《騰訊安全：2023上半年云安全態勢報告（12頁）.pdf》由會員分享，可在線閱讀，更多相關《騰訊安全：2023上半年云安全態勢報告（12頁）.pdf（12頁珍藏版）》請在三個皮匠報告上搜索。

1、2023上半年云安全態勢報告在數字化轉型的大潮中，云計算作為實現創新和提高運營效率的關鍵技術，成為了新一代信息技術的核心引擎。隨著云計算市場的快速發展，云安全已成為實施云戰略的重要保障。如何在加強企業自身安全基礎設施建設的同時，幫助企業實現關鍵業務目標，從而更好地支持企業數字化轉型和業務的持續創新，已成為當前云安全建設的新挑戰。為了幫助讀者了解云安全的現狀和挑戰，騰訊安全和騰訊研究院共同撰寫了 2023上半年云安全態勢報告（以下簡稱 報告）。報告將從2023上半年云上攻擊態勢、云安全的現狀與挑戰、云安全防護建議等多個方面出發，全面分析和總結當前云安全領域的現狀和安全威脅。此外，報告還將關注AP

2、I安全、容器安全等領域的最新發展和趨勢，為讀者提供有價值的參考信息，幫助企業更好地保護數據和應用程序的安全。引言參與機構：騰訊安全 騰訊研究院發布時間：2023年9月2023上半年云上攻擊態勢2023云安全的現狀與挑戰行業攻擊態勢網絡架構攻擊態勢2023上半年云上用戶面臨的安全威脅2023上半年活躍漏洞排名2023典型漏洞安全事件回顧01 02 04 0710目錄企業云安全建設水平現狀2023上半年企業云安全建設面臨的挑戰1315172023上半年云安全態勢總結及建議云上安全態勢總結及建議2023上半年云上攻擊態勢行業攻擊態勢2023上半年從不同行業角度的攔截數據來看，各個行業遭受攻擊的次數呈

3、現出明顯的差異?；ヂ摼W（通用工具、技術服務、通用SaaS）、金融和工業云成為被攻擊的TOP3行業，它們在云上所面臨的安全挑戰和風險更為突出?；ヂ摼W行業由于其龐大的用戶群體和業務需求，依賴于云計算技術來支持服務。攻擊者往往試圖利用云上的漏洞獲取用戶數據或破壞服務，使其成為遭受攻擊次數最多的行業，占到了2023上半年云上總攻擊次數的53.97%。其次，工業云作為制造業數字化轉型的關鍵支撐，在云上同樣面臨著較高的攻擊風險，攻擊者可能試圖竊取商業機密或破壞生產過程，對企業造成嚴重損失。2023上半年工業云在各行業客戶平均被攻擊次數排名中位列第二位，占總攻擊次數的8.17%。最后，金融行業由于涉及大量敏

4、感數據和資金交易，一直是黑客攻擊的重點目標。相較其他行業，金融行業在云上遭受的攻擊次數不僅頻繁，攻擊手段也更加高級和隱蔽。上半年金融行業被攻擊次數占總次數的7.1%。從行業攻擊態勢來看，這些行業在2023上半年受到了攻擊者的重點關照，需要尤其關注自身的云安全建設，并采取針對性的安全措施，確保業務和數據安全。012023上半年云安全態勢報告圖1:2023上半年各行業用戶平均被攻擊次數互聯網通用工具工業云電商互聯網SaaS服務金融生活服務醫療教育能源智慧零售建筑社交娛樂傳媒出行政法農文旅運營商政務交通其他游戲消費電子互聯網技術服務2023上半年各行業用戶平均被攻擊次數圖2:2023上半年云上各行業

5、受攻擊總次數金融7.1%其他行業30.76%互聯網技術服務27.88%工業云8.17%互聯網通用工具8.31%電商17.78%其他行業互聯網技術服務電商互聯網通用工具工業云金融互聯網、金融、工業云成為被攻擊的TOP3行業圖3:2023上半年云上被攻擊次數來源占比圖網絡架構攻擊態勢02云上業務在面臨攻擊時，攻擊來源可能多種多樣。依據騰訊安全2023上半年的攔截數據統計，96.1%的云上攻擊主要來源于外網，剩余3.9%的攻擊來自內網橫移、跨網段攻擊、負載均衡等其他來源。外網攻擊通常由黑客、網絡犯罪團伙等組織發起，這些組織仍然是云上業務面臨的主要風險來源。他們利用各種攻擊手段，包括漏洞利用、惡意軟件

6、和拒絕服務攻擊等不同方式，來達到竊取數據和破壞服務等非法目的。在2023上半年，就有96.1%的云上攻擊源自外網。因此，加強邊緣安全防護仍然是網絡安全防護的核心任務。除外網攻擊以外，其余攻擊來源的占比如下：內網攻擊占總攻擊次數的0.2%。內網攻擊主要來自具有合法訪問權限的內部人員，如惡意員工、合作伙伴等。他們可能因為貪婪、報復等動機，濫用權限竊取數據或破壞系統。內網攻擊者通常對企業的業務流程和系統架構較為了解，對安全防護的威脅較大?？缇W段攻擊占總攻擊次數的0.3%?？缇W段攻擊指攻擊者利用企業內部網絡的不同網段之間的通信漏洞，發起攻擊。攻擊者可能通過垂直特權升級、橫向移動等手段，竊取數據或控制關

7、鍵系統。這類攻擊需要企業加強內部網絡安全防護，確保云上環境的安全。負載均衡攻擊占總攻擊次數的3.4%。負載均衡攻擊針對的是企業在云上部署的負載均衡器。攻擊者可能通過惡意流量攻擊、會話劫持等手段，試圖破壞負載均衡器的正常工作，進而影響整個應用程序的可用性和性能。內網橫移 0.2%外網攻擊96.1%跨網段攻擊 0.3%負載均衡 3.4%外網攻擊負載均衡 跨網段攻擊內網橫移攻擊來源：96.1%攻擊主要來自外網，邊界安全防護仍是網絡安全防護的重中之重2023上半年云安全態勢報告圖4:2023上半年云上資產被攻擊次數占比圖03在云環境中，負載資產包括主機負載和容器負載，根據騰訊安全在2023年上半年的統

8、計，容器負載被攻擊占比為45.06%，主機負載被攻擊的占比為54.94%，兩類資產的被攻擊占比基本達到1:1，企業在云安全防護上應兼顧主機安全和容器安全，確保資產可以得到全面的安全防護。容器主機主機容器資產被攻擊情況：主機資產占54.94%，容器資產占45.06%主機負載通常包括虛擬機、物理服務器等，是存儲和處理敏感數據的關鍵節點，一旦被攻擊，可能導致數據被竊取篡改，業務中斷等嚴重后果。同時，作為最后一道防線，主機在網絡安全防御中也承擔著重要任務，作為攻擊者的核心攻擊目標之一，需要具備資產清點、安全加固、惡意攻擊阻斷等防護能力。同時，在混合云部署的趨勢下，云下資產同樣需要重視，企業可以使用支持

9、混合云接入的安全工具，將云端的安全能力輸出到私有數據中心，由此提升整體安全水平。容器負載作為一種輕量級的虛擬化技術，能夠更快速的部署和擴展應用程序，云原生技術不僅革新了云上軟件架構和應用模式，也加速了云安全向云原生安全演進的趨勢。同時容器的特性給傳統安全防護體系帶來了新的挑戰。攻擊者一旦攻破容器，就可以進一步獲取宿主機系統權限，威脅宿主機上的其他容器和內網安全。為了避免容器成為新型攻擊的突破口，企業需要關注容器生命周期的各個階段，并采取相應的安全措施，收斂鏡像、容器、集群、編排工具等攻擊面。45.06%54.94%2023上半年云安全態勢報告2023上半年云上用戶面臨的安全威脅04在云安全防護

10、中，企業需要關注攻擊者的目的和手段，攻擊目的是指攻擊者發動攻擊的最終意圖，而攻擊手段則是實現這一目的所采用的具體方法和技術。了解攻擊者的攻擊目的占比有助于企業更好地制定安全策略，針對不同的攻擊目的采取相應的防護措施，可以幫助企業提高整體安全防護水平，確保數據和應用程序的安全。根據騰訊安全的2023上半年的統計數據，攻擊者抱有控制受害云主機資源獲取企業敏感數據、下載運行挖礦木馬牟利、建立僵尸網絡目的的攻擊最為常見，其次漏洞利用準備、勒索等安全事件也時有發生。以下是2023上半年攻擊者主要攻擊目的的占比：攻擊者利用受害者的計算資源進行加密貨幣挖礦，以謀求經濟利益。惡意挖礦（20%）數據竊取類型攻擊

11、者者試圖獲取企業敏感數據，如客戶信息、知識產權等。這類攻擊目的占比最高，反映了攻擊者對數據價值的認識。數據竊?。?9%）攻擊者在實施具體攻擊行動之前，進行一系列的信息收集、漏洞探測和環境評估等活動，以便更有效地利用已知或未知的漏洞對目標系統發起攻擊。漏洞利用準備（9%）攻擊者控制受害者設備，將其用作發起其他攻擊的跳板或工具。建立僵尸網絡（22%）2023上半年攻擊者云上攻擊目的占比圖5:2023上半年黑客云上攻擊目的占比圖惡意挖礦20%漏洞利用準備9%數據竊取49%建立僵尸網絡22%數據竊取漏洞利用準備建立僵尸網絡惡意挖礦數據竊取、建立僵尸網絡和惡意挖礦是攻擊者的主要攻擊目的2023上半年云安

12、全態勢報告為了達成攻擊目的，攻擊者往往會針對目標采用多種攻擊行為。根據騰訊安全2023上半年收集的攻擊行為數據，在所有被攔截的攻擊中攻擊者利用的路徑和手段包括暴力破解、漏洞利用、APIKey攻擊、社工攻擊、釣魚攻擊等多種方式。其中需要我們關注的幾個路徑如下：暴力破解、DDoS和漏洞利用仍是黑客最常用的攻擊手段在所有被攔截的攻擊中，暴力破解仍然是2023上半年最主流的攻擊手段，攻擊次數達到了59億次，占上半年攻擊次數的47.24%。攻擊者主要利用弱密碼、默認密碼和密碼重用等現象，通過嘗試大量可能的組合來猜測正確的憑據，這類攻擊仍是目前最具性價比的攻擊之一。為應對暴力破解類攻擊，企業需要采取包括強

13、密碼策略、多因素認證、安全監控與告警以及安全教育與培訓等一系列措施，來提升自身的安全防護能力。暴力破解隨著云計算技術和IOT技術的發展，越來越多的可利用設備暴露在公共網絡之中，攻擊者對DDoS資源的獲取變的越來越容易。根據騰訊安全的統計數據，上半年DDoS攻擊達到了38億占總次數的30.93%。同以往的DDoS攻擊不同，攻擊者會使用BOT、養號、惡意注冊、CC攻擊等更高級的攻擊手段，構造惡意的“正常訪問”來繞過傳統的檢測設備，給企業帶來了更大的安全威脅。DDoS利用系統、應用程序或網絡設備中的安全缺陷來突破安全防護，實現非法訪問或操作一直是黑客的主要攻擊手段之一。根據騰訊安全在2023上半年的

14、數據，攻擊者利用已知或未知漏洞發起的攻擊占上半年總次數的15.60%，以RCE、XSS和SQL注入為首的漏洞武器仍是黑客的最愛。依據上半年攻防演練的統計顯示，企業70%以上的資產是被攻擊者利用0day漏洞攻陷的。所以對于云服務使用方來說，雖然云服務提供商可以提供漏洞管理相關的服務，但云服務使用者仍然需要提高安全意識，部分情況下由于具體業務的邏輯性處理、系統兼容性等原因，云服務使用者甚至可能選擇不修復或稍后修復漏洞，這都會給整體云計算平臺的安全性帶來較大的影響。漏洞利用052023上半年云安全態勢報告2023上半年各類攻擊次數占比隨著各個企業云上業務的快速發展，越來越多的應用開發深度依賴API之

15、間的相互調用，同時API作為系統間的通信橋梁也逐漸成為攻擊者重點攻擊的目標。根據2023上半年的攻擊數據顯示，攻擊者利用API Key、敏感文件執行、敏感信息讀取等手段發起的攻擊次數呈明顯上升趨勢，占總攻擊事件的1.69%。API濫用已成為導致企業Web應用程序數據泄露的最常見的攻擊媒介，通過攻擊API來達成攻擊目的，已成為上半年攻防演練中各攻擊隊最常用的攻擊手段之一。API Key攻擊1.69%2.21%2.32%15.6%30.93%47.24%暴力破解DDoS攻擊漏洞利用其他釣魚攻擊/社工攻擊API Key攻擊圖6:云上各類攻擊次數占比062023上半年云安全態勢報告圖8:Conflue

16、nce 遠程代碼執行漏洞活躍情況圖7:2023上半年漏洞活躍指數占比圖2023上半年活躍漏洞排名07根據騰訊安全產品攔截到的漏洞攻擊性質統計，2023上半年黑客最常利用的漏洞武器為遠程代碼執行漏洞（RCE），其他依次是掃描探測、SQL注入等漏洞。2023上半年云上活躍漏洞共211個，這些漏洞涉及操作系統、中間件、Web應用程序等多個層面。黑客和網絡犯罪團伙不斷嘗試利用這些漏洞發起攻擊，竊取數據和破壞服務。Confluence是Atlassian公司開發和維護的一款企業級知識管理和協同軟件，廣泛應用于構建企業wiki。它支持團隊成員進行信息共享、文檔協作、集體討論和信息推送等任務，具備便捷的編輯

17、和站點管理功能。然而，在2022年6月1日，Atlassian公司發布了關于Confluence Server和Data Center版本存在遠程代碼執行漏洞的安全公告。攻擊者可以在未經身份驗證的情況下遠程利用該漏洞，通過發送惡意Web請求注入命令，從而在目標服務器上實現任意代碼執行并控制服務器。騰訊安全根據最活躍的惡意軟件家族使用的漏洞武器，整理出2023上半年漏洞利用的TOP5：*備注1.Confluence 遠程代碼執行漏洞(CVE-2022-26134)【遠程代碼執行】2.Weblogic 未授權命令執行(CVE-2020-14882)【遠程代碼執行】3.Hadoop YARN 資源管

18、理系統 REST API未授權訪問【未授權訪問漏洞】4.GitLab 遠程命令執行漏洞(CVE-2021-22205)【遠程代碼執行】5.nginxWebUI runCmd 遠程命令執行漏洞【遠程代碼執行】CVE-2022-2613441.41%nginxWebUI ru.6.6%CVE-2020-148828.89%其他漏洞27.92%CVE-2021-222057.44%Hadoop YARN.7.74%Confluence 遠程代碼執行漏洞(CVE-2022-26134)12023上半年云安全態勢報告08Oracle WebLogic Server是Oracle公司開發的一款適用于云環境

19、和傳統環境的應用服務中間件。該中間件提供了一個現代化的輕量級開發平臺，支持從開發到生產的應用全生命周期管理，簡化了應用部署和管理過程。然而，Oracle WebLogic Server Console的多個版本存在安全漏洞。這些漏洞允許未經身份驗證的攻擊者通過HTTP訪問網絡，進而破壞Oracle WebLogic Server。受影響的版本包括：10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。Weblogic 未授權命令執行(CVE-2020-14882)2Hadoop是Apache基金會開發的分布式系統基礎架構，而YARN則是H

20、adoop系統中負責統一管理和調度集群資源的平臺。它允許將MapReduce計算框架作為應用程序運行在YARN系統上，并通過YARN進行資源管理。用戶可以向YARN提交特定應用程序以執行相關的系統命令。YARN提供了默認開放在8088和8090（默認為前者）的REST API，允許用戶直接通過API進行應用創建、任務提交執行等操作。然而，如果配置不當，REST API可能會暴露在公網上，導致未授權訪問的問題。在這種情況下，攻擊者可以在未經授權的情況下遠程執行代碼。Hadoop YARN 資源管理系統 REST API未授權訪問3圖10:Hadoop YARN 資源管理系統 REST API未授權訪問漏洞活躍情況圖9:Weblogic 未授權命令執行活躍情況2023上半年云安全態勢報告