《2019年上半年云上企业安全指南》是阿里云基于对云安全中心监测到的威胁情报进行分析,形成的一份云上企业安全建设指南。通过对云上企业安全建设现状及多维度威胁情报的分析,得出企业安全建设目前存在的突出问题以及面临的主要安全风险,让企业可以清晰地了解到做好云上安全建设的核心发力点;并通过提供针对性的安全建议及行动指南,助力云上企业用最少的时间、精力、成本建设更强壮的安全体系。
本文选取报告部分精华内容与大家分享,详细报告请点击文末链接。
一、核心概要
1. 2019 年上半年排名前三的安全威胁是挖矿病毒、感染型病毒和木马程序,由于企业未安装主机安全产品导致被入侵的事件屡有发生。
2. 企业对病毒的认识不足导致安全隐患长期存在。挖矿病毒已经取代勒索病毒成为黑产获利的主要手段,由于挖矿病毒造成的危害并不像勒索软件那么直接,所以企业往往忽视或者不重视对挖矿病毒的防御,实际上,挖矿病毒窃取企业计算资源造成的破坏不可小觑。
3. 漏洞利用和弱口令爆破是黑客攻击成功的主要方式,由此可见,及时修复高危漏洞、设置复杂口令并定期更换对于企业来说至关重要。对于影响范围广泛的漏洞,阿里云会上线默认防御策略,防止云上用户受影响,但是企业及时修复自身系统漏洞才能从根本上杜绝安全隐患。
4. 漏洞攻击中的中间件漏洞入侵已经成为攻击主流,企业缺乏对中间件漏洞的检测和修复能力是导致被攻击的主要原因。
5. AccessKey泄漏成为企业数据安全隐形杀手,由于企业内部缺乏有效的预防手段,导致 AccessKey 一旦泄露,造成的损失巨大。
6. 云上企业的安全意识亟待提高,很多安全事件的发生并不是新的安全威胁造成的,而是之前的安全漏洞并没有被消除,例如,两年前爆发的 WannaCry 勒索病毒目前依然是给企业带来危害的最大家族,这说明仍然有很多企业没有修复 WannaCry 利用的 “永恒之蓝” 漏洞。
二、企业安全建设现状及威胁分析
1.主机威胁概况
阿里云安全中心发现,挖矿病毒、感染型病毒、木马程序是 2019 年上半年云上的主要安全威胁,如图 3-1-1 所示。2018 年,挖矿病毒已经成为企业公害,每一波热门 0Day 的出现都伴随着挖矿病毒的爆发性传播。2019 年上半年,挖矿病毒依然以高达 38.78% 的占比稳居榜首,这与近几年各种虚拟货币颇受追捧不无关系;感染型病毒和木马程序占比基本相同,分别为16.55%、16.31%。
值得注意是 2019 年上半年中,勒索病毒在所有威胁中仅占比 1.36%,但对企业的危害却很大,因为企业一旦中招勒索病毒,除了缴纳赎金,几乎无法恢复被黑客加密的数据。所以企业应对勒索病毒时刻警惕,以免中招。
1.1.挖矿病毒
图 3-1-3 展示了挖矿病毒的感染趋势,从中可以看出,从 2 月份开始感染量一直在持续增加,4 月份相对于 3 月份而言,增加的尤其明显,近一倍的大幅提升。导致挖矿病毒持续上升有两大主要原因:一是越来越多的黑客希望利用挖矿来获利;二是企业对防御挖矿病毒的重视程度不够,导致挖矿病毒的感染愈演愈烈。
挖矿病毒大部分是使用网上开源的门罗币挖矿程序,再配合自动化脚本做持久化。云上用户应对挖矿病毒攻击最有效的方式就是修复漏洞。因为病毒都是通过已知的漏洞进行批量自动化的攻击,因此确保漏洞及时发现和修复,是避免挖矿病毒攻击的有效方式。
1.2.感染型病毒
感染型病毒是在网络环境中分布最广的病毒类型,主要原因是被感染的程序会通过主机间的文件传输继续感染其他主机,严重时可导致全网都被感染。从图 3-1-4 可以看出,感染型病毒的感染量一直处于高位,这反映了很多企业的主机缺乏有效的反病毒能力,无法在第一时间拦截病毒,感染后也无法阻断病毒的扩散。
据阿里云安全中心观察,弱口令爆破和第三方软件传播是感染型病毒主要的入侵传播方式。弱口令爆破是利用企业在主机使用了不够复杂的密码,让攻击者可以使用弱口令库结合脚本的方式实现自动化尝试输入口令登录主机,以实现获取主机密码的方式。第三方软件传播是通过在下载站植入伪装成正常软件的病毒,诱导用户下载并在主机运行后成功实现感染主机的方式。
1.3.网站后门
通过阿里云安全中心长期对攻防数据的观察发现,黑客攻击是导致webshell入侵的主要渠道,占比达 31.38%,如图 3-1-7 所示。黑客通过攻击获得网站的管理工具的密码,然后通过管理工具上传脚本。常见的攻击方式是爆破、弱口令。从这点可以看出,定期更换密码、提高密码复杂度的重要性,否则只会为黑客攻击创造有利条件。
另外一点值得注意的是,企业对网站后门文件的处置率普遍不高,未处理率高达 82.83%,如图 3-1-8 所示。很多企业由于安全意识不足或者欠缺专业安全运营人员,而忽略了云安全中心的 Webshell 告警信息,即使对于已处置的企业来说,也存在部分企业处置不及时的问题。这种不处置或处置不及时的情况,进一步导致了网站被黑客重复入侵、深入入侵等情况。从图 3-1-7 可以看到,平均每天新增的 Webshell 中,通过老 Webshell 上传新 Webshell 的方式位居第二大入侵方式,占比 19.16%。一旦新的 Webshell 上传有可能会延长下次检出的时间,延误了清理时间可能会导致更多的网站后门被上传。同时,植入的 Webshell 还可能被其他黑客利用,病毒源源不断入侵,造成更大的危害。
1.4.蠕虫病毒
蠕虫病毒是一种常见的计算机病毒,通过网络和电子邮件进行复制和传播,传播速度快、影响范围广。蠕虫病毒一般出现在局域网内,主要利用弱口令扫描爆破、SMB 协议的漏洞在局域网内进行横向传播,进一步扩大入侵的成果,拿下更多的机器。
在上半年,蠕虫病毒并没有突增的爆发情况,发展趋势比较平缓,如图 3-1-9 所示。弱口令爆破和共享服务是主要的入侵方式。
今年微软爆出 RDP 协议的漏洞 CVE-2019-0708,阿里云安全中心在第一时间通知用户修复漏洞,但就目前数据来看,还有大量用户并未修复,虽然该漏洞可利用的要求较高,但也不排除黑客或是病毒通过该漏洞进行大规模的感染。就像 2017 年 WannaCry 所使用的 “永恒之蓝” 漏洞,从发现到爆发使用仅仅几个月的时间。
1.5.勒索软件
伴随着数字货币越来越流行,黑客们充分利用数字货币来谋取暴利的产物就是勒索病毒。这几年勒索病毒越来越猖獗,是对企业造成危害最大的一类病毒。不同家族的勒索病毒如雨后春笋般涌现,且各个家族的版本迭代也非常快。著名的勒索病毒 GandCrab 家族自 2018 年 1 月至 2019 年 6 月,从 1.0 版本更新到 5.2,获利数十亿美金。
在上半年,勒索病毒在 4 – 5 月份的攻击态势呈递增趋势,6 月份有所下降,如图 3-1-10 所示,虽然没有爆出新的勒索家族,但勒索病毒利用的漏洞数量在增加,恶意软件入侵利用的方式越来越多,最新公布的 Nday 或者 0day 漏洞能迅速集成到黑客的武器库中,并被黑客加以利用,传播恶意软件,这对企业的资产安全造成极大的威胁。云安全中心建议用户在收到漏洞预警和告警的第一时间修复自身存在的漏洞,避免被黑客入侵,造成损失。
据阿里云观察,弱口令是造成勒索病毒入侵的主要原因,除此之外,未修复的漏洞是第二大原因,且通过漏洞入侵趋势正在增长。攻击者们最喜欢利用的漏洞是 Weblogic 漏洞,也就是 Web 应用所使用中间件。因为和系统漏洞相比,这种类型的漏洞除了开发者不容易发现外,修复的成本也远比修复系统漏洞更高,建议用户使用 Web 应用防火墙避免网络的漏洞攻击利用,同时在服务器安装主机安全产品,从而在恶意程序运行时就及时进行拦截,同时使用防篡改的产品,避免重要文件被篡改。
(责任编辑:安博涛)
