2015年的公有云安全情況解讀

　　近日，云服務(wù)商UCloud安全中心公布了《2015公有云安全年度報(bào)告》，報(bào)告對全年DDoS攻擊情況，漏洞遭受攻擊情況、以及云安全發(fā)展趨勢、年度安全事件等情況等進(jìn)行了總結(jié)和披露。從這份報(bào)告中，我們能夠了解過去一年公有云市場的安全情況。通過對過去一年的安全問題總結(jié)，我們就可以對2016年的安全問題進(jìn)行針對性地解決。

　　對于公有云的安全，基本上可以分為兩塊：DDoS攻擊和漏洞攻擊。這也不難理解，畢竟公有云是暴露在互聯(lián)網(wǎng)上，所以面臨的網(wǎng)絡(luò)安全也是顯而易見的。

　　DDoS攻擊分析

　　DDoS攻擊一直是互聯(lián)網(wǎng)毒瘤，對于云計(jì)算提供商來說更是如此，隨著云計(jì)算的普及，整個社會對于云計(jì)算的接受度在提高，但是云計(jì)算的普及也讓DDoS攻擊也呈現(xiàn)了新的特征。

　　游戲行業(yè)是最主要的DDOS攻擊目標(biāo)

　　UCloud安全中心2015年的檢測數(shù)據(jù)顯示，游戲、企業(yè)服務(wù)、電子商務(wù)與互聯(lián)網(wǎng)金融行業(yè)是DDoS攻擊的主要對象。其中，年內(nèi)被攻擊最頻繁的是游戲行業(yè)，占攻擊總量的 30.1%;另外，企業(yè)服務(wù)(軟件與技術(shù)服務(wù))行業(yè)排名第二，占攻擊總量的 26.2%;電子商務(wù)行業(yè)排名第三，占攻擊總量的 17.5%。

　　點(diǎn)評：DDoS攻擊是大多是帶有經(jīng)濟(jì)或者政治目的，所以行業(yè)特征比較明顯。而游戲行業(yè)作為變現(xiàn)能力比較強(qiáng)的行業(yè)自然就成了熱門目標(biāo)，另外需要注意的是企業(yè)服務(wù)(軟件與技術(shù)服務(wù))行業(yè)在DDoS攻擊中的占比已經(jīng)排名第二，這也顯示出了企業(yè)越來多講工作負(fù)載遷移到云端。雖然這有助于企業(yè)實(shí)現(xiàn)業(yè)務(wù)的靈活性，但是安全形勢不容樂觀。

　　反射型放大攻擊手法仍備受青睞

　　UCloud安全中心對2015年的DDoS攻擊方式進(jìn)行了統(tǒng)計(jì)分析，其中五分之四以上的攻擊使用的是UDP協(xié)議，而UDP協(xié)議攻擊中則以反射性攻擊為主(近 80%)，因?yàn)檫@種DDoS攻擊方式具有無需組建僵尸網(wǎng)絡(luò)、可隱藏攻擊者真實(shí)身攻擊者的網(wǎng)絡(luò)帶寬要求小等優(yōu)勢。此外，在UDP協(xié)議攻擊中，攻擊者通常會采

　　用多種攻擊方式進(jìn)行混合攻擊，這種UDP混合型攻擊占UDP協(xié)議攻擊總量的54.8%。由此可見，這種低成本反射型放大攻擊在短期內(nèi)仍會備受攻擊者的青睞。

　　點(diǎn)評：反射型DDoS攻擊方式目前呈現(xiàn)出增長的趨勢，因?yàn)殡S著云計(jì)算的發(fā)展，各種網(wǎng)絡(luò)協(xié)議更多暴露在互聯(lián)網(wǎng)上，這導(dǎo)致攻擊者利用這些協(xié)議進(jìn)行DDoS攻擊。而且大多承載這些協(xié)議的服務(wù)都是依托在云平臺上，這也給云平臺帶了更多安全挑戰(zhàn)。

　　上百G的攻擊流量已很常見

　　UCloud安全中心對2015年的DDoS攻擊流量峰值進(jìn)行了統(tǒng)計(jì)分析，十二個月中，只有3月份和11月份攻擊流量峰值未超過100Gbps(分別為70.1Gbps和81.6Gbps)，其他十個月每月的攻擊流量峰值均超過100Gbps(最大為6月份140.1Gbps)。由此可見，攻擊流量上百G已經(jīng)較為普遍，這與中國寬帶網(wǎng)絡(luò)的普及和提速有著密切關(guān)系。

　　點(diǎn)評：大流量DDoS攻擊已經(jīng)屢見不鮮，除了與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善有關(guān)，這也與云計(jì)算提供能夠提供按需使用的計(jì)算資源有關(guān)，攻擊者獲取計(jì)算資源的便利性直接加劇了DDoS危害程度。

　　應(yīng)對之策

　　DDoS攻擊呈現(xiàn)了新的特征，這需要整個產(chǎn)業(yè)的協(xié)同才能實(shí)現(xiàn)治理，比如運(yùn)營商、安全服務(wù)商、云計(jì)算提供商等。UCloud通過建設(shè)云檢測集群、云清洗集群和智能調(diào)度中心而形成云端智能清洗防護(hù)系統(tǒng)，并推出高防服務(wù)(UADS)產(chǎn)品，目前全網(wǎng)抗DDoS攻擊能力達(dá)800Gbps，能夠?yàn)橛脩?包括非UCloud用戶)提供靈活、智能的大流量DDoS與CC攻擊的防護(hù)服務(wù)。

　　漏洞攻擊

　　Web漏洞攻擊類型分布

　　據(jù)UCloud云安全平臺監(jiān)測統(tǒng)計(jì)，SQL注入攻擊仍然是目前云上環(huán)境最流行的攻擊，占到了總攻擊的41%，其次是針對Web組件，如Apache、Nginx、IIS、Jboss、Tomcat等的攻擊。其次是一些常見攻擊手段的利用，如命令注入、XSS、非法上傳下載等。另外，一些高危漏洞如Bash漏洞、Struts2漏洞及OpenSSL等漏洞的利用量也居高不下。

　　點(diǎn)評：目前公有云上的工作負(fù)載大部分是基于Web的應(yīng)用，所以我們看看這些漏洞攻擊類型也就不難理解了。所以對于公有云的安全防護(hù)一定要注意應(yīng)用層面的問題，只是關(guān)注基礎(chǔ)設(shè)施層面還是不夠。

　　暴力破解類型分布

　　經(jīng)UCloud云安全平臺監(jiān)測，2015年，UCloud一共監(jiān)測到3723005個攻擊源IP的66.36億次暴力破解事件，較2014年45.03億次，增長了約47%。經(jīng)檢測，暴力破解主要分布在SSH、HTTP、RDP、FTP、MySQL、MSSQL等幾大應(yīng)用程序中，其中SSH的暴力破解數(shù)量占全部暴力破解的61.11%。

　　縱觀全球所有數(shù)據(jù)分析，全世界攻擊活動高發(fā)地主要分布在中國、美國、日本、加拿大等國家?？v觀全國所有數(shù)據(jù)分析，全國攻擊活動高發(fā)地主要分布在北京、上海、廣州、江西、江蘇等地，其中以華南地區(qū)居首。

　　點(diǎn)評：暴力破解一直是一個常見的網(wǎng)絡(luò)攻擊類型，畢竟用戶帳號密碼的信息是非常關(guān)鍵的，往往獲取了這些信息，對于企業(yè)信息安全造成的影響也是巨大的。所以企業(yè)一定要注意加強(qiáng)帳號密碼的保護(hù)，對于弱口令一定要禁止。而從暴力破解的地域看也非常有意思，第一集中于互聯(lián)網(wǎng)市場比較發(fā)展的的確，世界范圍就是中美日，中國范圍就是北上廣。畢竟這些區(qū)域的互聯(lián)網(wǎng)市場比較發(fā)達(dá)，相應(yīng)的網(wǎng)絡(luò)安全形勢也是比較嚴(yán)峻的。

　　云安全前沿趨勢

　　在系統(tǒng)總結(jié)了2015年公有云面臨的安全威脅后，UCloud也對新的安全防御技術(shù)進(jìn)行了展望。畢竟攻與防是對立的，所謂魔高一尺，道高一丈。隨著新的安全形式的出現(xiàn)，針對新的安全威脅的安全技術(shù)也開始出現(xiàn)。UCloud對此進(jìn)行了歸納，如下：

　　數(shù)據(jù)驅(qū)動安全

　　在目前的大數(shù)據(jù)時代，主流的云安全廠商均開始轉(zhuǎn)向研發(fā)以全流量日志記錄和大規(guī)模數(shù)據(jù)關(guān)聯(lián)分析為基礎(chǔ)的大數(shù)據(jù)安全監(jiān)測與防御系統(tǒng)。從數(shù)據(jù)發(fā)現(xiàn)安全的蛛絲馬腳，這是大數(shù)據(jù)時代的必然要求。

　　威脅情報(bào)

　　高級的定向攻擊使防范為中心的策略已經(jīng)過時。做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一關(guān)鍵任務(wù)上，防范措施必不可少，但是基于預(yù)警、響應(yīng)的時間差更關(guān)鍵。從未來看，企業(yè)安全將會發(fā)生一個大的轉(zhuǎn)變：即以信息和人為中心的安全策略，結(jié)合全面的內(nèi)部監(jiān)控和安全情報(bào)共享。

　　安全可視化

　　安全數(shù)據(jù)的可視化技術(shù)可以幫助安全人員更加迅速而有效的分析安全問題，捕獲安全線索，發(fā)現(xiàn)未知威脅。安全可視化技術(shù)是安全看見能力重要的外在表現(xiàn)形式。

　　安全即服務(wù)

　　越來越多的企業(yè)開始部署云計(jì)算，來幫助降低成本、提高靈活性和提供業(yè)務(wù)專業(yè)技能。基于云計(jì)算的安全服務(wù)也具有相同的優(yōu)勢。這種新興的安全即服務(wù)模式為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御提供了前所未有的公平競爭環(huán)境。

　　云安全生態(tài)圈

　　任何單個機(jī)構(gòu)，單一的企業(yè)，依靠傳統(tǒng)的方式和措施手段已經(jīng)難以有效地應(yīng)對互聯(lián)網(wǎng)暗處的安全威脅。所以我們就看到了各種安全聯(lián)盟的出現(xiàn)，對于安全問題，需要整個產(chǎn)業(yè)鏈上下游廠商的協(xié)同工作才能解決。

　　結(jié)語

　　UCloud安全中心的《2015公有云安全年度報(bào)告》內(nèi)容全面，基本上覆蓋了目前云計(jì)算提供商面臨的安全問題，并給了UCloud的應(yīng)對之策。這對于其他云計(jì)算提供應(yīng)對安全威脅非常有幫助，此外UCloud還對未來的安全技術(shù)進(jìn)行了展望，這對于相關(guān)廠商推出更有針對性的安全解決方案提供了新的思路?？傊?，《2015公有云安全年度報(bào)告》值得每一個關(guān)注云計(jì)算安全的朋友閱讀，完整的報(bào)告全文可以到UCloud官網(wǎng)下載。