2017年,安全事件的影响的范围扩大,破坏性增强,攻击的针对性和复杂性提升;
17年初,攻击者利用MongoDB和Redis未授权访问进行勒索挖矿;5月,影响全球150国,30万终端的WannaCry勒索病毒爆发;年末,史上最大的IntelCPU硬件漏洞事件影响持续至今;
全年期间,还陆续发生了Struts2、WebLogic反序列化漏洞等高危的web漏洞事件、NetSarang XshellGhost 、CCleaner恶意代码攻击供应链类的安全事件……
随着漏洞影响面日益扩大,漏洞利用门槛降低,漏洞利用方法也趋于自动化,云上应急响应的责任,也变得越来越重大。
在阿里云上,每一次高危安全事件背后,云盾安全应急响应中心都充当着哨兵、救火队员和医疗队员的三重角色 — 613万个漏洞修复背后,是“让云上更安全”的初心,和对每一位客户的承诺。
一、2017年,为云上更安全而改变
帮助百万企业:2017年,云盾安全应急响应中心联动各个产品,帮助百万用户修复613万个漏洞;处理安全事件数较2016年增长29%。
第一时间修复: 云上应急响应速度,相比16年提升3倍,平均响应 – 评估确认时间从280分钟提升至85分钟。
产品协同联动:从发现漏洞,到云盾安全产品防御策略发布,最快2小时内完成,相比16年提升3倍效率,通过梳理当前应急响应流程、应急响应漏洞评级标准、优化应急响应组织、落地为应急响应平台。
最优运营机制: 实现基于威胁情报的实时应急响应,驱动应急响应工作效率提升。形成: 威胁情报监测 - 应急响应和预警 - 安全专家分析和评估 - 制定最佳安全解决方案 - 持续分析跟踪安全风险,五大环节的最优运营机制,收敛云上安全风险。
云盾应急响应指挥中心界面
帮助这些行业提升安全基准分:通过分析2017年漏洞爆发及修复数据,云盾应急响应中心发现:工业制造,零售、医疗等传统企业为安全事件高发行业。与电商、互金、多媒体等行业相比,这些行业处于数字化转型的相对初期,对云的接受度和企业安全的重视度稍弱。
基于云上应急响应的机制,云盾希望将最新、最快的漏洞消息通知到各个行业的客户,帮助其提高威胁情报敏感度,重视漏洞修复。同时,对于中小企业和自身安全成熟度较弱的企业来说,云上应急响应可让企业变得更加安全 — 云具备快速响应、止血、修复的能力,可帮助安全实力较弱的企业,默认解决基础攻防问题,提升安全基准分。
重点警惕这些漏洞:远程命令执行、权限提升、反序列化、SQL注入类型较高,其中远程命令执行漏洞占了51%,远程命令执行漏洞危害巨大,攻击者通过构造恶意请求,执行系统命令或读写文件,从而控制整个网站甚至控制服务器。
相比16年,反序列化漏洞呈现增长趋势,大部分由于Java自身的反序列特征导致的漏洞,主要集中在Jackson、WebLogic、JBoss。此类漏洞利用门槛都较低,被黑产广泛利用挖矿或勒索。
二、典型应急响应事件分析
2017年一月中旬
针对NoSQL数据库服务、数据服务比特币勒索事件。
2017年1月中旬,阿里云云盾应急响应中心监测到外部攻击者利用NoSQL数据库服务导致用户被比特币勒索,立即启动应急响应;
实时监测和预警,行业率先启动应急,并通过邮件、站内信、官网通告等形式,对客户进行点对点预警通知,最大限度降低影响面,尽职尽责帮助客户。
协同监管力量,第一时间提供解决方案并指导用户处理,减少客户业务损失。
2017年五月中旬
Wannacry加密勒索事件
2017年5月12中旬爆发加密勒索事件,横扫全球150国,30万终端,许多在传统IT环境中“重兵防守”的企业和机构,也未能幸免于难,打破业界对“物理隔离就安全”的迷信。在云上,云盾应急响应团队基于云平台的计算能力和威胁情报优势,做到提前28天预警,9小时修复。
事件爆发一个月前,专家团队精准研判风险,提前28天启动应急响应,将云上风险防范于未然。
事件爆发期间,提供预警、止血、一对一通知应急处置方案,并为客户提供免费检测工具,协助在9小时完成修复。
2018年一月中旬
Intel CPU 硬件漏洞事件
云盾应急响应中心提前获取情报,提早半个月启动应急响应和处置;
多团队协作应对,成功稳定修复漏洞:2018年1月漏洞披露后,阿里云第一时间发布公告,采用热升级的方式确保绝大多数客户不受到影响。
三、2018年安全态势预测
高危漏洞,0day漏洞将更多被披露,相关安全问题也将愈来愈严峻。
随着区块链的发展和成熟,将催生更多恶意攻击活动,更多被入侵事件将被利用于挖矿,勒索。
攻击者们将继续瞄准基础设施中的漏洞,成功入侵事件将严重影响民生安全。
安全操作和配置对于企业来说异常重要:未来,受利益驱使的加密勒索、挖矿不断增加,从攻击方式来看,漏洞利用方式并不“高级”,现存的问题仍然是基础的安全问题:如通用性安全漏洞、不安全的配置导致的安全事件。
企业负责人需继续提高对安全的重视度,加大投入:关注高危漏洞,建立检测,修复,防御的能力,如漏洞检测,及时修复,让主机达到安全基线标准,部署防御类产品,应对各种针对系统,Web的攻击,保障业务安全性。
作为云服务提供商,云盾应急响应团队将继续尽职尽责帮助客户做好安全事件管理;我们也更希望看到越来越多的企业和机构,将安全融入到企业技术管理的每一个环节中,重视漏洞修复,提升员工安全意识 —— 借力云上应急响应优势,及时看见、修复、管理风险,让云上资产更加安全。
推荐阅读
高危预警 | Windows内核提权漏洞(CVE-2018-1038)
借鉴人类疾病防疫机制,阿里云如何帮助用户应对大规模安全疫情?