騰訊安全&FreeBuf：2019年上半年云安全趨勢報告(51頁).pdf

1、2019上半年 本報告為 FreeBuf 與騰訊安全聯合研究成果。 報告中所涉及的數據來自網上公開數據， 或采取合法技術手段、 深度調查、 抽樣調查等方 式獲取。 由于統計方法不同、 視角和數據觀察維度不同， 與市場實情可能存在一定誤差。 此外， 報告中所涉及的人名均為化名。 FreeBuf 和騰訊安全對本文數據和內容擁有全部版權， 未經許可不得擅自使用。 本報告最終解釋權歸 FreeBuf 和騰訊安全所有。 本文僅從學術角度做分析研究， 任何非法行為都將受到法律嚴懲。 關 于Fre e B u f研究院 FreeBuf.COM是斗象科技旗下、 國內領先的互聯網安全新媒體， 每日發布專業的安全

2、資訊、 技術剖析， 分享國內外安全資源與行業洞 見， 是深受安全從業者與愛好者關注的信息安全網站與社區。 FreeBuf 研究院則集結了行業內經驗豐富的安全專家和分析師， 常年對信 息安全技術、 行業動態保持追蹤， 呈現有深度的安全行業現狀和趨勢分析。 關 于騰 訊 安 全 騰訊安全作為互聯網安全領先品牌， 致力于成為產業數字化升級進程中的安全戰略官， 依托20年多業務安全運營及黑灰產對抗經驗， 憑借行業頂尖安全專家、 最完備安全大數據及AI技術積累， 為企業從 “情報-攻防-管理-規劃” 四維構建安全戰略， 并提供緊貼業務需要 的安全最佳實踐， 守護政府及企業的數據、 系統、 業務安全， 為

3、產業數字化升級保駕護航。 聲明 Free B u f 研 究院： 謝忱、 鮑弘捷、 施東奇、 許皓翔、 金方成城 騰 訊 安 全 ： 劉志高、 王婷、 謝燦、 宋兵、 喻峰、 張祖優、 李智鵬、 譚光西、 郭佳楠、 江慧敏、 郭佳楠、 周耀輝、 王冠楠 美 術 設 計 ： 姚媛 出品方 關于報告 2019上半年云安全趨勢報告 基于互聯網、 產業互聯網及相關領域在上云過程當中面臨的安全態勢、 風險趨勢、 應對力量以及監管狀態等進行了梳理， 以期為行業提供階段性的總結和建議， 助力云上各方 有策略的建立安全能力， 更好應對安全風險。 CONTENTS TWO ONE THREE 2.1 現狀與趨勢

4、 2.1.1 云安全對企業的戰略意義凸顯 2.1.2 AI 等預測技術成為安全防護的重點 2.1.3 相關法律法規明確安全發展方向 2.2 危機預警情況 2.3 危害案例 2 0 1 9 上 半年云安全概況 C l o u d s e c u r i t y o v e r v i e w 3.1 黑灰產借力云 AI 化 3.2 漏洞曝光和利用周期變短 3.3 黑產犯罪國際化趨勢明顯 3.4 針對性勒索增多 云安全黑灰產新 變化 C l o u d s e c u r i t y b l a c k a s h p ro d u ct i o n n e w c h a n ge s 引言 I

5、 n t ro d u ct i o n FOUR FIVE 4.1 云主機類 4.1.1 云主機安全意識概況 4.1.2 云主機漏洞概況 4.1.3 云主機暴力破解概況 4.1.4 惡意文件入侵 4.2 DDoS 4.2.1 DDoS 攻擊趨勢 4.2.2 DDoS 攻擊形勢 4.2.3 DDoS 攻擊產業鏈 4.3 數據安全 4.3.1 什么數據最受黑灰產偏愛 4.3.2 常見的數據泄露方式 4.3.3 數據安全趨勢 4.4 風控安全 4.4.1 營銷風控 4.4.2 內容風控 4.4.3 金融風控 5.1 安全運營建議 5.2 云主機防護建議 5.3 DDoS 防護建議 5.4 數據安全

6、建議 5.5 風控安全建議 重點 威 脅 及 攻 擊 趨 勢 分 析 Ke y t h reats a n d atta c k t re n d a n a l y s i s 安全建議 S e c u r i t y a d v i ce CHAPTER ONE 引 言 第一章 引言 2019年國務院政府工作報告 提出， 新舊動能接續轉換包括傳統產業升級和新興產業的規?；?， 將成為中國未來發展的重點目標之一。 依托產業互聯網構建新型的、 產業級的數字形態， 打通各產業間、 內外部的連接， 以新興產業的技術提高傳統產業效率、 以傳統產業的市 場帶動新興產業規模， 達到 1+12 的效果， 從

7、而能夠支持動能轉換更好更快地實現。 產業互聯網以數據作為基礎， 綜合運用互聯網、 移動互聯網、 物聯網、 大數據、 云計算、 人工智能等下一代信息技術， 來促進傳統產業轉型 升級， 同時帶動新興產業發展。 利用信息技術， 傳統產業的物理產品將嵌入越來越多的數字功能。 這促進了硬件產品向軟件化、 服務化的 方向發展， 使得用戶和企業都可以持續保持連接和交互， 按使用購買服務的方式將廣泛普及。 隨著云計算等企業級技術應用的發展普及， 產業互聯網實際已經在各行各業展開實踐。 廣度上不僅覆蓋服務業、 工業和農業， 還從商業 擴展到公益和政府， 整個社會走向全面互聯網； 深度上， 從營銷服務、 生產研發

8、到運營管理， 互聯網滲透到組織內部的各個環節。 數據信 息由此實現從消費端到供給端的高效流通， 數字產業與傳統產業相互協同帶動， 助推中國經濟邁向高質量發展階段。 在新舊動能接續轉換的過程中， 傳統產業的數字化升級和新興產業的數字化能力建設， 使當前的安全趨勢發生了變化。2019年上半年 云安全趨勢報告 基于互聯網、 產業互聯網及相關領域在上云過程當中面臨的安全態勢、 風險趨勢、 應對力量以及監管狀態等進行了梳 理， 以期為行業提供階段性的總結和建議， 助力云上各方有策略的建立安全能力， 更好應對安全風險。 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 CHAPTER TWO 2 0

9、 1 9 上 半 年 云 安全概況 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 第二章 2019 上半年云安全概況 2019年上半年， 數字化轉型的浪潮席卷全球， 越來越多的企業開始應用云計算技術。 云計算豐富的擴展性、 便捷性逐步成為促進企業 積極上云的驅動因素。 在選擇是否上云的過程中， 安全是企業首要關注的問題， 一方面， 企業重視對自身數據在云端的安全性， 另一方 面， 企業也擔心自身業務的穩定性是否能夠在云上得到保證。 2019 年 3 月， Gartner 發布了 2019 年七大新興安全和風險管理趨勢。 Gartner 指出， 安全和風險管理對于企業的業務能力和成果具

10、有 戰略意義， 企業的安全投資正在從威脅防御向威脅檢測轉變。 此外， 隨著云計算在各行各業的不斷滲透， 網絡安全的人才缺口不斷擴 大， 專業安全供應商的價值愈發受到重視， 而云計算平臺投資的主要方向也在向云安全能力方向遷移。 目前， 國內的各大云平臺廠商均推出或更新了自身的安全運營系產品， 如態勢感知、 安全運營中心等， 加強用戶側風險管理和運營。 2.1 現狀與趨勢 2.1.1 云安全對企業的戰略意義凸顯 2019 年上半年的另一個明顯變化就是云情報、 機器學習等人工智能預測技術成為安全防護的重點。 傳統的安全架構中， 較多依賴特征 匹配的模式。 在這種模式中， 防護設備需要先將某個漏洞或攻

11、擊事件寫入特征庫， 然后才能防御或檢測該類攻擊， 而且安全特征庫數量 非常有限， 在云環境中存在一定滯后性和局限性， 防護方永遠落后于攻擊方， 對 0day 等未知威脅無能為力。 如今， 網絡安全界的潮流是 轉后手為先手， 讓安全變得更主動、 更前置， 主要的技術手段包括云安全情報和機器學習預測技術。 2.1.2 AI等預測技術成為安全防護的重點 密集出臺的法律法規和標準， 明確了幾個安全發展方向， 一是網絡安全等級保護作為國家網絡安全保障的基本制度、 基本策略、 基本方 法， 監管對象有了很大擴展， 等級保護建設和測評成為安全合規的必經之路。 二是保護作為 “國家基礎性戰略資源” 的數據，

12、對重要數據 和個人信息的數據安全和控制權等提出更高要求。 加之等保2.0及密碼法 （征求意見稿） 等法案的發布， 進一步確保了核心數據資產保 護及加密策略的有效應用。 三是安全可信， 可信計算已成為保衛我國網絡安全戰略的核心技術， 從通信網絡、 區域邊界、 計算環境構建 健康、 安全、 可信的網絡體系。 最后是國產密碼技術， 加密算法是安全的基礎， 國產密碼技術將在關鍵基礎行業加強推廣力度。 2.1.3 相關法律法規明確安全發展方向 2019 年上半年， 騰訊云官網累計發布高危預警 38 次， 其中對云上用戶影響面較廣且危害極高的漏洞覆蓋 Windows、 Linux、 Unix 等多 個版本

13、系統， 同時也覆蓋到了 Kubernetes、 Docker、 runC 等云相關容器及運行環境以及包含 Tomcat、 ThinkPHP 等常用應用。 2019 年 5 月 14 日， 微軟發布了高危安全漏洞 CVE-2019-0708 緊急通告， 披露了其操作系統遠程桌面服務 （Remote Desktop Services） 存在嚴重安全漏洞， 攻擊者在沒有任何授權的情況下， 可以直接遠程攻擊操作系統開放的3389服務， 在受害主機上執行惡意攻擊行 為， 包括安裝后門， 查看、 篡改隱私數據， 創建擁有完全用戶權限的新賬戶， 影響范圍從Windows XP到Windows 2008 R2

14、。 騰訊安全云 鼎實驗室情報團隊監測到來自暗網的RDP漏洞探測流量， 正在為下一步的攻擊收集相關情報。 2019年6月， 騰訊云安全中心情報平臺監測到 Linux TCP SACK PANIC 遠程拒絕服務漏洞， 攻擊者可利用該漏洞構造并發送特定的 SACK序列請求到目標服務器， 導致服務器崩潰或拒絕服務。 近十年的Linux內核版本包括Unix均在影響范圍之內， 由于本次的漏洞涉 及內核處理TCP協議問題， 影響面巨大。 除此之外， 2019年上半年還出現了不少 “明星漏洞” ： 2.2 危機預警情況 2.3 危害案例 TO P T E N O F M A X I M U M I M PA

15、CT V U L N E R A B I L I T Y 2019上半年影響范圍最大漏洞TOP 10 01 Linux TCP SACK PANIC 遠程拒絕服務漏洞 （CVE-2019-11477,CVE-2 019-11478,CVE-2019-114 79） 影響范圍廣：近10年的Linux內核均在受影響范圍，涉及 Redhat、CentOS、Debian、Ubuntu、FreeBSD等發行系統， 涉及全球數百萬主機 排名上榜漏洞 影響范圍廣：近10年的Linux內核均在受影響范圍，涉及 Redhat、CentOS、Debian、Ubuntu、FreeBSD等發行系統， 涉及全球數百萬主

16、機。 上榜理由： 危害大，影響面較廣：企業操作系統方面雖然只影響Server 2003和Server 2008/2008R2操作系統，但漏洞可被遠程直接控 制，且漏洞一旦被利用，具備類似Wannacry的感染力，故排名 第二。 上榜理由：02 Windows RDP 服務遠程 代碼執行漏洞預警 （CVE-2019-0708） 影響面廣，硬件漏洞：雖然屬于信息泄露漏洞，危害較低，但由 于是硬件類漏洞，總會引起行業高度關注，因為本身利用難度較 高也開始逐步被大眾遺忘。 上榜理由： 03 Intel 處理器微體系架構數 據采樣 （MDS）漏洞風險 預警 影響面廣，硬件漏洞：借 Spectre（“幽靈

17、”）漏洞之勢，再次 進入大眾視野，同上面的MDS漏洞，幾乎所有現代英特爾處理器 都存在該漏洞，但由于利用難度、修復復雜度等原因，最終也沒 有掀起大的波瀾。 上榜理由：04 Intel SPOILER 信息泄露 漏洞 容器界影響極廣的漏洞：runc是一款廣泛用于生成及運行容器的 CLI工具，Kubernetes、Docker、containerd或者其他基于 runC的容器技術在運行時層均存在漏洞，該漏洞允許惡意攻擊者 對主機系統進行root訪問，被稱為多年以來容器領域曝出的最為 嚴重的問題。 上榜理由：05 容器運行環境runC逃逸漏洞 （CVE-2019-5736） 頻繁而危險：可以說這五個

18、字形容再貼切不過，屬于比較危險 （可導致遠程代碼執行）的漏洞，同時也是頻繁出現的漏洞，歷 史上Weblogic的RCE不在少數，每次也是縫縫補補的。 上榜理由： 06 Oracle WebLogic 組件遠程 代碼執行漏洞預警 （CVE-2019-2725， CVE-2019-2729） 值得關注的容器漏洞：容器安全在2019年上半年開始被各行各業 重點關注，尤其是這次的權限逃逸，讓大家對容器安全開始更加 重視，此次的漏洞影響雖然集中在本地，但容器的使用不當（如 運行不信任的容易，在節點執行 docker cp），卻也會放大該漏 洞的危害。 上榜理由：07 Docker cp命令容器權限 逃逸

19、安全漏洞 （CVE-2018-15664、 CVE-2019-11246、 CVE-2019-1002101） 看似危害很大實際國人體味不深的漏洞：該漏洞各大外媒報道受 影響量達數百萬主機，而國內討論聲寥寥，可說是“雷聲大，雨 點小的漏洞。 上榜理由： 09 知名郵件代理程序 Exim 遠程 代碼執行漏洞 （CVE-2019-10149） 小有威力的本地提權漏洞：大家理解的本地提權可能影響有限， 但由于默認安裝到了Ubuntu18.04，且漏洞PoC很快公布，在一 小段時間里卻也引起了大家較大關注。 上榜理由： 10 Ubuntu Snap本地提權漏洞 （CVE-2019-7304 頻發RCE

20、的CMS漏洞：由于ThinPHP在國內的廣泛使用，導致 ThinkPHP的每次漏洞爆發，都會引起較大關注，2019年伊始爆 發的2次多個版本的RCE漏洞影響讓很多人記憶猶新。 上榜理由： 08 ThinkPHP 多個版本遠程 代碼執行漏洞（5.0、5.1、 5.2等多個版本） 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 CHAPTER THREE 云 安 全黑 灰 產 新 變化 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 第三章 云安全黑灰產新變化 隨著云計算越來越便捷高效， 大量企業逐漸把業務遷移到云上。 但基于同樣的原因， 惡意程序也在向云上轉移。 當黑灰產利用云資

21、源發 起各種惡意行為時， 往往導致云廠商為其 “背鍋” 。 因此， 如何加強情報和分析能力， 及時識別云上的惡意用戶和惡意主機， 將是云安全 領域一項長期的較量。 近幾年， 由于深度學習技術的突破性發展， AI 逐步開始替代許多勞動密集型工作， 而這些技術， 黑灰產也在積極跟進。 通過分析發現， 黑灰產通過租用云端 GPU 訓練惡意模型也在逐漸增多， 例如通過 DeepFake 生成換臉色情視頻、 訓練驗證碼自動識別引擎、 更加擬人 化的自動化攻擊技術等。 可以預見， 未來一到兩年安全領域從業者將不得不面臨如何和 AI 斗智斗勇的問題。 3.1 黑灰產借力云 AI 化 互聯網存在大量已知漏洞，

22、 但被黑客利用的僅僅是其中一小部分。 騰訊安全監測顯示， 由于黑客基礎設施的完善， 針對新漏洞的探測和 利用嘗試周期正在逐漸變短。 過去針對新漏洞的大規模掃描需要過幾天才會出現， 而現在往往在新漏洞被發現的第一時間， 就會爆發 大量的掃描行為。 由于這個時間的縮短， 導致企業的開發和安全運維人員幾乎無法在合理的短時間內完成打補丁操作來應對安全威 脅。 3.2 漏洞曝光和利用周期變短 東南亞菲律賓、 越南、 柬埔寨等地逐漸成為賭博、 詐騙類犯罪的溫床， 例如今年非?；鸨?“東南亞殺豬盤” 詐騙類型， 以情感欺詐為切 入口， 再利用云上的博彩、 交易平臺等形式， 誘騙對方充值。 甚至出現一個網站

23、只針對一個被騙對象的情形， 一旦對方被騙， 直接網站銷 毀。 對云服務商來說， 如何監管并減少用戶在線運營非法業務， 也是一場持久戰。 3.3 黑產犯罪國際化趨勢明顯 自從2017年 “永恒之藍” 漏洞曝光， 勒索軟件經歷了2年的黃金時期， 許多企業的云上服務都遭遇了勒索。 從2019年來看， 除了廣撒網式 的勒索之外， 針對性勒索逐漸增多。 黑客通過人工主動滲透確認高價值服務器后， 加密數據并勒索高額贖金。 針對性勒索大大降低了黑 客程序曝光的概率， 未來可能占比更大。 3.4 針對性勒索增多 CHAPTER FOUR 重 點 威脅 及 攻 擊 趨勢分析 2 0 1 9 上 半 年 云 安

24、全 趨 勢 報 告 第四章 重點威脅及攻擊趨勢分析 隨著云計算、 大數據等技術高速發展， 企業業務不斷上云， 以數據為載體的數字資產已逐漸成為企業核心資產。 同時， 黑客將通過多種 惡意攻擊手段， 有針對性的對云主機進行攻擊， 一旦入侵成功并竊取核心資產， 將給企業帶來巨大損失。 因此， 面對日益嚴峻的網絡安 全形勢， 企業需要建立強大的安全防御體系， 不斷增強對惡意攻擊的對抗能力。 近年來， 由于部分安全廠商已經開始從購買服務起就向用戶傳遞加強密碼的設置， 所以弱密碼在云上影響機器的比例是非常小的。 隨著云計算的發展， 云的應用越來越廣泛。 對于企業來說， 云主機則是一項非常重要的主機設備。

25、 云主機是基于云計算發展的產物， 因此， 除了會受到傳統的主機安全威脅以外， 潛藏在云中的風險也時刻威脅著云主機的安全。 云主機 安全至關重要， 但這也并不代表其本身的安全性不值得信賴。 系統本身的脆弱性以及網絡世界中充斥的大量木馬、 后門、 惡意程序等問題， 使得云主機時刻遭受著來自內外的雙方安全壓力， 這也是 對于其本身防護能力的重大考驗。 1） 弱密碼及未授權訪問情況 一直以來， 弱密碼就是系統安全的最大內部威脅， 每次都年度弱密碼排行中， 諸如 “123456” 、“password” 這樣的密碼組合也都未曾缺 席。 屢禁不止的情況下， 這些脆弱的主機就猶如案板上的魚肉一般， 任人宰割

26、。 在本次統計中， 弱密碼及未授權訪問主要存在于以下幾個方面： sudo無密碼用戶檢測、 Redis未授權訪問、 MySQL弱口令等。 截止到2019上半年， 以上三種漏洞影響機器占到云服務器總數比例： 4.1 云主機類 4.1.1 云主機安全意識概況 M A L I C I O U S S C R I PT F I L E T Y P E R AT I O sudo 無密碼用戶檢測Redis 基線合規檢測MySQL 弱口令檢測其他 漏洞入侵是攻擊者最喜歡使用也是出現頻次最高的一項攻擊手段。 不同威脅級別的漏洞所造成的危害也有所不同。 使用正確的漏洞利 用代碼， 只需很短的時間即可獲得服務器比

27、較高的權限， 甚至是完全的控制權。 如今， 很多安全廠商對服務器漏洞的關注度明顯提升， 并著手自主研發漏洞檢測引擎。 無論是系統漏洞、 應用漏洞都能夠進行及時、 準 確的檢測， 并提示用戶盡早修復漏洞。 1） 漏洞總數及類型 4.1.2 云主機漏洞概況 在對2019年上半年的漏洞檢測腳本中， 平均每月檢測漏洞 還有一些服務灰產的供應商如短信發 送接口， 也存在倒賣數據的情況。 5） 爬蟲爬取 一些公司接口代碼不嚴謹或風控不足， 數據被惡意爬取或越權爬取， 導致數據泄漏。 6） 密碼泄漏 一些公司的開發人員由于安全意識薄弱， 將代碼傳到如GitHub等在線服務商處， 導致代碼中的敏感密碼泄漏，

28、造成數據泄漏。 類似情 況近年頻繁發生， 如今年某知名視頻網站后臺源碼被上傳到GitHub。 4.3.2 常見的數據泄露方式 1） 數據泄露背景下， 建立以數據為中心的安全架構 大規模的數據泄露事件， 尤其是核心關鍵數據的泄露， 將給企業業務帶來嚴重甚至致命性的損失。 數據已經成為業務發展的核心和驅 動力， 企業的安全架構策略也逐步發展為 “以數據為中心Data-Centric” 的數據安全策略。 2） 數據加密， 業務安全及和合規遵從驅動 在數據安全策略中， 應用密碼技術是保障敏感核心數據的機密性、 真實性、 不可否認性和完整性的有效措施。 近年來， 全球各國及各行 業都發布了關于數據安全及

29、數據加密的法律法規， 如中國的等保2.0、 密碼法 （征求意見稿） 、 香港的CAP 486、 歐洲的GDPR、 美國的SOX 等法案， 確保核心數據資產保護及加密策略的有效應用。 3） 數據安全及數據加密， 云用戶關注點 嚴峻的數據安全態勢及加密合規策略推動下， 云平臺加密基礎設施能力成為云用戶的核心關注點。 在加密能力支持上， 要求云平臺能夠提供覆蓋全數據生命周期， 即從數據獲取、 事務處理及檢索、 數據分析與服務， 數據訪問與消費的 合規化的加密能力支持； 并提供包括密鑰管理， 敏感數據加密、 金融支付、 電子政務、 電子票據、 身份認證、 CA、 物聯網、 區塊鏈等不同業 務領域的加密

30、應用支持。 4.3.3 數據安全趨勢 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 在產業快速發展的同時， 業務場景復雜化、 數據海量化、 信息價值不斷趨高， 為企業帶來了更多的新型風險和黑產的覬覦。 據統計， 我國黑產從業者規模超百萬， 年產值高達千億。 而在黑產的分工越來越專業、 行動遍布全網、 并且由個人方式發展成了 “團伙作 戰” 的現狀下， 如何構建行之有效的風控系統至關重要。 攻擊的動力依舊來源于利益， 而常見的攻擊維度集中在營銷風控、 內容風控、 金融風控幾大領域。 在加密策略應用上， 當前密碼應用中間方案并不完善

31、， 用戶密碼應用仍需大量開發工作。 與云平臺以及云產品無縫集成的加密組件能 力是云用戶成功實施加密策略的有力保障， 即密碼資源、 密碼運算以及密碼應用以組件化、 服務化方式輸出， 隨取隨用， 用戶可便捷的 將加密組件集成至云上業務系統中， 以保障加密措施的有效落地。 此外， 密碼及加密應用國密化也是今年以來， 國內各大行業用戶數據保護策略應用重要趨勢之一。 4.4 風控安全 基于營銷目的， 企業通常會采取優惠券、 現金紅包或完成指定任務即發放獎勵等激勵手段進行拉新， 在這個過程中， 黑產通過各種手段 有規模地薅取企業福利。 基本可以分為3個發展階段： 1） 自動化平臺 （1） 手機號、 賬號：

32、 由卡商提供手機號， 比如常用的物聯網卡， 用貓池、 模擬器、 多開軟件來養手機號； （2） 驗證碼驗證： 通過自動識別字符、 圖片的技術， 如常用的有CNN深度神經網絡技術， 可以實現百分之九十以上的識別通過率， 比較 難的驗證碼則有人工打碼平臺的支撐； （3） 部分企業自身設置的IP頻控策略： 任我行、 天下游等IP修改軟件。 2） 群控 購置廉價手機組成手機墻， 采用改機工具修改設備信息， 如手機型號、 串碼、 IMEI、 GPS定位、 手機號等， 以此不斷偽造新設備， 甚至直接 刷入定制化ROM； 同時， 采用群控軟件操縱手機， 模仿真人自動完成點擊、 APP下載、 激活等相應操作。

33、3） 群控+人工 人肉羊毛黨、 網賺眾包。 羊頭發布任務讓人點擊、 觀看廣告或完成其他任務來賺錢。 眾包軟件則通過上線任務， 吸引用戶通過完成操作 賺取積分， 從而兌換紅包。 在營銷場景的攻擊里， 618大促是一個典型案例， 今年的促銷狂歡， 某安全企業在 “活動防刷” 中防護次數就達到16億次， 對抗黑產的薅 羊毛行為， 保住2.7億張優惠券。 參考以上攻擊手段， 不難發現真人羊毛、 網賺團伙往往使用大量小號， 賬號的行為特征和質量都與正常用戶偏離。 因此， 該安全企業基 于大數據分析和AI識別模型， 通過用戶質量檢測、 設備環境檢測以及行為風險檢測等兩百多個維度， 從而準確識別羊毛黨、 黑

34、產。 最近半個月中， 天御所接收到的活動防刷請求數每天都超過4000萬次， 且整體出于持續增長的趨勢。 其中每天活動防刷請求中， 惡意 次數占比約為1/3。 4.4.1 營銷風控 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 天御活動防刷請求數一覽 0 20190701 請求數分布 2019070420190707201907102019071320190716 1000萬 2000萬 3000萬 4000萬 5000萬 6000萬 其中博彩和教程類交易金額相較熱度的占比有較大增幅， 一方面說明博彩類在黑產中盈利能力較高， 且其中黑吃黑也較為嚴 重， 另一方面面說明黑產從業人員還在持

35、續擴張。 天御活動防刷昨日業務請求一覽 昨日活動防刷請求 總請求： 46， 003， 830 惡意次數： 15， 198， 936 33.04% 0 4 3 2 1 1， 131， 712 200萬400萬600萬800萬1000萬1200萬 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 隨著網絡時代個人發聲平臺 （短視頻、 直播、 即時通訊平臺等） 不斷延展， 門檻低， 流量高的優勢使其同樣成為了黑產的娛樂所， 用以傳 播色情、 暴力、 賭博、 垃圾廣告等不良信息。 常見的攻擊手段： 1、 文本變體： 使用各種特殊字符暗示銷售對象； 2、 圖片引流： 在圖片中嵌入文本， 結合色情照

36、片引流用戶到風險網站； 3、 擦邊球視頻： 視頻畫面無違規， 但聲音違規 （比如各種嬌喘聲） ； 多樣、 高頻的攻擊手段， 讓人工鑒黃難以對抗， 而純靠膚色識別算法進行過濾也早已過時。 目前的對抗趨勢偏向深度學習進行數據分 析， 全面覆蓋到文本、 圖片和音頻識別。 市場上某產品通過特征提取+智能識別， 已經可以實現對涉黃、 敏感畫面99%的識別準確率。 根據近期監測的數據來看， 惡意內容出現的日均頻次均過億， 極少出現較大波動， 而整體還呈現出微弱上漲的趨勢。 4.4.2 內容風控 0 201907012019070420190707201907102019071320190716 2000萬

37、 4000萬 6000萬 8000萬 1億 1.2億 互金行業向來是風控重災區。 一方面是支付行業不斷向縱深發展， 各種新型支付手段和支付工具層出不窮帶來的與預授權套現、 信用 卡大額套現、 沖正撤銷、 持卡人信息泄密、 跨境移機、 測錄等風險事件日趨增多； 另一方面是消費信貸不斷上升， 但整個信貸環節， 從貸 前、 貸中到貸后都面臨各種各樣的欺詐。 根據天御所監測的數據來看， 從2018年下半年開始， 金融反欺詐請求數大幅增加。 2019年上半年反欺詐請求數均值超過600萬， 較去年 同比增長近一倍。 而在所監測到的惡意行為中， 最常見的是異常支付行為、 信貸中介以及疑似惡意欺詐。 4.4.

38、3 金融風控 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 天御反欺詐請求數一覽 請求數分布 0 2017010120170509201709142018012020180528201810032019020820190616 300萬 600萬 900萬 M A L I C I O U S A CTS O F F I N A N C I A L F R AU D 金融欺詐惡意行為TOP 10 0200,000400,000600,000800,0001,000,000 1,200,000 失信名單 惡意環境 虛假資料 不法分子 羊毛黨 其他異常行為 身份認證失敗 疑似惡意欺詐 信貸

39、中介 異常支付行為 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 針對支付的常見攻擊手段包括了身份證偽造生成； 活體檢測破解； 手機號生成； 貓池、 撞庫、 偽基站； 一鍵改機軟件。 針對信貸環節， 攻擊鏈路則包括： 情報收集： 在各大平臺不斷的尋找收集風控規則漏洞 卡商： 提供設備、 賬號、 IP、 四件套等信息資料； 接碼平臺： 負責快速破解各平臺和APP的驗證碼等 資源工具： 提供貓池、 模擬器、 群控、 活體檢測破解等工具 面對風控要求更高、 環境更復雜的金融業務防護場景， 更需要選擇分析聯網經營數據及上下游業務往來的延續性， 從整體供應鏈的角 度做好用戶評估， 或是參考某款

40、針對小微企業的信貸產品， 采用 “ABC”（AI+Big Data+Cloud） ， 在流量入口就做好應對。 此外， 引入大數據挖掘、 反欺詐規則配置、 機器學習建模等反欺詐技術能力， 也是大勢所趨。 CHAPTER FIVE 安 全 建 議 5.3 DDoS防護建議 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 第五章 安全建議 新技術在促進業務發展的同時， 往往也伴隨著風險。 隨著云計算浪潮的進一步擴張， 企業的IT架構必將隨之變化， 網絡安全邊界也變得 越來越模糊。 通過前文列舉的案例不難發現， 直到今天依然有大量的企業用戶暴露在危險當中， 隨時可能中招。 報告通過對國內云安全

41、 狀況的深入分析， 總結了部分切實可行的安全建議， 期望與大家攜手共踐云安全防護之路。 1、 企業可以把更多的精力投入到安全運營上， 可借助安全運營中心或事件管理平臺所發現的漏洞情報、 漏洞告警、 入侵事件、 安全配 置事件進行風險管理和收斂， 規避已知事前存量風險； 2、 充分利用云上安全組、 WAF等功能， 做好訪問控制和常見威脅的入侵防御， 可以規避很多事中的風險利用； 3、 做好Windows系統的補丁管理， 可以規避很多潛在的Windows蠕蟲傳播、 遠程入侵攻擊或本地提權行為； 4、 做好數據的備份， 任何時候， 都無法保障關鍵應用或數據的萬無一失， 云廠商提供了便捷的快照備份、

42、鏡像備份、 數據備份功能， 這 個對于企業尤為重要。 5.1 安全運營建議 面對黑客入侵的各種攻擊方式， 主機安全 （云鏡） 建議用戶日常需要加強安全意識， 提前安裝主機安全類產品， 做好相應防御措施， 有效 規避潛在風險。 建議如下： 1、 設置復雜的密碼， 一般來說12位以上且字母大小寫、 數字、 特殊字符四種中至少三種， 并且盡量包含部分無意義的組合， 以此降低被 暴力破解的概率。 不同服務器設置不同的密碼， 以防止通過社工的方式猜解密碼； 2、 關注重要安全公告， 及時修復披露的漏洞； 對于包含 “遠程代碼執行” 、“未授權訪問” 關鍵字的漏洞尤其需要關注， 此類漏洞相當于 將服務器大

43、門敞開給攻擊者； 同時請一定按照官方修復建議進行修復； 3、 至少安裝一套安全類軟件， 通過安全軟件可以了解服務器安全情況， 及時了解漏洞信息， 同時可以查殺惡意文件； 4、 加強安全意識， 設置密碼要達到安全要求， 不隨意下載運行非官方的程序， 尤其是二進制程序， 不隨意點擊來歷不明的郵件； 對于披 露出來的漏洞要加強關注， 尤其涉及到個人負責的組件， 不能由于 “怕麻煩” 而放棄或延緩安全修復措施； 5、 建立安全評審機制， 可定期對服務器進行安全機制評審； 如果成本允許， 可做安全滲透測試。 5.2 云主機防護建議 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 1、 在業務主機

44、上要進行IP過濾等設置， 以應對同IP發起DDoS的情況。 除常規的限次數、 限地域外， 還要以進行一些固定反射源的過濾， 因為有反射源訪問業務， 一般都是不合理的， 這樣有助于快速排查問題所在， 及時開啟防護； 2、 隱藏真實的業務IP， 進行IP保障， 以讓攻擊者攻擊時增加定位難度； 3、 針對業務的側重點不同， 要選擇有針對性的DDoS防護產品。 不用大而全， 過度浪費， 也不能不設置防御， 被攻擊時臨時抱佛腳； 4、 及時進行服務器中的系統及各應用軟件的補丁更新， 隨時關注安全時勢動態， 針對一些0day或未能及時修復或處理的邏輯漏洞進 行人工的臨時策略處理。 這樣可以防止服務器被入侵

45、或被用作反射點， Memcached反射源就是最好的例子。 被用作反射源會對外發出 大量的數據包， 會占用自身海量的帶寬， 也是一種變相的遭受DDoS攻擊的受害者； 4、 在業務代碼側與邏輯側， 做好針對DDoS攻擊類型的預防， 例如針對SYNFlood這種半開連接， 可以在業務展前端做一層代理層， 來吞 吐流量， 將TCP成功連接后的再去喚醒業務側真正的服務處置等。 1、 開發人員增強安全意識， 各種軟件環境不使用默認密碼或弱密碼； 2、 規范代碼管理和編碼安全意識； 3、 不把重要數據傳送到不規范的服務商； 4、 加強安全管理或使用更專業的云安全服務。 5.4 數據安全建議 1、 評估是重

46、中之重， 務必在風控前做好產業、 經營數據、 上下游往來業務的全面調查、 了解； 2、 基于對業務場景的認知和長期積累的對抗經驗， 需要不斷訓練風控模型， 加強防護； 3、 風控人員和運營人員都需增強風險意識； 4、 對中小微企業而言， 相較于自建風控系統， 購買云模式仍是首選； 5、 數據決定模型準確率上線： 推動風控系統進一步擁抱人工智能； 6、 非結構化數據給風控帶來新挑戰。 隨著IoT的發展， 越來越多的短視頻、 圖片、 語音類數據或占數據流主要份額， 而這類數據由于結構 各不相同、 數據非常大但單位價值相對低， 如何高效解析和處理這些非結構化數據， 避免黑產惡意攻擊隱匿其中， 成為風控新挑戰； 7、 新硬件的發展提升風控能力。 目前大趨勢是計算層面越來越與新硬件的創新緊密結合， 而芯片類、 存儲類等新硬件與軟件的配合或 將為風控帶來更大的力量對抗攻擊。 5.5 風控安全建議 2 0 1 9 上 半 年 云 安 全 趨 勢 報 告 出品方 數據及內容支持