2023上半年云安全態(tài)勢報(bào)告手冊

2023上半年云安全態(tài)勢報(bào)告引言在數(shù)字化轉(zhuǎn)型的大潮中，云計(jì)算作為實(shí)現(xiàn)創(chuàng)新和提高運(yùn)營效率的關(guān)鍵技術(shù)，成為了新一代信息技術(shù)的核心引擎。隨著云計(jì)算市場的快速發(fā)展，云安全已成為實(shí)施云戰(zhàn)略的重要保障。如何在加強(qiáng)企業(yè)自身安全基礎(chǔ)設(shè)施建設(shè)的同時(shí)，幫助企業(yè)實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)目標(biāo)，從而更好地支持企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)的持續(xù)創(chuàng)新，已成為當(dāng)前云安全建設(shè)的新挑戰(zhàn)。為了幫助讀者了解云安全的現(xiàn)狀和挑戰(zhàn)，騰訊安全和騰訊研究院共同撰寫了《2023上半年云安全態(tài)勢報(bào)告》（以下簡

稱《報(bào)告》）。報(bào)告將從2023上半年云上攻擊態(tài)勢、云安全的現(xiàn)狀與挑戰(zhàn)、云安全防護(hù)建議等多個(gè)方面出發(fā)，全面分析和總結(jié)當(dāng)前云安全領(lǐng)域的現(xiàn)狀和安全威脅。此外，報(bào)告還將關(guān)注API安全、容器安全等領(lǐng)域的最新發(fā)展和趨勢，為讀者提供有價(jià)值的參考信息，幫助企業(yè)更好地保護(hù)數(shù)據(jù)和應(yīng)用程序的安全。參與機(jī)構(gòu)：騰訊安全

騰訊研究院發(fā)布時(shí)間：2023年9月目錄2023上半年云上攻擊態(tài)勢行業(yè)攻擊態(tài)勢0102網(wǎng)絡(luò)架構(gòu)攻擊態(tài)勢2023上半年云上用戶面臨的安全威脅042023上半年活躍漏洞排名072023典型漏洞安全事件回顧102023云安全的現(xiàn)狀與挑戰(zhàn)企業(yè)云安全建設(shè)水平現(xiàn)狀132023上半年企業(yè)云安全建設(shè)面臨的挑戰(zhàn)152023上半年云安全態(tài)勢總結(jié)及建議云上安全態(tài)勢總結(jié)及建議172023上半年云上攻擊態(tài)勢行業(yè)攻擊態(tài)勢互聯(lián)網(wǎng)、金融、工業(yè)云成為被攻擊的TOP3行業(yè)2023上半年從不同行業(yè)角度的攔截?cái)?shù)據(jù)來看，各個(gè)行業(yè)遭受攻擊的次數(shù)呈現(xiàn)出明顯的差異?；ヂ?lián)網(wǎng)（通用工具、技術(shù)服務(wù)、通用SaaS）、金融和工業(yè)云成為被攻擊的TOP3行業(yè)，它們在云上所面臨的安全挑戰(zhàn)和風(fēng)險(xiǎn)更為突出?；ヂ?lián)網(wǎng)行業(yè)由于其龐大的用戶群體和業(yè)務(wù)需求，依賴于云計(jì)算技術(shù)來支持服務(wù)。攻擊者往往試圖利用云上的漏洞獲取用戶數(shù)據(jù)或破壞服務(wù)，使其成為遭受攻擊次數(shù)最多的行業(yè)，占到了2023上半年云上總攻擊次數(shù)的53.97%。2023上半年各行業(yè)用戶平均被攻擊次數(shù)圖1:2023上半年各行業(yè)用戶平均被攻擊次數(shù)其次，工業(yè)云作為制造業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵支撐，在云上同樣面臨著較高的攻擊風(fēng)險(xiǎn)，攻擊者可能試圖竊取商業(yè)機(jī)密或破壞生產(chǎn)過程，對企業(yè)造成嚴(yán)重

損失。2023上半年工業(yè)云在各行業(yè)客戶平均被攻擊次數(shù)排名中位列第二位，占總攻擊次數(shù)的8.17%。最后，金融行業(yè)由于涉及大量敏感數(shù)據(jù)和資金交易，一直是黑客攻擊的重

點(diǎn)目標(biāo)。相較其他行業(yè)，金融行業(yè)在云上遭受的攻擊次數(shù)不僅頻繁，攻擊手段也更加高級和隱蔽。上半年金融行業(yè)被攻擊次數(shù)占總次數(shù)的7.1%。從行業(yè)攻擊態(tài)勢來看，這些行業(yè)在2023上半年受到了攻擊者的重

點(diǎn)關(guān)照，需要尤其關(guān)注自身的云安全建設(shè)，并采取針對性的安全措施，確保業(yè)務(wù)和數(shù)據(jù)安全。金融7.1

%其他行業(yè)工業(yè)云8.17%其他行業(yè)30.76%互聯(lián)網(wǎng)技術(shù)服務(wù)電商互聯(lián)網(wǎng)通用工具互聯(lián)網(wǎng)通用工具8.31%工業(yè)云電商17.78%互聯(lián)網(wǎng)技術(shù)服務(wù)27.88%金融圖2:2023上半年云上各行業(yè)受攻擊總次數(shù)012023上半年云安全態(tài)勢報(bào)告網(wǎng)絡(luò)架構(gòu)攻擊態(tài)勢攻擊來源：96.1%攻擊主要來自外網(wǎng)，邊界安全防護(hù)仍是網(wǎng)絡(luò)安全防護(hù)的重

中之重云上業(yè)務(wù)在面臨攻擊時(shí)，攻擊來源可能多種多樣。依據(jù)騰訊安全2023上半年的攔截?cái)?shù)據(jù)統(tǒng)計(jì)，96.1%的云上攻擊主要來源于外網(wǎng)，剩

余3.9%的攻擊來自內(nèi)網(wǎng)橫移、跨網(wǎng)段攻擊、負(fù)載均衡等其他來源。外網(wǎng)攻擊通常由黑客、網(wǎng)絡(luò)犯罪團(tuán)伙等組織發(fā)起，這些組織仍然是云上業(yè)務(wù)面臨的主要風(fēng)險(xiǎn)來源。他們利用各種攻擊手段，包括漏洞利用、惡意軟件和拒絕服務(wù)攻擊等不同方式，來達(dá)到竊取數(shù)據(jù)和破壞服務(wù)等非法目的。在2023上半年，就有96.1%的云上攻擊源自外網(wǎng)。因此，加強(qiáng)邊緣安全防護(hù)仍然是網(wǎng)絡(luò)安全防護(hù)的核心任務(wù)。除外網(wǎng)攻擊以外，其余攻擊來源的占比如下：內(nèi)網(wǎng)攻擊占總攻擊次數(shù)的0.2%。內(nèi)網(wǎng)攻擊主要來自具有合法訪問權(quán)限的內(nèi)部人員，如惡意員工、合作伙伴等。他們可能因?yàn)樨澙?、?bào)復(fù)等動(dòng)機(jī)，濫用權(quán)限竊取數(shù)據(jù)或破壞系統(tǒng)。內(nèi)網(wǎng)攻擊者通常對企業(yè)的業(yè)務(wù)流程和系統(tǒng)架構(gòu)較為了解，對安全防護(hù)的威脅較大?？缇W(wǎng)段攻擊占總攻擊次數(shù)的0.3%?？缇W(wǎng)段攻擊指攻擊者利用企業(yè)內(nèi)部網(wǎng)絡(luò)的不同網(wǎng)段之間的通信漏洞，發(fā)起攻擊。攻擊者可能通過垂直特權(quán)升級、橫向移動(dòng)等手段，竊取數(shù)據(jù)或控制關(guān)鍵系統(tǒng)。這類攻擊需要企業(yè)加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全防護(hù)，確保云上環(huán)境的安全。負(fù)載均衡攻擊占總攻擊次數(shù)的3.4%。負(fù)載均衡攻擊針對的是企業(yè)在云上部署的負(fù)載均衡器。攻擊者可能通過惡意流量攻擊、會(huì)話劫持等手段，試圖破壞負(fù)載均衡器的正常工作，進(jìn)而影響整個(gè)應(yīng)用程序的可用性和性能。跨網(wǎng)段攻擊0.3%負(fù)載均衡

3.4%內(nèi)網(wǎng)橫移

0.2%外網(wǎng)攻擊96.1%外網(wǎng)攻擊負(fù)載均衡跨網(wǎng)段攻擊內(nèi)網(wǎng)橫移圖3:2023上半年云上被攻擊次數(shù)來源占比圖022023上半年云安全態(tài)勢報(bào)告資產(chǎn)被攻擊情況：主機(jī)資產(chǎn)占54.94%，容器資產(chǎn)占45.06%在云環(huán)境中，負(fù)載資產(chǎn)包括主機(jī)負(fù)載和容器負(fù)載，根據(jù)騰訊安全在2023年上半年的統(tǒng)計(jì)，容器負(fù)載被攻擊占比為45.06%，主機(jī)負(fù)載被攻擊的占比為54.94%，兩類資產(chǎn)的被攻擊占比基本達(dá)到1:1，企業(yè)在云安全防護(hù)上應(yīng)兼顧主機(jī)安全和容器安全，確保資產(chǎn)可以得到全面的安全防護(hù)。主機(jī)負(fù)載通常包括虛擬機(jī)、物理服務(wù)器等，是存儲(chǔ)和處理敏感數(shù)據(jù)的關(guān)鍵節(jié)點(diǎn)，一旦被攻擊，可能導(dǎo)致數(shù)據(jù)被竊取篡改，業(yè)務(wù)中斷等嚴(yán)重

后果。同時(shí)，作為最后一道防線，主機(jī)在網(wǎng)絡(luò)安全防御中也承擔(dān)著重要任務(wù)，作為攻擊者的核心攻擊目標(biāo)之一，需要具備資產(chǎn)清點(diǎn)、安全加固、惡意攻擊阻斷等防護(hù)能力。同時(shí)，在混合云部署的趨勢下，云下資產(chǎn)同樣需要重視，企業(yè)可以使用支持混合云接入的安全工具，將云端的安全能力輸出到私有數(shù)據(jù)中心，由此提升整體安全水平。容器負(fù)載作為一種輕量級的虛擬化技術(shù)，能夠更快速的部署和擴(kuò)展應(yīng)用程序，云原生技術(shù)不僅革新了云上軟件架構(gòu)和應(yīng)用模式，也加速了云安全向云原生安全演進(jìn)的趨勢

。同時(shí)容器的特性給傳統(tǒng)安全防護(hù)體系帶來了新的挑戰(zhàn)。攻擊者一旦攻破容器，就可以進(jìn)一步獲取宿主機(jī)系統(tǒng)權(quán)限，威脅宿主機(jī)上的其他容器和內(nèi)網(wǎng)安全。為了避免容器成為新型攻擊的突破口，企業(yè)需要關(guān)注容器生命周

期的各個(gè)階段，并采取相應(yīng)的安全措施，收斂鏡像、容器、集群、編排工具等攻擊面。容器主機(jī)45.06%54.94%主機(jī)容器圖4:2023上半年云上資產(chǎn)被攻擊次數(shù)占比圖032023上半年云安全態(tài)勢報(bào)告2023上半年云上用戶面臨的安全威脅數(shù)據(jù)竊取、建立僵尸網(wǎng)絡(luò)和惡意挖礦是攻擊者的主要攻擊目的在云安全防護(hù)中，企業(yè)需要關(guān)注攻擊者的目的和手段，攻擊目的是指攻擊者發(fā)動(dòng)攻擊的最終意圖，而攻擊手段則是實(shí)現(xiàn)這一目的所采用的具體方法和技術(shù)。了解攻擊者的攻擊目的占比有助于企業(yè)更好地制定安全策略，針對不同的攻擊目的采取相應(yīng)的防護(hù)措施，可以幫助企業(yè)提高整體安全防護(hù)水平，確保數(shù)據(jù)和應(yīng)用程序的安全。根據(jù)騰訊安全的2023上半年的統(tǒng)計(jì)數(shù)據(jù)，攻擊者抱有控制受害云主機(jī)資源獲取企業(yè)敏感數(shù)據(jù)、下載運(yùn)行挖礦木馬牟利、建立僵尸網(wǎng)絡(luò)目的的攻擊最為常見，其次漏洞利用準(zhǔn)備、勒索等安全事件也時(shí)有發(fā)生。以下是2023上半年攻擊者主要攻擊目的的占比：惡意挖礦（20%）攻擊者利用受害者的計(jì)算資源進(jìn)行加密貨幣挖礦，以謀求經(jīng)濟(jì)利益。數(shù)據(jù)竊?。?9%）數(shù)據(jù)竊取類型攻擊者者試圖獲取企業(yè)敏感數(shù)據(jù)，如客戶信息、知識產(chǎn)權(quán)等。這類攻擊目的占比最高，反映了攻擊者對數(shù)據(jù)價(jià)值的認(rèn)識。建立僵尸網(wǎng)絡(luò)（22%）攻擊者控制受害者設(shè)備，將其用作發(fā)起其他攻擊的跳板或工具。漏洞利用準(zhǔn)備（9%）攻擊者在實(shí)施具體攻擊行動(dòng)之前，進(jìn)行一系列的信息收集、漏洞探測和環(huán)境評估等活動(dòng)，以便更有效地利用已知或未知的漏洞對目標(biāo)系統(tǒng)發(fā)起攻擊。2023上半年攻擊者云上攻擊目的占比惡意挖礦20%數(shù)據(jù)竊取漏洞建立僵尸網(wǎng)絡(luò)惡意挖礦利用準(zhǔn)備數(shù)據(jù)竊取49%建立僵尸網(wǎng)絡(luò)22%漏洞利用準(zhǔn)備9%圖5:2023上半年黑客云上攻擊目的占比圖042023上半年云安全態(tài)勢報(bào)告暴力破解、DDoS和漏洞利用仍是黑客最常用的攻擊手段為了達(dá)成攻擊目的，攻擊者往往會(huì)針對目標(biāo)采用多種攻擊行為。根據(jù)騰訊安全2023上半年收集的攻擊行為數(shù)據(jù)，在所有被攔截的攻擊中攻擊者利用的路徑和手段包括暴力破解、漏洞利用、APIKey攻擊、社工攻擊、釣魚攻擊等多種方式。其中需要我們關(guān)注的幾個(gè)路徑如下：暴力破解在所有被攔截的攻擊中，暴力破解仍然是2023上半年最主流的攻擊手段，攻擊次數(shù)達(dá)到了59億次，占上半年攻擊次數(shù)的47.24%。攻擊者主要利用弱密碼、默認(rèn)密碼和密碼重用等現(xiàn)象，通過嘗試大量可能的組合來猜測正確的憑據(jù)，這類攻擊仍是目前最具性價(jià)比的攻擊之一。為應(yīng)對暴力破解類攻擊，企業(yè)需要采取包括強(qiáng)密碼策略、多因素認(rèn)證、安全監(jiān)控與告警以及安全教育與培訓(xùn)等一系列措施，來提升自身的安全防護(hù)能力。DDoS隨著云計(jì)算技術(shù)和IOT技術(shù)的發(fā)展，越來越多的可利用設(shè)備暴露在公共網(wǎng)絡(luò)之中，攻擊者對DDoS資源的獲取變的越來越容易。根據(jù)騰訊安全的統(tǒng)計(jì)數(shù)據(jù)，上半年DDoS攻擊達(dá)到了38億占總次數(shù)的30.93%。同以往的DDoS攻擊不同，攻擊者會(huì)使用BOT、養(yǎng)號、惡意注冊、CC攻擊等更高級的攻擊手段，構(gòu)造惡意的“正常訪問”來繞過傳統(tǒng)的檢測設(shè)備，給企業(yè)帶來了更大的安全威脅。漏洞利用利用系統(tǒng)、應(yīng)用程序或網(wǎng)絡(luò)設(shè)備中的安全缺陷來突破安全防護(hù)，實(shí)現(xiàn)非法訪問或操作一直是黑客的主要攻擊手段之一。根據(jù)騰訊安全在2023上半年的數(shù)據(jù)，攻擊者利用已知或未知漏洞發(fā)起的攻擊占上半年總次數(shù)的15.60%，以RCE、XSS和SQL注入為首的漏洞武器仍是黑客的最愛。依據(jù)上半年攻防演練的統(tǒng)計(jì)顯示，企業(yè)70%以上的資產(chǎn)是被攻擊者利用0day漏洞攻陷的。所以對于云服務(wù)使用方來說，雖然云服務(wù)提供商可以提供漏洞管理相關(guān)的服務(wù)，但云服務(wù)使用者仍然需要提高安全意識，部分情況下由于具體業(yè)務(wù)的邏輯性處理、系統(tǒng)兼容性等原因，云服務(wù)使用者甚至可能選擇不修復(fù)或稍后修復(fù)漏洞，這都會(huì)給整體云計(jì)算平臺(tái)的安全性帶來較大的影響。052023上半年云安全態(tài)勢報(bào)告APIKey攻擊隨著各個(gè)企業(yè)云上業(yè)務(wù)的快速發(fā)展，越來越多的應(yīng)用開發(fā)深度依賴API之間的相互調(diào)用，同時(shí)API作為系統(tǒng)間的通信橋梁也逐漸成為攻擊者重

點(diǎn)攻擊的目標(biāo)。根據(jù)2023上半年的攻擊數(shù)據(jù)顯示，攻擊者利用API

Key、敏感文件執(zhí)行、敏感信息讀取等手段發(fā)起的攻擊次數(shù)呈明顯上升趨勢，占總攻擊事件的1.69%。API濫用已成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見的攻擊媒介，通過攻擊API來達(dá)成攻擊目的，已成為上半年攻防演練中各攻擊隊(duì)最常用的攻擊手段之一。2023上半年各類攻擊次數(shù)占比2.21%1.69%2.32%15.6%47.24%30.93%暴力破解DDoS攻擊漏洞利用其他釣魚攻擊/社工攻擊API

Key攻擊圖6:云上各類攻擊次數(shù)占比062023上半年云安全態(tài)勢報(bào)告2023上半年活躍漏洞排名根據(jù)騰訊安全產(chǎn)品攔截到的漏洞攻擊性質(zhì)統(tǒng)計(jì)，2023上半年黑客最常利用的漏洞武器為遠(yuǎn)程代碼執(zhí)行漏洞（RCE），其他依次是掃描探測、SQL注入等漏洞。2023上半年云上活躍漏洞共211個(gè)，這些漏洞涉及操作系統(tǒng)、中間件、Web應(yīng)用程序等多個(gè)層面。黑客和網(wǎng)絡(luò)犯罪團(tuán)伙不斷嘗試?yán)眠@些漏洞發(fā)起攻擊，竊取數(shù)據(jù)和破壞服務(wù)。nginxWebUIru...CVE-2022-261346.6%41.41%CVE-2021-222057.44%*備注1.Con?uence

遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-26134【)

遠(yuǎn)程代碼執(zhí)行】HadoopYARN...2.Weblogic未授權(quán)命令執(zhí)行(CVE-2020-14882【)

遠(yuǎn)程代碼執(zhí)行】7.74%3.HadoopYARN

資源管理系統(tǒng)REST

API未授權(quán)訪問【未授權(quán)訪問漏洞】CVE-2020-148824.GitLab

遠(yuǎn)程命令執(zhí)行漏洞(CVE-2021-22205【)

遠(yuǎn)程代碼執(zhí)行】5.nginxWebUI

runCmd

遠(yuǎn)程命令執(zhí)行漏洞【遠(yuǎn)程代碼執(zhí)行】8.89%其他漏洞圖7:2023上半年漏洞活躍指數(shù)占比圖27.92%騰訊安全根據(jù)最活躍的惡意軟件家族使用的漏洞武器，整理出2023上半年漏洞利用的TOP5：1

Con?uence

遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-26134)Con?uence是Atlassian公司開發(fā)和維護(hù)的一款企業(yè)級知識管理和協(xié)同軟件，廣泛應(yīng)用于構(gòu)建企業(yè)wiki。它支持團(tuán)隊(duì)成員進(jìn)行信息共享、文檔協(xié)作、集體討論和信息推送等任務(wù)，具備便捷的編輯和站點(diǎn)管理功能。然而，在2022年6月1日，Atlassian公司發(fā)布了關(guān)于Con?uence

Server和DataCenter版本存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告。攻擊者可以在未經(jīng)身份驗(yàn)證的情況下遠(yuǎn)程利用該漏洞，通過發(fā)送惡意Web請求注入命令，從而在目標(biāo)服務(wù)器上實(shí)現(xiàn)任意代碼執(zhí)行并控制服務(wù)器。圖8:Con?uence遠(yuǎn)程代碼執(zhí)行漏洞活躍情況072023上半年云安全態(tài)勢報(bào)告2

Weblogic

未授權(quán)命令執(zhí)行(CVE-2020-14882)OracleWebLogicServer是