2018年中國云服務商網絡風險報告
責編:gltian |2018-10-23 14:03:26第1章 概述
1.1 云服務商安全的概述
隨著IT資源服務化思想日益普及,計算資源呈現出“一切皆服務”的趨勢,資源服務成為云計算的核心運營模式。然而,在云計算帶來便利的同時,服務資源的集約化、虛擬化也進一步增加了安全防范的難度,云服務商的安全問題日益凸顯,逐漸成為云計算技術推廣落地的核心研究課題之一。
然而,全球云服務相關的安全事故卻時有發生:2016年9月,Cloudflare數百萬網絡托管客戶數據泄露;2017年6月,亞馬遜AWS公有云共和黨數據庫中美國2億選民個人信息被曝光;近日,在騰訊云發生了一起因服務器故障,導致創業公司數據丟失的事件;數據丟失對于企業來講將會造成不可估量的損失,在企業將業務應用向第三方云環境遷移的過程中,首先需要考慮的就是對云服務的信任問題。由于云服務的“外包”特性,云服務商是否能夠對租戶數據安全提供保障,能否為其業務運營保駕護航,能否采用積極手段挽回事件損失直接成為云計算廠商競爭的核心能力。云服務商層出不窮的安全事件直接把云安全推向了網絡安全研究的前沿,安全值就70家云服務商進行網絡安全風險研究,形成如下報告。
1.2 名詞解釋
安全漏洞:主機操作系統和安裝的組件存在的嚴重的高危漏洞,會使服務器遭受病毒或黑客入侵,引起信息泄露或篡改。
網絡攻擊:企業在互聯網上的應用系統或網絡遭受到DDOS拒絕服務攻擊,包括TCP攻擊或UDP攻擊的報警信息,拒絕服務攻擊通過流量攻擊的方式攻擊系統或網絡,過大的攻擊流量會引起服務中斷。
垃圾郵件:組織郵箱服務器被列為垃圾郵件發送域,一旦被反垃圾郵件設備攔截,將導致用戶可能無法正常使用郵件。
惡意代碼:來自國內外安全廠商的惡意代碼檢測結果,系統可能已經被植入后門、病毒或者惡意腳本。
僵尸網絡:組織服務器被攻破,被當做“肉雞”不斷向外部發起掃描或者攻擊行為,服務器主機可能被入侵,存在后門被遠程控制。
黑名單:域名或者IP地址被權威黑名單機構列入黑名單,用戶的正常網頁訪問可能被瀏覽器攔截或者IP網絡通訊被防火墻阻斷。
高危端口:黑客會使用工具掃描計算機上的端口,并入侵這些端口,關閉這些高危端口,可使電腦避免遭受攻擊。
證書過期:網站證書過期,造成無法對外提供服務,影響用戶訪問。犯罪分子利用過期的證書,可竊取和篡改瀏覽器與服務器之間的信息傳輸。
第2章 云服務商安全矩陣
2.1 安全風險值概況
安全值對近一年內全國云服務商的互聯網資產和面臨的網絡風險進行了重點分析,整個行業網絡安全均值為573,屬于風險較高的行業。對于抽樣分析網絡風險的70家云服務商中,其中分數低于850分的有54家,處于網絡風險的高危地段。云服務行業共有互聯網資產140223個,其中域名229個,主機108991個,IP地址31003個;網絡風險共計243261個,其中包括安全漏洞5419個,網絡攻擊11321次,僵尸網絡226110次,惡意代碼362個,域名隱私泄露49個。
2.2 云服務商四維評價
云服務商網絡風險較高的TOP10
云服務商網絡風險較低的TOP10
為了能夠深入研究行業互聯網風險狀況及原因,我們選擇了安全值較低和較高的各十家公司進行RSTP四維分析評價。分別從風險值、資產規模、風險趨勢、流行度等角度的數據分析了各行業風險狀況及其內在相關關系。從上表可以看出互聯網資產規模較為龐大的云服務商大部分處于網絡風險較高的地帶,同樣訪問流行度高的幾家云服務商均擁有著偏高的互聯網資產數量。
名詞解釋:
風險值(R):Risk,評分區間(0-1000分),風險越高R值越低。
資產規模(S):Scale,評分區間(0-10分),機構的資產數量越多S值越高。
風險趨勢(T):Trend,評分區間(±1000分),當月與前一月R值變化趨勢。
流行度(P):Popular,評分區間(0-100分),被訪問次數越多P值越高。
2.3 云服務商資產R-S風險相關關系分析
云計算企業搭建云平臺時,可能會涉及購買第三方廠商的基礎設備、運營商的網絡服務等情況。基礎設施、網絡等都是決定云平臺穩定運行的關鍵因素。云服務將資源和數據的所有權、管理權和使用權進行了分離,故云服務商需要具有更高的數據安全保護水平和更先進的數據保護手段。因而我們針對云服務商的風險值和互聯網資產指數做以下分析:
為了研究資產數量和網絡風險的影響,我們選取了網絡風險值較低的十家,根據表中數據繪制了象限圖。從圖中分布可以看出抽樣企業的風險值R隨著資產規模擴大而降低,圖中虛線代表了行業平均資產規模及平均風險值;我們可以發現網絡風險較高的十家云供應商大部分處于第四象限,也就是資產最多的云服務商安全值最低,說明互聯網資產的增加同樣也擴大了風險的暴露面,為云服務帶來了更多的互聯網風險,云服務商應采取更加完善的信息安全工作。
我們選擇了處于高危風險的十家云服務商,分析其資產詳細情況。將互聯網資產分為域名資產、主機資產、IP資產、CDN等幾個維度進行統計結果如下:
云服務商互聯網資產概況
注:數據來源安全值,以上數據為2017年7月~2018年7月存活過的互聯網資產累計數值。
從表中可以看出,域名數最多的是蘇寧云;主機數和IP數最多的均是阿里云;其中CDN最多的是光環新網。CDN作為一種新型的網絡構建方式,它不僅能大大提高網絡站點的訪問速度以及站點穩定性,還能有效地預防黑客入侵以及降低各種DDoS攻擊對網站的影響,同時保證較好的服務質量。
2.4 云服務商流行度P-R風險相關關系分析
為了研究訪問流行度和網絡風險的關系,選取云服務商中風險值較低的十家平臺,根據表中數據繪制了象限圖。圖中虛線代表了平均訪問量及平均風險值,從整體走向可以看出,訪問流行度較高的企業相對應的風險值均較低;訪問流行度代表著企業云服務的訪問頻率及用戶規范,越是活躍的組織系統重要性越高,但目前的網絡安全風險卻最高。
第3章 云服務商網絡風險分析
3.1 云服務商網絡風險概況
云服務商網絡風險概況
我們從風險值風險等級、網絡攻擊、安全漏洞、隱私保護、惡意代碼、僵尸網絡、IP黑名單、端口高危風險、SSL高危風險等九個維度的網絡風險數據對處于網絡風險較高的七家取樣企業做了分析,根據上表發現,2017年年中至2018年7月底結束,北京光環新網科技股份有限公司面臨的互聯網風險最高;40%的云服務商出現安全漏洞;龐大的線上業務量使電商平臺遭受DDoS攻擊占比達到37.14%;總體域名隱私泄漏高達70%;惡意代碼、僵尸網絡、SSL高危風險相對發生率較低;其中21.43%的云服務商出現惡意代碼,一旦企業發生惡意代碼或僵尸網絡事件,都可能導致業務中斷事件;目前11.43%的企業在IP地址被列入國際黑名單中,收錄國際黑名單的安全設備將會阻斷黑名單中IP地址的通訊,對線上業務的開展造成很大不良影響。
第4章 云服務商安全漏洞分析
4.1 云服務商最常見安全漏洞分析
4.2 安全漏洞詳細統計和描述
漏洞詳細信息如下:
安全漏洞TOP10
4.3 SSL高危風險
根據上表中數據,我們可以發現,中興通訊股份有限公司的SSL高危漏洞數量最多,需加大管理力度和準備預防措施。在網絡層針對數據應用的網絡架構和系統入口進行安全防護,可采用的防護手段主要有防火墻和入侵檢測。在適當的協議層進行訪問規則和安全審查,將符合通過條件的報文從網絡接口送出,對不符合的報文則予以阻斷。企業可以通過以上對安全防護合理補充,幫助系統快速發現網絡攻擊的發生,擴展系統管理員的安全管理能力,提高信息安全基礎結構的完整性。
一般數據加密使用的是SSL(Secure Sockets Layer,安全套接層),通過加密實現數據集的節點和應用程序之間的數據保護。SSL協議漏洞與SSL證書本身是無關的。SSL證書用于激活服務器和客戶端之間的SSL傳輸協議。現有的SSL協議已發展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多個版本。其中SSLv2及SSLv3已被發現存在漏洞,推薦在服務器端配置關閉該協議,僅開啟TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影響。
第5章 網絡攻擊分析
5.1 云服務商DDoS攻擊概況
DDoS攻擊概況
DDoS攻擊類型
根據上表結果,云服務商一年內共遭受了11394次DDoS攻擊。其中TCP半連接攻擊占據網絡攻擊的主要部分,對于這種類型的DDOS攻擊,可通過縮短SYN響應時間或設置SYN Cookie過濾TCP包等手段來實施。對于UDP放大攻擊,可以通過限制UDP包大小,或建立UDP連接規則來達到過濾惡意UDP包,減少攻擊發生的效果,具體可根據企業自身的詳細情況選擇合適的解決方案。
5.2 云服務商DDoS攻擊流量年度統計情況
2017年6月至2018年7月截止,安全值統計了70家提供云服務的公司,根據表中數據繪制上圖。從圖中可以得出,分別在2017年7月、2017年9月、2018年2月、2018年4月、2018年6月發生了5次攻擊流量的爆發,其中2018年4月DDoS攻擊流量達到95.693G的峰值。根據近半年攻擊流量,各企業需加強網絡信息安全的意識,不可有絲毫的懈怠。
5.3 高危端口風險
開發人員和管理員應使用最佳工具保護設備及服務安全,拒絕使用非加密協議。使用HTTPS和FTPS可以最大限度減少潛在入侵者的攻擊面,同時保護敏感數據的傳輸安全。此外,除了使用諸如SSH這類加密協議,還應在易遭受攻擊的設備前配置防火墻,同時設置為僅通過VPN訪問。若無法做以上部署,應設置強密碼進行保護,切勿使用默認憑證。
完善數據存儲管理制度。建立、健全賬號口令管理、補丁管理、安全配置管理、防病毒管理等安全管理制度,定期進行安全檢查和風險評估,對發現的安全漏洞、高危端口及時進行處理。信息使用設置可信域和非可信域,實施不同的安全策略,實現分層分級的安全防護。建立終端接入的審批流程,部署終端接入管理系統,確保安全維護人員的所有操作可審計、可追溯。
第6章 其他網絡風險分析
6.1 HTTPS證書過期
HTTPS實際就是在TCP層與HTTP層之間加入了SSL/TLS來為上層的安全保駕護航,主要用到對稱加密、非對稱加密、證書,等技術進行客戶端與服務器的數據加密傳輸,最終達到保證整個系統的安全性。
網站的運行方式可以建立在HTTPS協議之上,以避免非加密數據在網絡傳輸過程中所導致的被惡意截取、篡改、重定向等網絡安全問題。云服務商需及時查詢關注自身HTTPS是否過期,以更好的保證數據的完整性,確保數據在傳輸過程中不被改變,防止數據在中途被竊取。
第7章 附錄
企業名單(按安全值升序排序)
