云上应急响应年报 | 613万漏洞修复，让云上更安全

2017年，安全事件的影响的范围扩大，破坏性增强，攻击的针对性和复杂性提升；

17年初，攻击者利用MongoDB和Redis未授权访问进行勒索挖矿；5月，影响全球150国，30万终端的WannaCry勒索病毒爆发；年末，史上最大的IntelCPU硬件漏洞事件影响持续至今；

全年期间，还陆续发生了Struts2、WebLogic反序列化漏洞等高危的web漏洞事件、NetSarang XshellGhost 、CCleaner恶意代码攻击供应链类的安全事件……

随着漏洞影响面日益扩大，漏洞利用门槛降低，漏洞利用方法也趋于自动化，云上应急响应的责任，也变得越来越重大。

在阿里云上，每一次高危安全事件背后，云盾安全应急响应中心都充当着哨兵、救火队员和医疗队员的三重角色 — 613万个漏洞修复背后，是“让云上更安全”的初心，和对每一位客户的承诺。

一、2017年，为云上更安全而改变

• 帮助百万企业：2017年，云盾安全应急响应中心联动各个产品，帮助百万用户修复613万个漏洞；处理安全事件数较2016年增长29%。

• 第一时间修复: 云上应急响应速度，相比16年提升3倍，平均响应 – 评估确认时间从280分钟提升至85分钟。

• 产品协同联动：从发现漏洞，到云盾安全产品防御策略发布，最快2小时内完成，相比16年提升3倍效率，通过梳理当前应急响应流程、应急响应漏洞评级标准、优化应急响应组织、落地为应急响应平台。

• 最优运营机制: 实现基于威胁情报的实时应急响应，驱动应急响应工作效率提升。形成: 威胁情报监测 - 应急响应和预警  - 安全专家分析和评估 - 制定最佳安全解决方案 - 持续分析跟踪安全风险，五大环节的最优运营机制，收敛云上安全风险。

云盾应急响应指挥中心界面

• 帮助这些行业提升安全基准分：通过分析2017年漏洞爆发及修复数据，云盾应急响应中心发现：工业制造，零售、医疗等传统企业为安全事件高发行业。与电商、互金、多媒体等行业相比，这些行业处于数字化转型的相对初期，对云的接受度和企业安全的重视度稍弱。

基于云上应急响应的机制，云盾希望将最新、最快的漏洞消息通知到各个行业的客户，帮助其提高威胁情报敏感度，重视漏洞修复。同时，对于中小企业和自身安全成熟度较弱的企业来说，云上应急响应可让企业变得更加安全 — 云具备快速响应、止血、修复的能力，可帮助安全实力较弱的企业，默认解决基础攻防问题，提升安全基准分。

• 重点警惕这些漏洞：远程命令执行、权限提升、反序列化、SQL注入类型较高，其中远程命令执行漏洞占了51%，远程命令执行漏洞危害巨大，攻击者通过构造恶意请求，执行系统命令或读写文件，从而控制整个网站甚至控制服务器。

相比16年，反序列化漏洞呈现增长趋势，大部分由于Java自身的反序列特征导致的漏洞，主要集中在Jackson、WebLogic、JBoss。此类漏洞利用门槛都较低，被黑产广泛利用挖矿或勒索。

二、典型应急响应事件分析

2017年一月中旬

针对NoSQL数据库服务、数据服务比特币勒索事件。

2017年1月中旬，阿里云云盾应急响应中心监测到外部攻击者利用NoSQL数据库服务导致用户被比特币勒索，立即启动应急响应；

• 实时监测和预警，行业率先启动应急，并通过邮件、站内信、官网通告等形式，对客户进行点对点预警通知，最大限度降低影响面，尽职尽责帮助客户。

• 协同监管力量，第一时间提供解决方案并指导用户处理，减少客户业务损失。

2017年五月中旬

Wannacry加密勒索事件

2017年5月12中旬爆发加密勒索事件，横扫全球150国，30万终端，许多在传统IT环境中“重兵防守”的企业和机构，也未能幸免于难，打破业界对“物理隔离就安全”的迷信。在云上，云盾应急响应团队基于云平台的计算能力和威胁情报优势，做到提前28天预警，9小时修复。

• 事件爆发一个月前，专家团队精准研判风险，提前28天启动应急响应，将云上风险防范于未然。

• 事件爆发期间，提供预警、止血、一对一通知应急处置方案，并为客户提供免费检测工具，协助在9小时完成修复。

2018年一月中旬

Intel CPU 硬件漏洞事件

• 云盾应急响应中心提前获取情报，提早半个月启动应急响应和处置；

• 多团队协作应对，成功稳定修复漏洞：2018年1月漏洞披露后，阿里云第一时间发布公告，采用热升级的方式确保绝大多数客户不受到影响。

三、2018年安全态势预测

• 高危漏洞，0day漏洞将更多被披露，相关安全问题也将愈来愈严峻。

  
  

• 随着区块链的发展和成熟，将催生更多恶意攻击活动，更多被入侵事件将被利用于挖矿，勒索。

  
  

• 攻击者们将继续瞄准基础设施中的漏洞，成功入侵事件将严重影响民生安全。

安全操作和配置对于企业来说异常重要：未来，受利益驱使的加密勒索、挖矿不断增加，从攻击方式来看，漏洞利用方式并不“高级”，现存的问题仍然是基础的安全问题：如通用性安全漏洞、不安全的配置导致的安全事件。

企业负责人需继续提高对安全的重视度，加大投入：关注高危漏洞，建立检测，修复，防御的能力，如漏洞检测，及时修复，让主机达到安全基线标准，部署防御类产品，应对各种针对系统，Web的攻击，保障业务安全性。

作为云服务提供商，云盾应急响应团队将继续尽职尽责帮助客户做好安全事件管理；我们也更希望看到越来越多的企业和机构，将安全融入到企业技术管理的每一个环节中，重视漏洞修复，提升员工安全意识 —— 借力云上应急响应优势，及时看见、修复、管理风险，让云上资产更加安全。

推荐阅读

医疗机构防勒索全向指南

重要预警 | 阿里云捕获一例针对国内群呼系统的0day攻击

高危预警 | Windows内核提权漏洞(CVE-2018-1038)

借鉴人类疾病防疫机制，阿里云如何帮助用户应对大规模安全疫情？