近日，騰訊安全云鼎實(shí)驗(yàn)室基于對(duì)云安全情報(bào)數(shù)據(jù)的統(tǒng)計(jì)分析和最新云安全攻防趨勢(shì)的研究，聯(lián)合GeekPwn發(fā)布了《2019云安全威脅報(bào)告》（以下簡(jiǎn)稱《報(bào)告》），在整體把握云安全威脅形勢(shì)的基礎(chǔ)上，對(duì)基礎(chǔ)設(shè)施、數(shù)據(jù)、身份驗(yàn)證和訪問管理、云中安全管理、微服務(wù)及Serverless以及跨云等云上安全威脅形勢(shì)進(jìn)行了梳理，并提出云服務(wù)廠商和使用方的責(zé)任共擔(dān)已成為新威脅形勢(shì)下的應(yīng)對(duì)標(biāo)配。

云上攻擊路徑全景首次公開，云資源攻擊占比近50%

云技術(shù)表現(xiàn)出的服務(wù)成本低、便捷性高、擴(kuò)展性好等特點(diǎn)，在為用戶提供更多層次服務(wù)的同時(shí)，也給云平臺(tái)帶來了更多可利用的攻擊面。騰訊安全的情報(bào)數(shù)據(jù)顯示，云資源作為攻擊源的比例已占國(guó)內(nèi)所有攻擊源的45.55%。

（安全攻擊來源占比統(tǒng)計(jì)）

《報(bào)告》首次對(duì)外披露了云鼎實(shí)驗(yàn)室基于真實(shí)云上攻防的研究，詳細(xì)詮釋了八條縱向和八條橫向的云攻擊路徑。總體而言，攻擊者既能在無(wú)任何授權(quán)的情況下自云外縱向進(jìn)入云平臺(tái)展開攻擊，也能在進(jìn)入云平臺(tái)后通過橫向遷移獲取更多租戶資源和數(shù)據(jù)。也是說，與傳統(tǒng)攻擊路徑相比，云資源攻擊表現(xiàn)出更為多元、復(fù)雜和脆弱的特性。

（攻擊方式模型全景圖）

伴隨著云服務(wù)提供向底層資源共享方式不斷延展的趨勢(shì)加劇，云服務(wù)提供商和使用者對(duì)不同層次安全問題采取共同負(fù)擔(dān)或分而治之的策略，是實(shí)現(xiàn)云上安全防護(hù)最佳實(shí)踐的重要趨勢(shì)。同時(shí)，對(duì)于構(gòu)筑完善安全保障體系而言勢(shì)在必行。

（安全責(zé)任共擔(dān)模型）

2/3 DDoS攻擊指向云平臺(tái),基礎(chǔ)設(shè)施安全形勢(shì)嚴(yán)峻

針對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用等基礎(chǔ)設(shè)施的安全攻擊由來已久。騰訊安全情報(bào)數(shù)據(jù)顯示，約2/3的網(wǎng)絡(luò)DDoS攻擊事件都以云平臺(tái)IP作為攻擊目標(biāo)，超99.6%的攻擊流量皆小于200G，攻擊趨勢(shì)呈現(xiàn)出行業(yè)分布廣泛、超大流量攻擊次數(shù)增加、整體攻擊次數(shù)減少、低成本高度集成管理的特點(diǎn)，給云服務(wù)上帶來了更高級(jí)別的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

（DDoS攻擊目標(biāo)分布）

而在主機(jī)安全方面，由軟硬件虛擬化帶來的是傳統(tǒng)安全與虛擬化安全威脅的糅合。其中，漏洞利用和惡意文件仍是傳統(tǒng)主機(jī)安全面臨的重要挑戰(zhàn)。抽樣數(shù)據(jù)顯示，云中70%以上漏洞均為基線漏洞，且中風(fēng)險(xiǎn)漏洞超60%。此外，2019年云平臺(tái)惡意文件數(shù)量月均增長(zhǎng)17.5萬(wàn)/個(gè)，DDoS和代理類型的樣本數(shù)量有所增加，側(cè)面反映云平臺(tái)主機(jī)資源濫用威脅不斷加劇。除此之外，當(dāng)下云平臺(tái)還面臨著包含存儲(chǔ)、網(wǎng)絡(luò)、管理等在內(nèi)的虛擬化安全威脅。任何基于虛擬化技術(shù)的攻擊都有可能對(duì)整個(gè)云上用戶造成災(zāi)難性影響。

（云上漏洞類別占比圖）

應(yīng)用程序或軟件作為云上企業(yè)開展業(yè)務(wù)直接使用的對(duì)象，其安全性直接關(guān)乎業(yè)務(wù)安全。騰訊云安全統(tǒng)計(jì)數(shù)據(jù)顯示，SMB相關(guān)漏洞是黑產(chǎn)對(duì)應(yīng)用發(fā)起攻擊的首選手段，Web類攻擊次之。除常規(guī)應(yīng)用漏洞外，用于客戶管理云服務(wù)和交互的API（應(yīng)用程序編程接口）和UI（用戶接口）如若設(shè)計(jì)不當(dāng)，也將導(dǎo)致濫用甚至數(shù)據(jù)泄露。隨著SaaS和PaaS應(yīng)用的增加，云服務(wù)提供商成為應(yīng)用安全防護(hù)的主力。

數(shù)據(jù)安全面臨挑戰(zhàn)，身份驗(yàn)證和訪問管理成數(shù)據(jù)安全關(guān)鍵

《報(bào)告》指出，包括數(shù)據(jù)泄露、數(shù)據(jù)丟失以及隱私數(shù)據(jù)利用和泄露等在內(nèi)的數(shù)據(jù)安全威脅已成為當(dāng)前上云企業(yè)面必須直面的挑戰(zhàn)。據(jù)Risk Based Security 統(tǒng)計(jì)，2019年上半年世界范圍內(nèi)已經(jīng)發(fā)生了3813起數(shù)據(jù)泄露事件，被公開數(shù)據(jù)高達(dá)41億條。騰訊安全情報(bào)數(shù)據(jù)顯示，“數(shù)據(jù)”、“身份證”、“密碼”等關(guān)于數(shù)據(jù)泄露的詞匯在暗網(wǎng)的熱詞分析中占比極大。與此同時(shí)，因技術(shù)受限存在數(shù)據(jù)丟失風(fēng)險(xiǎn)和對(duì)個(gè)人隱私數(shù)據(jù)合規(guī)保護(hù)的法規(guī)出臺(tái)，拓展著數(shù)據(jù)泄露帶來的損失面和負(fù)面效益。

除此之外，來自身份驗(yàn)證和訪問管理方面的安全威脅使得數(shù)據(jù)泄露面臨著更為嚴(yán)峻的形勢(shì)。《報(bào)告》指出，調(diào)查顯示，約38%的云用戶賬戶已處于危險(xiǎn)之中。其中賬戶劫持占比最大，約為三分之一，且主要以自動(dòng)化撞庫(kù)為主要方式。

（黑產(chǎn)攻擊方式占比圖）

云主機(jī)資源濫用嚴(yán)重，云安全服務(wù)多元化趨勢(shì)明顯

一方面，云生態(tài)下數(shù)據(jù)所有權(quán)與管理權(quán)的分析使得云中的安全管理面臨新挑戰(zhàn)。騰訊安全云鼎實(shí)驗(yàn)室對(duì)騰訊云上的惡意文件分布情況進(jìn)行分析后發(fā)現(xiàn)，云資源濫用行為逐步增多，其中，linux和windows操作系統(tǒng)的云主機(jī)已分別成為了DDoS攻擊和代理類濫用行為的重災(zāi)區(qū)。由云資源濫用帶來的安全威脅也在逐步增大，CNCERT抽樣檢測(cè)數(shù)據(jù)顯示，針對(duì)境內(nèi)目標(biāo)IP的DDoS攻擊中80.1%的攻擊來源為國(guó)內(nèi)云服務(wù)提供商，極大地影響云服務(wù)使用者的可用容量。

（linux和windows操作系統(tǒng)惡意樣本占比圖）

另一方面，為滿足用戶對(duì)云計(jì)算便捷部署、靈活拓展、數(shù)據(jù)中心統(tǒng)一等需求，應(yīng)勢(shì)而生的微服務(wù)和無(wú)服務(wù)器計(jì)算(Serverless)等新服務(wù)架構(gòu)也帶來了可利用攻擊面擴(kuò)大、傳統(tǒng)監(jiān)控方法失效等新安全管理問題。新服務(wù)模式的特征要求云上安全需要更具前瞻性的設(shè)計(jì)架構(gòu)和囊括業(yè)務(wù)邏輯、代碼、數(shù)據(jù)和應(yīng)用程序等在內(nèi)的安全配置。

除此之外，Gartner曾預(yù)測(cè)，到2020年，90%的企業(yè)將采用混合基礎(chǔ)設(shè)施管理功能。Intercloud（跨云）趨勢(shì)是企業(yè)未來的發(fā)展方向。云間的身份管理和身份認(rèn)證、云服務(wù)安全架構(gòu)、數(shù)據(jù)加密傳輸以及安全合規(guī)性將成為關(guān)乎企業(yè)安全管理的重要部分。另外，伴隨著云計(jì)算在各領(lǐng)域的應(yīng)用拓展，工業(yè)云平臺(tái)和物聯(lián)網(wǎng)云平臺(tái)的安全性也將是未來安全威脅和管理的重點(diǎn)關(guān)注領(lǐng)域。

目前來看，云平臺(tái)不僅要應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中存有的DDoS、入侵、病毒等常態(tài)問題，還要高度重視云平臺(tái)架構(gòu)的虛擬機(jī)逃逸、資源濫用、橫向穿透等新安全問題。針對(duì)云安全“新舊”威脅糅合的安全形勢(shì)，《報(bào)告》根據(jù)主機(jī)安全、數(shù)據(jù)安全、身份認(rèn)證和訪問管理等具體的安全威脅特征，提出了具有行業(yè)通用性的應(yīng)對(duì)手段與防范建議。

例如針對(duì)數(shù)據(jù)安全問題，《報(bào)告》中提出云服務(wù)提供商需要負(fù)責(zé)為客戶建立以數(shù)據(jù)為中心的安全架構(gòu)，對(duì)數(shù)據(jù)產(chǎn)生、流動(dòng)、存儲(chǔ)、使用及銷毀進(jìn)行全流程加密保護(hù)；而云服務(wù)使用者則須細(xì)化身份認(rèn)證和訪問控制配置的顆粒度，配合賬戶安全管理，防止數(shù)據(jù)內(nèi)部泄露。

（數(shù)據(jù)中臺(tái)架構(gòu)全景圖）

《報(bào)告》強(qiáng)調(diào)云服務(wù)提供商和使用者之間的安全責(zé)任共擔(dān)將是應(yīng)對(duì)新威脅的關(guān)鍵思路。而騰訊安全作為國(guó)內(nèi)領(lǐng)先的云安全廠商之一，將致力成為產(chǎn)業(yè)數(shù)字化升級(jí)的安全戰(zhàn)略官，不斷開放安全能力和產(chǎn)品，持續(xù)為云端企業(yè)高效御敵提供力量支撐。