2020年初,一種COVID-19流行病迅速蔓延。這種病毒打破了物理界限,給人類(lèi)社會(huì)的發(fā)展帶來(lái)了不可預(yù)測(cè)的變數(shù)。然而,在陸、海、空、空之外的“第五空間”——賽博空間,隨著物理世界和虛擬世界的深度融合,未知威脅不斷觸及安全紅線(xiàn),防止黑天鵝入侵網(wǎng)絡(luò)安全迫在眉睫。其中,對(duì)于企業(yè)來(lái)說(shuō),主機(jī)是承載企業(yè)數(shù)據(jù)和服務(wù)的核心,也是抵御網(wǎng)絡(luò)威脅的最后一道防線(xiàn)。如何解決其安全風(fēng)險(xiǎn)尤為關(guān)鍵。
為了使各行各業(yè)的組織充分而清楚地了解當(dāng)前主機(jī)的安全狀況以及如何保護(hù)主機(jī)的安全。近日,青騰云安全與中國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟(IDAC)、騰訊標(biāo)準(zhǔn)、騰訊安全聯(lián)合發(fā)布《2019中國(guó)主機(jī)安全服務(wù)報(bào)告》。報(bào)告以理論與實(shí)踐相結(jié)合為指導(dǎo)思想,通過(guò)前期大量的數(shù)據(jù)調(diào)查,分析了我國(guó)主機(jī)安全的整體狀況和主機(jī)安全產(chǎn)品的成熟程度,為主機(jī)安全未來(lái)的發(fā)展指明了方向。
從4個(gè)維度和20個(gè)角度分析主持人的整體情況
本報(bào)告將從主機(jī)資產(chǎn)概況、主機(jī)風(fēng)險(xiǎn)分析、主機(jī)入侵檢測(cè)和主機(jī)合規(guī)性分析四個(gè)方面詳細(xì)分析2019年主機(jī)安全的總體情況。
盤(pán)點(diǎn)你擁有的資產(chǎn)
沒(méi)有完整而詳細(xì)的主機(jī)資產(chǎn)列表,安全運(yùn)營(yíng)和維護(hù)團(tuán)隊(duì)將無(wú)法確保組織的安全,因?yàn)闆](méi)有人能夠保護(hù)“未知”事物的安全。通過(guò)分析大量企業(yè)級(jí)主機(jī)的核心資產(chǎn),該報(bào)告為企業(yè)制定安全保護(hù)策略提供了支持和幫助。
通過(guò)統(tǒng)計(jì)分析發(fā)現(xiàn),在企業(yè)客戶(hù)中,超過(guò)81.45%的主機(jī)使用Linux操作系統(tǒng),只有18.55%的主機(jī)使用Windows操作系統(tǒng)。造成這種情況的原因有很多,比如Linux的兼容性好、模塊化和資源消耗少,這使得很多客戶(hù)選擇了Linux系統(tǒng)。圖1:不同主機(jī)操作系統(tǒng)的使用率
根據(jù)對(duì)樣本數(shù)據(jù)的分析,74%的主機(jī)擁有特殊帳戶(hù),如UID 0、GID 0、Root/Administrator帳戶(hù)、Sudo權(quán)限等。這些特殊賬戶(hù)往往成為黑客青睞的資產(chǎn),是高風(fēng)險(xiǎn)的重點(diǎn)保護(hù)資產(chǎn)。圖2:特殊主機(jī)帳戶(hù)的使用
另外,在對(duì)樣本數(shù)據(jù)的分析中發(fā)現(xiàn),Tomcat服務(wù)是Linux系統(tǒng)中使用最多的Web服務(wù),使用率高達(dá)58%,其次是Nginx,使用率為32%。圖Linux五大網(wǎng)絡(luò)服務(wù)的使用
在Windows環(huán)境中,IIS的使用率最高,達(dá)到47%,其次是Tomcat,達(dá)到36%。此外,Apache和Nginx以一定比例使用。圖4:視窗五大網(wǎng)絡(luò)服務(wù)的使用
評(píng)估存在哪些風(fēng)險(xiǎn)
為了在黑客入侵前發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)點(diǎn),安全人員需要通過(guò)專(zhuān)業(yè)的風(fēng)險(xiǎn)評(píng)估工具來(lái)檢測(cè)、移除和控制風(fēng)險(xiǎn),以減少攻擊面,包括安全補(bǔ)丁、漏洞、弱密碼、應(yīng)用風(fēng)險(xiǎn)、賬戶(hù)風(fēng)險(xiǎn)等。
根據(jù)受漏洞影響的主機(jī)數(shù)量,我們發(fā)現(xiàn)2019年受影響最大的前10個(gè)漏洞,其中許多是前幾年的。特別是對(duì)于那些舊資產(chǎn),修補(bǔ)是一個(gè)嚴(yán)重的短缺。因此,這些漏洞已經(jīng)成為黑客的突破口。圖5:2019年影響主機(jī)排名前10的漏洞
除了脆弱性風(fēng)險(xiǎn)外,在對(duì)網(wǎng)絡(luò)服務(wù)器等互聯(lián)網(wǎng)空間資產(chǎn)進(jìn)行測(cè)繪后,發(fā)現(xiàn)大量資產(chǎn)開(kāi)通了高風(fēng)險(xiǎn)端口,具有較高的安全風(fēng)險(xiǎn)。例如,許多黑客喜歡嘗試入侵端口22和3389。如果主機(jī)有一個(gè)弱密碼登錄,很容易被成功破解,然后服務(wù)器被黑客控制。特別是今年暴露的藍(lán)守(CVE-2019-0708)和視窗RDS(CVE-2019-1181)都是漏洞,對(duì)視窗遠(yuǎn)程桌面服務(wù)有很大的危害,3389是視窗遠(yuǎn)程桌面的默認(rèn)端口,因此帶有3389的視窗服務(wù)器更容易受到入侵攻擊。建議服務(wù)器修改默認(rèn)遠(yuǎn)程連接端口,如果沒(méi)有必要,請(qǐng)關(guān)閉該端口。圖6:開(kāi)放常見(jiàn)高風(fēng)險(xiǎn)港口
此外,不同的服務(wù)有一些弱密碼,它們有自己的服務(wù)特征,其中一些是安裝過(guò)程中的默認(rèn)密碼。例如,MySQL數(shù)據(jù)庫(kù)的默認(rèn)密碼為空。通過(guò)分析發(fā)現(xiàn),主機(jī)軟件的弱密碼主要集中在MySQL、SSH、SVN、Redis和vsftpd,MySQL和SSH的弱密碼超過(guò)30%。圖7:主機(jī)軟件的弱密碼清單
特洛伊病毒也是主機(jī)中最常見(jiàn)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)木馬軟件在各行業(yè)中毒事件中所占比例最高(40%以上),科技行業(yè)感染風(fēng)險(xiǎn)木馬軟件的比例小于其他行業(yè)。因?yàn)轱L(fēng)險(xiǎn)木馬軟件的感染主要是由于不良的上網(wǎng)習(xí)慣和缺乏安全意識(shí)(如使用盜版軟件或插件工具等)造成的。),技術(shù)行業(yè)的員工可能對(duì)互聯(lián)網(wǎng)安全有更高的認(rèn)識(shí)。
教育行業(yè)感染木馬的感染率相對(duì)較高,這可能與該行業(yè)文件交互傳輸頻繁有關(guān)。圖8:病毒類(lèi)型在不同行業(yè)的分布
后門(mén)遠(yuǎn)程控制木馬是除風(fēng)險(xiǎn)軟件以外感染最多的類(lèi)型,約占20%。后門(mén)遠(yuǎn)程控制木馬隱蔽性極強(qiáng),通過(guò)接受遠(yuǎn)程指令進(jìn)行信息竊取、屏幕截圖、文件上傳等操作,對(duì)金融技術(shù)等信息敏感行業(yè)造成極大危害。
檢測(cè)存在哪些攻擊
通過(guò)對(duì)暴露在公共網(wǎng)絡(luò)中的服務(wù)器進(jìn)行抽樣分析,發(fā)現(xiàn)在常見(jiàn)的攻擊類(lèi)型中,遠(yuǎn)程代碼執(zhí)行(RCE)、SQL注入和XSS攻擊所占比例較高,黑客獲取服務(wù)器和網(wǎng)站基本信息的常用探測(cè)掃描量也很高。圖9:常見(jiàn)的主機(jī)漏洞
2019年,全國(guó)企業(yè)用戶(hù)感染木馬的案例超過(guò)100萬(wàn)起。其中,Webshell惡意程序感染占73.27%;Windows惡意程序感染占18.05%;Linux中的惡意程序感染占8.68%。圖10:主機(jī)感染了病毒木馬
從受感染的主機(jī)中發(fā)現(xiàn)了10,000多種木馬病毒,其中Webshell病毒約占27%,Windows木馬病毒約占61%,Linux木馬病毒約占12%。圖11:病毒木馬的分布
從上面可以看出,2019年有近80萬(wàn)個(gè)Webshell惡意程序感染,占所有感染的70%。就受感染的服務(wù)器數(shù)量而言,Webshell感染約占所有Windows服務(wù)器的44%,Webshell感染約占所有Linux服務(wù)器的0.2%。這表明視窗服務(wù)器更容易受到網(wǎng)絡(luò)外殼攻擊。
從受感染的網(wǎng)絡(luò)外殼語(yǔ)言類(lèi)型來(lái)看,PHP類(lèi)型的網(wǎng)絡(luò)外殼最多,其次是ASP語(yǔ)言。圖12:網(wǎng)絡(luò)外殼語(yǔ)言類(lèi)型的比例分布
此外,根據(jù)本報(bào)告對(duì)不同操作系統(tǒng)樣本數(shù)據(jù)的分析,發(fā)現(xiàn)3000多臺(tái)Windows服務(wù)器感染了挖掘木馬,其中2000多臺(tái)Linux服務(wù)器感染了挖掘木馬。
通過(guò)對(duì)被感染主機(jī)的分析,發(fā)現(xiàn)挖掘木馬主要挖掘比特幣和門(mén)羅幣。猜一猜原因,可能是比特幣是數(shù)字現(xiàn)金的先驅(qū),而且它的價(jià)值非常高,所以它成了黑客的焦點(diǎn)。門(mén)羅硬幣是一種新的數(shù)字現(xiàn)金,因?yàn)樗饕褂弥醒胩幚砥鬟M(jìn)行挖掘,所以黑色團(tuán)伙喜歡使用入侵服務(wù)器進(jìn)行挖掘。從入侵和開(kāi)采時(shí)間來(lái)看:
Windows平臺(tái)上挖掘事件主要發(fā)生的年初(1-3月)和年末(12月)如下:圖13:Windows平臺(tái)上挖掘事件的月度統(tǒng)計(jì)
但是,Linux平臺(tái)上的挖掘事件主要集中在年中(4-6月)和年末(11-12月):圖14:Linux平臺(tái)上挖掘事件的月度統(tǒng)計(jì)
可以看出,無(wú)論是Windows平臺(tái)還是Linux平臺(tái),年底的挖掘入侵發(fā)生率都很高,需要注意服務(wù)器的CPU是否過(guò)高。
確定是否符合要求
所有企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)都需要滿(mǎn)足國(guó)家或監(jiān)管部門(mén)的安全標(biāo)準(zhǔn),如equal security 2.0和CIS安全標(biāo)準(zhǔn)。安全標(biāo)準(zhǔn),也稱(chēng)為“安全基線(xiàn)”。安全基線(xiàn)的意義在于建立一系列滿(mǎn)足最基本保護(hù)要求的基準(zhǔn),廣泛應(yīng)用于金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)等行業(yè)。自我檢查和自我強(qiáng)化
主機(jī)賬戶(hù)安全性的重要性不言而喻,但在樣本分析過(guò)程中,我們?nèi)匀话l(fā)現(xiàn)許多賬戶(hù)不符合要求,如沒(méi)有密碼嘗試次數(shù)鎖定、沒(méi)有密碼復(fù)雜度限制等。不符合國(guó)家一級(jí)保護(hù)的相關(guān)要求。在equal insurance 2.0的一般基本要求的認(rèn)證控制項(xiàng)中,明確要求“登錄用戶(hù)必須經(jīng)過(guò)身份識(shí)別和認(rèn)證,身份必須唯一,認(rèn)證信息必須具有復(fù)雜性要求并定期更換”,“提供登錄失敗處理功能,并配置和啟用結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)、登錄連接超時(shí)自動(dòng)退出等相關(guān)措施?!眻D15:主機(jī)賬號(hào)不符合
此外,主機(jī)服務(wù)器上還有許多應(yīng)用程序。如果應(yīng)用程序中存在不符合要求的情況,如配置錯(cuò)誤、未修補(bǔ)的漏洞補(bǔ)丁等。然后黑客可以通過(guò)應(yīng)用程序進(jìn)入主機(jī)系統(tǒng),這將帶來(lái)很大的風(fēng)險(xiǎn)。圖16:常見(jiàn)應(yīng)用程序的配置風(fēng)險(xiǎn)
當(dāng)然,如果主機(jī)的底層操作系統(tǒng)配置不當(dāng),將會(huì)出現(xiàn)許多安全問(wèn)題。建議安全運(yùn)行維護(hù)人員仔細(xì)配置主機(jī),以滿(mǎn)足組織的安全需求,并可根據(jù)需要進(jìn)行重新配置。通過(guò)對(duì)樣本數(shù)據(jù)的研究和分析,發(fā)現(xiàn)GRUB密碼設(shè)置、UMASK值異常和無(wú)SYN COOKIE是主機(jī)系統(tǒng)風(fēng)險(xiǎn)比例最大的三種類(lèi)型。圖17:主機(jī)系統(tǒng)不符合性分析
從三個(gè)層面解讀未來(lái)主機(jī)安全的發(fā)展方向
正如達(dá)爾文所說(shuō),進(jìn)化來(lái)自突變,安全面臨著“不可預(yù)測(cè)的未來(lái)”。主機(jī)安全作為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要分支,面臨著不可預(yù)知的黑客攻擊,傳統(tǒng)的防范和攔截策略已不再可行。
一方面,攻擊者和防御者處于天然的不平等地位,傳統(tǒng)的基于警報(bào)或現(xiàn)有威脅特征的檢測(cè)技術(shù),包括防火墻、入侵防御系統(tǒng)、防病毒和沙箱等被動(dòng)防御手段,使得這種不平等更加嚴(yán)重。許多被黑客捕獲的企業(yè)組織已經(jīng)建立了一定的安全防御系統(tǒng),但他們?nèi)匀徊荒芗皶r(shí)發(fā)現(xiàn)或阻止威脅,并最大限度地減少損失。主要是因?yàn)槟壳暗臋z測(cè)系統(tǒng)在處理未知威脅方面存在一些不足,表現(xiàn)在以下幾個(gè)方面:
單一檢測(cè)技術(shù):基于簽名的檢測(cè)技術(shù)無(wú)法檢測(cè)未知威脅,也無(wú)法定位丟失的主機(jī)。
缺乏連續(xù)檢測(cè):只能進(jìn)行周期性檢測(cè),不能覆蓋威脅的整個(gè)生命周期。
聯(lián)動(dòng)是不可能的:每個(gè)安全檢測(cè)產(chǎn)品都是獨(dú)立工作的,攻擊報(bào)警信息是零散的,所以聯(lián)動(dòng)是不可能的。
另一方面,當(dāng)前安全攻防對(duì)抗日趨激烈,單純依靠預(yù)防和防范的策略已不再可行,必須更加注重發(fā)現(xiàn)和應(yīng)對(duì)。在企業(yè)受到攻擊的假設(shè)下,有必要構(gòu)建一個(gè)集防御、檢測(cè)、響應(yīng)和預(yù)防為一體的全新的安全防護(hù)體系。這也可以從2019年6月的網(wǎng)絡(luò)演習(xí)規(guī)則中看出,演習(xí)并沒(méi)有強(qiáng)制系統(tǒng)不被入侵,而是強(qiáng)調(diào)入侵后的快速反應(yīng)能力。
最后,隨著云計(jì)算的快速發(fā)展,云和云原生趨勢(shì)逐漸成為主流,云和云原生等新架構(gòu)不斷涌現(xiàn)。如何使原有的主機(jī)安全產(chǎn)品適應(yīng)新的架構(gòu)也成為企業(yè)不得不考慮的話(huà)題。
為了應(yīng)對(duì)外部環(huán)境的不斷演變,主機(jī)安全防護(hù)軟件不斷更新和迭代,產(chǎn)生了一系列細(xì)分領(lǐng)域的主機(jī)安全產(chǎn)品。從主機(jī)安全產(chǎn)品的發(fā)展水平來(lái)看,大致可以概括為五個(gè)階段:“基本主機(jī)安全產(chǎn)品”、“以應(yīng)用為中心的主機(jī)安全產(chǎn)品”、“以檢測(cè)-響應(yīng)為中心的主機(jī)安全產(chǎn)品”、“以主動(dòng)防御為中心的主機(jī)安全產(chǎn)品”和“新型主機(jī)安全產(chǎn)品”。圖18:主機(jī)安全性成熟度曲線(xiàn)
我們可以看到,在未來(lái),作為企業(yè)基礎(chǔ)設(shè)施的必需品,企業(yè)只有朝著“持續(xù)檢測(cè)、快速響應(yīng)、全面適應(yīng)”的方向發(fā)展主機(jī)安全產(chǎn)品,才能更好地應(yīng)對(duì)未知的未來(lái)。
寫(xiě)在最后
《進(jìn)化論》這一宏大的理論體系不僅促使市場(chǎng)充分了解中國(guó)主機(jī)安全的現(xiàn)狀,也為主機(jī)安全的發(fā)展指明了方向。未來(lái),作為中國(guó)主機(jī)安全的領(lǐng)導(dǎo)者,慶騰將繼續(xù)深化在這一領(lǐng)域的探索和推廣,繼續(xù)幫助政府、金融、互聯(lián)網(wǎng)、運(yùn)營(yíng)商、醫(yī)療、教育等不同行業(yè)的用戶(hù)。構(gòu)筑網(wǎng)絡(luò)安全的最后一道防線(xiàn),為中國(guó)的網(wǎng)絡(luò)安全事業(yè)輸出源源不斷的安全免疫力!
有關(guān)報(bào)告的詳細(xì)信息,請(qǐng)注意“慶騰云安全信息”的公開(kāi)號(hào)碼。