編者按:隨著大數據、雲計算技術的發展,上雲成為企業數字化轉型的重要途徑,與之同時,雲上的安全問題也備受業界關注。那麼,雲上主要有哪些安全風險與挑戰?企業又有哪些亟需注意的事項?日前,阿里雲安全運營中心發佈了《2019 雲上企業安全指南》,希望對大家有所裨益。
頭圖 | CSDN 下載自東方 IC
出品 | CSDN(ID:CSDNnews)
近日,據阿里雲安全運營中心發佈的《2019 雲上企業安全指南》報告顯示,對 2019 年網絡安全態勢做了分析,並給出 2020 年雲上安全運營建議。
2019 網絡安全四大威脅
1. 以 33.4% 的高佔比,挖礦病毒“衛冕”安全威脅之最
2019 年共發現 80 個成規模的挖礦木馬團伙,從受害者主機的操作系統來看,69% 為 Linux,31% 為 Windows,TOP10 挖礦木馬團伙主要以 Linux 為攻擊目標。
2. 日均 2000 餘次,強度、頻度的升級讓 DDoS 攻擊更難防禦
百 G 以上流量攻擊成倍增長, TB 級流量、千萬級併發攻擊的出現讓 DDoS 攻擊對抗更為激烈。同時,還觀察到,應用層 DDoS(CC 攻擊)成為最常見的攻擊類型,與 2018 年相比,攻擊手法也更為多變複雜。
2019 年峰值流量大於 100Gbps 事件分佈
3. 暴力破解依然是“最具性價比”的主流攻擊手段
在所有被攔擊的攻擊中,暴力破解和 Web 攻擊在 2019 年持續增加,分別達到 7 億次和 4000 萬次,佔總攔截次數的 48%和 3%。
4. 更垂直,利益驅動下的“百花齊放”
電商等行業將面臨黑灰產鏈條更加完整和專業的 Web 攻擊,房產交易、交通、遊戲、電商、資訊論壇幾個行業中惡意爬蟲的佔比都超過了 50%,這些行業需要加強對惡意爬蟲的安全防控。
2019 最受企業關注的四大安全問題
基於大量客戶服務和交流經驗,以及國家法律法規要求、企業安全管理現狀等多方面因素,我們對企業在過去一年中最為關注的十大安全問題進行了盤點,如下圖所示。其中不難看出,合規、數據安全、IoT 安全、雲上安全運營四個方面成為企業最關心的四類問題。
1. 服務提供商合規等級決定了雲上企業能達到的最高合規水平
網絡安全法規定“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則及其他相關規定, 前提是雲平臺通過等保級別不低於用戶系統級別,否則影響雲上用戶的信息系統等級保護定級備案。等保 2.0 是今年企業重點關注的合規標準,企業使用的雲服務類別(IaaS、PaaS 和 SaaS 服務模式)不同,等保 2.0 所要求的技術測評項目也有所不同。因此只要雲平臺通過等保測評,雲上用戶在物理安全、網絡、虛擬層安全等基礎安全防護上的投入可以因為雲平臺的能力而大幅下降,關注點可以更加聚焦在業務和系統的防護要求上。
阿里雲不同服務模式下的雲上用戶等保 2.0 技術測評項數量
從上圖可以看出,在雲平臺通過等保 2.0 測評的前提下,企業上雲的程度越深,自身所需要進行測評項數量就越少,當然所需要投入的成本就會更低,讓企業擁有高等級安全能力同時,可以有更多精力聚焦在自身業務發展上。
2. 數據安全水位決定企業整體安全防護水平
數據安全是一個複雜而綜合的工作,從數據採集、傳輸、存儲、處理、交換到銷燬,各個環節都有諸多需要關注和解決的問題。因此,雲上企業在建設數據安全防護體系時,需要充分考慮未來業務發展、現有業務現狀、敏感數據場景、數據上下游等,做好 3-5 年數據安全規劃;針對不同類型數據、不同使用場景、不同環節的威脅、風險做充分分析,配套建設技術檢測、防護手段;在管理體系建設方面需考慮與現有管理體系充分融合,最終形成規劃、管理加技術的模式,全面管控數據全生命週期安全。
3. 即將突破 208 億的 IoT 在線設備,600%增長的物聯網攻擊
隨著 5G、大數據、人工智能的深入發展,帶來了 IoT 產品的飛速發展,2020 年預計 IoT 設備在線量突破 208 億。由於 IoT 設備涉及到雲、管、端、邊四大方面,安全風險也不斷擴大,物聯網攻擊將以 600% 的增速增加。
物聯網設備爆發式增長
同時通過對物聯網安全漏洞進行整理發現,物聯網固件類 CVE 固件漏洞質量及可利用性在逐漸增加,整體安全風險為高危 4000 多個,佔比為 42.31% ;中 危近 2000 多個,佔比為 15.37% ;低危 4000 多個,佔比為 42.33%。
漏洞分佈情況
通過對 IoT 端部產品的特性觀察發現,主要的設備端安全威脅為設備無/弱鑑權、訪問控制無/弱鑑權、固件篡改、代碼注入、開發端口、文件篡改、逆向工程、存儲數據洩露/ 篡改、軟件漏洞、系統漏洞、設備偽造。
4. 雲上規模化紅利讓安全運營降低至少 50%
安全不是產品疊加,雲上安全體系需要整體防護,從上雲前的整體安全方案設計,到上雲後安全產品使用、安全風險評估,都需要安全專家參與諮詢、設計以及後期的安全運營,以便快速解決整體防護中的各項脆弱點及潛在安全風險。網絡攻防是動態的,攻擊手段變化,防禦手段也需要及時調整。
在安全防護體系中,安全產品的角色是工具,需要安全專家不斷去分析、 運營以及調整不同時期的安全策略,不斷提升事件處置、應急處置等安全技術能力,才能確保業務系統常態化安全。
因此,專業的雲上安全託管運營可以幫助客戶更有效的形成管理加技術、技術+產品的風險閉環,同時還可以幫助企業降低運營成本。雲上規模化、體系化的特點意味著運營成本降低,運營成本降低的紅利會直接給到每一位客戶。
2020 雲上安全運營四大建議
基於 2019 年雲上企業重點關注的問題及面臨的安全風險分析,我們給出如下行動指南, 助力企業做好雲上安全建設:
合規建設
雲上用戶通過等保,首先需要確認雲平臺等保測評通過情況,其次根據業務現狀確定等保定級、根據雲服務業務模式(IaaS、PaaS、SaaS)匹配等保要求開展合規建設工作,最後通過選擇具備雲上測評經驗且綜合實力專業的測評機構完成等保測評。
數據安全建設
企業可以從數據生命週期維度,評估數據在各階段的風險情況,結合業務數據流轉、敏感數據使用場景等建設數據安全管理體系及相應的技術防護手段,保障數據全生命週期的安全。
IoT 安全能力建設
從雲、管、端、邊全面整體的做好 IoT 安全防護,評估整體風險情況。關注設備可信檢測與認證,提升設備整體鑑權能力;加強數據安全保護,使用可信的安全方案進行平臺的安全建設;使用 IoT 專業的安全運營方案,避免給平臺帶來無法挽回的損失。
常態化安全運營
定期做好雲上資產的基礎安全檢查工作(基線、漏洞、策略等);定期結合業務發展、雲平臺網絡架構等評估雲上資產安全風險;結合自身業務迭代頻率做好上線前安全檢查工作。做到風險可控,防患於未然。
閱讀更多 CSDN 的文章
