Severless的使用频率增加，资产迭代的生命周期被大幅缩短，持续的资产监控和配置管理的必要性愈发凸显。 阿里云安全团队从资产类型、配置管理以及身份安全三个方面监控了相关数据和态势的变化，我们看到云上有风险的资产数量增加40，而在此类变化下，保持对安全的持续监控和管理，成为一个巨大的挑战。 02 云上日均资产扫描量破百万，风险资产数量增加40，AK泄漏、过度授权和弱口令需重点关注 云上资产量级快速增加，风险资产数量上涨40 随着企业上云率提升，云上资产数量越来越多，企业的安全意识也在逐步提升。根据云安全中心数据显示，配置安全的日均扫描量已达150W，扫描出的风险资产数量提升40，其中计算 （ECS）、身份认证（RAM）、存储（OSSNAS）、数据库（RDSKVSTORE）等云上核心资产的配置风险，需要企业优先关注。 日均扫描量 150w 40 风险资产上涨 01 企业架构加速向云上演进，GenAI正在改变企业的资产选择 配置风险风险资产数量 3000000 2500000 2000000 1500000 1000000 500000 0 ECS RAM OSS ACR RDS VPC SLB （云上TOP风险资产） 随着企业上云程度加深，架构的复杂性也在提升，需要同时防护云上和原有环境中的资产，过去一年阿里云对云外主机的防护数量增长284。同时，GenAI（生成式人工智能）在2023年作为一种突破性力量出现，围绕着AI的模型训练、推理，云上架构正在从虚拟机（ECS）向无服务容器演进，目前云上受到保护的容器Serverless资产已超过百万级。 云安全中心防护的 云外主机数增长 284 21 云外主机在整体防护 主机中的占比增长 架构的复杂化和资产迭代速度的增快给安全带来了更大的挑战，既需要保证多环境中的安全策略一致性，也要持续收敛因工作负载快速迭代而扩大的攻击面，实现持续性的安全洞察、监控和事件响应。 六大典型安全配置风险场景：40以上的企业存在配置风险 典型风险场景四：存储开放公共读写和匿名访问，存在敏感泄漏风险 根据对以上资产的持续性扫描，40的企业均存在各类配置风险，面临着防护效果不佳，甚至面临暴力破解和数据泄露的风险。基于此，阿里云安全团队整理了云上六大典型配置风险场景，包含高危端口管理、白名单配置、AK防护、存储读写、身份授权等多个方面，需要企业 55 组织存储开放公共读写和匿名访问 持续性的安全治理和建设。 典型风险场景一：高危端口暴露，面临爆破风险 这意味着互联网上的任何人都可以读取企业存储桶内的数据，并删除或向存储桶写入新的数 据，企业应将OSSNAS等存储产品设置为无公开访问对象白名单不对公网开放，并禁止匿名授权策略。 51 组织存在高危管理端口暴露到公网 典型风险场景五：CIEM过度授权风险 只要存在外部访问的场景，均有可能存在高危管理端口的暴露，包括：CLB、ALB、SSH、RDP、DNAT等产品，企业应该定期检查对应产品的端口暴露情况，禁止任意IP访问。 43 组织身份权限存在过度授权风险 典型风险场景二：数据库白名单对公网开放，存在暴力破解和数据泄漏风险 身份是云上安全的基石，对于身份及访问权限的管理存在于几乎每一款产品中，过度授权极易引发云上RAM权限体系提权，导致敏感数据泄漏，对于计算、存储、数据库等核心云产品的权限滥用情况最为严重，企业需重点关注： 41 风险量 组织存在数据库端口暴露到公网 用户的云服 用户的函数 用户的对象 用户的云数 角色的ECS 用户的访问 角色的OSS 用户的短信 角色的FC权 角色的RAN 务器ECS存 计算存在过 存储OSS存 据库RDS存 权限存在过 控制RAM存 权限存在过 服务存在过 限存在过度 权限存在过 在过度授权 度授权 在过度授权 在过度授权 度授权 在过度授权 度授权 度授权 授权 度授权 将数据库的白名单设置为公网开放，意味着允许来自互联网任何IP的连接请求，极有可能遭遇攻击者的暴力破解，从而导致数据泄漏和勒索的问题。企业应该将云上RDS、MongoDB、Redis、Elasticsearch、PolarDB等数据库服务设置为白名单不对公网开放，提升数据安全性。 典型风险场景三：AccessKey未做好防护，存在泄漏风险 44 组织AccessKey未做好防护 典型风险场景六：风险资产未正确进行安全防护 访问密钥AK（AccessKey）是阿里云提供给用户的永久性访问密钥，用于通过开发工具 （API、CLI、SDK、CloudShell、Terraform等）访问阿里云时的身份验证，包括AccessKey 53 组织存在风险资产未进行正确安全防护 ID和AccessKeySecret，AK相当于登录密码，一旦泄漏，将会给业务、数据带来巨大风险。企业应对云上AK进行持续的监控和治理，包括对主账号禁用AK、持续性的AK泄漏检查，以及定期对闲置子账号的AK进行清理。 一方面，对于有使用云上ECS、EIP、公网EIP、数据库等产品的客户，应该对相应的资产开启安全防护； 另一方面，对于已经使用了诸如Web应用防火墙、云防火墙、DDoS防护等产品的客户，需要进行正确的配置，例如在DDoS防护中开启全局防护策略，在Web应用防火墙中选择合适的规则引擎，并配置回源高防回源，根据业务的流量情况，开启对应的互联网VPCNAT防火 墙，并进行合理的ACL配置等。 03 身份安全是企业的基石：AK泄漏、身份提权、弱口令风险治理 随着云服务和容器化技术的快速普及，如何避免安全配置导致AK泄漏、身份提权和访问弱口令等风险，为身份的安全管理带来了更大的挑战。尤其是机器身份（NonHumanIdentitiesNHI）技术的大量应用，