2018上半年云上资产合规审计现状
云计算历经十数年的发展,已被广泛应用于各个领域,云计算支出在全球IT支出中的比例不断提升,并形成了一个新兴的、高达数千亿美元的全球市场。在完成一定的技术积累和客户普及教育后,目前,我国的云计算产业已进入一个较长的高速增长期,在国家政策的大力扶持下,加之大型公有云厂商的推动,我国云计算市场的规模急剧扩张,网络效应和规模效应明显放大,已成IT产业一个新的高速增长点。
然而,在各个公有云厂商努力开疆拓土,打造各自的云计算帝国的同时,云上资产的合规性问题也日益凸显:
一方面,越来越多的互联网企业和传统企业依托公有云厂商提供的服务开展业务或进行数字转型,企业的数字资产正在向云上集中,云上资产的安全与合规显得尤为重要。而公有云厂商在某种程度上已经与上云企业形成了责任共担关系:上云企业必须依托公有云厂商在基础设施、平台乃至软件层面提供的安全能力来构建云上业务的安全体系,公有云厂商在安全和合规层面也承担了比传统的IDC厂商和网络运营商更多的责任和义务,安全与合规能力的输出也已成为其核心竞争力之一。
另一方面,云计算本身的开放性、便捷性、多样性、高性价比,以及公有云厂商在安全方面的努力,不仅吸引着正常的企业用户,同样也吸引着网络黑灰产从业者:越来越多的网络黑灰产通过购买公有云服务,将用于攻击、诈骗、引流的网站和服务器置于云中,进一步降本提效。同时,还可利用公有云提供的安全能力与企业和安全厂商进行对抗。这迫使公有云厂商必须加强对云上资产的合规审计能力,做到及时、准确地识别云上资产及服务的违规、滥用行为,强化对公有云内容和行为安全的管控力度,承担起相应的社会责任。
有鉴于此,我们对公有云云上资产的合规现状进行了深入的调研分析,通过大量的一手数据,形成了《国内公有云云上资产合规现状报告(2018年上半年)》,旨在阐明国内公有云在云上资产合规审计领域面临的现状及问题,为国家相关监管机构和公有云厂商提供参考。
二、基本概念
1、报告中涉及的概念及术语
(1)撞库:撞库攻击指的是黑客通过收集互联网上已泄露的用户账户信息,生成对应的字典表,再利用部分用户相同的注册习惯(即使用相同的用户名和密码),尝试登陆其它的网站或应用,以获取新的可利用账户信息。
(2)爬虫:爬虫又称为网页蜘蛛,是一种按照既定规则,自动抓取网络上的指定信息的程序或脚本,可分为遍历爬取网页超链接的网页爬虫和构造特定 API 接口请求数据的接口爬虫两类。
(3)蜜罐:蜜罐(Honeypot)是指被当入侵诱饵,引诱黑客前来攻击已收集相关证据信息的软件系统。依照蜜网项目组(The Honeynet Project)的定义,蜜罐是一种安全资源,其价值在于被探测、被攻击或被攻陷。
(4)网络钓鱼:网络钓鱼是构造带有欺骗性的电子邮件或伪造的Web站点,以吸引受害者提交敏感信息,或向目标传递并植入恶意程序的一种社会工程攻击方式,常被用于执行网络欺诈和网络入侵。按照攻击载体,网络钓鱼可分为网站钓鱼、邮件钓鱼、短信钓鱼、IM社交钓鱼、移动APP钓鱼等类型。
(5)ddos攻击:即分布式拒绝服务攻击。一般来说,DDoS攻击会利用“肉鸡”对目标网站在较短的时间内发起大量合法请求,以消耗和占用目标的网络和主机资源,迫使其无法正常提供服务。
(6)僵尸网络:僵尸网络(Botnet)是攻击者出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络。需注意的是,这个网络并非物理意义上具有拓扑结构的网络。
(7)暗网:暗网(DarkWeb)是指统称那些只能用特殊软件、特殊授权或对电脑做特殊设置才能连上的网络,使用一般的浏览器和搜索引擎找不到暗网的内容。
2、数据取样及说明
本报告的主要数据来源包括:
(1)内容类数据;通过定向监控手段(云清平台)获取的违规/恶意网站及其内容数据。
(2)样本类数据:通过广谱监控手段获取的黑灰产工具样本。
(3)流量类数据:通过蜜罐监控手段获取的黑灰产攻击流量数据。
(4)黑IP/域名类数据:通过第三方合作、蜜罐监控手段获取的黑IP/域名数据。
(5)其他类数据:通过其他第三方合作和监控手段获得的云主机安全相关数据,包括但不限于上述的数据类型。
本报告的数据取样主要采取以下几种方式:
(1)关键词取样:根据特定的关键词及关键词组合,从全集数据中提取与特定分析对象或特定分析场景有关的数据子集。主要用于数据统计或趋势分析。
(2)相似度采样:根据文本或样本数据的相似度,从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例分析。
(3)随机采样:对未知类型或内容数据进行简单随机采样,抽样比例根据具体的分析场景决定,主要用于情报线索发现或关键词校验。
(4)分层采样:对已知工具/事件数据按既定的标签规则分为若干子集,对每个子集中的数据随机抽取部分数据进行分析,抽样比例根据具体分析场景决定,主要用于案例分析或关键词校验。
采集的非全量数据样本在概率上符合一定的数据取样准则,基于相关数据样本的分析结果,在趋势分析和分类统计上与实际情况不会存在太大的偏差值。对于受限于数据获取的渠道、数据本身的变化、抽样概率的限制及样本噪点的影响等所导致的偏差,我们会采取人工经验判断方式进行修正,这部分数据我们会加以注明。
三、针对公有云的网络攻击威胁
基于自有的黑灰产攻击流量监控数据,我们从中专门提取了针对公有云的各类攻击数据。从中可以看出,2018年上半年(2018年01月-06月)间,以国内各大公有云的云上应用和云主机为目标的网络攻击整体呈明显上升趋势,威胁类型以机器人、撞库攻击为主,针对云主机、域名和邮箱等资源的业务灰产仍大量存在。
1、攻击总次数整体呈上升趋势
通过对相关攻击行为按月进行次数统计,我们可以看到,在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后,黑灰产对公有云的攻击次数呈明显的上升趋势。
其中,在国内公有云厂商中,针对阿里云的攻击次数占比最高,达55.32%,针对腾讯云的攻击次数占比第二,为27.34%,如果按月统计攻击次数占比,两者数据在大多数月份都呈小幅上升趋势,这也与公有云市场份额的集中化趋势基本趋同。
2、超五成攻击为机器人所为
通过对攻击流量中行为特征的提取,我们发现,超过五成的攻击为机器人所为。这些机器人中绝大部分用来执行互联网扫描或漏洞利用动作,其中大部分(超过70%)为最为常见的批量端口扫描器,约两成源自针对特定目标的自动化漏洞扫描与利用工具(如Struts2-045/048系列漏洞),另有约一成应与国家监管部门、安全厂商和科研机构的互联网资产探测类系统有关。此外,还有极少部分机器人是针对公有云企业邮箱的注册机。
此外,我们还发现一个有趣的现象,自动化扫描或漏洞利用类机器人中约三成的流量源头指向了美国弗吉尼亚州,即亚马逊云计算园区所在地,且有逐月递增趋势。我们推断,由于国内网络安全监管趋严,黑灰产活动的部分基础设施正逐步向国外转移。
3、撞库攻击整体呈上升趋势
除自动化扫描或漏洞利用行为外,有14.36%的攻击行为为撞库攻击。对此类攻击行为按月进行次数统计,有明显的上升趋势。此外,三成左右的撞库攻击使用了重叠度较高的新的字典库,疑似与我们在2018年上半年监控到的数起社工库地下交易事件有关。考虑到从数据泄露到流出进行小范围交易,再到大规模散播的时延一般在三到六个月左右,我们可以推断,到2018年下半年,撞库攻击将进一步增加。
4、公有云业务灰产依旧活跃
通过对采集的黑灰产数据进行分析,发现针对公有云各类优惠活动的薅羊毛活动仍然活跃,比如通过批量刷阿里云、腾讯云学生机优惠再进行转租转售,或是批量代过域名实名认证,或是通过邮箱注册机批量注册公有云企业邮箱等等。我们认为,这类活动已形成较为完整的“产-销-用”灰产链条,为其他黑灰产活动提供基础设施支撑。
四、来自公有云的网络攻击威胁
同样基于黑灰产攻击流量监控数据,从中专门提取了来自公有云的各类攻击数据。可以看到,2018年上半年(2018年01月-06月)间,相关网络攻击行为无明显增长,整体趋于平稳,威胁类型以机器人、撞库为主,业务层面的攻击行为有明显增加。
1、攻击总次数整体趋于平稳
通过对相关攻击行为按月进行次数统计,我们可以看到,在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后,从公有云主机发起的攻击次数无明显增长,基本趋于平稳。
2、机器人中注册占比上升
通过对攻击流量中行为特征的提取,我们对在所有攻击类型中占比高达54.73%的机器人进行了类型细分和统计。结果显示,与3.3中机器人中扫描或漏洞利用类工具占绝大多数的类型分布有所不同的是,从公有云主机发起的机器人行为中约有超三成(31.84%)为各类注册机(如邮箱注册机、账号注册机等)所为,另有近一成(9.50%)为各类外挂工具(如红包外挂、游戏外挂等)。由此可见,公有云主机较之传统IDC机房更高性价比和安全性,使得注重成本和自我保护的黑灰产正在将部分服务类业务向公有云迁移。
3、超三成攻击为撞库且仍会增长
同时,我们还发现,超过三成(33.67%)的攻击均为撞库攻击,且逐月呈现一定幅度的上升趋势(排除2月份春节的数据样本偏差影响)。结合前文中3.4章节的分析结果,我们可以推断,到2018年下半年,从公有云主机对外发起的撞库攻击将进一步增加。
五、被忽视的云上内容合规问题
结合端上的恶意站点感知数据,以及采集的黑灰产活动数据,我们发现,除了前述各类网络攻击威胁外,公有云厂商还面临较严重的云上内容合规问题:大量恶意、违规网站利用公有云部署便捷、性价比高和防护能力强的特点,在公有云上搭建并对外开展网络赌博、网络色情、网络钓鱼、网络传销、内嵌挖矿等非法活动。
1、云上网络赌博类的占比最高
2018年上半年(2018年01月-06月)间的监控数据显示,云上的恶意、违规网站中,与网络赌博相关的占比最高,高达75.38%。尤其是受到6月世界杯的影响,有大量足球类博彩网站在6月集中上线,并有大量云上的正常网站被批量植入带有博彩内容的暗链和页面。预计到7月份世界杯结束,网络赌博类的占比将回落到正常水平(预估约在50%-60%间)。
2、云上网络色情大多意在欺诈
通过数据取样分析,我们发现,公有云中网络色情类大多都与网络欺诈活动相关。一般操作手法是:先借助广告、社交软件引流等方式,利用诱惑性视频或图片将用户吸引至网站,再诱导用户进行充值,但大多并不提供相应的服务,是一种典型的网络欺诈行为。
这类网站为了躲避监管,大多都会利用低价的批量域名和云主机资源,每隔1-3天随机切换域名和主机。这种操作手法在云上的网络钓鱼活动中也大量出现。
3、云上网络钓鱼类玩法多样
我们通过对各公有云中网络钓鱼类非法内容的数据统计发现,钓鱼网站最常见的仿冒网站类型分别是:银行、游戏、电商、P2P金融、赌博。
通过结合黑灰产交易渠道监控数据的关联分析,我们发现银行类钓鱼网站存在以下两大特征:一是呈现一定周期性的出现规律,二是与地下黑市的一些银行账户和个人隐私交易事件存在较大关联性,这都说明从事相关活动的多为固定团伙,活跃周期多在1个月左右。
P2P金融类是之前较少出现的一类钓鱼网站,这与近几年持续的理财热有关。有趣的是,我们发现有少部分此类钓鱼网站竟然是利用近期大量P2P金融“爆雷”潮,通过微信、QQ和论坛的维权群诱骗期望追回钱财的人到虚假网站上填写个人信息,或是进一步骗取金钱。
赌博类钓鱼网站同样受世界杯的影响出现激增现象,预计世界杯结束后会有所回落。
4、传销类屡禁不止
通过数据分析发现,云上的网络传销类站点大多以所谓“现金平台”、“网上微商”、“网上兼职”等形式出现,并引流至相应的传销微信群、QQ群、论坛或线下集会。
(作者:威胁猎人)