近日,云服務(wù)商UCloud安全中心公布了《2015公有云安全年度報告》,報告對全年DDoS攻擊情況,漏洞遭受攻擊情況、以及云安全發(fā)展趨勢、年度安全事件等情況等進行了總結(jié)和披露。從這份報告中,我們能夠了解過去一年公有云市場的安全情況。通過對過去一年的安全問題總結(jié),我們就可以對2016年的安全問題進行針對性地解決。
對于公有云的安全,基本上可以分為兩塊:DDoS攻擊和漏洞攻擊。這也不難理解,畢竟公有云是暴露在互聯(lián)網(wǎng)上,所以面臨的網(wǎng)絡(luò)安全也是顯而易見的。
DDoS攻擊分析
DDoS攻擊一直是互聯(lián)網(wǎng)毒瘤,對于云計算提供商來說更是如此,隨著云計算的普及,整個社會對于云計算的接受度在提高,但是云計算的普及也讓DDoS攻擊也呈現(xiàn)了新的特征。
游戲行業(yè)是最主要的DDOS攻擊目標
UCloud安全中心2015年的檢測數(shù)據(jù)顯示,游戲、企業(yè)服務(wù)、電子商務(wù)與互聯(lián)網(wǎng)金融行業(yè)是DDoS攻擊的主要對象。其中,年內(nèi)被攻擊最頻繁的是游戲行業(yè),占攻擊總量的 30.1%;另外,企業(yè)服務(wù)(軟件與技術(shù)服務(wù))行業(yè)排名第二,占攻擊總量的 26.2%;電子商務(wù)行業(yè)排名第三,占攻擊總量的 17.5%。
點評:DDoS攻擊是大多是帶有經(jīng)濟或者政治目的,所以行業(yè)特征比較明顯。而游戲行業(yè)作為變現(xiàn)能力比較強的行業(yè)自然就成了熱門目標,另外需要注意的是企業(yè)服務(wù)(軟件與技術(shù)服務(wù))行業(yè)在DDoS攻擊中的占比已經(jīng)排名第二,這也顯示出了企業(yè)越來多講工作負載遷移到云端。雖然這有助于企業(yè)實現(xiàn)業(yè)務(wù)的靈活性,但是安全形勢不容樂觀。
反射型放大攻擊手法仍備受青睞
UCloud安全中心對2015年的DDoS攻擊方式進行了統(tǒng)計分析,其中五分之四以上的攻擊使用的是UDP協(xié)議,而UDP協(xié)議攻擊中則以反射性攻擊為主(近 80%),因為這種DDoS攻擊方式具有無需組建僵尸網(wǎng)絡(luò)、可隱藏攻擊者真實身攻擊者的網(wǎng)絡(luò)帶寬要求小等優(yōu)勢。此外,在UDP協(xié)議攻擊中,攻擊者通常會采
用多種攻擊方式進行混合攻擊,這種UDP混合型攻擊占UDP協(xié)議攻擊總量的54.8%。由此可見,這種低成本反射型放大攻擊在短期內(nèi)仍會備受攻擊者的青睞。
點評:反射型DDoS攻擊方式目前呈現(xiàn)出增長的趨勢,因為隨著云計算的發(fā)展,各種網(wǎng)絡(luò)協(xié)議更多暴露在互聯(lián)網(wǎng)上,這導致攻擊者利用這些協(xié)議進行DDoS攻擊。而且大多承載這些協(xié)議的服務(wù)都是依托在云平臺上,這也給云平臺帶了更多安全挑戰(zhàn)。
上百G的攻擊流量已很常見
UCloud安全中心對2015年的DDoS攻擊流量峰值進行了統(tǒng)計分析,十二個月中,只有3月份和11月份攻擊流量峰值未超過100Gbps(分別為70.1Gbps和81.6Gbps),其他十個月每月的攻擊流量峰值均超過100Gbps(最大為6月份140.1Gbps)。由此可見,攻擊流量上百G已經(jīng)較為普遍,這與中國寬帶網(wǎng)絡(luò)的普及和提速有著密切關(guān)系。
點評:大流量DDoS攻擊已經(jīng)屢見不鮮,除了與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善有關(guān),這也與云計算提供能夠提供按需使用的計算資源有關(guān),攻擊者獲取計算資源的便利性直接加劇了DDoS危害程度。
應(yīng)對之策
DDoS攻擊呈現(xiàn)了新的特征,這需要整個產(chǎn)業(yè)的協(xié)同才能實現(xiàn)治理,比如運營商、安全服務(wù)商、云計算提供商等。UCloud通過建設(shè)云檢測集群、云清洗集群和智能調(diào)度中心而形成云端智能清洗防護系統(tǒng),并推出高防服務(wù)(UADS)產(chǎn)品,目前全網(wǎng)抗DDoS攻擊能力達800Gbps,能夠為用戶(包括非UCloud用戶)提供靈活、智能的大流量DDoS與CC攻擊的防護服務(wù)。
漏洞攻擊
Web漏洞攻擊類型分布
據(jù)UCloud云安全平臺監(jiān)測統(tǒng)計,SQL注入攻擊仍然是目前云上環(huán)境最流行的攻擊,占到了總攻擊的41%,其次是針對Web組件,如Apache、Nginx、IIS、Jboss、Tomcat等的攻擊。其次是一些常見攻擊手段的利用,如命令注入、XSS、非法上傳下載等。另外,一些高危漏洞如Bash漏洞、Struts2漏洞及OpenSSL等漏洞的利用量也居高不下。
點評:目前公有云上的工作負載大部分是基于Web的應(yīng)用,所以我們看看這些漏洞攻擊類型也就不難理解了。所以對于公有云的安全防護一定要注意應(yīng)用層面的問題,只是關(guān)注基礎(chǔ)設(shè)施層面還是不夠。
暴力破解類型分布
經(jīng)UCloud云安全平臺監(jiān)測,2015年,UCloud一共監(jiān)測到3723005個攻擊源IP的66.36億次暴力破解事件,較2014年45.03億次,增長了約47%。經(jīng)檢測,暴力破解主要分布在SSH、HTTP、RDP、FTP、MySQL、MSSQL等幾大應(yīng)用程序中,其中SSH的暴力破解數(shù)量占全部暴力破解的61.11%。
縱觀全球所有數(shù)據(jù)分析,全世界攻擊活動高發(fā)地主要分布在中國、美國、日本、加拿大等國家??v觀全國所有數(shù)據(jù)分析,全國攻擊活動高發(fā)地主要分布在北京、上海、廣州、江西、江蘇等地,其中以華南地區(qū)居首。
點評:暴力破解一直是一個常見的網(wǎng)絡(luò)攻擊類型,畢竟用戶帳號密碼的信息是非常關(guān)鍵的,往往獲取了這些信息,對于企業(yè)信息安全造成的影響也是巨大的。所以企業(yè)一定要注意加強帳號密碼的保護,對于弱口令一定要禁止。而從暴力破解的地域看也非常有意思,第一集中于互聯(lián)網(wǎng)市場比較發(fā)展的的確,世界范圍就是中美日,中國范圍就是北上廣。畢竟這些區(qū)域的互聯(lián)網(wǎng)市場比較發(fā)達,相應(yīng)的網(wǎng)絡(luò)安全形勢也是比較嚴峻的。
云安全前沿趨勢
在系統(tǒng)總結(jié)了2015年公有云面臨的安全威脅后,UCloud也對新的安全防御技術(shù)進行了展望。畢竟攻與防是對立的,所謂魔高一尺,道高一丈。隨著新的安全形式的出現(xiàn),針對新的安全威脅的安全技術(shù)也開始出現(xiàn)。UCloud對此進行了歸納,如下:
數(shù)據(jù)驅(qū)動安全
在目前的大數(shù)據(jù)時代,主流的云安全廠商均開始轉(zhuǎn)向研發(fā)以全流量日志記錄和大規(guī)模數(shù)據(jù)關(guān)聯(lián)分析為基礎(chǔ)的大數(shù)據(jù)安全監(jiān)測與防御系統(tǒng)。從數(shù)據(jù)發(fā)現(xiàn)安全的蛛絲馬腳,這是大數(shù)據(jù)時代的必然要求。
威脅情報
高級的定向攻擊使防范為中心的策略已經(jīng)過時。做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一關(guān)鍵任務(wù)上,防范措施必不可少,但是基于預(yù)警、響應(yīng)的時間差更關(guān)鍵。從未來看,企業(yè)安全將會發(fā)生一個大的轉(zhuǎn)變:即以信息和人為中心的安全策略,結(jié)合全面的內(nèi)部監(jiān)控和安全情報共享。
安全可視化
安全數(shù)據(jù)的可視化技術(shù)可以幫助安全人員更加迅速而有效的分析安全問題,捕獲安全線索,發(fā)現(xiàn)未知威脅。安全可視化技術(shù)是安全看見能力重要的外在表現(xiàn)形式。
安全即服務(wù)
越來越多的企業(yè)開始部署云計算,來幫助降低成本、提高靈活性和提供業(yè)務(wù)專業(yè)技能。基于云計算的安全服務(wù)也具有相同的優(yōu)勢。這種新興的安全即服務(wù)模式為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御提供了前所未有的公平競爭環(huán)境。
云安全生態(tài)圈
任何單個機構(gòu),單一的企業(yè),依靠傳統(tǒng)的方式和措施手段已經(jīng)難以有效地應(yīng)對互聯(lián)網(wǎng)暗處的安全威脅。所以我們就看到了各種安全聯(lián)盟的出現(xiàn),對于安全問題,需要整個產(chǎn)業(yè)鏈上下游廠商的協(xié)同工作才能解決。
結(jié)語
UCloud安全中心的《2015公有云安全年度報告》內(nèi)容全面,基本上覆蓋了目前云計算提供商面臨的安全問題,并給了UCloud的應(yīng)對之策。這對于其他云計算提供應(yīng)對安全威脅非常有幫助,此外UCloud還對未來的安全技術(shù)進行了展望,這對于相關(guān)廠商推出更有針對性的安全解決方案提供了新的思路??傊?,《2015公有云安全年度報告》值得每一個關(guān)注云計算安全的朋友閱讀,完整的報告全文可以到UCloud官網(wǎng)下載。