2019年上半年云上企业安全指南发布!建设更强壮的安全体系

  • 时间:
  • 浏览:0
  • 来源:10分快3网投平台-10分赛车投注平台_1分6合娱乐平台

《2019年上二天云上企业安全指南》是阿里云基于对云安全中心监测到的威胁情报进行分析,形成的一份云上企业安全建设指南。通过对云上企业安全建设现状及多维度威胁情报的分析,得出企业安全建设目前处在的突出什么的疑问以及面临的主要安全风险,让企业还要清晰地了解到做好云上安全建设的核心发力点;并通过提供针对性的安全建议及行动指南,助力云上企业用合适 的时间、精力、成本建设更强壮的安全体系。本文选者报告偏离 精华内容与我们我们我们我们 分享,完正报告请点击文末链接。

一、核心概要

1. 2019 年上二天排名前三的安全威胁是挖矿病毒、感染型病毒和木马多多线程 ,肯能企业未安装主机安全产品因为被入侵的事件屡有处在。

2. 企业对病毒的认识匮乏因为安全隐患长期处在。挖矿病毒肯能取代勒索病毒成为黑产获利的主要手段,肯能挖矿病毒造成的危害不用说像勒索软件这么 直接,因此 因此 企业往往忽视肯能不重视对挖矿病毒的防御,实际上,挖矿病毒窃取企业计算资源造成的破坏不可小觑。

3. 漏洞利用和弱口令爆破是黑客攻击成功的主要最好的最好的办法 ,由此可见,及时修复高危漏洞、设置多样化口令并定期更换对于企业来说至关重要。对于影响范围广泛的漏洞,阿里云会上线默认防御策略,处理云上用户受影响,因此企业及时修复自身系统漏洞要能从根本上杜绝安全隐患。

4. 漏洞攻击中的后面 件漏洞入侵肯能成为攻击主流,企业匮乏对后面 件漏洞的检测和修复能力是因为被攻击的主要因为。

5. AccessKey泄漏成为企业数据安全隐形杀手,肯能企业组织组织结构匮乏有效的预防手段,因为 AccessKey 一旦泄露,造成的损失巨大。

6. 云上企业的安全意识亟待提高,因此 因此 安全事件的处在并也有新的安全威胁造成的,因此 因此 我后后的安全漏洞并这么 被消除,相似,两年前爆发的 WannaCry 勒索病毒目前依然是给企业带来危害的最我们我们我们我们 族,这说明仍然有因此 因此 企业这么 修复 WannaCry 利用的 “永恒之蓝” 漏洞。

二、企业安全建设现状及威胁分析

1. 主机威胁概况

阿里云安全中心发现,挖矿病毒、感染型病毒、木马多多线程 是 2019 年上二天云上的主要安全威胁,如图 3-1-1 所示。2018 年,挖矿病毒肯能成为企业公害,每一波热门 0Day 的总是出显都伴随着挖矿病毒的爆发性传播。2019 年上二天,挖矿病毒依然以高达 38.78% 的占比稳居榜首,这与近几年各种虚拟货币颇受追捧不无关系;感染型病毒和木马多多线程 占比基本相同,分别为16.55%、16.31%。

值得注意是 2019 年上二天中,勒索病毒在所有威胁中仅占比 1.36%,但对企业的危害却很大,肯能企业一旦中招勒索病毒,除了缴纳赎金,几乎无法恢复被黑客加密的数据。因此 因此 企业应对勒索病毒时刻警惕,以免中招。

1.1. 挖矿病毒

图 3-1-3 展示了挖矿病毒的感染趋势,从中还要看出,从 2 月份始于英文感染量总是在持续增加,4 月份相对于 3 月份而言,增加的尤其明显,近一倍的大幅提升。因为挖矿病毒持续上升有两大主要因为:一是这么来越多的黑客希望利用挖矿来获利;二是企业对防御挖矿病毒的重视程度匮乏,因为挖矿病毒的感染愈演愈烈。

挖矿病毒大偏离 是使用网上开源的门罗币挖矿多多线程 ,再配合自动化脚本做持久化。云上用户应对挖矿病毒攻击最有效的最好的最好的办法 因此 因此 我修复漏洞。肯能病毒也有通过已知的漏洞进行批量自动化的攻击,因此确保漏洞及时发现和修复,是处理挖矿病毒攻击的有效最好的最好的办法 。

1.2. 感染型病毒

感染型病毒是在网络环境中分布最广的病毒类型,主要因为是被感染的多多线程 会通过主机间的文件传输继续感染因此 主机,严重时可因为全网都被感染。从图 3-1-4 还要看出,感染型病毒的感染量总是处在高位,这反映了因此 因此 企业的主机匮乏有效的反病毒能力,无法在第一时间拦截病毒,感染后也无法阻断病毒的扩散。

据阿里云安全中心观察,弱口令爆破和第三方软件传播是感染型病毒主要的入侵传播最好的最好的办法 。弱口令爆破是利用企业在主机使用了匮乏多样化的密码,让攻击者还要使用弱口令库结合脚本的最好的最好的办法 实现自动化尝试输入口令登录主机,以实现获取主机密码的最好的最好的办法 。第三方软件传播是通过在下载站植入伪装成正常软件的病毒,诱导用户下载并在主机运行后成功实现感染主机的最好的最好的办法 。

1.3. 网站后门

通过阿里云安全中心长期对攻防数据的观察发现,黑客攻击是因为webshell入侵的主要渠道,占比达 31.38%,如图 3-1-7 所示。黑客通过攻击获得网站的管理工具的密码,因此通过管理工具上传脚本。常见的攻击最好的最好的办法 是爆破、弱口令。从这点还要看出,定期更换密码、提高密码多样化度的重要性,因此只会为黑客攻击创造有利条件。

另外因此 值得注意的是,企业对网站后门文件的处理率普遍不高,未处理率高达 82.83%,如图 3-1-8 所示。因此 因此 企业肯能安全意识匮乏肯能匮乏专业安全运营人员,而忽略了云安全中心的 Webshell 告警信息,即使对于已处理的企业来说,也处在偏离 企业处理不及时的什么的疑问。因此 不处理或处理不及时的状态,进一步因为了网站被黑客重复入侵、深入入侵等状态。从图 3-1-7 还要看多,平均每天新增的 Webshell 中,通过老 Webshell 上传新 Webshell 的最好的最好的办法 位居第二大入侵最好的最好的办法 ,占比 19.16%。一旦新的 Webshell 上传有肯能会延长下次检出的时间,延误了清理时间肯能会因为更多的网站后门被上传。一起去,植入的 Webshell 还肯能被因此 黑客利用,病毒源源不断入侵,造成更大的危害。

1.4. 蠕虫病毒

蠕虫病毒是有并与非 常见的计算机病毒,通过网络和电子邮件进行克隆技术和传播,传播效率快、影响范围广。蠕虫病毒一般总是出显在局域网内,主要利用弱口令扫描爆破、SMB 协议的漏洞在局域网内进行横向传播,进一步扩大入侵的成果,搞定更多的机器。

在上二天,蠕虫病毒并这么 突增的爆发状态,发展趋势比较平缓,如图 3-1-9 所示。弱口令爆破和共享服务是主要的入侵最好的最好的办法 。

今年微软爆出 RDP 协议的漏洞 CVE-2019-0708,阿里云安全中心在第一时间通知用户修复漏洞,但就目前数据来看,还有多量用户并未修复,实在该漏洞可利用的要求较高,但因此 因此 我排除黑客或是病毒通过该漏洞进行大规模的感染。就像 2017 年 WannaCry 所使用的 “永恒之蓝” 漏洞,从发现到爆发使用仅仅几块月的时间。

1.5. 勒索软件

伴随着数字货币这么 流行,黑客们充分利用数字货币来谋取暴利的产物因此 因此 我勒索病毒。这几年勒索病毒这么 猖獗,是对企业造成危害最大的一类病毒。不同家族的勒索病毒如雨后春笋般涌现,且各个家族的版本迭代也非常快。著名的勒索病毒 GandCrab 家族自 2018 年 1 月至 2019 年 6 月,从 1.0 版本更新到 5.2,获利数十亿美金。

在上二天,勒索病毒在 4 - 5 月份的攻击态势呈递增趋势,6 月份有所下降,如图 3-1-10 所示,实在这么 爆出新的勒索家族,但勒索病毒利用的漏洞数量在增加,恶意软件入侵利用的最好的最好的办法 这么来越多,最新表态的 Nday 肯能 0day 漏洞能太快了 了 集成到黑客的武器库中,并被黑客加以利用,传播恶意软件,这对企业的资产安全造成极大的威胁。云安全中心建议用户在收到漏洞预警和告警的第一时间修复自身处在的漏洞,处理被黑客入侵,造成损失。

据阿里云观察,弱口令是造成勒索病毒入侵的主要因为,除此之外,未修复的漏洞是第二大因为,且通过漏洞入侵趋势正在增长。攻击者们最喜欢利用的漏洞是 Weblogic 漏洞,也因此 因此 我 Web 应用所使用后面 件。肯能和系统漏洞相比,因此 类型的漏洞除了开发者不容易发现外,修复的成本也远比修复系统漏洞更高,建议用户使用 Web 应用防火墙处理网络的漏洞攻击利用,一起去在服务器安装主机安全产品,从而在恶意多多线程 时就及时进行拦截,一起去使用防篡改的产品,处理重要文件被篡改。

图 3-1-11 展示了上二天勒索病毒家族分布状态。非常值得关注的是,WannaCry 病毒已爆发两年之久,但目前依然是给企业带来危害最大的家族,这说明依然有因此 因此 企业这么 修复 WannaCry 利用的 “永恒之蓝” 漏洞。不得不说,对于每个企业来说,因此安全不仅仅是技术什么的疑问,因此 因此 我意识什么的疑问。

1.6. AccessKey 泄露什么的疑问

API 凭证,在阿里云被称为 AccessKey,简称 AK,作为用户访问组织组织结构资源最重要的身份凭证,被组织组织结构人员恶意获取或被组织组织结构员工无心泄露的案例时有处在,其因为的数据泄露非常严重,因此怎样做好 API 凭证管理和监测就显得非常重要。在大多数 AK 泄露的案例中,也有开发者不小心将此人 的AK提交到了任何人还要访问的公共代码托管平台,因为安全防线毁于一旦。

图 3-1-12 是上二天企业AK泄漏的数量趋势,实在泄露数量的绝对值不算大,因此 AK 作为访问企业组织组织结构资源最重要的身份凭证,一旦外泄肯能造成的损失将难以想象。

图 3-1-13 是上二天 AK 调用异常的告警数量,这表示被泄漏的 AK 很有肯能肯能被攻击者成功利用来调用企业的服务,以达到获取企业重要数据的目的。

阿里云率先和最大的开源代码托管服务商 Github 相互相互合作,引入 Token 扫描机制。整个流程完正自动化,还要实现高效且精准的检测到在 Github 上泄漏的 AK。实际场景中,阿里云要能做到在所含 AK 的代码提交到 Github 的数秒之内就通知用户,尽肯能减少对用户产生的负面影响。

2. 网络威胁

Web 应用攻击依然是互联网安全的最大威胁来源之一,从攻击的时间趋势来看,2019 年上二天除了 2 月份春节以外,每个月的攻击次数都成递增趋势,到 5 月每个月拦截的攻击超过 19 亿,6 月份拦截的攻击突破 20 亿,如图 3-2-1 所示。

从图 3-2-3 看多,2019 年的第二季度,连续另有另一一四个月 DDoS 攻击流量接近 Tb 级,6 月份稍有下降。

据阿里云安全团队观察,2019 年上二天应用层攻击形势依然严峻,伪装成正常应用的恶意 APP 已让海量移动设备成为新一代肉鸡。目前已有五十余万台移动设备被用来当做黑客的攻击工具,达到 PC 肉鸡单次攻击源规模。传统的简单粗暴的将攻击 IP 拉黑防御手段失效,企业还要具备快速的应用层流量分析能力,一起去还要准确且自动化的产出多维度的防御策略。

3. 主机漏洞

图 3-3-1 展示的是不同危害等级的漏洞分布状态,其中,中危和高危漏洞共占 26%,超过四分之一,这是企业最还要修复的两类漏洞。

但从实际状态来看,企业对漏洞的修复率普遍不高。高危漏洞是对企业造成损失最大的一类漏洞,因此从 2019 上二天的数据来看,企业对高危漏洞的修复率仅占 6.11%,如图 3-3-2 所示。这表示了企业普遍不理解漏洞处在的严重性及修复的必要性,肯能是企业的安全意识匮乏,并未重视漏洞告警做出及时处理。

4. 安全基线

主机基线检查,主要对操作系统、数据库、后面 件的身份鉴别、访问控制、服务配置、安全审计、入侵防范等基础安全配置以及登录弱口令进行风险检测。

图 3-4-2 展示了云上企业基线安全什么的疑问分布状态,其中操作系统配置弱点占比 82.22%,包括应用层的后面 件系统的配置基线占绝大偏离 ,还要被直接利用的公网开放及弱密码基线占比相对低,但以互联网服务器的总数来看,数量级不可小觑。近期全球影响较大的安全事件均与利用基线风险有关,但两者间并也有孰轻孰重的关系,因此 因此 我相辅相成的关系。

三、安全建议

基于对2019年上二天云上企业安全建设现状及面临的安全风险的分析,我们我们我们我们 给出如下安全自检项目,企业还要进行一一比对,从而找出自身的安全体系处在的什么的疑问:

1). 确保主机的基线检查肯能通过;

2). 确保主机系统的中高危漏洞肯能修复;

3). 确保主机应用使用模块组件的漏洞肯能修复;

4). 确保主机网络安全组配置正确;

5). 确保因此 云产品的配置这么 安全隐患,相似数据库的ACL、子母账号的MFA设置等。

一起去,我们我们我们我们 给出如下行动指南,助力企业做好云上安全建设:

1. 做好主机安全

选者有效的主机安全产品,以确保主机具备合格的反病毒和威胁检测能力,从而有效预防病毒和黑客攻击造成的破坏。

2. 缩小攻击面

配置云防火墙,统一梳理云环境对互联网的资产暴露状态,一键接入,智能防御。有效缩小网络攻击面,一起去把网路边界隔离做好,处理组织组织结构攻击的横向感染。

3. 保障网络安全

选者有效的Web应用防火墙和抗 DDoS 产品,还要有效阻挡来自网路的攻击流量或是漏洞攻击,处理攻击造成的业务中断。

4. 做好漏洞管理

后面 件漏洞肯能成为主要的入侵最好的最好的办法 ,用户还要选者有具备应用漏洞检测的安全产品,从而确保在第一时间发现漏洞并修复。肯能无法修复,也要确保网络有 Web 应用防火墙拦截漏洞利用的攻击,一起去在主机上安装有效的安全产品及网页防篡改能力的产品,以保障被入侵后还要有效的阻断攻击链。

5. 做好AccessKey安全

预防 AccessKey 泄漏最好的最好的最好的办法 是在企业组织组织结构建设良好的代码规范和代码扫描机制,保障代码提交的后后就要能第一时间检测 AccessKey 与非 写到代码中,处理被误传至 GitHub。一起去企业还要考虑使用阿里云安全中心的 AK 泄漏检测功能,在 AK 被上传的第一时间发现,一起去通过 AK 异常调用检测功能实时检测 AK 与非 肯能被泄露并利用。

完正报告内容以及企业安全建设指南建议,请下载报告查看多整版:https://files.alicdn.com/tpsservice/100a9e9d2ed72410023f4d027f817f232c.pdf

文章来源: 安全牛