文章目录
近日,据阿里云安全运营中心发布了《2019云上企业安全指南》,对2019年网络安全态势做了分析,并给出2020年云上安全运营建议。
2019年共发现80 个成规模的挖矿木马团伙,从受害者主机的操作系统来看,69%为Linux,31% 为Windows,Top10挖矿木马团伙主要以Linux为攻击目标。
百G 以上流量攻击成倍增长, Tb 级流量、千万级并发攻击的出现让DDoS 攻击对抗更为激烈。同时,阿里云安全运营中心还观察到,应用层 DDoS(CC攻击)成为最常见的攻击类型,与2018 年相比,攻击手法也更为多变复杂。
2019年峰值流量大于100Gbps事件分布
在所有被拦击的攻击中,暴力破解和Web攻击在2019年持续增加,分别达到7亿次和4000万次,占总拦截次数的48%和3%。
电商等行业将面临黑灰产链条更加完整和专业的Web 攻击,房产交易、交通、游戏、电商、资讯论坛几个行业中恶意爬虫的占比都超过了50%,这些行业需要加强对恶意爬虫的安全防控。
基于大量客户服务和交流经验,以及国家法律法规要求、企业安全管理现状等多方面因素,阿里云安全运营中心对企业在过去一年中最为关注的十大安全问题进行了盘点,如下图所示。其中不难看出,合规、数据安全、IOT安全、云上安全运营四个方面成为企业最关心的四类问题。
网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则及其他相关规定, 前提是云平台通过等保级别不低于用户系统级别,否则影响云上用户的信息系统等级保护定级备案。等保2.0是今年企业重点关注的合规标准,企业使用的云服务类别(IaaS、PaaS 和SaaS 服务模式)不同,等保2.0 所要求的技术测评项目也有所不同。因此只要云平台通过等保测评,云上用户在物理安全、网络、虚拟层安全等基础安全防护上的投入可以因为云平台的能力而大幅下降,关注点可以更加聚焦在业务和系统的防护要求上。
阿里云不同服务模式下的云上用户等保 2.0 技术测评项数量
从上图可以看出,在云平台通过等保2.0 测评的前提下,企业上云的程度越深,自身所需要进行测评项数量就越少,当然所需要投入的成本就会更低,让企业拥有高等级安全能力同时,可以有更多精力聚焦在自身业务发展上。
数据安全是一个复杂而综合的工作,从数据采集、传输、存储、处理、交换到销毁,各个环节都有诸多需要关注和解决的问题。因此,云上企业在建设数据安全防护体系时,需要充分考虑未来业务发展、现有业务现状、敏感数据场景、数据上下游等,做好 3-5 年数据安全规划; 针对不同类型数据、不同使用场景、不同环节的威胁、风险做充分分析,配套建设技术检测、防护手段; 在管理体系建设方面需考虑与现有管理体系充分融合,最终形成规划、管理加技术的模式,全面管控数据全生命周期安全。
随着 5G、大数据、人工智能的深入发展,带来了 IoT 产品的飞速发展,2020 年预计 IoT 设备在线量突破 208亿。由于 IoT 设备涉及到云、管、端、边四大方面,安全风险也不断扩大,物联网攻击将以 600% 的增速增加。
物联网设备爆发式增长
同时通过对物联网安全漏洞进行整理发现,物联网固件类 CVE 固件漏洞质量及可利用性在逐渐增加,整体安全风险为高危 4000 多个,占比为 42.31% ; 中 危近 2000 多个,占比为 15.37% ; 低危 4000 多个,占比为42.33%。
漏洞分布情况
通过对IoT端部产品的特性观察发现,主要的设备端安全威胁为设备无/弱鉴权、访问控制无/弱鉴权、固件篡改、代码注入、开发端口、文件篡改、逆向工程、存储数据泄露/ 篡改、软件漏洞、系统漏洞、设备伪造。
安全不是产品叠加,云上安全体系需要整体防护,从上云前的整体安全方案设计,到上云后安全产品使用、安全风险评估,都需要安全专家参与咨询、设计以及后期的安全运营,以便快速解决整体防护中的各项脆弱点及潜在安全风险。网络攻防是动态的,攻击手段变化,防御手段也需要及时调整。在安全防护体系中,安全产品的角色是工具,需要安全专家不断去分析、 运营以及调整不同时期的安全策略,不断提升事件处置、应急处置等安全技术能力,才能确保业务系统常态化安全。因此,专业的云上安全托管运营可以帮助客户更有效的形成管理加技术、技术+产品的风险闭环,同时还可以帮助企业降低运营成本。云上规模化、体系化的特点意味着运营成本降低,运营成本降低的红利会直接给到每一位客户
基于 2019 年云上企业重点关注的问题及面临的安全风险分析,我们给出如下行动指南, 助力企业做好云上安全建设:
合规建设。云上用户通过等保,首先需要确认云平台等保测评通过情况,其次根据业务现状确定等保定级、根据云服务业务模式(IaaS、PaaS、SaaS)匹配等保要求开展合规建设工作,最后通过选择具备云上测评经验且综合实力专业的测评机构完成等保测评。
数据安全建设。企业可以从数据生命周期维度,评估数据在各阶段的风险情况,结合业务数据流转、敏感数据使用场景等建设数据安全管理体系及相应的技术防护手段,保障数据全生命周期的安全。
IoT 安全能力建设。从云、管、端、边全面整体的做好 IoT 安全防护,评估整体风险情况。关注设备可信检测与认证,提升设备整体鉴权能力; 加强数据安全保护,使用可信的安全方案进行平台的安全建 设; 使用 IoT 专业的安全运营方案,避免给平台带来无法挽回的损失。
常态化安全运营。定期做好云上资产的基础安全检查工作(基线、漏洞、策略等) ; 定期结合业务发展、云平台网络架构等评估云上资产安全风险; 结合自身业务迭代频率做好上线前安全检查工作。做到风险可控,防患于未然。