云鼎安全視點(diǎn)：基于騰訊云的安全趨勢(shì)洞察

8月15日，第三屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(CSS2017)在北京國(guó)家會(huì)議中心舉行。騰訊云鼎實(shí)驗(yàn)室負(fù)責(zé)人Killer進(jìn)行了主題為《云鼎視點(diǎn)：公有云惡意代碼趨勢(shì)解讀》的分享，以下為Killer主要分享內(nèi)容：

隨著越來(lái)越多的企業(yè)逐步把自身IT基礎(chǔ)設(shè)施服務(wù)遷移到云上，云上的安全風(fēng)險(xiǎn)趨勢(shì)到底如何?近期重大勒索事件頻頻發(fā)生，企業(yè)該如何去有效提升自身的安全防護(hù)能力?在這里，我想跟大家分享一下我們?cè)贫?shí)驗(yàn)室對(duì)云上安全風(fēng)險(xiǎn)的趨勢(shì)觀察，以及對(duì)企業(yè)用戶的一些建議。

一、云上安全風(fēng)險(xiǎn)趨勢(shì)

數(shù)據(jù)庫(kù)類服務(wù)端口風(fēng)險(xiǎn)高。端口就是服務(wù)器的入口，入侵者往往使用掃描器對(duì)目標(biāo)機(jī)器進(jìn)行端口掃描，然后實(shí)施攻擊和入侵。在去年和今年年初，爆出了多起企業(yè)數(shù)據(jù)庫(kù)服務(wù)被加密勒索事件，需要支付比特幣才可以獲得數(shù)據(jù)解密;今年3月1號(hào)，我們?cè)贫?shí)驗(yàn)室發(fā)布的《MySQL 成勒索新目標(biāo)，數(shù)據(jù)服務(wù)基線安全問(wèn)題迫在眉睫》就對(duì)這些事件進(jìn)行了分析，主要是企業(yè)在在公網(wǎng)上開(kāi)放了MySQL、Redis、Eelasticsearch等數(shù)據(jù)服務(wù)端口，同時(shí)由于存在弱密碼或者沒(méi)有密碼，黑客可以直接訪問(wèn)，導(dǎo)致被黑客入侵勒索。

漏洞是造成入侵的主要途徑。根據(jù)我們對(duì)被入侵機(jī)器的入侵原因分析結(jié)果來(lái)看，漏洞是造成服務(wù)器被入侵的主要途徑，約超過(guò)60%的入侵事件跟漏洞有關(guān)。而國(guó)內(nèi)企業(yè)，對(duì)漏洞的修復(fù)情況是非常不理想的。方程式漏洞被公布以后，我們針對(duì)MS17-010漏洞的修復(fù)進(jìn)展進(jìn)行監(jiān)測(cè)發(fā)現(xiàn)，某企業(yè)在爆發(fā)一個(gè)月后只對(duì)其中約60%的漏洞機(jī)器進(jìn)行了修復(fù)，兩個(gè)月后，還有24%的漏洞機(jī)器并未修復(fù)，這樣就給入侵者提供了可乘之機(jī)。而在小型企業(yè)，整體修復(fù)比例往往還要低得多。

密碼破解攻擊呈現(xiàn)常態(tài)化。相對(duì)于Web應(yīng)用漏洞，暴力破解的利用方式比較簡(jiǎn)單，成功后可以直接獲得目標(biāo)服務(wù)器權(quán)限，從而進(jìn)一步進(jìn)行植入木馬、后門(mén)等操作，整個(gè)過(guò)程通過(guò)自動(dòng)化程序?qū)崿F(xiàn)，是一種成本極低的攻擊方式。而據(jù)公開(kāi)資料說(shuō)，某IDC上日均遭受破解攻擊5萬(wàn)次左右，騰訊云上每臺(tái)機(jī)器日均被攻擊2759次。云主機(jī)相對(duì)遭受的破擊攻擊次數(shù)少，這主要?dú)w功于云平臺(tái)廠商在網(wǎng)絡(luò)出口對(duì)一些惡意的破解行為做了自動(dòng)化攔截。

高危漏洞的出現(xiàn)，容易造成木馬病毒感染高峰。NSA漏洞包公開(kāi)Windows漏洞期間，木馬檢出量先后發(fā)生了兩次爆發(fā)。當(dāng)前云上監(jiān)測(cè)到的木馬文件主要分為兩大類型，Shell(占比80%)及二進(jìn)制木馬(占比20%)。Shell主要通過(guò)Web應(yīng)用漏洞上傳寫(xiě)入，主要在入侵過(guò)程起到跳板的作用，方便進(jìn)一步進(jìn)行提權(quán)、植入惡意文件等操作;而二進(jìn)制木馬主要帶有挖礦、端口掃描、DDoS等惡意行為，是整個(gè)入侵的最終目標(biāo)植入。目前，利用NSA漏洞包漏洞傳播的病毒最多的并不是WannaCry，而是挖礦病毒。而WebShell已經(jīng)具有很強(qiáng)的免殺特性，建站工具弱口令問(wèn)題則是WebShell的上傳主要來(lái)源。

服務(wù)器上安全軟件使用率偏低。目前，云上只有約7%的服務(wù)器使用了安全軟件，整體使用比例偏低，這里面，其中有很大一部分的用戶使用了PC安全防護(hù)軟件來(lái)解決服務(wù)器安全防護(hù)需求，說(shuō)明目前國(guó)內(nèi)的服務(wù)器安全防護(hù)軟件在市場(chǎng)上影響力不大，也在一定程度上反映國(guó)內(nèi)的服務(wù)器安全軟件市場(chǎng)值得繼續(xù)大力投入。

二、云上更安全

企業(yè)面臨的整體安全環(huán)境并不樂(lè)觀：漏洞仍然是造成入侵的主要途徑;黑客也在逐步升級(jí)自己的技術(shù)，一些低成本高收益的攻擊逐漸自動(dòng)化，例如密碼破解攻擊呈現(xiàn)常態(tài)化趨勢(shì);隨著比特幣這類匿名電子貨幣的興起，使得黑客變現(xiàn)的主要方式從劫持肉雞流量進(jìn)行DDoS變現(xiàn)，變成了加密勒索。

但前段時(shí)間，在WannaCry和暗云事件的爆發(fā)中，我們對(duì)云上用戶和普通用戶的感染風(fēng)險(xiǎn)進(jìn)行了對(duì)比。云上更安全的顯著統(tǒng)計(jì)差異，堅(jiān)定了我繼續(xù)深耕云安全的決心。

WannaCry勒索病毒的爆發(fā)，使得全球150個(gè)國(guó)家受到了影響，在我們國(guó)內(nèi)也有10萬(wàn)左右的用戶中招。據(jù)統(tǒng)計(jì)，全球因此造成的損失達(dá)80億美元，并且深入影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問(wèn)題。部分企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)文件被加密后，導(dǎo)致無(wú)法正常工作。然而在云上的企業(yè)用戶，因?yàn)榧皶r(shí)做了大量的預(yù)警和防護(hù)工作，被感染的比例很小。

而近年來(lái)感染用戶最多的木馬之一，暗云，它的功能比較復(fù)雜，通過(guò)修改多個(gè)游戲微端，采用多種技術(shù)方案逃開(kāi)殺軟檢測(cè)，還自掏腰包買流量，推廣感染的游戲微端，更新頻繁，影響用戶數(shù)百萬(wàn)。病毒團(tuán)隊(duì)通過(guò)各種手段獲取暴利，更發(fā)動(dòng)針對(duì)國(guó)內(nèi)多家云服務(wù)商的DDoS攻擊。我們?cè)贫?shí)驗(yàn)室在第一時(shí)間發(fā)現(xiàn)并確認(rèn)了樣本關(guān)聯(lián)性，并聯(lián)合騰訊電腦管家和多個(gè)安全合作伙伴進(jìn)行全網(wǎng)清理，有效降低了暗云木馬的影響。

三、對(duì)企業(yè)用戶提四點(diǎn)安全建議

第一是要重視數(shù)據(jù)備份。任何企業(yè)都需要考慮一些突發(fā)災(zāi)難或者黑客攻擊帶來(lái)的業(yè)務(wù)中斷，一旦遭受這類黑天鵝事件，快速恢復(fù)業(yè)務(wù)才能把損失降到最低，所以數(shù)據(jù)備份是一個(gè)十分重要且不可忽視的工作。我們?cè)谠粕?，可以方便的通過(guò)云平臺(tái)提供的鏡像備份，云存儲(chǔ)服務(wù)來(lái)實(shí)現(xiàn)對(duì)重要數(shù)據(jù)進(jìn)行備份。

其次是軟件要及時(shí)更新。前面提到，造成入侵的主要原因是自身存在漏洞，事實(shí)上，新漏洞爆發(fā)出來(lái)時(shí)，軟件生產(chǎn)者都會(huì)第一時(shí)間公布修復(fù)補(bǔ)丁或者方案，對(duì)于運(yùn)維人員來(lái)說(shuō)，及時(shí)打上補(bǔ)丁就可以消除漏洞風(fēng)險(xiǎn)，目前看來(lái)，及時(shí)打補(bǔ)丁依然是對(duì)抗漏洞風(fēng)險(xiǎn)最有效的手段。

第三是提升員工安全意識(shí)。安全意識(shí)一定程度上代表了企業(yè)安全事件的出現(xiàn)幾率，很多企業(yè)發(fā)生的安全事件都是因?yàn)閮?nèi)部員工安全意識(shí)薄弱導(dǎo)致的。例如，某員工將公司網(wǎng)站代碼儲(chǔ)存到某第三方平臺(tái)，被發(fā)現(xiàn)后被大面積曝光，導(dǎo)致公司出現(xiàn)了嚴(yán)重的數(shù)據(jù)泄露風(fēng)險(xiǎn)。事實(shí)上，行業(yè)內(nèi)安全做得不錯(cuò)的成熟型企業(yè)，都有一些機(jī)制來(lái)促使員工在日常工作中更多的思考安全風(fēng)險(xiǎn)，定期進(jìn)行員工安全意識(shí)培訓(xùn)和考試還是容易做得到的。

最后一點(diǎn)建議就是基礎(chǔ)設(shè)施上云。業(yè)務(wù)上云后，你會(huì)發(fā)現(xiàn)，便利性提升的同時(shí)，整體安全防護(hù)水平也會(huì)提升。因?yàn)樵诨A(chǔ)設(shè)施層面，云平臺(tái)廠商會(huì)提供統(tǒng)一的安全運(yùn)維保障，而在服務(wù)和應(yīng)用層，云平臺(tái)廠商同樣會(huì)提供豐富的安全解決方案供企業(yè)選擇，所以，相對(duì)于云下，企業(yè)在云上可以低成本、更靈活地構(gòu)建起安全防護(hù)體系。