2019上半年 h t i g b u m o c . 5 声明 本报告为 FreeBuf 与腾讯安全联合研究成果。 报告中所涉及的数据来自网上公开数据，或采取合法技术手段、深度调查、抽样调查等方 式获取。 由于统计方法不同、视角和数据观察维度不同，与市场实情可能存在一定误差。 此外，报告中所涉及的人名均为化名。 FreeBuf 和腾讯安全对本文数据和内容拥有全部版权，未经许可不得擅自使用。 本报告最终解释权归 FreeBuf 和腾讯安全所有。 m o c . 5 本文仅从学术角度做分析研究，任何非法行为都将受到法律严惩。 b u 关于FreeBuf研究院 h t i g FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞 见，是深受安全从业者与爱好者关注的信息安全网站与社区。 FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师，常年对信 息安全技术、行业动态保持追踪，呈现有深度的安全行业现状和趋势分析。 关于腾讯安全 腾讯安全作为互联网安全领先品牌，致力于成为产业数字化升级进程中的安全战略官，依托20年多业务安全运营及黑灰产对抗经验， 凭借行业顶尖安全专家、最完备安全大数据及AI技术积累，为企业从“情报-攻防-管理-规划”四维构建安全战略，并提供紧贴业务需要 的安全最佳实践，守护政府及企业的数据、系统、业务安全，为产业数字化升级保驾护航。 关于报告 《2019上半年云安全趋势报告》基于互联网、产业互联网及相关领域在上云过程当中面临的安全态势、 风险趋势、应对力量以及监管状态等进行了梳理，以期为行业提供阶段性的总结和建议，助力云上各方 有策略的建立安全能力，更好应对安全风险。 b u m o c . 5 出 品方 h t i g FreeBuf研究院： 谢忱、鲍弘捷、施东奇、许皓翔、金方成城 腾讯安全： 刘志高、王婷、谢灿、宋兵、喻峰、张祖优、李智鹏、 谭光西、郭佳楠、江慧敏、郭佳楠、周耀辉、王冠楠 美术设计： 姚媛 CONTENTS m o c . THREE 5 b u ONE 引言 Introduction TWO ith g 2019上半年云安全概况 Cloud security overview 2.1 现状与趋势 2.1.1 云安全对企业的战略意义凸显 2.1.2 AI 等预测技术成为安全防护的重点 2.1.3 相关法律法规明确安全发展方向 2.2 危机预警情况 2.3 危害案例 云安全黑灰产新变化 Cloud security black ash production new changes 3.1 黑灰产借力云 AI 化 3.2 漏洞曝光和利用周期变短 3.3 黑产犯罪国际化趋势明显 3.4 针对性勒索增多 FIVE FOUR 安全建议 Security advice 5.2 云主机防护建议 重点威胁及攻击趋势分析 Key threats and attack trend analysis 4.1 云主机类 4.1.1 云主机安全意识概况 4.1.2 云主机漏洞概况 4.1.3 云主机暴力破解概况 4.1.4 恶意文件入侵 4.2 DDoS 4.2.1 DDoS 攻击趋势 4.2.2 DDoS 攻击形势 4.2.3 DDoS 攻击产业链 4.3 数据安全 4.3.1 什么数据最受黑灰产偏爱 4.3.2 常见的数据泄露方式 4.3.3 数据安全趋势 4.4 风控安全 4.4.1 营销风控 4.4.2 内容风控 4.4.3 金融风控 m o c . 5 5.1 安全运营建议 5.3 DDoS 防护建议 h t i g b u 5.4 数据安全建议 5.5 风控安全建议 CHAPTER ONE 引言 h t i g b u m o c . 5 第一章 引言 m o c . 5 b u h t i g 《2019年国务院政府工作报告》提出，新旧动能接续转换包括传统产业升级和新兴产业的规模化，将成为中国未来发展的重点目标之一。 依托产业互联网构建新型的、产业级的数字形态，打通各产业间、内外部的连接，以新兴产业的技术提高传统产业效率、以传统产业的市 场带动新兴产业规模，达到 1+1>2 的效果，从而能够支持动能转换更好更快地实现。 产业互联网以数据作为基础，综合运用互联网、移动互联网、物联网、大数据、云计算、人工智能等下一代信息技术，来促进传统产业转型 升级，同时带动新兴产业发展。 利用信息技术，传统产业的物理产品将嵌入越来越多的数字功能。 这促进了硬件产品向软件化、服务化的 方向发展，使得用户和企业都可以持续保持连接和交互，按使用购买服务的方式将广泛普及。 随着云计算等企业级技术应用的发展普及，产业互联网实际已经在各行各业展开实践。广度上不仅覆盖服务业、工业和农业，还从商业 扩展到公益和政府，整个社会走向全面互联网；深度上，从营销服务、生产研发到运营管理，互联网渗透到组织内部的各个环节。数据信 息由此实现从消费端到供给端的高效流通，数字产业与传统产业相互协同带动，助推中国经济迈向高质量发展阶段。 在新旧动能接续转换的过程中，传统产业的数字化升级和新兴产业的数字化能力建设，使当前的安全趋势发生了变化。 《2019年上半年 云安全趋势报告》基于互联网、产业互联网及相关领域在上云过程当中面临的安全态势、风险趋势、应对力量以及监管状态等进行了梳 理，以期为行业提供阶段性的总结和建议，助力云上各方有策略的建立安全能力，更好应对安全风险。 2 0 1 9 上 半 年 云 安 全 趋 势 报 告 CHAPTER TWO 2019上半年云安全概况 h t i g b u m o c . 5 第二章 2019 上半年云安全概况 2.1 现状与趋势 2019年上半年，数字化转型的浪潮席卷全球，越来越多的企业开始应用云计算技术。云计算丰富的扩展性、便捷性逐步成为促进企业 积极上云的驱动因素。 在选择是否上云的过程中，安全是企业首要关注的问题，一方面，企业重视对自身数据在云端的安全性，另一方 面，企业也担心自身业务的稳定性是否能够在云上得到保证。 2.1.1 云安全对企业的战略意义凸显 m o c . 5 2019 年 3 月，Gartner 发布了 2019 年七大新兴安全和风险管理趋势。 Gartner 指出，安全和风险管理对于企业的业务能力和成果具有 战略意义，企业的安全投资正在从威胁防御向威胁检测转变。此外，随着云计算在各行各业的不断渗透，网络安全的人才缺口不断扩 大，专业安全供应商的价值愈发受到重视，而云计算平台投资的主要方向也在向云安全能力方向迁移。 目前，国内的各大云平台厂商均推出或更新了自身的安全运营系产品，如态势感知、安全运营中心等，加强用户侧风险管理和运营。 2.1.2 AI等预测技术成为安全防护的重点 h t i g b u 2019 年上半年的另一个明显变化就是云情报、机器学习等人工智能预测技术成为安全防护的重点。 传统的安全架构中，较多依赖特征 匹配的模式。 在这种模式中，防护设备需要先将某个漏洞或攻击事件写入特征库，然后才能防御或检测该类攻击，而且安全特征库数量 非常有限，在云环境中存在一定滞后性和局限性，防护方永远落后于攻击方，对 0day 等未知威胁无能为力。 如今，网络安全界的潮流是 转后手为先手，让安全变得更主动、更前置，主要的技术手段包括云安全情报和机器学习预测技术。 2.1.3 相关法律法规明确安全发展方向 密集出台的法律法规和标准，明确了几个安全发展方向，一是网络安全等级保护作为国家网络安全保障的基本制度、基本策略、基本方 法，监管对象有了很大扩展，等级保护建设和测评成为安全合规的必经之路。 二是保护作为“国家基础性战略资源”的数据，对重要数据 和个人信息的数据安全和控制权等提出更高要求。加之等保2.0及密码法（征求意见稿）等法案的发布，进一步确保了核心数据资产保 护及加密策略的有效应用。 三是安全可信，可信计算已成为保卫我国网络安全战略的核心技术，从通信网络、区域边界、计算环境构建 健康、安全、可信的网络体系。 最后是国产密码技术，加密算法是安全的基础，国产密码技术将在关键基础行业加强推广力度。 2 0 1 9 上 半 年 云 安 全 趋 势 报 告 2.2 危机预警情况 2019 年上半年，腾讯云官网累计发布高危预警 38 次，其中对云上用户影响面较广且危害极高的漏洞覆盖 Windows、Linux、Unix 等多 个版本系统，同时也覆盖到了 Kubernetes、Docker、runC 等云相关容器及运行环境以及包含 Tomcat、ThinkPHP 等常用应用。 2.3 危害案例 2019 年 5 月 14 日，微软发布了高危安全漏洞 CVE-2019-0708 紧急通告，披露了其操作系统远程桌面服务（Remote Desktop Services） 存在严重安全漏洞，攻击者在没有任何授权的情况下，可以直接远程攻击操作系统开放的3389服务，在受害主机上执行恶意攻击行 为，包括安装后门，查看、篡改隐私数据，创建拥有完全用户权限的新账户，影响范围从Windows XP到Windows 2008 R2。 腾讯安全云 鼎实验室情报团队监测到来自暗网的RDP漏洞探测流量，正在为下一步的攻击收集相关情报。 m o c . 5 2019年6月，腾讯云安全中心情报平台监测到 Linux TCP "SACK PANIC" 远程拒绝服务漏洞，攻击者可利用该漏洞构造并发送特定的 SACK序列请求到目标服务器，导致服务器崩溃或拒绝服务。 近十年的Linux内核版本包括Unix均在影响范围之内，由于本次的漏洞涉 及内核处理TCP协议问题，影响面巨大。 除此之外，2019年上半年还出现了不少“明星漏洞”： b u h t i g TO P T E N O F M A X I M U M I M PACT VU L N E R A B I L I TY 2019上半年影响范围最大漏洞TOP 10 01 Linux TCP "SACK PANIC" 远程拒绝服务漏洞 （CVE-2019-11477,CVE-2 019-11478,CVE-2019-114 79） 排名 上榜漏洞 上榜理由： 影响范围广：近10年的Linux内核均在受影响范围，涉及 Redhat、CentOS、Debian、Ubuntu、FreeBSD等发行系统， 影响范围广：近10年的Linux内核均在受影响范围，涉及 涉及全球数百万主机