產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，得益于云計(jì)算架構(gòu)的設(shè)計(jì)簡單、性價(jià)比高、系統(tǒng)靈活等優(yōu)勢，業(yè)務(wù)上云成為許多企業(yè)的選擇。隨著算力、IT架構(gòu)、攻防節(jié)奏、以及數(shù)據(jù)資產(chǎn)的不斷變化，云上安全也迎來了新的挑戰(zhàn)，安全攻防的主戰(zhàn)場轉(zhuǎn)而上云。

　　近日，騰訊安全威脅情報(bào)中心根據(jù)騰訊云租戶過去一年提交的各類安全事件工單進(jìn)行統(tǒng)計(jì)分析整理出《2020年公有云安全報(bào)告》(以下簡稱《報(bào)告》)，騰訊安全中心專家團(tuán)隊(duì)對這些安全事件工單進(jìn)行整理分析總結(jié)出2020年公有云的攻擊特點(diǎn)，重點(diǎn)分析了惡意木馬、云上勒索、異常登錄、爆破攻擊、漏洞風(fēng)險(xiǎn)、安全基線風(fēng)險(xiǎn)、高危命令執(zhí)行、針對公有云的網(wǎng)絡(luò)攻擊等主流安全風(fēng)險(xiǎn)，其中多數(shù)風(fēng)險(xiǎn)數(shù)據(jù)呈增長態(tài)勢?！秷?bào)告》針對超2.5億次異常登錄、99%高中危漏洞風(fēng)險(xiǎn)等安全風(fēng)險(xiǎn)，建議企業(yè)綜合部署云上安全產(chǎn)品應(yīng)對云計(jì)算時(shí)代的安全挑戰(zhàn)。

　　惡意木馬事件明顯上升，27%已發(fā)現(xiàn)木馬未被及時(shí)處理

　　云上惡意木馬事件在下半年呈現(xiàn)上升趨勢，《報(bào)告》數(shù)據(jù)顯示有6.3%的公司曾在一個(gè)月內(nèi)發(fā)現(xiàn)惡意木馬事件，其中感染型木馬、DDoS攻擊木馬和后門木馬為主要木馬類型，挖礦木馬是最為流行的安全事件之一。在發(fā)現(xiàn)的惡意木馬中，有27%未被及時(shí)處理，甚至有1%被信任，騰訊安全建議企業(yè)不要輕易將惡意木馬添加至信任區(qū)，并及時(shí)查殺發(fā)現(xiàn)的惡意木馬防止進(jìn)一步擴(kuò)散。

　　數(shù)據(jù)庫鎖庫勒索和勒索病毒加密流行，云上勒索病毒需重點(diǎn)防范

　　云上攻擊事件中，勒索病毒攻擊依然流行，主要為數(shù)據(jù)庫鎖庫勒索和勒索病毒加密兩類。勒索病毒會通過加密主機(jī)上的數(shù)據(jù)文件來勒索巨額贖金，得益于業(yè)務(wù)上云之后可選擇相對完善的數(shù)據(jù)備份方案，針對公有云的勒索軟件攻擊相對不易得逞。盡管黑灰產(chǎn)業(yè)針對云上資產(chǎn)的勒索時(shí)有發(fā)生，但其危害不如針對企業(yè)私有網(wǎng)絡(luò)的攻擊，騰訊安全團(tuán)隊(duì)仍建議業(yè)務(wù)上云的政企機(jī)構(gòu)重點(diǎn)防范勒索威脅，定期備份重要數(shù)據(jù)防止丟失和被勒索。

　　異常登錄行為顯著上升，22端口被爆破次數(shù)超2.5億

　　騰訊安全團(tuán)隊(duì)觀察到云上主機(jī)異常登錄事件呈明顯上升趨勢，其中遠(yuǎn)程登錄服務(wù)默認(rèn)端口22在2020年被爆破超過2.5億次，root、work、game、administrator等常見或默認(rèn)的用戶名異常登錄次數(shù)超千萬次。這提醒企業(yè)安全運(yùn)維人員需高度重視異常登錄事件，只將可信的登錄源添加至白名單，注意防范運(yùn)維系統(tǒng)本身遭遇黑客攻擊，防止運(yùn)維管理帳號密碼泄露引發(fā)異常登陸行為。

　　爆破攻擊全年明顯上升，默認(rèn)用戶名攻擊次數(shù)達(dá)70億

　　爆破攻擊全年明顯上升，在攻擊端口上，默認(rèn)端口22和3389被爆破攻擊達(dá)到驚人的32億次和17億次;在用戶名上，默認(rèn)用戶名攻擊達(dá)到70億次，其中root超37億次、administrator近33億次。騰訊安全建議業(yè)務(wù)系統(tǒng)使用自定義的端口號和用戶名，同時(shí)避免使用弱密碼，以大幅減少爆破攻擊風(fēng)險(xiǎn)。

　　漏洞風(fēng)險(xiǎn)利用持續(xù)增加，高中危風(fēng)險(xiǎn)占99%

　　近年來組件漏洞的披露越來越頻繁，僅2020年12月漏洞風(fēng)險(xiǎn)就超1000000，而54%的企業(yè)在3天內(nèi)發(fā)現(xiàn)過漏洞風(fēng)險(xiǎn)，意味著較多企業(yè)服務(wù)組件存在安全漏洞風(fēng)險(xiǎn)沒有及時(shí)修復(fù)。在統(tǒng)計(jì)的漏洞風(fēng)險(xiǎn)中，拒絕服務(wù)漏洞、遠(yuǎn)程代碼執(zhí)行和任意文件讀取漏洞為主要的漏洞風(fēng)險(xiǎn)，其中中危占54%，高危占45%?！秷?bào)告》建議安全運(yùn)維人員積極修復(fù)安全漏洞，避免云上資產(chǎn)淪為黑客攻擊目標(biāo)。

　　安全基線風(fēng)險(xiǎn)日益凸顯，83%云上業(yè)務(wù)存在高中危風(fēng)險(xiǎn)

　　安全基線檢測數(shù)據(jù)顯示，云上資產(chǎn)安全現(xiàn)狀不容樂觀，11月發(fā)現(xiàn)的安全基線問題超過了700萬條，政企機(jī)構(gòu)云上業(yè)務(wù)存在高中危以上風(fēng)險(xiǎn)的達(dá)到83%，主要為Linux口令過期后賬號最長有效天數(shù)策略、Linux帳戶超時(shí)自動登出配置和限制root權(quán)限用戶遠(yuǎn)程登錄。安全基線檢測能有效提高入侵門檻，容易被安全運(yùn)維人員忽略而成為黑客利用的漏洞，需要嚴(yán)格按照安全規(guī)范配置，符合國家等保合規(guī)要求。

　　高危命令執(zhí)行增加黑客入侵可能，單項(xiàng)執(zhí)行超25萬次

　　高危命令有可能是黑客入侵之后執(zhí)行的命令，以企圖控制主機(jī)甚至破壞系統(tǒng)，也有可能是運(yùn)維人員在日常操作時(shí)候執(zhí)行的風(fēng)險(xiǎn)命令。數(shù)據(jù)顯示2020年主要的高危命令有設(shè)置操作命令不記錄進(jìn)日志、nc命令執(zhí)行和wget下載后執(zhí)行命令等，其中設(shè)置操作命令不記錄進(jìn)日志超過了250000次。即使高危命令并非攻擊者執(zhí)行，但過于頻繁執(zhí)行高危命令，意味著可能存在安全管理疏忽大意、權(quán)限管理不夠嚴(yán)謹(jǐn)?shù)蕊L(fēng)險(xiǎn)，需要企業(yè)IT負(fù)責(zé)人警惕。

　　網(wǎng)絡(luò)攻擊事件整體上升，10月峰值達(dá)180萬次

　　2020年網(wǎng)絡(luò)攻擊事件整體呈上升趨勢，10月達(dá)到峰值180萬次，主要類型命令注入攻擊全年超過170萬次。以往APT定向攻擊往往針對國家重點(diǎn)單位進(jìn)行攻擊，如今多個(gè)行業(yè)均出現(xiàn)了APT攻擊的身影。對于入侵成功的攻擊，企業(yè)需要及時(shí)進(jìn)行阻斷，防止企業(yè)重要IT資產(chǎn)淪陷。

　　安全建議：綜合部署云上安全產(chǎn)品

　　面對快速增長的云上安全需求，騰訊安全依托20余年安全領(lǐng)域積累，圍繞安全治理、數(shù)據(jù)安全、應(yīng)用安全、計(jì)算安全和網(wǎng)絡(luò)安全五個(gè)層面打造了云原生安全防護(hù)體系，并開放“騰訊級”安全能力，為政務(wù)、金融、醫(yī)療、直播、醫(yī)療、電商等十八大行業(yè)的云上客戶提供安全保障。

　　針對日趨復(fù)雜的公有云安全威脅，企業(yè)需要綜合部署云上安全產(chǎn)品，《報(bào)告》從主機(jī)安全、重點(diǎn)服務(wù)器的保護(hù)、權(quán)限管控3個(gè)維度提出安全建議：全網(wǎng)安裝部署終端安全管理軟件和主機(jī)安全軟件;對重要的網(wǎng)絡(luò)服務(wù)進(jìn)行遠(yuǎn)程訪問策略配置、對管理節(jié)點(diǎn)進(jìn)行限制，只限定允許的IP地址訪問管理后臺，并在企業(yè)內(nèi)網(wǎng)向公有云的“橫向移動”過程中強(qiáng)化權(quán)限管控。企業(yè)用戶可以使用騰訊T-Sec云防火墻部署云主機(jī)訪問控制策略，通過騰訊T-Sec云防火墻、騰訊T-Sec主機(jī)安全系統(tǒng)及時(shí)檢測、分析、處置各種異常安全告警信息，對網(wǎng)絡(luò)安全弱點(diǎn)進(jìn)行重點(diǎn)修復(fù)，將安全風(fēng)險(xiǎn)降到最低。