2018年中國雲服務商網路風險報告
第1章 概述
1.1 雲服務商安全的概述
隨著IT資源服務化思想日益普及,計算資源呈現出“一切皆服務”的趨勢,資源服務成為雲端計算的核心運營模式。然而,在雲端計算帶來便利的同時,服務資源的集約化、虛擬化也進一步增加了安全防範的難度,雲服務商的安全問題日益凸顯,逐漸成為雲端計算技術推廣落地的核心研究課題之一。
然而,全球雲服務相關的安全事故卻時有發生:2016年9月,Cloudflare數百萬網路託管客戶資料洩露;2017年6月,亞馬遜AWS公有云共和黨資料庫中美國2億選民個人資訊被曝光;近日,在騰訊雲發生了一起因伺服器故障,導致創業公司資料丟失的事件;資料丟失對於企業來講將會造成不可估量的損失,在企業將業務應用向第三方雲環境遷移的過程中,首先需要考慮的就是對雲服務的信任問題。由於雲服務的“外包”特性,雲服務商是否能夠對租戶資料安全提供保障,能否為其業務運營保駕護航,能否採用積極手段挽回事件損失直接成為雲端計算廠商競爭的核心能力。雲服務商層出不窮的安全事件直接把雲安全推向了網路安全研究的前沿,安全值就70家雲服務商進行網路安全風險研究,形成如下報告。
1.2 名詞解釋
安全漏洞:主機作業系統和安裝的元件存在的嚴重的高危漏洞,會使伺服器遭受病毒或黑客入侵,引起資訊洩露或篡改。
網路攻擊:企業在網際網路上的應用系統或網路遭受到DDOS拒絕服務攻擊,包括TCP攻擊或UDP攻擊的報警資訊,拒絕服務攻擊通過流量攻擊的方式攻擊系統或網路,過大的攻擊流量會引起服務中斷。
垃圾郵件:組織郵箱伺服器被列為垃圾郵件傳送域,一旦被反垃圾郵件裝置攔截,將導致使用者可能無法正常使用郵件。
惡意程式碼:來自國內外安全廠商的惡意程式碼檢測結果,系統可能已經被植入後門、病毒或者惡意指令碼。
殭屍網路:組織伺服器被攻破,被當做“肉雞”不斷向外部發起掃描或者攻擊行為,伺服器主機可能被入侵,存在後門被遠端控制。
黑名單:域名或者IP地址被權威黑名單機構列入黑名單,使用者的正常網頁訪問可能被瀏覽器攔截或者IP網路通訊被防火牆阻斷。
高危埠:黑客會使用工具掃描計算機上的埠,併入侵這些埠,關閉這些高危埠,可使電腦避免遭受攻擊。
證書過期:網站證書過期,造成無法對外提供服務,影響使用者訪問。犯罪分子利用過期的證書,可竊取和篡改瀏覽器與伺服器之間的資訊傳輸。
第2章 雲服務商安全矩陣
2.1 安全風險值概況
安全值對近一年內全國雲服務商的網際網路資產和麵臨的網路風險進行了重點分析,整個行業網路安全均值為573,屬於風險較高的行業。對於抽樣分析網路風險的70家雲服務商中,其中分數低於850分的有54家,處於網路風險的高危地段。雲服務行業共有網際網路資產140223個,其中域名229個,主機108991個,IP地址31003個;網路風險共計243261個,其中包括安全漏洞5419個,網路攻擊11321次,殭屍網路226110次,惡意程式碼362個,域名隱私洩露49個。
2.2 雲服務商四維評價
雲服務商網路風險較高的TOP10
雲服務商網路風險較低的TOP10
為了能夠深入研究行業網際網路風險狀況及原因,我們選擇了安全值較低和較高的各十家公司進行RSTP四維分析評價。分別從風險值、資產規模、風險趨勢、流行度等角度的資料分析了各行業風險狀況及其內在相關關係。從上表可以看出網際網路資產規模較為龐大的雲服務商大部分處於網路風險較高的地帶,同樣訪問流行度高的幾家雲服務商均擁有著偏高的網際網路資產數量。
名詞解釋:
風險值(R):Risk,評分割槽間(0-1000分),風險越高R值越低。
資產規模(S):Scale,評分割槽間(0-10分),機構的資產數量越多S值越高。
風險趨勢(T):Trend,評分割槽間(±1000分),當月與前一月R值變化趨勢。
流行度(P):Popular,評分割槽間(0-100分),被訪問次數越多P值越高。
2.3 雲服務商資產R-S風險相關關係分析
雲端計算企業搭建雲平臺時,可能會涉及購買第三方廠商的基礎裝置、運營商的網路服務等情況。基礎設施、網路等都是決定雲平臺穩定執行的關鍵因素。雲服務將資源和資料的所有權、管理權和使用權進行了分離,故云服務商需要具有更高的資料安全保護水平和更先進的資料保護手段。因而我們針對雲服務商的風險值和網際網路資產指數做以下分析:
為了研究資產數量和網路風險的影響,我們選取了網路風險值較低的十家,根據表中資料繪製了象限圖。從圖中分佈可以看出抽樣企業的風險值R隨著資產規模擴大而降低,圖中虛線代表了行業平均資產規模及平均風險值;我們可以發現網路風險較高的十家雲供應商大部分處於第四象限,也就是資產最多的雲服務商安全值最低,說明網際網路資產的增加同樣也擴大了風險的暴露面,為雲服務帶來了更多的網際網路風險,雲服務商應採取更加完善的資訊保安工作。
我們選擇了處於高危風險的十家雲服務商,分析其資產詳細情況。將網際網路資產分為域名資產、主機資產、IP資產、CDN等幾個維度進行統計結果如下:
雲服務商網際網路資產概況
注:資料來源安全值,以上資料為2017年7月~2018年7月存活過的網際網路資產累計數值。
從表中可以看出,域名數最多的是蘇寧雲;主機數和IP數最多的均是阿里雲;其中CDN最多的是光環新網。CDN作為一種新型的網路構建方式,它不僅能大大提高網路站點的訪問速度以及站點穩定性,還能有效地預防黑客入侵以及降低各種DDoS攻擊對網站的影響,同時保證較好的服務質量。
2.4 雲服務商流行度P-R風險相關關係分析
為了研究訪問流行度和網路風險的關係,選取雲服務商中風險值較低的十家平臺,根據表中資料繪製了象限圖。圖中虛線代表了平均訪問量及平均風險值,從整體走向可以看出,訪問流行度較高的企業相對應的風險值均較低;訪問流行度代表著企業雲服務的訪問頻率及使用者規範,越是活躍的組織系統重要性越高,但目前的網路安全風險卻最高。
第3章 雲服務商網路風險分析
3.1 雲服務商網路風險概況
雲服務商網路風險概況
我們從風險值風險等級、網路攻擊、安全漏洞、隱私保護、惡意程式碼、殭屍網路、IP黑名單、埠高危風險、SSL高危風險等九個維度的網路風險資料對處於網路風險較高的七家取樣企業做了分析,根據上表發現,2017年年中至2018年7月底結束,北京光環新網科技股份有限公司面臨的網際網路風險最高;40%的雲服務商出現安全漏洞;龐大的線上業務量使電商平臺遭受DDoS攻擊佔比達到37.14%;總體域名隱私洩漏高達70%;惡意程式碼、殭屍網路、SSL高危風險相對發生率較低;其中21.43%的雲服務商出現惡意程式碼,一旦企業發生惡意程式碼或殭屍網路事件,都可能導致業務中斷事件;目前11.43%的企業在IP地址被列入國際黑名單中,收錄國際黑名單的安全裝置將會阻斷黑名單中IP地址的通訊,對線上業務的開展造成很大不良影響。
第4章 雲服務商安全漏洞分析
4.1 雲服務商最常見安全漏洞分析
4.2 安全漏洞詳細統計和描述
漏洞詳細資訊如下:
安全漏洞TOP10
4.3 SSL高危風險
根據上表中資料,我們可以發現,中興通訊股份有限公司的SSL高危漏洞數量最多,需加大管理力度和準備預防措施。在網路層針對資料應用的網路架構和系統入口進行安全防護,可採用的防護手段主要有防火牆和入侵檢測。在適當的協議層進行訪問規則和安全審查,將符合通過條件的報文從網路介面送出,對不符合的報文則予以阻斷。企業可以通過以上對安全防護合理補充,幫助系統快速發現網路攻擊的發生,擴充套件系統管理員的安全管理能力,提高資訊保安基礎結構的完整性。
一般資料加密使用的是SSL(Secure Sockets Layer,安全套接層),通過加密實現資料集的節點和應用程式之間的資料保護。SSL協議漏洞與SSL證書本身是無關的。SSL證書用於啟用伺服器和客戶端之間的SSL傳輸協議。現有的SSL協議已發展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多個版本。其中SSLv2及SSLv3已被發現存在漏洞,推薦在伺服器端配置關閉該協議,僅開啟TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影響。
第5章 網路攻擊分析
5.1 雲服務商DDoS攻擊概況
DDoS攻擊概況
DDoS攻擊型別
根據上表結果,雲服務商一年內共遭受了 11394次 DDoS攻擊。 其中TCP半連線攻擊佔據網路攻擊的主要部分,對於這種型別的DDOS攻擊,可通過縮短SYN響應時間或設定SYN Cookie過濾TCP包等手段來實施。對於UDP放大攻擊,可以通過限制UDP包大小,或建立UDP連線規則來達到過濾惡意UDP包,減少攻擊發生的效果,具體可根據企業自身的詳細情況選擇合適的解決方案。
5.2 雲服務商DDoS攻擊流量年度統計情況
2017年6月至2018年7月截止,安全值統計了70家提供雲服務的公司,根據表中資料繪製上圖。從圖中可以得出,分別在2017年7月、2017年9月、2018年2月、2018年4月、2018年6月發生了5次攻擊流量的爆發,其中2018年4月DDoS攻擊流量達到 95.693G 的峰值。根據近半年攻擊流量,各企業需加強網路資訊保安的意識,不可有絲毫的懈怠。
5.3 高危埠風險
開發人員和管理員應使用最佳工具保護裝置及服務安全,拒絕使用非加密協議。使用HTTPS和FTPS可以最大限度減少潛在入侵者的攻擊面,同時保護敏感資料的傳輸安全。此外,除了使用諸如SSH這類加密協議,還應在易遭受攻擊的裝置前配置防火牆,同時設定為僅通過VPN訪問。若無法做以上部署,應設定強密碼進行保護,切勿使用預設憑證。
完善資料儲存管理制度。建立、健全賬號口令管理、補丁管理、安全配置管理、防病毒管理等安全管理制度,定期進行安全檢查和風險評估,對發現的安全漏洞、高危埠及時進行處理。資訊使用設定可信域和非可信域,實施不同的安全策略,實現分層分級的安全防護。建立終端接入的審批流程,部署終端接入管理系統,確保安全維護人員的所有操作可審計、可追溯。
第6章 其他網路風險分析
6.1 HTTPS證書過期
HTTPS實際就是在TCP層與HTTP層之間加入了SSL/TLS來為上層的安全保駕護航,主要用到對稱加密、非對稱加密、證書,等技術進行客戶端與伺服器的資料加密傳輸,最終達到保證整個系統的安全性。
網站的執行方式可以建立在HTTPS協議之上,以避免非加密資料在網路傳輸過程中所導致的被惡意擷取、篡改、重定向等網路安全問題。雲服務商需及時查詢關注自身HTTPS是否過期,以更好的保證資料的完整性,確保資料在傳輸過程中不被改變,防止資料在中途被竊取。
第7章 附錄
企業名單(按安全值升序排序)