新冠肺炎疫情期间,大量企业依托云实现了远程办公、信息发布及各类研发业务的快速上线和迭代。在享受云带来的业务弹性高效交付的同时,企业面临的安全风险也如影随形,云服务使用过程中的不当安全配置,很容易成为黑客的重点“攻击面”。
针对疫情期间的网络安全动向,腾讯安全平台部天幕团队联合腾讯云安全、桌面安全产品、云鼎实验室、安全专家咨询等团队,共同推出了针对云上业务的网络攻击趋势解析,并为企业如何做好远程办公的网络安全防护进行支招。
医疗、教育、电商行业成黑客重点攻击对象
春节前期是大多数企业的“封网”时期,也正是黑客的“骚动期”。据介绍,“封网”期间安全策略更新的时效性较平日差,因此引来黑客试图乘虚而入,攻击量达到高峰节点。
而在春节过后,众多企业开启远程办公模式,一本(字典)万利(权限)的认证暴力猜解成为黑客最常采用的攻击手段。
医疗行业在此次疫情中扮演着重要角色,大量前沿互联网医疗技术被用于抗疫一线,云上医疗行业因此迎来井喷式发展。但与此同时,医疗行业也面临着前所未有的网络安全威胁。在往年开工日正月初七(1月31日)这天,网络黑客对医疗行业的攻击达到了单日80万次的高峰。Windows生态中的远程桌面服务RDP和数据库服务SQLServer成为占绝对大头的“软柿子”。
从攻击来源上看,针对云上医疗行业客户的认证暴力猜解攻击超过70%来自境外125个国家。因为日益趋严的机房管控措施,美国成为攻击源的“冷门片区”,而印度、俄罗斯、越南则跃居前列,成为最主要的黑客攻击来源地区。
此外,医疗行业客户上线抗疫小程序时需要注意等保三级合规,数据安全更需要注意。腾讯云安全团队表示,数据安全审计与堡垒机的组合能够预防大多数外部数据攻击和内部数据窃密,对数据库的访问进行有效审计。
新冠疫情之下“停课不停学”的号召,为在线教育行业注入催化剂。相对于传统的医疗行业,在线教育行业由于激增的线上教学需求,在业务研发上更加“激进”,这也带来了第三方组件滥用的风险,高危漏洞频出的ThinkPHP、Struts2、RDP成为黑客近期攻击教育行业的“突破口”。针对教育行业的Nday漏洞攻击源绝大部分来自境内。由于此类手法“动静”较小,加上国内拨号IP资源集中的现状,动态秒拨IP技术是攻击惯用手段。
疫情期间电商行业成为黑客“趁火打劫”的目标对象,黑客针对云服务主机,每日发动千万次爆破攻击、频繁更新挖矿木马、勒索病毒等新变种,破坏企业核心业务正常运行,窃取用户机密数据,并对数据进行加密勒索,给企业带来巨大损害。攻击手段也从原来单纯的Web攻击开始转向信息窃取售卖、“薅羊毛”非法获利等形式,而较高的访问频次和多端口流量需求也对电商行业的安全防护提出了更高的可靠性要求,构建云主机和Web应用体系尤为重要。
远程办公场景下的网络安全防护建议
针对无处不在的网络安全威胁和日趋猛烈的黑客攻势,腾讯安全团队提出以下安全建议,助力企业安心抗疫,保障核心业务安全。
企业在特殊时期更需重视安全策略的响应效率,避免对止损时效性的人为松懈或客观限制。除具备实时网络流量分析能力外,企业应重视实时阻断网络攻击能力建设,降低依赖人为运营变更策略的时间差风险。天幕团队通过对网络流量的实时分析和旁路阻断技术,实现对数据中心边界处的网络防御,并支持API化的功能配置,方便企业集成到现有安全系统中实现响应与处置,提升整体安全防御效果。
其次,要形成“未攻先防”的先机意识。由于极低的迁徙成本,黑客能够随时随地发起攻击,并且能够向利于发起攻击且看似“冷门”的位置转移,这就为企业网络安全防护带来了更大挑战。企业应该即刻开始审视掌握的威胁情报数据,维度丰富性,以及更新时效性,避免安全分析落入盲区。在网络安全防护上变被动为主动,打造“未攻先防”的先机策略,降低被攻击风险,为业务安全布下坚固的网络“防火墙”。
再次,远程办公是企业网络边界的模糊时期,企业需要提早预知对外暴露的脆弱点,全面布控网络边界认证入口,阻断网络异常行为。企业亦应同时重视实时资产盘点能力,网络流量除了可以监控网络攻击外,也是帮助企业实时测绘资产关联与盘点资产指纹的利器。云安全团队专家提醒,多点容灾备份,当某台服务器异常时,通过域名解析快速调度;接入专业的DDoS高防和专业的支撑团队,攻击流量要被秒级检测和清洗,保证业务的连续性是非常有必要的。
同时,AI模型在网络安全防护中也发挥非常关键的作用。据团队介绍,利用云战场中安全防护经验和多维度威胁情报大数据的优势,对AI模型的长期训练与调优,是他们能够多次在重保战场中精准发现各类攻击绕过手法的关键原因。安全团队在持续对抗的战场中利用AI算法结合大数据训练,补齐传统策略泛化能力的先天不足,才能紧跟黑客技术的演化。
针对云上部署的相关业务,腾讯桌面安全产品团队建议企业建立云原生的“CMDB”,做好业务基础设施资产的实时自动化盘点,并对云产品的原生安全配置进行自动化的定期检查与及时加固,缩小云上“攻击面”。同时,由于云上频繁变化的环境和无处不在的安全威胁,企业也要及时建立威胁事件的自动化响应机制,提高威胁响应处置。并建立云原生的安全运营平台,打通隔离的数据与流程,实现“事前-事中-事后”的全流程安全保障,并通过安全可视化能力,提升威胁感知、响应处置和安全管理效率。
据腾讯安全专家咨询团队介绍,特殊时期企业需要重点关注线上数字化业务的三类安全问题:未授权访问类、信息泄漏类和数据加密类,尤其需要关注最新的安全威胁情报,及时修复最近披露的公用组件漏洞,如ApacheTomcat等,并升级IDS、IPS产品规则库,同时把组件更新至最新版本。