《阿里云：2024年云安全態勢報告（25頁）.pdf》由會員分享，可在線閱讀，更多相關《阿里云：2024年云安全態勢報告（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、前言云計算經過多年的發展，已經逐漸成為了企業的基礎設施，其彈性與便捷讓企業能夠快速拓展并抓住機遇，隨著業務復雜性的提升，如今，多云/混合云架構已經成為多數企業的首選。同時，GenAI的到來也在改變企業的基礎設施選擇，容器/Serverless等資產使用比例明顯上升。然而，這些創新和靈活性的背后，是成倍增加的復雜性，“復雜性”意味著更多的“脆弱性”，據阿里云觀測數據顯示，2024年云上有風險的資產數量增加了40%。為了解決這些風險，企業將持續面對安全碎片化問題。我們常常會看到，在傳統方案中，一家企業往往部署了十余種甚至更多的安全工具，每款工具都有無數的告警需要處理。此外，不同的基礎設施，不同的云

2、針對產品的使用配置也不盡相同，一個錯誤的配置就可能增加暴露風險，帶來數據泄露的可能。在2012年，阿里云推出了第一款主機類防護產品：安騎士，并在2019年正式更新成云原生的應用平臺保護產品：云安全中心，旨在幫助客戶建立多云混合云的安全配置、威脅、告警統管，實現安全運營的閉環，2024年阿里云累計檢測客戶漏洞數量超過3億個，幫助用戶修復漏洞超過5000萬個。同時，我們也在積極探索GenAI能為安全帶來何種助益，在2022年阿里云已正式推出安全大模型，為客戶提供清晰的風險解釋和處置手段，目前AI助手實現了99%的告警事件覆蓋，用戶調用量提升超過300%。隨著數字經濟的持續發展，安全對抗也在變得愈發

3、強烈。過去一年，我們看到漏洞、勒索軟件的數量和攻擊手法都在迭代更新。作為保護者，阿里云也在持續更新原生安全能力，當然我們不僅要提供安全的云服務，更要幫助客戶安全地使用云。在這份報告中，我們整理了2024年云上各類風險態勢，包含配置、響應、漏洞、勒索等方面，并給出相應的治理建議，希望能幫助企業構建適合自身的安全防護策略，在日益復雜多變的環境中，穩健發展、不斷前行。云，是安全碎片化的終結者。我們長期以來一直致力于保護企業的環境，并堅持三體化安全建設思路，幫助客戶實現：不同環境（公有云、專有云及線下IDC）的安全統管不同安全產品告警信息的聚合和關聯分析生產網和辦公網的統一管理和運維3億累計檢測客戶漏

4、洞數量幫助用戶修復漏洞99%AI助手告警事件覆蓋用戶調用量提升指導委員會歐陽欣 阿里云安全產品總經理祝建躍 阿里云安全產品負責人劉志生 阿里云安全產品技術負責人編寫單位阿里云安全團隊設計支持徐方芳單夷繁李夢平編寫組成員（以下按姓氏拼音首字母排序）梁 雷曹 波楊李貝屠勵杰陶夏溦呂英豪羅博文鐘 丹伍 悅馬樂樂劉晉成李玉琳陳恒毅王巍淇田 民譚肖依莫誠就李浩然周 來張旭俊鐘現奎聯系我們歐陽欣 阿里云安全產品總經理5000萬300%2024年，安全對抗也在持續增強。/01企業的基礎設施正在變得越來越復雜，多云/混合云成為主流的選擇，云已經成為企業的基礎設施。/受保護的資產持續增加，日均安全掃描量破百萬，

5、容器/Serverless等資產使用比例明顯上升，GenAI時代正在改變企業的基礎設施選擇。但“復雜性”意味著更多的“脆弱性”，阿里云觀測到，有風險的資產數量增加40%，集中在計算（ECS）、身份認證（RAM）、存儲（OSS/NAS）、數據庫（RDS/KVSTORE）等核心資產中。通過對資產的持續性掃描，阿里云整理了六大典型的安全配置風險，并梳理了典型的攻擊路徑。其中，機器身份的大量應用，讓身份安全和權限管控成為重中之重：AK泄漏、弱密碼、過度授權.任意的脆弱性都有可能成為攻擊鏈路上的擊破點，正確管理企業云上的身份與授權是安全的基石。同樣，隨著AI和大模型的快速發展，相關企業也成為了新的攻擊對

6、象，服務中斷、數據泄露等事件層出不窮。阿里云整理了模型從部署、訓練到上線全流程的安全風險和防護建議，高算力、高資源、高迭代的特點，也給其安全帶來了更多的挑戰。漏洞數量和高危漏洞所帶來的威脅態勢呈增長態勢。/022024年，阿里云漏洞庫累計收錄40209個漏洞，較2023年增長12%。其中，CVSS評價為高危的漏洞數22489個，較2023年增長4%。開源組件漏洞是主要的云上風險，組件使用者配置不當是漏洞形成的主要成因。漏洞利用是勒索軟件常用的攻擊手段?？蛻魬捎米詣踊穆┒葱迯凸ぞ?，降低MTTD/MTTR是應對漏洞風險的有效手段。一方面，提前發現并修復漏洞，可有效保護企業和用戶的信息安全。20

7、24年阿里云累計檢測客戶漏洞數量超過3億個，幫助用戶修復漏洞超過5000萬個。另一方面，在運行時，依托自動化和智能化增強入侵檢測與防御能力，可有效減少漏洞檢測與修復時間?；诖竽Ｐ偷陌⒗镌圃瓢踩行腁I助手的引入實現了99%的告警事件覆蓋，AI助手的用戶調用量提升超過300%。勒索軟件呈現爆發式增長趨勢，漲幅達到74%，隨著Bitcoin等加密貨幣價格大幅飆升，勒索攻擊者活動愈發猖獗，且表現出高度的執著與專業性，單次攻擊時間可持續數小時，采用多種手段。同時，隨著頭部RaaS生態變動，大量從頭部勒索組織脫離的附屬機構會優先選擇攻擊防護能力較弱的中小企業。同時，勒索組織的勒索效率也在提升，且行為更

8、加隱蔽，在約50%的勒索事件中，攻擊者會優先選擇攻擊EDR、HIPS等安全防護產品，在安全模塊無法工作后才進行勒索，確保新型的勒索病毒不被安全產品收集。在攻防態勢愈發嚴峻的當下，企業應盡快提升自身的安全防護力。03ALIBABA CLOUD SECURITYAnnual Report2024企業基礎設施變得越來越復雜_01.AboutAlibabaCloudSecurityChapter企業基礎設施正在變得越來越復雜，含有配置問題的風險資產增多2024年，隨著GenAI和大模型的蓬勃發展，新的業務形態持續出現，生成式人工智能正在顛覆安全領域。一方面，AIGC等新業務形態的出現帶來的新的安全風險

9、，大模型的推理技術也越來越多地被用在攻防對抗中，安全團隊需要對攻防技術和策略進行快速的更新；另一方面，企業的基礎設施正在變得越來越復雜，多云混合云部署成為主流，圍繞著AI模型的訓練、推理，容器/Severless的使用頻率增加，資產迭代的生命周期被大幅縮短，持續的資產監控和配置管理的必要性愈發凸顯。阿里云安全團隊從資產類型、配置管理以及身份安全三個方面監控了相關數據和態勢的變化，我們看到云上有風險的資產數量增加40%，而在此類變化下，保持對安全的持續監控和管理，成為一個巨大的挑戰。架構的復雜化和資產迭代速度的增快給安全帶來了更大的挑戰，既需要保證多環境中的安全策略一致性，也要持續收斂因工作負載

10、快速迭代而擴大的攻擊面，實現持續性的安全洞察、監控和事件響應。隨著企業上云程度加深，架構的復雜性也在提升，需要同時防護云上和原有環境中的資產，過去一年阿里云對云外主機的防護數量增長28.4%。同時，GenAI（生成式人工智能）在2023年作為一種突破性力量出現，圍繞著AI的模型訓練、推理，云上架構正在從虛擬機（ECS）向無服務/容器演進，目前云上受到保護的容器/Serverless資產已超過百萬級。050000010000001500000200000025000003000000配置風險風險資產數量（云上TOP風險資產）ECSRAMOSSACRRDSVPCSLB隨著企業上云率提升，云上資產數

11、量越來越多，企業的安全意識也在逐步提升。根據云安全中心數據顯示，配置安全的日均掃描量已達150W+，掃描出的風險資產數量提升40%，其中計算（ECS）、身份認證（RAM）、存儲（OSS/NAS）、數據庫（RDS/KVSTORE）等云上核心資產的配置風險，需要企業優先關注。云上資產量級快速增加，風險資產數量上漲40%云安全中心防護的云外主機數增長云外主機在整體防護 主機中的占比增長+28.4%+2.1%日均掃描量風險資產上漲150w+40%01企業架構加速向云上演進，GenAI正在改變企業的資產選擇02云上日均資產掃描量破百萬，風險資產數量增加 40%，AK泄漏、過度授權和弱口令需重點關注070

12、8根據對以上資產的持續性掃描，40%的企業均存在各類配置風險，面臨著防護效果不佳，甚至面臨暴力破解和數據泄露的風險?；诖?，阿里云安全團隊整理了云上六大典型配置風險場景，包含高危端口管理、白名單配置、AK防護、存儲讀寫、身份授權等多個方面，需要企業持續性的安全治理和建設。典型風險場景六：風險資產未正確進行安全防護一方面，對于有使用云上ECS、EIP、公網EIP、數據庫等產品的客戶，應該對相應的資產開啟安全防護；另一方面，對于已經使用了諸如Web應用防火墻、云防火墻、DDoS防護等產品的客戶，需要進行正確的配置，例如在DDoS防護中開啟全局防護策略，在Web應用防火墻中選擇合適的規則引擎，并配置

13、回源/高防回源，根據業務的流量情況，開啟對應的互聯網/VPC/NAT防火墻，并進行合理的ACL配置等。組織存在風險資產未進行正確安全防護53%典型風險場景三：AccessKey未做好防護，存在泄漏風險訪問密鑰AK（AccessKey）是阿里云提供給用戶的永久性訪問密鑰，用于通過開發工具（API、CLI、SDK、CloudShell、Terraform等）訪問阿里云時的身份驗證，包括AccessKey ID和AccessKey Secret，AK相當于登錄密碼，一旦泄漏，將會給業務、數據帶來巨大風險。企業應對云上AK進行持續的監控和治理，包括對主賬號禁用AK、持續性的AK泄漏檢查，以及定期對閑置

14、子賬號的AK進行清理。組織AccessKey 未做好防護44%典型風險場景四：存儲開放公共讀寫和匿名訪問，存在敏感泄漏風險這意味著互聯網上的任何人都可以讀取企業存儲桶內的數據，并刪除或向存儲桶寫入新的數據，企業應將OSS/NAS等存儲產品設置為無公開訪問對象/白名單不對公網開放，并禁止匿名授權策略。組織存儲開放公共 讀寫和匿名訪問55%典型風險場景一：高危端口暴露，面臨爆破風險只要存在外部訪問的場景，均有可能存在高危管理端口的暴露，包括：CLB、ALB、SSH、RDP、DNAT等產品，企業應該定期檢查對應產品的端口暴露情況，禁止任意IP訪問。組織存在高危管理 端口暴露到公網51%典型風險場景二

15、：數據庫白名單對公網開放，存在暴力破解和數據泄漏風險將數據庫的白名單設置為公網開放，意味著允許來自互聯網任何IP的連接請求，極有可能遭遇攻擊者的暴力破解，從而導致數據泄漏和勒索的問題。企業應該將云上RDS、MongoDB、Redis、Elasticsearch、PolarDB等數據庫服務設置為白名單不對公網開放，提升數據安全性。組織存在數據庫 端口暴露到公網41%六大典型安全配置風險場景：40%以上的企業存在配置風險0910風險量用戶的云服務器ECS存在過度授權用戶的函數計算存在過度授權用戶的對象存儲OSS存在過度授權用戶的云數據庫RDS存在過度授權角色的ECS權限存在過度授權用戶的訪問控制R

16、AM存在過度授權角色的OSS權限存在過度授權用戶的短信服務存在過度授權角色的FC權限存在過度授權角色的RAN權限存在過度授權典型風險場景五：CIEM過度授權風險身份是云上安全的基石，對于身份及訪問權限的管理存在于幾乎每一款產品中，過度授權極易引發云上RAM權限體系提權，導致敏感數據泄漏，對于計算、存儲、數據庫等核心云產品的權限濫用情況最為嚴重，企業需重點關注：組織身份權限 存在過度授權風險43%AK泄露作為云上六大配置風險之一，依賴客戶持續的安全治理。根據阿里云數據顯示，過去3年，隨著云上資源的使用量增多，客戶面臨的AK風險也在持續上升，異常調用量提升205.26%，但治理率僅有16.81%。

17、根據阿里云統計數據顯示，弱口令在公網的暴露比例不超過1%，暴露風險已大幅收斂。但內網的弱口令暴露比例是公網的10倍以上，云上的弱口令主要集中在數據庫和操作系統（SSH、RDP），其中Redis最高達到35.7%，其次是MongoDB達到21.4%，需要客戶重點關注：AK泄漏有多種途徑，例如：硬編碼明文泄露：企業將AK/SK編譯到程序代碼/配置文件中，攻擊者只需要對小程序包進行反編譯即可獲取AK；存儲桶訪問權限配置公開：因存儲桶權限配置錯誤，導致機密數據（包含AK）被泄露；網絡請求泄漏：通過后端API將AK/SK返回到前端，僅需對程序進行網絡抓包，即可獲取AK對此，阿里云建議企業進行以下的安全治

18、理：采用最小化授權的方式，主賬號盡量避免使用AK；對于外部用戶（比如手機APP場景）訪問，或業務部署在ECS上的情況，盡量使用STS-Token的登錄方式，避免使用AK登錄方式；登錄控制臺、訪問API時絕對禁止使用主賬號的AK；使用RAM創建子賬號，并為每個子賬號創建單獨AK；編寫基于IP的權限策略，從而限制AK只能從內網發起訪問，避免泄漏風險使用安全配置檢查/安全審計工具，并定期巡檢：使用ActionTrail，記錄子賬號的創建和授權日志，實現審計和告警監控；開通云安全中心的安全配置、AK泄漏和異常調用功能模塊，實時監控與告警；定期查看RAM的安全檢查及安全報告；定期AK輪轉存在弱口令的服務

19、比例身份的信任和授權是云上權限體系的核心之一，從上文統計數據來看，43%的企業存在過度授權的風險。根據阿里云云安全中心對過去的數據觀察總結，梳理出了三大典型場景，需要企業重點關注：隨著云服務和容器化技術的快速普及，如何避免安全配置導致AK泄漏、身份提權和訪問弱口令等風險，為身份的安全管理帶來了更大的挑戰。尤其是機器身份（Non-Human Identi-ties,NHI）技術的大量應用，如何有效動態創建和輪轉身份，確保最小使用授權，成為云安全態勢管理的關鍵。ECS實例綁定的RAM角色具有超出業務需求的授權ECS 實例上運行的服務被攻破后被攻擊者直接獲取綁定的云上身份，并進一步提權。Policy

20、AdministratorAccessAssumeRoleActionActionRAMFullAccessActionAK異常調用量連續三年增加，提升205.36%，企業治理率僅達16.81%031112身份安全是企業的基石：AK泄漏、身份提權、弱口令風險治理ECSRoleRole0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%JenkinsTomcatFTPRsyncRDPSSHMongoDBMssqIRedisMysqI2022070,000140,000210,00020232024威脅檢測模型輸出AK異常調用按請求去重20220

21、10,00020,00030,00020232024用戶已處理告警按請求去重（對應攻擊路徑）弱口令公網暴露率風險大幅收斂，但內網風險依然很大身份提權的三大風險場景在復雜環境中，資產的脆弱性大大提升，僅僅一小部分資源就可能導致更大比例的攻擊路徑，在多云/混合云環境中造成重大損害，包括計算資源濫用、數據泄漏和用戶憑證暴露。根據阿里云觀察，89.9%設置了敏感資產的用戶檢測出敏感資產型相關的風險，而攻擊路徑上最常見的薄弱點是公網暴露和不安全的憑證。下圖展示了利用漏洞、ECS和RAM三個不同入口，通過漏洞攻擊橫向移動、通過存儲的憑證橫向移動、通過存儲的AK獲取RAM身份、通過RAM身份提權四類主要攻擊

22、路徑，最終或控制云資源，或獲取敏感數據，或獲取憑證。在展示的攻擊路徑中，威脅者可以針對所有潛在的風險點進行攻擊，甚至可以一次實現多條路徑上的攻擊。以【灰線】典型攻擊路徑為例，攻擊者通過公網掃描到SLB的公網IP，并通過漏洞攻擊獲取了某臺ECS的權限，并通過VPC網絡橫向移動到另外一臺有網絡連通的高級別ECS上，通過獲取對應的管理員身份，拿到RAM權限，并最終拿到其它云資產的控制權，成功滲透。而在此過程中，攻擊者可以在任意點跳到其它攻擊路徑上，并最終使用API/AK等方式拿到授權。對于企業而言，應該對資產、配置進行持續性的掃描和管理，盡可能收斂公網暴露面以及配置問題，降低攻擊者沿著攻擊路徑前進的

23、可能。角色的信任策略配置了對其他阿里云賬號的信任關系1314跨賬號的信任關系是云上身份體系中進行跨賬號提權的有效方式，若對方的憑證泄露或服務被攻破可能導致防守嚴密的本方云資產被直接攫取控制權。非管理員的身份（包括用戶、用戶組、角色等）被授予了對自身的管理權限非管理員身份必須被限制不能向自身添加權限，也不能向其能夠控制的其他身份添加權限，并嚴格限制其能夠授予的權限策略，否則可能會形成直接或間接的提權路徑。AccountRolePolicyAttachPolicyToRoleActionAccountRoleECSHighRiskActionPublic IPAttackAttackInterne

24、tSLBECS Within RCE/SSRFAssumeRoleVulnerabilityRoleOSSData SecurityCloud APITrusted Other AccountLeadked AKRAM ldentityCloud APIRAM UserRolePolicyElevated RAM ldentityCloud APICloud APIAKRAM ldentityUsergroupLogin withCredentialECSWithout RCEECS Without RCERoleECS Within RCESensitive DataCredentialSe

25、nsitive DataCredentialSensitive DataACSDBALL CLOUD SERVICEECSKMS.etcCredentialCloud API公網暴露漏洞攻擊內網漏洞攻擊信任其他阿里云賬號通過泄露AK獲取身份RAM提權角色調用APIECS實例綁定角色典型攻擊路徑憑證登錄RAM身份調用APIOSS04復雜性提升了資產脆弱性，公網暴露和過度授權成為攻擊路徑上的薄弱點（對應攻擊路徑）（對應攻擊路徑）VPC Network隨著大模型與AI應用熱度的持續走高，用戶量級呈指數級增長，攻擊也紛沓而至：從算力被竊取、線上服務中斷，到數據泄露隱憂，API盜用等等，行業的特殊性也給

26、其安全防護帶去了不同的挑戰。云安全團隊整理了模型在不同階段，企業主要面臨的風險及相關建議。0515大模型及AI相關行業攻擊頻發，企業應建立全鏈路的安全防護體系 數據的采集與處理 數據搜集與分類分級 數據傳輸安全 數據存儲安全 數據訪問與權限管控大模型訓練階段 網絡層流量安全傳輸交換 產品配置安全 身份與權限安全 憑據憑證安全大模型部署階段AI基礎設施層 抗DDoS安全防護 Web應用流量防護 BOT機器流量對抗大模型業務運營階段業務連續性 生成式內容安全 生成式內容合規大模型業務運營階段AIGC治理 GPU計算實例運行時威脅防護 容器鏡像安全/容器運行時防護 AI供應鏈安全大模型部署階段計算集

27、群防護大模型及AI應用各階段所需關注的安全防護數據安全是AI及大模型公司無法繞開的核心問題，大模型的訓練和推理依賴于海量數據，包括用戶輸入、歷史記錄、敏感信息等，多家頭部企業均出現過數據泄露、API盜取、密鑰泄露等安全事件，引發社會的討論和擔憂。大模型訓練階段：數據的全流程安全安全建議在大模型數據準備階段，企業應針對使用數據的全生命周期構建安全防護體系，包含從數據收集、數據傳輸、數據存儲、數據訪問、數據處理和數據刪除的不同階段。大模型部署階段：AI基礎設施防護建立數據分類分級機制，進行安全定級；進行敏感數據脫敏，覆蓋多類文件類型。使用安全的數據傳輸鏈路，并部署云防火墻等網絡邊界安全工具。采用R

28、AM、KMS等產品對數據訪問和密鑰進行管理，開啟數據訪問日志審計。安全建議企業應配備實時的配置掃描工具，并對身份權限及數據安全進行監控，堅持執行最小權限原則。企業應在VPC間部署有東西向防護能力的防火墻，對主動外聯流量進行過濾和嚴格管控，防止數據泄漏。阿里云云防火墻具備南北向、東西向的流量防護能力，且可以對出方向流量進行嚴格管控，防止不合規的訪問產生。使用云安全中心CSPM檢測并修復高危配置：通過CSPM自動掃描所有OSS Bucket ACL策略，檢測有public-read配置的實例，并支持客戶一鍵修復。對Redis、NAS等AI基礎設施資產暴露分析，發現公網暴露風險并聯動VPC安全組、防

29、火墻配置ACL策略。使用云安全中心CIEM持續檢測并治理過度授權問題：分析算法工程師的云賬號身份權限，云產品權限授權應精細到具體操作，Action和Resource不應該配置為*，應該遵循最小化權限原則。16對于AI及大模型相關企業，在部署開發過程中所面臨的產品配置風險、身份與權限風險與其他各行業并無太多區別，但因其包含巨大的數據量級和資源，一旦發生數據泄露或身份提權，即會造成巨大的經濟損失：此外，根據云安全團隊的觀察，大模型及AI相關企業更多采用容器/Severless等方式部署，對比ECS虛擬機，迭代更為頻繁，需要對容器鏡像庫、運行時等流程進行實時監控。在網絡傳輸方面，AI與大模型公司的核

30、心算法資源往往都部署在云上，存在多云/混合云部署環境，且往往有多個VPC進行不同生產環境的隔離，VPC之間存在頻繁的流量互訪，如果夾帶了敏感信息或惡意流量越權訪問，可能會導致數據泄露。某熱門大模型公司，被海外安全公司披露因內部數據庫因配置錯誤，存在公網暴露和未經授權的訪問風險，可能會導致100W條內部數據泄露，包括日志、聊天記錄、API密鑰等敏感信息。某智駕公司OSS存儲桶因誤配置為Public-read，被攻擊者爬取X條激光雷達標注數據，導致競對公司短期內復現其感知模型。GPU共享平臺Redis暴露API密鑰：Redis實例公網可訪問且無密碼，攻擊者獲取API密鑰后偽造100+ML任務，消耗

31、X萬元算力資源。18在AI應用/大模型公司為終端用戶提供服務的過程中，業務的穩定和連貫性是最重要的指標之一。一方面，當前大模型公司成為DDoS攻擊的熱門目標行業，多家大模型廠商在國內和海外的業務近期都因遭受DDoS攻擊影響了業務的正常訪問。從2025年1月至今，阿里云安全團隊觀測到目前針對大模型行業的大流量DDoS攻擊主要以UDP反射、NTP反射、SYN-Flood等手法為主：另一方面，大模型的API接口也頻繁遭到爬蟲攻擊，阿里云安全團隊監控到大模型用戶的爬蟲流量占比總流量已超過30%，且攻防對抗愈發激烈，爬蟲攻擊手段已進化為擬人行為、驗證碼智能識別等。此外，AI大模型自身為完善應答內容的豐富

32、度和準確性，需要在互聯網爬取相應信息，這也導致全網的爬蟲流量上漲，AI大模型爬蟲更關注咨詢、教育以及互聯網行業網站，針對重點客群進行持續觀測，發現AI大模型發起的爬蟲流量占比已達到6%。大模型業務運營階段：業務連續性安全建議企業需要針對重點接口進行DDoS攻擊防護以及爬蟲攻擊防護，避免對業務的穩定性造成影響。安全建議針對AIGC相關內容的防護，企業應采用效率更高、更有針對性的檢測模型，同時采用數字水印的方式滿足監管合規要求。峰值超過了1Tbps使用阿里云Web應用防護墻并啟用Bot管理功能，Bot管理可以通過簽名校驗、流量指紋分析、行為特征分析、客戶端探針分析等多重手段進行爬蟲檢測，支持網頁端

33、以及原生APP接入，用戶可以針對大模型應用的核心交互接口配置相應防護策略。除了在流量層面進行防護，還可以在賬號層面進行防護，結合風險識別產品對賬號進行風險識別，針對有異常的賬號進一步進行治理，可以結合驗證碼、實名認證、人臉核身方式進行賬號核驗，加強賬號的防護。阿里云內容安全大模型，除去通用場景以外，對于一些疑難領域，例如廣告對抗、隱喻暗喻場景，傳統技術難以獲得明顯效果提升。在這些領域，依賴大模型強大的通識和遷移能力，通過SFT快速迭代，迅速響應高對抗、難識別的風險場景防控。日常有多次10-300Gbps不同規模的大流量攻擊混合了數十次應用層資源耗盡型攻擊大模型的訓練和調優過程都需要大量算力支持

34、，而近年來隨著虛擬貨幣價格的持續走高，GPU算力被劫持進行挖礦活動也甚囂塵上，發生了多起利用泄漏的AK創建Severless高性能GPU實例運行挖礦程序而導致平臺、企業算力受損的事件，造成極大的經濟損失。在模型部署過程中，可能會調用多類部署工具或中間件，產生風險。例如攻擊者可以在微調業務鏡像中植入后門，通過從非官方源拉取的llama2-finetune鏡像包含惡意代碼，在訓練時回傳LoRA適配器參數至外部服務器，實現后門/權限的篡取。大模型部署階段：計算集群防護17對于AI服務的生成物，即包含文字、圖片、視頻等在內的AIGC內容安全也不容忽視，AIGC所帶來的新生產模式背后，是生成量級和風險量

35、級的指數級增長，傳統工具的策略更新速度、覆蓋特征、訓練模式都難以跟上時代需求，過去一年，因AIGC和其延伸的DeepFake導致的詐騙事件頻發，最高造成了上億元的經濟損失。大模型業務運營階段：AIGC治理安全建議企業應選擇受安全防護的GPU平臺，或對GPU計算實例進行運行時威脅檢測。云安全中心對PAI靈駿等Serverless高性能GPU計算實提供運行時的威脅檢測，實時檢測并攔截訓練/推理集群工作負載的惡意進程啟動，可識別XMRig挖礦特征進程并自動隔離，保護訓練集群的穩定、合規運行。企業應采用主動防御策略，部署對應的防護安全產品。云安全中心鏡像掃描通過對鏡像文件的漏洞、基線、惡意軟件和敏感文

36、件的安全檢測，并結合主動防御策略，可攔截存有惡意代碼的鏡像文件上線發布，阻斷因鏡像文件引入的安全攻擊。192001/提升多云/混合云環境的可見性：治理風險的第一步是提升對復雜基礎設施的可見性，云安全中心提供云原生靈活的多云混合云資產的接入方案，通過資產的統一管理發現高風險資產，并幫助企業IT部門逐步消除影子資產帶來的未知安全風險，并為實施統一的安全策略和事件快速處置打下基礎。/02推動跨部門協作效率，縮短風險治理的時間：伴隨企業的業務創新和越來越多容器、Server-less技術的應用，云產品的配置、身份和權限處于更快速的動態變化，企業可借助云安全中心提供的合規檢查、配置風險檢查規則，持續監控

37、云安全態勢，實現風險早發現、早治理，持續提升云安全防護水位。/03針對機器身份，使用最小授權原則并盡量使用臨時憑據可有效降低身份場景的風險和管理成本。通過專業的云上密鑰管理服務產品，可動態創建和銷毀機器身份，確保所有非人類實體的安全配置和最小權限原則的應用。Recommendations漏洞數量和高危漏洞所帶來的威脅態勢呈增長態勢_02.AboutAlibabaCloudSecurityChapterALIBABA CLOUD SECURITYAnnual Report20242324漏洞數量龐大且呈增長態勢，減少漏洞修復窗口至關重要安全漏洞可能對企業和用戶造成嚴重影響，一旦被惡意利用，可能導

38、致數據泄露、敏感信息暴露、服務中斷或被濫用，損害企業聲譽和客戶信任。攻擊者可借此訪問未經授權的資源，篡改數據或植入惡意軟件，甚至可能控制整個云環境，影響所有依賴該云服務運營的業務。此外，安全漏洞還可能引發法律和合規性問題，導致企業面臨罰款和其他法律責任。因此，及時發現并修復漏洞對于維護云計算的安全性和可靠性至關重要。阿里云發現，2024年漏洞數量和高危漏洞所帶來的威脅勢呈增長態勢，防護方一方面需要及時發現并修復漏洞，提前完善云安全管理；另一方面，充分利用自動化和智能化的手段加速漏洞利用攻擊的對抗，通過降低漏洞平均修復時長（MTTR）縮小漏洞修復窗口。經過對安全漏洞的統計發現，針對企業用戶造成漏

39、洞的應用主要是Spring、Apache Shiro、Redis等開源組件應用。同時，漏洞成因主要是由于組件使用者的配置不當導致，例如沒有設置密碼或者設置了弱口令、使用了默認的密鑰配置、沒有設置恰當的訪問措施、內網服務或者端點直接對外暴露等。這些應用漏洞可造成代碼執行或者敏感信息泄漏，攻擊者可以直接獲取服務器權限，或者獲取到諸如ak/sk等敏感信息，進而對云資源造成更大的危害。作為防護的一方，不僅需要及時修復自身使用的各類組件應用的漏洞，還應重點關注諸如默認口令、未授權訪問、權限校驗缺失等諸方面的配置問題。阿里云安全團隊統計，2024年阿里云漏洞庫累計收錄 40209 個漏洞，較2023年阿里

40、云漏洞庫累計收錄的 35947 個漏洞增加4262個，YoY增長12%；CVSS評價為高危的漏洞數22489個，較2023年CVSS高危及以上漏洞21680個漏洞增加個809個，YoY增長4%；2024年經阿里云評定高危漏洞5471個。對比2023年，阿里云漏洞庫累計收錄數增長12%，CVSS評價高危漏洞數量增長4%。漏洞數量龐大，作為防護一方，應基于資產業務視角和基于風險為中心的漏洞優先級排序，優先修復被阿里云評定為較高風險的漏洞。聚焦最關鍵的風險，保證在最佳時間期窗口內完成漏洞修復。數據漏洞漏洞名稱漏洞成因漏洞影響Apache Log4j2 遠程代碼執行漏洞（CVE-2021-44832）

41、代碼問題代碼執行Spring Boot Actuator 未授權訪問漏洞配置不當信息泄漏Nacos 配置不當致未授權訪問漏洞配置不當信息泄漏Druid Monitor 配置不當致未授權訪問漏洞配置不當信息泄漏JMX RMI 端口反序列化漏洞配置不當代碼執行Redis 未授權或弱口令漏洞配置不當信息泄漏Java JDWP 調試接口遠程命令執行漏洞配置不當代碼執行Apache Rocketmq 代碼執行漏洞代碼問題代碼執行Apache Shiro 默認密鑰致命令執行漏洞代碼問題代碼執行Laravel 框架調試模式致信息泄漏配置問題信息泄漏+12%+4%從漏洞數量及高危漏洞數量來看，整體呈增長趨勢0

42、1漏洞數量整體增長12%，風險持續上升漏洞成因大多因組件使用者的配置不當所致Apache Log4j2 遠程代碼執行漏洞（CVE-2021-44832）Spring Boot Actuator 未授權訪問漏洞Nacos 配置不當致未授權訪問漏洞Druid Monitor 配置不當致未授權訪問漏洞JMX RMI 端口反序列化漏洞Redis 未授權或弱口令漏洞Java JDWP 調試接口遠程命令執行漏洞Apache Rocketmq 代碼執行漏洞Apache Shiro 默認密鑰致命令執行漏洞Laravel 框架調試模式致信息泄漏2526基于各類常見通用應用軟件的漏洞進行利用是勒索病毒攻擊的主要手

43、段之一。在2024年披露的漏洞中，以 CVE-2024-4577 PHP CGI Windows平臺遠程代碼執行漏洞為代表，由于此漏洞易于利用且風險等級為嚴重，攻擊者可以利用該漏洞上傳 Webshell、下載惡意軟件（如勒索軟件），甚至添加新用戶以便后續 RDP 登錄等操作，可能導致遠程代碼執行、敏感信息泄露或服務器崩潰。漏洞利用是勒索病毒攻擊的主要手段。其中以 CVE-2024-4577 PHP CGI Windows平臺遠程代碼執行漏洞（CVE-2024-4577）為代表，由于此漏洞易于利用且風險等級為高危，攻擊者可以利用該漏洞上傳 Webshell、下載惡意軟件（如勒索軟件），甚至添加新

44、用戶以便后續 RDP 登錄等操作，可能導致遠程代碼執行、敏感信息泄露或服務器崩潰。作為防護一方，應特別關注勒索病毒的發現與防護，及時修復漏洞，防患于未然。組件利用效果漏洞名稱Cleo Synchronization 任意文件讀取上傳漏洞（CVE-2024-50623）CyberPanel 代碼執行漏洞Zyxel多款產品 路徑遍歷漏洞(CVE-2024-11667)Veeam Backup&Replication 安全漏洞(CVE-2024-40711)WhatsUp Gold HasErrors SQL 注入身份驗證繞過漏洞(CVE-2024-6670)SonicWALL SonicOS 訪問

45、控制錯誤漏洞(CVE-2024-40766)CVE-2024-50623Cleo代碼執行CVE-2024-51378CyberPanel代碼執行CVE-2024-11667Zyxel文件讀取CVE-2024-40711Veeam代碼執行CVE-2024-6670WhatsUp代碼執行CVE-2024-40766SonicWALL代碼執行Jenkins CLI 任意文件讀取漏洞（CVE-2024-23897）CVE-2024-23897Jenkins文件讀取VMware ESXi 安全漏洞(CVE-2024-37085)CVE-2024-37085VMware代碼執行Windows 錯誤報告服務

46、特權漏洞提升 CVE-2024-26169Windows本地提權PHP CGI Windows平臺遠程代碼執行漏洞（CVE-2024-4577）CVE-2024-4577PHP代碼執行Teamcity 認證繞過致代碼執行漏洞（CVE-2024-27198）CVE-2024-27198Teamcity代碼執行Windows 內核特權提升漏洞 CVE-2024-21338Windows本地提權使用備用路徑或通道繞過身份驗證(CVE-2024-1709)CVE-2024-1709Windows本地提權先于攻擊者發現并修復漏洞可有效預防數據泄露等安全事件的發生，從而保護企業和用戶的敏感信息不被未經授權

47、訪問或竊取，維護隱私和信息安全。阿里云安全團隊統計，2024年累計新檢測出客戶漏洞數量約超過3億個（包括系統和應用軟件漏洞等），幫助用戶修復漏洞超過5000萬個。其中，累計處理業界披露高危應急漏洞數十個，平均在兩小時內完成分析和上線相關漏洞檢測，并聯動其他云安全產品協同上線漏洞防御與檢測告警規則。來源：1、Mean Time To Remediation(MTTR)for Critical Severity vulnerabilities is 65 days(across the full stack).And while this result is similar to previous

48、 years,industry reports estimate that adversaries are now able to exploit a vulnerability within 15 days(on average)of discovery（CISA）2、The average time it took to move laterally from initial access dropping 35%annually to just 62 minutes,according to Crowdstrike.（Crowdstrike）累計檢測出云上客戶漏洞數量約超過3億3億+幫助

49、用戶修復漏洞超過5000萬個5000萬+2024年國際權威機構披露的勒索病毒漏洞分布情況漏洞利用是勒索病毒攻擊的主要手段之一02AI助手用戶調用量提升316%，安全自動化處置比例已接近80%，平均漏洞修復時間為小時級作為衡量IT系統漏洞速度和效率重要指標，業界高危漏洞的平均修復時長（MTTR）為65天，而攻擊者對于漏洞的平均利用時間為15天，業界MTTR遠高于攻擊者的平均利用時間。同時，最新的研究數據表明攻擊者的入侵時間已經縮短到小時級。這就要求防護一方必須縮短MTTR來應對漏洞修復與漏洞利用之間巨大的時間差。累計修復漏洞超5000萬個，平均修復時間兩小時，修復比例仍需提升2728云安全中心智

50、能助手調用增長其中，AI和大模型的引入在安全運營階段起到了明顯的提效作用。阿里云將通義大模型與云安全中心集成，推出了云安全助手，應用到了安全運營的咨詢、告警研判、事件調查與報告，以及響應等諸多場景中去。阿里云云安全中心AI助手的引入實現了99%的告警事件覆蓋率，用戶覆蓋率達到了88%。同時，阿里云將AI Agent技術被應用于針對安全事件的響應處置中，對包括病毒木馬類的事件進行自動化的安全事件告警分析，完全不用人工參與，安全事件的自動化處置比例已經接近80%。在一次實際的安全事件中，安全運營人員發現有攻擊者利用Apache Log4j庫的Web應用程序存在Log4j遠程代碼執行漏洞與C&C惡意

51、域名（domain）通信，遠程攻擊成功，已將網站后門jsp文件Webshell成功上傳到服務器，通過Webshell控制受害者2臺服務器（ALB負載均衡后的2個ECS服務器），以便達到長期控制的目的。從2023年10月到2024年11月底，云安全中心AI助手的用戶調用量增長率達到316%。Case Study：自動化檢測和響應利用Log4J漏洞攻擊2023/10/12023/11/12023/12/12024/1/12024/2/12024/3/12024/4/12024/5/12024/6/12024/7/12024/8/12024/9/12024/10/12024/11/12024/12/

52、1通過集中化的視圖、智能化的分析和自動化的響應編排，與安全產品和基礎設施協調處置，提升漏洞利用攻擊的實時對抗能力，降低MTTR/MTTD。在運行時，對于高危漏洞利用的攻擊需要采取如下應對措施：產品安全日志、網絡日志、系統日志、應用日志統一采集、標準化和存儲結合圖計算、AI大模型基于告警識別安全事件，自動化溯源攻擊路徑，發現可疑入侵點聯動安全產品和基礎設施，對IP、文件、進程、域名等實體進行自動化響應處置AI和大模型的引入極大提升了運營效率，安全自動化處置比例已接近80%，調用量增長316%云安全中心CTDR和C W P P 模 塊 檢 測 到“log4j攻擊成功(域名關聯)”、“發現后門（We

53、bshell）文件”、“WebShell文件防御”等告警。生成安全事件并通知。CTDR模塊基于圖計算技術，通過相同的實體（如主機資產）、惡意IoC（攻擊者IP、惡意域名、進程等），將相關告警聚合生成高危安全事件，并基于響應規則通知安全分析師。CTDR模塊基于惡意實體系統展開自動化調查，自動溯源惡意實體的日志活動痕跡及可 利 用 的 漏 洞 入 侵點，識別攻擊數據，如IP、域名、惡意文件等。AI大模型運營提效，安全分析師通過AI大模 型 訓 練 的 智 能 助手，快速獲取安全事件的概述、處置建議和總結報告。自動化調 用 預 置 劇 本 聯 動ALB負載均衡和云防火墻，對攻擊者IP下發封禁策略進行

54、風險處置。自動告警檢測生成安全事件自動化調查下發封禁策略安全系統響應過程293002/云安全告警分析和處置，要求工程師需具備專業的安全知識和豐富的云產品使用經驗，現實矛盾是企業往往缺少專業云安全專家，所以越來越多的安全工程師，通過使用云安全中心基于生成式AI的安全助手，查看惡意代碼的攻擊原理、攻擊溯源分析、處置建議，完成對告警的處理。01/針對企業面臨待修復漏洞數量多、漏洞風險排查難等問題，建議用戶首先通過云安全中心檢測全局資產漏洞，在業務上線前通過容器鏡像掃描、agentless等能力，檢測容器鏡像、主機鏡像的漏洞，借助安全左移流程在開發階段修復存量漏洞；在業務運行時，通過下發周期性漏洞掃描

55、任務、漏洞互聯網暴露分析、攻擊路徑分析等云原生的工具，對漏洞修復的優先級進行準確評估和排序；在修復階段，對于已經完成驗證的補丁，借助云安全中心的自動化漏洞修復任務管理，實現高效的批量修復；對于存在漏洞但短期無法升級的應用系統，可以通過自動化部署RASP方案，實現對“帶洞運行”的應用進行安全加固。/03一次云上安全事件的處置，需涉及多款云產品的日志關聯分析和聯動處置，同時真實的攻擊告警也隱匿在互聯網上常態化的掃描中，針對上述安全運營的難題，建議安全工程師使用云安全中心自動化的威脅分析與響應工具，通過AI分析引擎、圖計算分析引擎自動化研判、聚合真實的攻擊事件，并根據預設的劇本自動化完成攻擊IP封禁

56、、惡意文件隔離等處置動作。Recommendations2024年，安全對抗也在持續增強_03.AboutAlibabaCloudSecurityChapterALIBABA CLOUD SECURITYAnnual Report2024安全對抗持續增強，勒索事件呈爆發式增長趨勢，漲幅高達74%在過去的一年里，隨著數字經濟蓬勃發展，企業架構、配置、身份復雜性的提升，也帶來了更多的脆弱性，攻擊者更加猖獗。2024年，勒索攻擊事件呈現爆發式增長，相較2023年整體漲幅高達74%。雖然各國政府對勒索產業的打擊力度持續加大，各企業也在不斷提升自身安全能力，但新的挑戰和趨勢也在持續浮現。33342024

57、年，勒索軟件對抗強度、勒索效率均在持續升級。勒索家族向頭部聚集，呈現收斂態勢。但頭部RaaS組織生態的巨大變動，使得大、中、小企業均成為了勒索組織的攻擊對象。RaaS生態所賦予了攻擊者高度組織化和技術的支持，將對網絡安全構成持續性的威脅。2024全年，勒索攻擊事件呈現爆發式的增長勢，相較23年整體漲幅高達74%。攻擊事件巨幅增長受Bitcoin等加密貨幣價格大幅飆升影響，勒索攻擊者活動愈發猖獗，僅Q4季度發生的勒索事件就達到了2023年全年的50%。勒索攻擊進入“貪婪”階段根據云安全中心監控數據顯示，在某些勒索事件中，攻擊者表現出高度的執著與專業性，單次攻擊可持續數小時，不斷嘗試多種手段突破安

58、全防線。對抗強度持續升溫2024年，一些勒索組織大幅提升了勒索效率，將批量化入侵與安全對抗相結合，通過服務漏洞批量入侵后，自動化運行安全對抗模塊和執行勒索病毒。勒索效率大幅提升約為50%的勒索事件中，攻擊者會優先選擇攻擊EDR、HIPS等安全防護產品，確保其無法正常工作后才會上傳勒索病毒，同時也避免病毒新變種被安全產品收集。勒索行為更加隱蔽在2024年，阿里云觀測到：勒索局勢日漸混亂隨著各類地緣政治問題，勒索攻擊與國家安全的關聯日益緊密；勒索市場競爭劇烈頭部RaaS勒索組織Lockbit為吸引更多的附屬機構，不惜成本，為其“加盟”伙伴提供各類服務支持和高達75%的贖金分成；另一方面，隨著各國執

59、法機構持續打擊頭部勒索組織，和其內部分歧與不穩定因素，導致大量負數機構選擇自立“山頭”，不再歸屬某個“RaaS”品牌；中小企業成為新的攻擊目標從頭部勒索組織脫離的各附屬機構獨立運營后，其攻擊策略更傾向于“機會主義”，優先選擇防護能力較弱的中小型目標，把握機會從而盡快獲利；攻擊后果愈發嚴重，關鍵基礎設施的防護醫療機構成為勒索組織頻繁攻擊的對象，多次導致關鍵醫療系統癱瘓、病例記錄無法查閱、手術推遲等嚴重后果，直接威脅到了患者的生命安全；勒索贖金創紀錄，已攀升至歷史新高2024年初，某財富50強公司向勒索組織Dark Angels支付了7500萬美元；贖金支付比例下降隨著企業防御和恢復能力提升，以及

60、對勒索組織不信任等多種因素影響，選擇支付勒索贖金的受害組織比例下降至28%74%50%更隱蔽數小時自動化01安全對抗流程化、攻擊強度持續升溫35362024年勒索軟件整體態勢呈現出家族數量收斂與攻擊事件激增的雙重特點，勒索家族數量有所減少，部分實力較弱的家族逐漸淘汰，但頭部家族活躍度不減。LockBit仍是云上勒索的主要威脅，憑借持續的變種更新和勒索攻擊排名穩居榜首。阿里云安全團隊以季度為單位著重統計了TOP10家族的攻擊活躍度分布，LockBit勒索組織一度成為“變種數量”和“攻擊活躍度”的雙料年度Top1，造成的攻擊事件相較去年同比增長500%，有極強的破壞性，能夠進入系統安全模式進行加密

61、，給安全防護帶來了巨大挑戰。與此同時，Mallox家族大幅提升了攻擊效率，通過漏洞自動化批量入侵，并增加了自動化安全對抗模塊，使用BYOVD等手段對抗安全防護，進一步增強了攻擊隱蔽性和成功率。同時，新興勒索家族也在不斷崛起，TargetOwner和Weaxor首次在云上出現便登上攻擊事件Top10榜單，而老牌家族BeijingCrypt在沉寂兩個季度后突然復蘇，下半年爆發式增長，躍升至前10名。另外TellYouThePass家族雖未進入前10，但通過利用CVE-2024-4577漏洞在Q2發起的攻擊也對云平臺安全構成了顯著威脅。從勒索軟件分布來看，2024年，頭部RaaS勒索組織LockBi

62、t繼續穩居榜首，其勒索樣本變種數量呈斷崖式領先，超過2-9名變種數量的總和。全年LockbitPhobosMalloxBabukLokiMakopBlackMatterRCRU64LolTellYouThePass根據2024年Q1-Q4的勒索家族樣本數據顯示：2024年勒索家族樣本量季度分布統計Lol家族2023 Q3首次在云平臺出現，并在2024年活躍度顯著上升，變種數量躍居Top10，在全年攻擊事件中其身影隨處可見RCRU64家族曾在2023年 Q1季度短暫活躍后沉寂，但自2024年二季度起，變種數量突然攀升，且全年活躍度呈持續上升趨勢，呈現出其卷土重來的態勢BeijingCrypt家族

63、曾是去年攻擊事件的TOP1，但從今年的樣本變種數量來看，其活躍度在前兩個季度有所下降而且并未進入前十，尤其在第一季度未發現任何新變種的出現，活動明顯放緩Q1Q2Q3Q4LockbitMakopPhobosBlackMatterMalloxRCRU64BabukLolLokiTellYouThePass02攻擊事件飆升74%，勒索軟件數量首次下降03LockBit勒索成為變重數量+活躍度“雙料”TOP1，Mallox提升入侵效率12324%活躍家族數量近3年來首次下降，家族數量減少32個，同比下降24%各勒索家族變種數量整體漲幅33%勒索攻擊事件呈爆炸式增長，增幅比例約74%33%74%3738

64、根據2024年Q1-Q4的勒索家族攻擊活躍度數據顯示：此外，TellYouThePass家族雖未“入榜”，但其利用CVE-2024-4577 RCE漏洞在Q2季度也迎來了一波小規模爆發，該家族所具備的利用高危漏洞伺機而動的特質，讓其威脅性依舊不容忽視。內核級對抗“工具流”對抗在過去的2024年，隨著勒索組織技術的經濟，安全對抗愈演愈烈。勒索團伙不斷采用新技術對抗安全軟件，諸如各類免殺技術、利用機制漏洞繞過防御、勒索軟件的免殺革新、RING0的深層對抗、勒索加密機制的變革等.下文將從實際攻擊案例出發，梳理不同類型的對抗方式。勒索家族迭代頻繁，TOP10榜單中出現了諸多“新面孔”：TargetOw

65、ner和Weaxor家族都是在24年首次在云上出現的新型家族，并立刻躍進攻擊事件TOP10排名第三的RCRU64家族在2023年Q1首次出現后沉寂，在2024年再度卷土重來，攻擊事件激增去年的Top1得主BeijingCrypt家族，在安靜了2個季度后，下半年也加入加密貨幣“牛市的狂歡”，展開了瘋狂的勒索攻擊BYOVD（自帶易受攻擊驅動）攻擊今年常見的可利用驅動主要包括ProcExp和Martini，利用該手段的典型家族是Mallox，而已知的BYOVD攻擊可以利用驅動程序多達數百種今年曾捕獲到攻擊者自行開發的內核對抗驅動，用于強殺安全軟件進程，并具備有效的驅動程序簽名自定義對抗驅動開發ARK

66、工具對抗ARK工具是近些年運用最多的對抗方式，常見的工具包括Pchunter、WKE、ProcessHacker等，據不完全統計，曾被利用的ARK工具多達數十種安全軟件“自相殘殺”利用可配置自定義主防規則的安全軟件，去破壞目標安全軟件正常運行，包括禁止進程啟動和阻斷行為等多種方式使其工作異常文件粉碎機利用常見的文件粉碎機程序，強行刪除安全軟件相關文件和目錄04安全對抗比例超50%，勒索軟件安全對抗技術大盤點123LockbitPhobosMalloxBlackMatterRCRU64DevicDa ta-Beijing CryptMakopTargetOwnerLolWeaxorQ1Q2Q3Q

67、42024年各季度勒索家族活躍度情況3940系統機制對抗保加利亞美國伊朗荷蘭德國俄羅斯韓國委內瑞拉立陶宛英國2024年云上勒索攻擊者IP國家分布TOP102024年云上勒索攻擊者IP大洲分布TOP10北美洲非洲大洋洲歐洲南美洲亞洲從入侵方式而言，RDP入侵有所增加，但整體來看，入口服務仍是主要入侵途徑，四個季度通過入口服務入侵的比例始終保持在50%以上，涉及的服務包括PHP、IIS、SQL Server和部分Java服務。此外，二季度由于TellYouThePass家族攻擊活動，漏洞利用比例有所上升：阿里云安全團隊基于遠程登錄（RDP/SSH）來源IP，整理了2024年勒索攻擊者的地域分布數據

68、，可以發現，其趨勢與前兩年保持一致，歐洲地區IP仍然是主要的攻擊來源。安全模式利用利用部分安全軟件在安全模式下無法正常運行的缺陷，實現防御繞過。LockBit和BlackMatter勒索軟件自身就集成了該能力，而BeijingCrypt家族則是利用了AnyDesk軟件提供的“重啟后進入安全模式”功能Session Manger利用Session Manger是Windows系統運行時機非常早的啟動項，利用這一特性，會優先于安全軟件功能生效前執行勒索/對抗，實現防御繞過注冊表IFEO利用通過篡改安全軟件IFEO注冊表中的關鍵選項，例如堆棧申請等配置，使安全模塊無法正常運行針對性破壞權限破壞通過肆

69、意篡改安全軟件相關的目錄和文件ACL權限，導致其工作發生不可預知的異常問題句柄破壞通過技術手段刪除安全軟件運行中打開的相關句柄，導致其工作發生不可預知的異常問題05歐洲IP仍被攻擊者優先考慮，RDP入侵稍有增長Q1Q2Q3Q4RDP數據庫漏洞利用其他4142從阿里云安全團隊監控到的2024年度受勒索攻擊影響的行業分布數據來看，與往年的趨勢相比無明顯變化，互聯網基礎設施與零售、制造業仍然是受勒索影響最多的行業。阿里云安全團隊分析了各勒索家族樣本的開發語言分布，發現依舊以C/C+語言為主流，占比約77%，而近兩年較為流行的Go和Rust語言占比并未有明顯提升。另外，全年勒索家族中約有3%的比例，存

70、在加密邏輯漏洞，導致有解密可能（部分家族僅部分變種支持），根據阿里云安全團隊的分析，成因有以下幾類：GoDelphiRustPythonC/C+C#加密過程中的某些核心參數或數據以直接或容易還原的形式存在于程序中，可能會為解密提供突破點。靜態加密參數加密密鑰的生成使用偽隨機方法，其種子來源于某些可預測或有限的輸入。如果這些偽隨機種子的生成規則或依賴參數能夠被推測或重現，即可還原加密密鑰。偽隨機密鑰密鑰存儲不當加密過程中創建的密鑰未進行妥善處理，會將其以相對容易訪問的形式存儲在受害系統中，創造了數據解密的可能性。此外，大部分存在加密邏輯漏洞的勒索家族，編寫語言主要以C#為主，推測是部分新興的勒索

71、組織由于開發經驗不足，在一些外部開源的代碼基礎上進行開發，未對加密邏輯進行優化，從而為數據恢復提供了可能?；ヂ摼W零售制造醫療衛健交通&物流文化傳媒汽車金融服務教育自然資源電力06C/C+為主流開發語言，部分家族有解密可能07互聯網與零售業仍舊是云上勒索的重災區43案例1：Mallox家族攻擊入口：某OA 應用服務植入Webshell：利用任意文件上傳漏洞，植入webshell木馬加載惡意代碼：通過webshell遠程加載惡意代碼自動化安全對抗：（1）篡改安全軟件MinimumStackCommitInBytes（2）植入/加載procexp152.sys驅動對抗安全軟件實施勒索：植入并執行勒索

72、軟件案例2：TellYouThePass家族攻擊入口：PHP CGI服務漏洞利用：利用CVE-2024-4577漏洞，調用mshta命令遠程執行惡意vbs模塊加載惡意代碼：通過webshell遠程加載惡意代碼內存加載勒索代碼：vbs模塊內嵌編碼后的.NET勒索病毒二進制數據，解碼后內存加載執行勒索病毒攻擊者某OA服務webshellprocexp.sysMallox Ransom惡意模塊安全軟件MinimumStackCommitInBytes任意文件上傳漏洞植入遠程加載植入篡改執行對抗攻擊者PHP-CGIMSHTATellYouThePass RansomCVE-2024-4577執行內存加

73、載執行本次復盤目標選擇今年攻擊趨勢中最具代表性的Mallox和TellYouThePass家族，它們核心采用的是自動化安全對抗與內存加載兩種攻擊方式。08云上典型勒索事件回顧：自動化安全對抗與內存加載01/針對多云/混合云環境，建立一致的勒索防護策略：勒索攻擊通常涉及相關組織開展的定向攻擊，具有攻擊技術強、攻擊范圍廣的特點，建議企業在多云環境統一部署云安全中心，建立全局統一的防護策略，避免因防護短板被攻擊者突破。02/通過持續的安全運營對抗勒索攻擊：隨著勒索攻擊的對抗持續增強，建議企業持續運營云安全中心的防勒索策略，云安全中心提供勒索病毒的三重防護，當病毒文件落盤時，云安全中心通過落盤采集實時

74、檢測惡意文件，并攔截加密進程的啟動，對于可能繞過的勒索攻擊，云安全中心提前部署誘餌文件，通過行為檢測發現隱匿的惡意加密行為，在防護的基礎上，可利用云原生的備份方案，對主機的重要文件進行備份，即時文件被加密也能最終恢復。Recommendations44總結&展望首先/多云/混合云環境部署的增加將持續增大資產的復雜性，錯誤配置、AK泄漏、漏洞等風險將持續增加。一方面，傳統主機的攻防場景正在逐步向云服務轉移，在攻擊路徑中的任何一點都可能成為風險的入口。另一方面，統一安全管理將變得更加復雜，安全告警的噪音會持續增加。企業需要更統一的安全分析和更自動化的風險處理工具，并及時引入大模型能力，為風險的預防

75、、發現與自動化修復帶來新的思路與方法。在2024年10月IDC發布的革新安全防護-基于大模型的安全能力品牌推薦與洞察-安全運營，2024報告中，阿里云在告警關聯、引導調查、自動運行和實施劇本等全部五個維度均獲評“推薦”，阿里云也將在AI賦能安全的路上持續探索。其次/隨著勒索軟件攻擊的專業化、技術手段的提升和RaaS模式的不斷演進，隱蔽性將更強。企業應采用迭代速度更快、檢測能力更強的安全引擎，特別是對于安全防護力較弱的中小企業，也應補齊對應的安全能力。最后/開源組件的應用將繼續擴大，開源所帶來的安全風險也將激增。企業在應用開發周期和運行時應融入更嚴格的安全檢測流程，結合自動化的風險修復機制來縮短

76、平均修復時間（MTTR）。同時，對身份認證和訪問權限進行強管控，實施最小權限原則及持續、動態身份認證，防止因過度授權引發的數據泄漏事件。自2009年起，阿里云安全已經伴隨阿里云共同發展，并獲得業內多項技術和市場份額認可。未來，隨著量子計算等新興技術的發展，安全將面臨更多風險挑戰，阿里云將持續緊跟云原生發展趨勢，探索AI+安全的創新應用，深耕用戶需求迭代產品，為客戶和社會構建安全、高效的云生態系統。在此份報告中，我們整理和總結了2024年阿里云所觀測到的各類風險態勢，隨著GenAI行業的蓬勃發展，企業基礎向多云/混合云架構發展，資產復雜度與脆弱性持續增長，風險資產也隨之增加。同時安全攻防態勢也愈發嚴峻，漏洞總量、勒索軟件事件激增，攻擊者愈發專業和隱蔽，防護較弱的中小企業也成為其攻擊目標。展望未來，不斷演進的云技術和GenAI的廣泛應用，必將給云安全態勢帶來新的挑戰。