《【市场报告】1693895278034_2023上半年云安全态势报告手册_市场营销策划_重点报告20.docx》由会员分享,可在线阅读,更多相关《【市场报告】1693895278034_2023上半年云安全态势报告手册_市场营销策划_重点报告20.docx(23页珍藏版)》请在第一文库网上搜索。
1、引言在数字化转型的大潮中,云计算作为实现创新和提高运营效率的关键技术,成为了新一代信息技术的核心引擎。随着云计算市场的快速发展,云安全已成为实施云战略的重要保障。如何在加强企业自身安全基础设施建设的同时,帮助企业实现关键业务目标,从而更好地支持企业数字化转型和业务的持续创新,已成为当前云安全建设的新挑战。为了帮助读者了解云安全的现状和挑战,腾讯安全和腾讯研究院共同撰写了2023上半年云安全态势报告(以下简称报告)。报告将从2023上半年云上攻击态势、云安全的现状与挑战、云安全防护建议等多个方面出发,全面分析和总结当前云安全领域的现状和安全威胁。此外,报告还将关注AP1安全、容器安全等领域的最新
2、发展和趋势,为读者提供有价值的参考信息,帮助企业更好地保护数据和应用程序的安全。目录2023上半年云上攻击态势行业攻击态势O1网络架构攻击态势022023上半年云上用户面临的安全威胁042023上半年活跃漏洞排名072023典型漏洞安全事件回顾102023云安全的现状与挑战企业云安全建设水平现状132023上半年企业云安全建设面临的挑战152023上半年云安全态势总结及建议云上安全态势总结及建议172023上半年云上攻击态势行业攻击态势2023上半年从不同行业角度的拦截数据来看,各个行业遭受攻击的次数呈现出明显的差异。互联网(通用工具、技术服务、通用SaaS)、金融和工业云成为被攻击的T0P3
3、行业,它们在云上所面临的安全挑战和风险更为突出。互联网行业由于其庞大的用户群体和业务需求,依赖于云计算技术来支持服务。攻击者往往试图利用云上的漏洞获取用户数据或破坏服务,使其成为遭受攻击次数最多的行业,占到了2023上半年云上总攻击次数的53.97%。2023上半年各行业用户平均被攻击次数图1:2023上半年各行业用户平均被攻击次数其次,工业云作为制造业数字化转型的关键支撑,在云上同样面临着较高的攻击风险,攻击者可能试图窃取商业机密或破坏生产过程,对企业造成严重损失。2023上半年工业云在各行业客户平均被攻击次数排名中位列第二位,占成姑次数理最后,金融行业由于涉及大量敏感数据和资金交易,一直是
4、黑客攻击的重点目标。相较其他行业,金融行业在云上遭受的攻击次数不仅频繁,攻击手段也更加高级和隐蔽。上半年金融行业被攻击次数占总次数的7.1%。从行业攻击态势来看,这些行业在2023上半年受到了攻击者的重点关照,需要尤其关注自身的云安全建设,并采取针对性的安全措施,确保业务和数据安全。金融7.1%工业云8.17%其他行业其他行业30.76%互联网技术服务电商互联网通用工具8.31%工业云互联网通用工具电商17.78%互联网技术服务27.88%金融图2:2023上半年云上各行业受攻击总次数网络架构攻击态势云上业务在面临攻击时,攻击来源可能多种多样。依据腾讯安全2023上半年的拦截数据统计,96.1
5、%的云上攻击主要来源于外网,剩余3.9%的攻击来自内网横移、跨网段攻击、负载均衡等其他来源。外网攻击通常由黑客、网络犯罪团伙等组织发起,这些组织仍然是云上业务面临的主要风险来源。他们利用各种攻击手段,包括漏洞利用、恶意软件和拒绝服务攻击等不同方式,来达到窃取数据和破坏服务等非法目的。在2023上半年就有96.巡的云上攻击源自外网。因此,加强边缘安全防护仍然是网络安全防护的核心任务。除外网攻击以外,其余攻击来源的占比如下:跨网段攻击03%负载均衡3.4%内网横移0.2%外网攻击96.1%外网攻击负载均衡跨网段攻击内网横移图3:2023上半年云上被攻击次数来源占比图主机54.94%在云环境中,负载
6、资产包括主机负载和容器负载,根据腾讯安全在2023年上半年的统计,容器负载被攻击占比为45.06%,主机负载被攻击的占比为54.94%,两类资产的被攻击占比基本达到1:1,企业在云安全防护上应兼顾主机安全和容器安全,确保资产可以得到全面的安全防护。容器45.06%主机容器图4:2023上半年云上资产被攻击次数占比图2023上半年云上用户面临的安全威胁在云安全防护中,企业需要关注攻击者的目的和手段,攻击目的是指攻击者发动攻击的最终意图,而攻击手段则是实现这一目的所采用的具体方法和技术。了解攻击者的攻击目的占比有助于企业更好地制定安全策略,针对不同的攻击目的采取相应的防护措施,可以帮助企业提高整体
7、安全防护水平,确保数据和应用程序的安全。根据腾讯安全的2023上半年的统计数据,攻击者抱有控制受害云主机资源获取企业敏感数据、下载运行挖矿木马牟利、建立僵尸网络目的的攻击最为常见其次漏洞利用准备、勒索等安全事件也时有发生。以下是2023上半年攻击者主要攻击目的的占比:2023上半年攻击者云上攻击目的占比恶意挖矿20%数据窃取漏洞利用准备数据窃取49%建立僵尸网络恶意挖矿建立僵尸网络22%漏洞利用准备9%图5:2023上半年黑客云上攻击目的占比图为了达成攻击目的,攻击者往往会针对目标采用多种攻击行为。根据腾讯安全2023上半年收集的攻击行为数据,在所有避跳嗝中细诸利解解密呼段包龈时漏郦帆、API
8、Key攻击、社工攻击、钓鱼攻击等多种方式。其中需要我们关注的几个路径如下:2023上半年各类攻击次数占比1.69%2.21%2.32%15.6%30.93%暴力破解DDOS攻击漏洞利用其他钓鱼攻击/社工攻击APIKOy攻击图6:云上各类攻击次数占比2023上半年活跃漏洞排名根据腾讯安全产品拦截到的漏洞攻击性质统计,2023上半年黑客最常利用的漏洞武器为远程代码执行漏洞(RCE),其他依次是扫描探测、SQ1注入等漏洞。2023上半年云上活跃漏洞共211个,这些漏洞涉及操作系统、中间件、Web应用程序等多个层面。黑客和网络犯罪团伙不断尝试利用这些漏洞发起攻击,窃取数据和破坏服务。nginxWebU
9、Iru.6.6%CVE-2023-2613441,41%CVE-2023-222057.44%HadoopYARN.7.74%CVE-2023-148828.89%*备注1.Conf1uence远程代码执行漏洞(CVE-2023-26134D远程代码执行】2. Web1ogic未授权命令执行(CVE-2023-14882D远程代码执行】3. HadoopYARN资源管理系统RESTAP1未授权访问侏授权访问漏洞】IGit1ab远程命令执行漏洞(CVE-2023-22205。远程代码执行】5.nginxWebUIrunCmd远程命令执行漏洞(程代码执行】其他漏洞27.92%图7:2023上半年漏
10、洞活跃指数占比图腾讯安全根据最活跃的恶意软件家族使用的漏洞武器,整理出2023上半年漏洞利用的T0P5:Conf1uence远程代码执行漏洞(CVE-2023-26134)COnfIUenCe是At1aSSian公司开发和维护的一款企业级知识管理和协同软件,广泛应用于构建企业Wiki。它支持团队成弼帘息共享、郊枷乍、集体讨褥喘息推蟒务,具备(顿勒编翻占点管地雄。然而,在2023年6月1日,At1aSSian公司发布了关于ConfIUenCeSerVer和DataCenter版本存在远程代码执行漏洞的安全公告。攻击者可以在未经身的颔的情况卜远程利该漏洞,通过发送恶意Web请求注入命令,从而在目标
11、服务器上实现任意代码执行并控制服务器。图8:COnfIUenCe远程代码执行漏洞活跃情况Web1ogic未授权命令执行(CVE-2023-14882)Orac1eWeb1ogicSerVer是OraCIe公司开发的一款适用于云环境和传统环境的应用服务中间件。该中间件提供了一个现代化的轻量级开发平台,支持从开发到生产的应用全生命周期管理,简化了应用部署和管理过程。然而,Orac1eWeb1ogicServerConSOIe的多个版本存在安全漏洞。这些漏洞允许未经身份验证的攻击者通过HTTP访问网络,进而破坏OraCIeWeb1ogicSerVer。受影响的版本包括:10.3.6.O.OJ2.1.
12、3.0.0J2.2.1.3.012,2.1.4.O和14.1.1.0.Oo图9Heb1ogic未授权命令执行活跃情况HadoopYARN资源管理系统RESTAP1未授权访问HadOoP是APaChe基金会开发的分布式系统基础架构,而YARN则是HadOOP系统中负责统一管理和调度集群资源的平台。它允许将MaPRedUCe计算框架作为应用程序运行在YARN系统上,并通过YARN进行资源管理。用户可以向YARN提交特定应用程序以执行相关的系统命令。YARN提供了默认开放在8088和8090(默认为前者)的RESTAPI,允许用户直接通过AP1进行应用创建、任务提交执行等操作。然而,如果配置不当,R
13、ESTAP1可能会暴露在公网上,导致未授权访问的问题。在这种情况下,攻击者可以在未经授权的情况下远程执行代码。图KkHadoopYARN资源管理系统RESTAPI未授权访问漏洞活跃情况Git1ab远程命令执行漏洞(CVE-2023-22205)Git1ab是一款由美国Git1ab公司开发的自托管Git项目仓库应用程序,使用RUbyonRaiIS编写。该程序允许用户查看项目文件内容、提交历史和BUg列表等。然而,Git1abCommunity/EnterpriseEdition存在操作系统命令注入漏洞,该漏洞源于图像解析器在处理图像文件时输入验证不正确。受影响的产品和版本包括:Git1abCE/
14、EE11.9.0至13.8.8之间的版本Git1abCE/EE13.9.0至13.9.6之间的版本以及Git1abCE/EE13.10.0至13.10.3之间的版本。图11:Git1ab远程命令执行漏洞活跃情况nginxWebUIrunCmd远程命令执行漏洞(新漏洞感知从Oday到批量攻击验证)ngInxWebUI是一款NginX可视化配置管理工具EginXWebU1rUnCn1d接口处存在远程命令执行漏洞,攻击者可在无需登录的情况下绕过路由权限校验,执行任意命令,控制服务器。图12:nginxWebUIrunCmd远程命令执行漏洞活跃情况2023典型漏洞安全事件回顾在2023年4月,某医院在
15、对重要信息系统进行安全排查时,发现其专用APP中存在一个GraPhQ1接口。攻击者可通过该接口的自省功能获取医院所有AP1接口,无需鉴权直接访问百万级的敏感数据。这意味着通过这些API,攻击者可以任意登录他人账号、修改他人信息,甚至修改APP链接以实现投毒攻击。这不仅可能导致患者信息被篡改,还可能使攻击者利用这些漏洞发起更为严重的攻击,对医院的业务和声誉造成严重损害。为确保医院的信息安全问题,安全部门做出了如下整改措施:通过以上案例可以发现,“弱”漏I皖全不弱,攻击者仅仅依靠AP1的未授权漏洞就可以获取到百万级的敏感数据。AP1安全作为面向微服务、SerVer1eSS等多种应用形态的云原生应用安全的核心,在保障企业整个信息系统安全中起着至关重要的作用。只有通过严格的鉴权机制、定期的安全审计与漏洞扫描以及提高员工安全意识,才能确保AP1安全得到有效维护。2023年各企业应将AP1安全作为信息系统安全的重要关注点,持续投入资源和关注,预防潜在的安全风险,确保用户信息安全和企业业务的稳定运行。2023年某公司在进行红蓝演练防守工作时,遭遇了一场复杂的网络攻击。
免费区 
