域名預訂/競價，好“米”不錯過

8月15日，第三屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(CSS2017)在北京國家會議中心舉行。騰訊云鼎實驗室負責人Killer進行了主題為《云鼎視點：公有云惡意代碼趨勢解讀》的分享，以下為Killer主要分享內(nèi)容：

隨著越來越多的企業(yè)逐步把自身IT基礎(chǔ)設(shè)施服務(wù)遷移到云上，云上的安全風險趨勢到底如何?近期重大勒索事件頻頻發(fā)生，企業(yè)該如何去有效提升自身的安全防護能力?在這里，我想跟大家分享一下我們云鼎實驗室對云上安全風險的趨勢觀察，以及對企業(yè)用戶的一些建議。

一、云上安全風險趨勢

數(shù)據(jù)庫類服務(wù)端口風險高。端口就是服務(wù)器的入口，入侵者往往使用掃描器對目標機器進行端口掃描，然后實施攻擊和入侵。在去年和今年年初，爆出了多起企業(yè)數(shù)據(jù)庫服務(wù)被加密勒索事件，需要支付比特幣才可以獲得數(shù)據(jù)解密;今年3月1號，我們云鼎實驗室發(fā)布的《MySQL 成勒索新目標，數(shù)據(jù)服務(wù)基線安全問題迫在眉睫》就對這些事件進行了分析，主要是企業(yè)在在公網(wǎng)上開放了MySQL、Redis、Eelasticsearch等數(shù)據(jù)服務(wù)端口，同時由于存在弱密碼或者沒有密碼，黑客可以直接訪問，導致被黑客入侵勒索。

漏洞是造成入侵的主要途徑。根據(jù)我們對被入侵機器的入侵原因分析結(jié)果來看，漏洞是造成服務(wù)器被入侵的主要途徑，約超過60%的入侵事件跟漏洞有關(guān)。而國內(nèi)企業(yè)，對漏洞的修復情況是非常不理想的。方程式漏洞被公布以后，我們針對MS17-010漏洞的修復進展進行監(jiān)測發(fā)現(xiàn)，某企業(yè)在爆發(fā)一個月后只對其中約60%的漏洞機器進行了修復，兩個月后，還有24%的漏洞機器并未修復，這樣就給入侵者提供了可乘之機。而在小型企業(yè)，整體修復比例往往還要低得多。

密碼破解攻擊呈現(xiàn)常態(tài)化。相對于Web應用漏洞，暴力破解的利用方式比較簡單，成功后可以直接獲得目標服務(wù)器權(quán)限，從而進一步進行植入木馬、后門等操作，整個過程通過自動化程序?qū)崿F(xiàn)，是一種成本極低的攻擊方式。而據(jù)公開資料說，某IDC上日均遭受破解攻擊5萬次左右，騰訊云上每臺機器日均被攻擊2759次。云主機相對遭受的破擊攻擊次數(shù)少，這主要歸功于云平臺廠商在網(wǎng)絡(luò)出口對一些惡意的破解行為做了自動化攔截。

高危漏洞的出現(xiàn)，容易造成木馬病毒感染高峰。NSA漏洞包公開Windows漏洞期間，木馬檢出量先后發(fā)生了兩次爆發(fā)。當前云上監(jiān)測到的木馬文件主要分為兩大類型，Shell(占比80%)及二進制木馬(占比20%)。Shell主要通過Web應用漏洞上傳寫入，主要在入侵過程起到跳板的作用，方便進一步進行提權(quán)、植入惡意文件等操作;而二進制木馬主要帶有挖礦、端口掃描、DDoS等惡意行為，是整個入侵的最終目標植入。目前，利用NSA漏洞包漏洞傳播的病毒最多的并不是WannaCry，而是挖礦病毒。而WebShell已經(jīng)具有很強的免殺特性，建站工具弱口令問題則是WebShell的上傳主要來源。

服務(wù)器上安全軟件使用率偏低。目前，云上只有約7%的服務(wù)器使用了安全軟件，整體使用比例偏低，這里面，其中有很大一部分的用戶使用了PC安全防護軟件來解決服務(wù)器安全防護需求，說明目前國內(nèi)的服務(wù)器安全防護軟件在市場上影響力不大，也在一定程度上反映國內(nèi)的服務(wù)器安全軟件市場值得繼續(xù)大力投入。

二、云上更安全

企業(yè)面臨的整體安全環(huán)境并不樂觀：漏洞仍然是造成入侵的主要途徑;黑客也在逐步升級自己的技術(shù)，一些低成本高收益的攻擊逐漸自動化，例如密碼破解攻擊呈現(xiàn)常態(tài)化趨勢;隨著比特幣這類匿名電子貨幣的興起，使得黑客變現(xiàn)的主要方式從劫持肉雞流量進行DDoS變現(xiàn)，變成了加密勒索。

但前段時間，在WannaCry和暗云事件的爆發(fā)中，我們對云上用戶和普通用戶的感染風險進行了對比。云上更安全的顯著統(tǒng)計差異，堅定了我繼續(xù)深耕云安全的決心。

WannaCry勒索病毒的爆發(fā)，使得全球150個國家受到了影響，在我們國內(nèi)也有10萬左右的用戶中招。據(jù)統(tǒng)計，全球因此造成的損失達80億美元，并且深入影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴重的危機管理問題。部分企業(yè)的應用系統(tǒng)和數(shù)據(jù)庫文件被加密后，導致無法正常工作。然而在云上的企業(yè)用戶，因為及時做了大量的預警和防護工作，被感染的比例很小。

而近年來感染用戶最多的木馬之一，暗云，它的功能比較復雜，通過修改多個游戲微端，采用多種技術(shù)方案逃開殺軟檢測，還自掏腰包買流量，推廣感染的游戲微端，更新頻繁，影響用戶數(shù)百萬。病毒團隊通過各種手段獲取暴利，更發(fā)動針對國內(nèi)多家云服務(wù)商的DDoS攻擊。我們云鼎實驗室在第一時間發(fā)現(xiàn)并確認了樣本關(guān)聯(lián)性，并聯(lián)合騰訊電腦管家和多個安全合作伙伴進行全網(wǎng)清理，有效降低了暗云木馬的影響。

三、對企業(yè)用戶提四點安全建議

第一是要重視數(shù)據(jù)備份。任何企業(yè)都需要考慮一些突發(fā)災難或者黑客攻擊帶來的業(yè)務(wù)中斷，一旦遭受這類黑天鵝事件，快速恢復業(yè)務(wù)才能把損失降到最低，所以數(shù)據(jù)備份是一個十分重要且不可忽視的工作。我們在云上，可以方便的通過云平臺提供的鏡像備份，云存儲服務(wù)來實現(xiàn)對重要數(shù)據(jù)進行備份。

其次是軟件要及時更新。前面提到，造成入侵的主要原因是自身存在漏洞，事實上，新漏洞爆發(fā)出來時，軟件生產(chǎn)者都會第一時間公布修復補丁或者方案，對于運維人員來說，及時打上補丁就可以消除漏洞風險，目前看來，及時打補丁依然是對抗漏洞風險最有效的手段。

第三是提升員工安全意識。安全意識一定程度上代表了企業(yè)安全事件的出現(xiàn)幾率，很多企業(yè)發(fā)生的安全事件都是因為內(nèi)部員工安全意識薄弱導致的。例如，某員工將公司網(wǎng)站代碼儲存到某第三方平臺，被發(fā)現(xiàn)后被大面積曝光，導致公司出現(xiàn)了嚴重的數(shù)據(jù)泄露風險。事實上，行業(yè)內(nèi)安全做得不錯的成熟型企業(yè)，都有一些機制來促使員工在日常工作中更多的思考安全風險，定期進行員工安全意識培訓和考試還是容易做得到的。

最后一點建議就是基礎(chǔ)設(shè)施上云。業(yè)務(wù)上云后，你會發(fā)現(xiàn)，便利性提升的同時，整體安全防護水平也會提升。因為在基礎(chǔ)設(shè)施層面，云平臺廠商會提供統(tǒng)一的安全運維保障，而在服務(wù)和應用層，云平臺廠商同樣會提供豐富的安全解決方案供企業(yè)選擇，所以，相對于云下，企業(yè)在云上可以低成本、更靈活地構(gòu)建起安全防護體系。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！