《【研报】云上攻防发展洞察2024.docx》由会员分享,可在线阅读,更多相关《【研报】云上攻防发展洞察2024.docx(30页珍藏版)》请在三一办公上搜索。
1、TRVSTfDSfCURin可言安全F*:$云计算标准和开源推迸委员合云上攻防发展洞察版权声明本报告版权屈于中国通信标准化协会云计算标准和开源推进委员会,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国通信标准化协会云计算标准和开源推进委员会”。违反上述声明者,委员会将追究其相关法律责任。*,II刖三云计算技术持续迭代创新,企业上公转型加速进行,随着企业云上资产和业务的比重逐渐提升,安全问题日益凸显。针对云上资产的网络攻击事件层出不穷,云冲算技术被滥用的风险迅速增加,云上攻防态势和发展备受关注。本报告梳理了云计算场景卜的网络攻防态势现状,分析当前我国云上攻防行
2、业市场格局,归纳常见网络攻击技术和防御手段,以探讨传统网络攻防和云计算结合的新态势,洞察云计算时代网络空间安全的行业未来发展。编制组王睿宁孔松郭雪吴剑刚梁伟廖钱何永珊严仍义周月徐贤范淞杰李晓明郑斌刘金革陈焕新一云上攻防态势洞察1(一)云上风险点位增加,攻防视角发生变化11 .云上风险点位变化12 .网络攻击目标变化23 .网络攻防脑式变化4(一)科技竞争引导网络博界,云上防御体系逐渐完再6二云上攻防市场洞察8(一)我国云上攻防市场不断扩大8-)国内外市场格局基本形成121 .云计算攻防产品和服务品类丰富122 .国内外云安全市场参与者众多13三云上攻防技术洞察16(一)攻防技术逐渐适应云计算环
3、境16(一)攻防框架构建体系化知识庠23四、发展趋势与建议26(一)ICT新技术融合加速云上攻防态势复杂化26-)多指并举维护云安全生态28附录:云安全实践优秀案例30图1云上攻防场景示意图1图22022中国通用冏络安全服务细分市场规模9图32022年中国数据安全、安全网关、终端安全市场占有率10图4企业云安全这设主要驱动因素11图5云上攻防产品和服务概览13图6最受关注的AP1.安全问题TOP1.O17图7云平台DDoS防御架构参考21表目录表I近期大规模云上网络攻击事件3表2国外云安全市场典型企业14表3国内云安全市场典型企业15一、云上攻防态势洞察随着数字化转型不断推进,云计算与大数据的
4、应用衍生至千行百业,各类云服务承载了无法估量的数字资产,互联网则支撑了海量数据和信息在云上业务间传递。云计算在赋能数字化发展的同时,也为黑客提供了新的攻击目标和攻击手段。时逢全球局势动荡,科技竞争激烈,网络攻防态势日益严峻。本报告从网络攻击恻和防御侧的典型态势出发,聚焦云计算环境新风险,洞察云上攻防新趋势。外IB云环境组织内云环境来源:中国信息通信研究院图1云上攻防场景示意图(一)云上风险点位增加,攻防视角发生变化1 .云上风险点位变化业务上云打破了传统数据中心的集中式部署方式,分散化的数据存储和即开即用的原生化服务对网络性能高度依赖,增加了云计算安全的风险点位。隐私和数据泄露风险增加,一些云
5、用户安全意识薄弱,时常出现凭据信息保存不当、数据访问操作不规范等情况,增加了敏感信息暴露在网络中的潜在风险。服务可用性不受控.云厂商承担着大部分数字基础设施运行和维护的贲任,一旦遭受网络攻击造成服务不可用,可能会影响众多企业的业务运营,云用户自身则难以规避此类风险。云上风险暴露面扩大,为满足日益复杂的业务需求,多云、混合云部着成为常态,各类管理平台、运维工具关联众多云上资产,每一个开放接口和网络边界都是潜在的攻击面,增加了风险暴露管理的难度。易受互联网波动影响,用户上云用云高度依赖互联网,尤其是公有云和专有云,用户侧的网络传输质量不确定性大,网络延迟、中断等情况将严重影响使用体验和安全性。企业
6、上云使得潜在的安全风险发生变化,面向云的攻击者与防御者视角也随之改变。2 .网络攻击目标变化传统数据中心多为“存用一体”的业务架构,对于攻击者来说,能够渗透目标企业的网络、存储等基础设施,就意味着对数据和应用的破坏也轻而易举,而在云计算环境中,攻击目标被拆分成云服务商和云用户两个主体,双方面临不同的安全风险。一是面向云服务商的攻击主要针对数字基础设施,造成大规模数据泄露服务不可用和数据勒索等事件。目前,数据窃取仍是黑客云上攻击的主要意图,其影响范围广且难以预防。2023年数据泄露的平均成本达到445万美元,创历史新高。今年5月,云存储巨头SnoWnake的大量客户实例遭黑客攻击,导致全球超过1
7、65家知名企业发生大规模数据泄露,成为云计算历史上最严重的数据泄漏事件之一。此外,对云服务商的勒索攻击迅速增长,涉及数据量和金额不断创下新高,由于各国对勒索事件的监管力度不一,存在大量灰色地带,其扩张趋势在短时间内难以遏制。二是面向云用户的攻击主要集中在用户终端或云外网络,利用了部分用户安全意识薄弱、安全配置不足的特点。主要手段包括通过网络钓鱼窃取隐私信息、利用暴露的网络端口和API进行非法访问、扫描并入侵用户配置漏洞和未及时更新的系统漏洞等。云上攻击者利用APIKey、敏感文件执行等手段发起攻击的次数明显上升,暴力破解、钓鱼攻击、社会工程等针对用户侧的攻击大幅增加。虽然大多数企业都已建立安全
8、防御体系,但由于安全人员匮乏、安全预算不足、公安全理念和决策落后等原因,往往处于被动防御状态,为不法分广创造r可乘之机。表1近期大规模云上网络攻击事件时间安全事件攻击方式与影响2023年8月数据加密勒索丹麦大型Za及务提供商QOUdNOrdiC服务器道勒索软件加密,所有系统、网站和邮件不可用,导致全部客户数据丢失,公司陷入“彻底瘫痪”.2023年11月密码泄露斯洛文尼亚电力公司I1.SEjS受勒索软件攻击,攻击者通过从未受保护的云存储实例中窃取了HSE系统的密码,锁定了IT系统和文件.2024年1月API数据泄露At1.assian旗下的在线项目管理工具Trc1.1.o追到黑客攻击,黑客利用其
9、公共AP1.匹配时间安全事件玫击方式与影响现有的电子邮件数据库,超I5万数据被泄露。2024年2月数据加格初索美国最大的医疗IT公司ChangeHea1.thcare遭受了医疗系统有史以来最严重的勒索软件攻击之一,导致美国各地药店舜痪,处方药的配送出现严重问题,初步损失超60亿兀。2024年3月DDoS攻击法国多个政府机构遭遇了大规模的分布式拒绝服务(DDOS)攻击,影响J超过300个网页域名和I77.O个IP地址,导致重要公共服务网站的严重中断.黑客组织AnonymousSudan声称对此次攻击负贡。2024年5月云存储数据泄露云存储巨头SnOWnake的大量客户实例遭黑客攻击,导致全球超过
10、165家知名企业发生大规模数据泄露.数以亿计的个人受到影响。来源:公开资料整理3 .网络攻防形式变化云计算在提供便捷的计算资源和服务的同时,也为网络攻击提供r更多形式和手段,大规模、有组织的长期对抗成为主流。云计算环境数据集中化,是网络攻击的重点目标,更是国际上有组织、有实力的黑客团体制造大规模安全事件的绝佳标靶.反之,云计算分布式部署和资源虚拟化的特性同样可能被黑客利用,捏造虚拟身份,隐藏真实地址,增加r企业威胁防御的难度,也使得攻击溯源更加复杂。一是大规模恶意攻击以云网络为介质,传播速度快,攻击频率高,破坏力强。黑客突破云服务商内部防火墙,将木马病毒植入到云服务器上,就能够利用云计算的特性
11、轻而易举地侵占计算资源或传播木马病毒。近年来,针对云平台的大规模挖矿攻击层出不穷。“8220”挖矿组织通过向云平台传播恶意脚本,自动下载挖矿程序以及其他恶意程序。44OutIawn则是攻击云服务器组建偎尸网络,在节点中植入挖矿木马,并通过云网渗透扩张,以获得更大规模的计算资源。这些挖矿组织长期活跃,造成了大量算力流失和资源浪费。二是云计算提供虚拟资源和服务,为匿名访问提供便利,攻击者真实身份难追溯。洋葱网络(Tor)是黑客常用的分布式匿名网络,可以通过多次跳转来保护用户的隐私和匿名性。攻击者在云计算环境中部署Tor节点用以传播恶意流量,不但弱化了网络攻击地域限制和资源限制,还可以利用协议伪装使
12、得攻击流量几乎不能被溯源工具拆解分析。三是云计算成为关键数字基础设施,云上攻击对重点行业的影响加剧。长期以来,高级持续攻击(APT)都是黑客组织入侵他国数字基础设施,破坏重要机构,窃取机密信息的主要手段。随着军事战术、空天科技、信息通信等国家重要领域不断上云转型,对数字基础设施的依赖程度加深,加剧了其遭受国际组织APT攻击的潜在风险。俄乌冲突、巴以冲突都招网络攻击置于重要战略地位,不断使用APT、DDoS等手段攻击数字基础设施,造成了通讯延迟、能源供应中断等影响。(二)科技竞争引导网络博弈,云上防御体系逐渐完善云计算作为众多数字基础设施的运行平台和数据信息的传递媒介,承载r大量信息通信、经济运
13、行和公共服务等活动,是国家科技实力的重要体现,当今网络空间和云环境已成为国际科技和经济竞争的重要战场,云上攻防态势愈演愈烈。云上攻击方式复杂多变。一是云计算作为攻击目标,遭破坏后影响广泛。据IBM报告显示,2023年与云环境中所存储数据相关的泄露事件占总数的82%,其中39%的攻击跨越多个云环境,造成的平均损失高达475万美元。互联网、金融公、工业云仍是遭受网络攻击最多的三大领域,近年来已发生数起重大云安全事件,诸如加拿大石油巨头遭到网络攻击导致全国加油服务中断、MiCroSoft365及Azure云服务因DDoS攻击而频繁中断、OPenAI和阿里云同时遭受DDoS攻击影响全系产品等。二是云计
14、算作为攻击手段,能够加剧网络攻击效果。实际上,使用网络攻击对关键数字基础设施造成持久的物理损害并不普遍,其在科技竞争中的应用更多是作为威胁F段和设更阻碍。一些基于云计算的攻击即服务(AaaS),勒索软件即服务(RaaS)和僵尸在互联网灰色地带异常活跃。利用云服务提供的高带宽和计算资源,攻击者可以发动规模更大、更复杂的DDOS攻击,瘫痪目标系统。攻击者通过云平台实时更新恶意代码,绕过传统的安全防护措施,并迅速传播到全球的目标系统,不仅提高了攻击的成功率,还使得防御方难以迅速响应和溯源。云上防御体系基本成形。一是各国云上安全政策逐步完善,监管力度提升、粒度细化。美国发你国防部云战略、美国本土外云计
15、算战略等文件,明确了云计算运用发展的指导原则,将重要数据和应用服务向云上迁移。俄乌冲突爆发后,欧洲陆续发布网络安全条例、网络团结法案等多项法规,巩固云安全防线。各国对网络空间的防御策略逐渐转变,由被动防护转变为主动防御,由对网络关基设施的关注延伸到各个领域的上云业务。二是技术创新不断落地,国家级防御体系加快建设。一些政府组织已开始尝试将云计算引入国家防御体系。美空军加速推进“一号云”和“联合作战云能力”两大云计算项目,提升军事信息系统的服务可竟性、存储灵活性和安全性。欧盟着眼于未来网络安全技术研发,在6G、量子安全体系等方面投入大量资源,建立联合网络单元共享预警信息,确保组织内对网络安全事件响
16、应协调一致。三是广交同盟,共建网络空间防御共同体。发起安全倡议、组建多方联盟等是各大利益共同体提升网络防御能力的常见方式。2023年,欧盟发布提案建立欧洲网络护盾和区域网络合作中心,提升组织内部和与周边国家的网络安全战略关系。北约合作网络防御卓越中心面向成员国和合作伙伴共享威胁情报和防御资源,提升整体网络防御能力。二、云上攻防市场洞察(一)我国云上攻防市场不断扩大网络安全是维护企业数字业务平稳运行的基石,企业对攻防产品和服务需求多样化,传统网络攻防市场基本盘稳定,以攻防即服务引导的云上攻防市场增长迅速。从市场规模来看,我国网络攻防市场体量较小,云安全市场仍处于上升期。企业参与网络攻防市场可分为
17、提供网络攻防服务和输出网络攻防产品两种形式,国内网络攻防市场主要以企业对外提供网络攻防服务为主,如红蓝对抗、重保演练、应急响应、渗透测试等。如图2所示,中国网络安全服务细分市场中,安全运营服务仍是的绝对主力,攻防服务占比16%,仍有较大提升空间。云计算正在全球范围重那组织的IT架构,云上资产重要性的提升,云安全市场已经成为网络安全技术提供商的必争之地,包括网络安全厂商、云服务商、电信运营商等纷纷投入大量资源。2023年全球云安全市场规模为378.7亿美元I预计2032年将增长到1562.5亿美元,其中,随着中国、口本、印度等国家的监管体系不断完善,亚太地区的公安全市场复合增长率全球领先。云安仝
18、中场规模,份颔、越势和行业分析.K)RTtNEBUSINESSINSIGHTS.Wi.16%i1.1.5%安全运IHe务.52%BK1.11%tt,i数据来源:叫吼网络安全服务市场洞察报告图22022中国通用网络安全服务细分市场规模从参与企业来看,头部安全厂商和云服务商主导市场,新型挑战者不断涌现。传统安全厂商积极推进安全产品虚拟化部署,提升云端适配能力,帮助企业加固云环境,井提供面向云的网络安全服务,如云安全托管运营、云上渗透测试、云安全风险评估等:部分企业搭建H有云平台,将现有安全产品原生化,实现安全能力内循环。云服务商安全赛道竞争激烈,基于云平台提供SaaS安全产品,赋能云服务客户的虚拟
19、资产和业务安全,同时对外开放AP1.接口,满足外部开发者安全需求;头部云服务商网络安全市场参与度高,如图3所示,阿里云的数据安全市场占有率与头部安全厂商不相上下,在安全网关市场云服务商市占率达到四成。云安全专精型企业成长迅速,企业云上安全防御需求多样,青藤云等聚焦云安全解决方案的创新型企业快速崛起,已在国内终端安全市场跻身前列。数据来源:Statists图32022年中国数据安全、安全网关、终端安全市场占有率从市场需求来看,政策合规和增强韧性是云上攻防市场发展的主要推动力。网络活动复杂多变,攻防威胁广泛存在,网络空间安全已经上升为国家安全战略.近年来,东西方网络空间大国先后密集出台了大量的网络
20、安全政策法规,如美国的5G云基础设施保护指南、中国的网络安全“三大基本法”和等级保护要求,都对云安全做出了规范指引。在逐渐完善的法律框架下,云服务商和云服务客户受合规要求驱动,安全意识不断提升,对云服务的安全防御水平需求进一步提升。同时,云计算市场规模的不断扩大,云平台遭受攻击的次数逐年增长,破坏程度和经济损失触目惊心。口益严峻的云安全态势使得企业更加重视云上安全投资。IDe调查显示,中国2024年网络安全支出居亚太地区首位,占比40%,五年复合增长率达到13.5机在国内,政府、金融、电信是网络安全支出主要行业,占据了总投资市场的60%。由于事前风险事件预防压力大,企业逐渐将投资重心转向业务韧
21、性和事后安全保障,增强抗风险能力,减少不必要的损失。增强韧性已经成为企业使用云安全解决方案的最主要驱动力。企业云安全建设主要驱动因素0%20%40%60%那K企业知性缩短开期间熊少恭用卜丁更新工作.户和原建行为QJ见性延长正京运行的何数据来源:Statista图4企业云安全建设主要驱动因素从云计算细分领域来看,云计算架构调整带来新的风险点位。一是IaaS安全需求庞大。我国公有云数字基础设施需求量庞大,IaaS市场规模占公有云整体(IaaS/PaaSJSaaS)市场规模的一半以上、在IaaS环境中,云服务客户对基础设施和操作系统具有更多的控制权,攻击暴露面更大,安全防御压力高。在工作负载方层面,
22、常见的IaaS攻击向量通常针对虚拟机、操作系统、存储等安全设置中的错误配置或漏洞;在网络层面,DDOS攻击以其成本低、影响大、收益高等特点受到了众多攻击团伙的青睐。IDC数据显示,2023年中国公有云抗DDOS市场规模约为22亿元人民币,规模同比增长15.8%,市场集中度不断提升,竞争进一步增强。二是多云/混合云环境成为主要战场。企业虚拟资产庞大,数字业务复杂,单一的数字化环境难以满足日益增】IDC.长的数据安全和应用多活需要,多地、多云的虚拟化部署架构被广泛应用。Gartner认为,到2024年中国混合云市场渗透率将达到70%。尤其是对于政府组织、银行、医疗等服务行业,将对外业务迁移到公共云
23、能够有效提高业务敏捷性和成本效率,将关键流程和核心应用迁移到私有云能够更好地维护安全性。因此,多云、混合云攻防统一管控成为云服务商和安全厂商共同关注的产品和服务方向。(二)国内外市场格局基本形成1.云计算攻防产品和服务品类丰富云计算攻防市场产品类别丰富,依托于云计算的弹性扩展和原生化特性,攻击和防御能力均呈现服务化趋势。根据企业上云用云过程,云计算攻防可划分为企业组织和开发安全、云基础资源安全、网络和数据安全、业务和应用安全等场景。从攻击视角来看,云上攻击产品和服务按照攻击目的可划分为:1)拒绝服务类,如DDOS服务、加密勒索;2)漏洞利用类,如渗透工具、容器逃逸:3)信息收集类,如扫描工具、
24、逆向工具:4)伪造欺骗类,如钓鱼邮件、社会工程。随着新兴技术发展,AaaS.RaaS市场不断扩张,细分领域逐渐成形,有专注于某些特定攻击(如DDoS、勒索软件、网络间谍活动)的服务提供商,也有提供端到端攻击服务的综合性平台,从简单的工具租赁到复杂的定制化攻击方案,攻击者提供的服务越来越专业化。从防御视角来看,云上防御产品和服务按照防御方式可划分为:1)检测与响应类,如云防火墙、失陷感知;2)运营运维类,如云工作负载保护平台、云堡垒机:3)安全管理类,如风险管理、API管理:4)面向云的安全服务,如安全托管、安全评估、安全培训。随着零信任理念不断渗透,安全大模型广泛接入,云上防御产品和服务逐渐成
25、熟,构建一个综合性的云安全体系,已经成为企业实现数字化转型、保障业务稳定运行的必备条件。由于业务部署方式和责任承担模式不同,国内外云安全市场中产品和服务供应形式有所差异,值得进一步探讨。图5云上攻防产品和服务概览2.国内外云安全市场参与者众多国际上,云服务商引领云安全产品市场。北美云安全市场较为成熟,云平台安全主要由相应的云服务商进行维护,亚马逊AWS,微软AZUrc、谷歌云等头部云服务商在网络攻防领域竞争力强,通常能够提供精细化的安全产品和功能,并通过SDK、API向开发者提供安全支持。ZSCaIer、Pa1.oA1.toNetworksFor1.inet等网络安全厂商则倾向于提供集成的云安
26、全解决方案和云边安全服务,通过自有综合性云安全平台进行管理和监控。表2国外云安全市场典蛰企业企业类型云安全产品和服务亚马逊云服务商亚马逊是北美最大的云服芬供应商依托云服务业务提供安全防御能力,包括基础设施保护、账户安全服务、实例安全服务、安全管理服务以及与其他合作伙伴的安全与合规解决方案。微软云服务商微软云安全产品和服务并不直接产生营收,而是用于自有云平台.AzureSecurityCCntCr是微软的云安全管理和监控服务,帮助客户保护其Azurc订阅中的资源,提供了安全策略建议、威胁检测、漏洞管理和安全警报等功能。谷歌云云服务商谷歌为云服务客户提供全面的安全和访问控制产品和服务,并将安全大模
27、型接入全线安全产品,提升云平台防御能力。此外,谷歌云提供API、SDK和大模型平台SecurityAIWorkbench为开发者提供支持。Zsca1.er网络安全提供商ZSCa1.e1.提供全面的网络安全和访问控制解决方案,包括互联网访问安全、云防火墙、云D1.P等产品。除了自仃云安全平缶ZSCa1.er还可以通过API调用、代理部署、集成解决方案等方式,为其他云平台提供安全服务,帮助企业保护多云环境中的网络、应用和数据安全。Pa1.oA1.toNetworks网络安全提供商Pa1.oA1.toNetworks基于自有云安全平提供一系列云安全产品和解决方案,用下保护公共云、私有云和混合云环境中
28、的工作负载、容涔、Server1.ess应用和存储.服务。企业类型云安全产品和服务Fortine1.网络安全提供商Fortinct通过综合的网络安全平台进行安全服务与管理,并提供云防火墙、云WAF.CASB等一系列云安全产品,通过体化解决方案向云服务商和云服务客户提供云安全支持。来源:公开资料整理我国云安全市场“产品+服务”模式更加普遍。国内云安全产品和服务模式更加适应我国公安全和网络安全环境现状,头部云服务商的安全能力较为成熟,安全产品能够覆盖公普安全需求,且普遍支持对外提供安全服务和开放API,为用户提供安全支持。一些聚焦于云安全解决方案但不主营云基础资源的新型云安全厂商快速崛起,受到多云
29、、混合云环境企业广泛青睐。云上攻防、渗透测试、云安全托管等面向云的安全服务仍由安全厂商主导,搭配云安全工具形成配套解决方案。运营商自建云+安全厂商联动模式也较为普遍,在政府部门、央国企组织数字化转型过程中应用广泛。以下选取国内典型的云服务商、运营商、安全厂商和新型云安全厂商的公安全业务进行介绍。表3国内云安全市场典型企业企业类型云安全产品和服务阿里云云服务商阿里云为客户提供稳定、可共、安全的云计算基黜服务,SaaS化安全产品类型众多,覆盖网络安全、数据安全、身份安全等各个领域,同时提供API、SDK等方式,便于客户接入云平台的安全能力。天翼云运营商天翼云依托运营商基本盘,发挥在网络基础设施和通
30、信技术方面的资源优势,达到特定的政治、军事或经济目的.网络认知战的核心是通过多种途径影响和控制目标群体的认知和行为。通过舆论操纵影响信息完整性、可用性,攻击者借助信息篡改和伪造技术散俏不实信息,或操控搜索引擎和推荐算法控制信息的可见性,误导公众主观判断,造成网络空间信息混乱。政治矛盾引导网络攻击。认知战在国际地缘政治矛盾中被广泛应用,即利用舆论武器影响目标人群的思维方式和行动方式,引起民族性、自发性的网络攻击,而云计算的广泛运用使得攻击溯源更加困难。社会工程突破企业安全防线。社会工程网络攻击通过心理操纵和欺膈手段,诱骗目标泄露敏感信息、执行不当操作或提供非法访问权限,如钓鱼攻击、电话欺诈、冒充
31、攻击等。云环境访问控制场景多变,不严格的身份鉴别和权限分配都可能会被社会工程攻击利用。网络认知战是一种复杂且影响深远的战术,涉及组织管理、安全技术、人员观念等多维因素。引入零信任理念强化访问控制。秉持“永不信任,始终验证”的安全原则,通过多因素身份验证和多模式IAM实现细粒度访问控制,搭配ZTNA、SDP等安全网关提升访问控制效率。提升人员防范意识和安全能力。定期进行云安全和网络安全意识培训,提升员工对社会工程攻击的识别和防范能力,塑造主动安全观,实现人人讲安全,个个会应急。规范化企业云安全建设。构建覆盖从顶层安全战略到云上业务运行的整体安全框架,主动匹配合规要求,积极配合监管审爸,提升企业云
32、环境治理水平。(二)攻防框架构建体系化知识库体系化的攻防模型能够帮助组织理解和对抗黑客的攻击技术和战术,提供了个全面的攻击知识库,详细描述/攻击者可能使用的战术、技术和常见知识。通过了解和应用各类攻防框架、模型和矩阵,组织可以更好地理解攻击者的行为模式和策略,从而提高网络空间安全的防御能力。1 .A1T&CKATT&CK模型是由MITRE公司开发的一个详细框架,用于描述和分类网络攻击者的行为和技术,广泛应用于网络安全领域。ATT&CK模型以攻击者视角描述网络攻击中各阶段所涉及技术,包括攻击前准备、攻击时技术和移动端技术。将已知攻击者行为转换为包括战术和技术的结构化列表,通过结构化威胁信息表达式
33、(STIX).指标信息的可信自动化交换(TAXII)和矩阵来表示。框架全面呈现了常见的网络攻击行为,能够作为进攻和防御效果的有效度量。ATT&CK的典型的应用场景包括:1)发挥威胁情报最大价值:提供标准化的术语和结构描述攻击者战术、技术和程序(TTPS),帮助安全团队识别和理解攻击行为模式,提高威胁情报的准确性和可操作性;2)提升检测分析效率:根据ATT&CK模型中的技术和战术,制定和优化检测规则和响应策略:3)针对性攻击模拟:基于威胁情报模拟真实的攻击行为,测试和评估防御系统的有效性:4)支撑能力验证与改进:使用ATT&CK模型开展防御差距评估,指导企业安全决策。2 .网络杀伤链洛克希德马丁
34、公司提出的网络安全威胁的杀伤链模型广泛应用于描述网络攻击和防御流程,涵盖了攻击者从初始侦察到最终目标达成的整个攻击生命周期。侦察阶段,收集目标的信息,确定可利用的漏洞和潜在的攻击面;武器化阶段,攻击者将恶意代码或工具,创建可以用于攻击的“武济”;传送阶段,攻击者将武器传送到目标系统;利用阶段,攻击者利用目标系统中的漏洞或弱点执行恶意代码;安装阶段,攻击者在目标系统中安装恶意软件,以确保持久访问:命令与控制阶段,攻击者建立与被感染系统的远程通信通道实现目标远程控制:最终攻击者在目标系统上执行攻击行为,例如数据窃取、破坏系统、勒索或网络间谍活动。为梳理日益复杂的云网攻击,Metaf2022年推出了
35、新的“在线操作杀伤链”模型,具体描述了攻击者在执行在线操作攻击时的各个步骤和阶段,帮助组织更有效地检测、阻止和响应在线攻击。3 .入侵分析钻石模型入侵分析钻石模型是一种用于分析网络入侵事件的模型,帮助安全团队理解和分析入侵者的行为、动机、目标和工具。该模型由美国情报界提出,并在网络安全领域得到广泛应用。模型以钻石形状展现入侵事件的四个核心要素,即受害者、入侵者、基础设施和行动。模型能够帮助企业梳理网络入侵事件全过程,包括开展威胁情报分析和安全威胁建模,帮助企业了解威胁行为模式,提供安全策略制定、漏洞修复和安全培训提供参考;事前基于入侵者的行为模式和攻击手段入侵检测和响应,及时发现和阻止入侵行为
36、;事中执行安全事件分析和溯源,揭示攻击者的行为凯迹、攻击链和漏洞利用方式;事后进行安全漏洞修复和威胁情报共享,提高系统的安全性和稔定性,促进安全社区和组织之间的威胁情报共享和协作,加强整体安全防御能力。4 .而向云计算的攻防框架相较于其他网络攻击模型,云安全攻防矩阵聚焦云计算环境,按照攻击者入侵过程,详细描述云服务器、容器和云存储等云计算资源的风险点位,梳理利用Kubernetes配置、Docker漏洞提权等进行云上攻击的手段,能够有效的帮助云上开发者和运维人员识别风险,有效的保障云上资产安全。腾讯云安全攻防矩阵是由腾讯安全云鼎实验室推出的一种网络安全分析模型,针对云上安全所面临的威胁以及攻击
37、技术,从实战角度出发,围绕云原生场兔,分析攻击者战术与手段,助力企业知攻知防。矩阵共分为初始访问、执行、持久化、权限提升、防御绕过、窃取凭据、探测、横向运动、影响等九大阶段,为安全团队提供一套系统化的威胁检测、响应和防御方法。青藤云Kubemetes攻击矩阵基于ATOCK框架进行梳理,描述跨越KuberneIeS基础设施和应用的关键攻击战术和技术。越来越多的企业在建立云上业务时,选择将工作负载转移到灵活可扩展的容器和集群,该攻击矩阵可以帮助企业明确其应对容器安全威胁的防御水平,找出存在的差距并提供优化路径参考。四、发展趋势与建议(一)ICT新技术融合加速云上攻防态势复杂化云上攻防技术的更迭受数
38、字基础设施架构变化、ICT新技术应用、网络攻击暴露面延伸等多重影响。云计算和算力网络的广泛应用极大拓宽了网络安全的覆盖范围,为攻防领域与新技术、新应用融合发展提供土壤,不论是云上攻击技术还是安全防御能力,未来都将继续向提升执行效率、优化经济效益、扩大效果方向演进。一是大模型赋能攻击防御智能化。随着大语言模型迭代,人工智能技术不再是辅助安全策略判断和执行的自动化工具,而是逐渐替代人工实现主动决策。攻击技术方面,生成式AI被恶意利用难以避免,通过分析大量代码和配置文件,自动发现和利用安全漏洞,生成多态恶意代码以逃避检测,甚至优化攻击路径和规避策略,帮助攻击者绕过安全防护措施,使得攻击行为更加复杂多
39、变。防御技术方面,安全大模型强大的自然语言处理和数据分析能力,能够实时分析安全日志和网络流量,识别复杂的攻击模式和异常行为,更透彻地理解攻击者的战术和技术,F1.动化生成应急响应措施和修复建议,协助安全团队快速应对威胁。大模型还可以用于威胁情报的自动化提取和共享,实现对潜在威胁的精准预测,持续优化安全策略和防御体系,显著增强云环境整体安全防护能力。二是区块链成为攻防技术双刃剑。区块链技术因其去中心化、匿名性和可溯源的特征在网络安全和云安全技术中被广泛应用,但由于Web3.0体系发展迅速,监管体系尚不成熟,区块链依然是网络攻防领域的一把双刃剑,既是建设可信基础设施的关键载体,也可以是攻击者隐藏行
40、踪的常用手段。一方面,区块链技术可以通过其去中心化和匿名性特征实现匿名化攻击。攻击者利用区块链的分布式账本和加密技术掩盖真实号份和攻击路径,使用匿名工具和多层加密使得路径追踪和攻击溯源变得极为困难。另一方面,区块链提供r个透明且防篡改的交易记录系统,智能合约的自动执行减少了人为操作带来的安全风险,分布式技术消除了单点故障,确保数据的完整性和真实性,防止恶意篡改和欺诈。将区块链基础设施引入云平,能够做解决分布式存储带来的传输安全和隐私保护问题。三是量子信息技术引发云安全质变。量子信息技术是量子物理与信息技术的融合产物,未来计算能力跨越式发展的重要方向,将对传统技术体系进行重构,成为引领新一轮科技
41、革命和产业创新的驱动力,也是网络安全和云安全领域未来发展的关注焦点之一。在网络攻击领域,量子计算主要被用于破解经典密码算法,攻击者使用量子计算强大的并行计算能力和量子算法,能够在极短时间内破解现有的对称和非对称加密算法,对云计算架构卜.流量庞大的数据传输和分布式加密存储构成了严重的安全威胁。在网络防御领域,量子计算主要应用于后量子密码、量子密钥分发等量子通信技术,利用量子力学原理生成和传输不可窃听的加密密钥、开发抗量了计算攻击的加密算法。目前,我国量计算云平台发展处于起步阶段,将量子计算资源广泛集成至云安全产品,能够实现用户资源安全和数据保护效果质变提升。(二)多措并举维护云安全生态加强企业云
42、安全能力,形成整体防御体系。云安全需求侧企业应加强云安全意识,积极承担安全责任,做好企业云安全访问控制、安全配置、定期安全审查,确保“选云”和“用云”安全。不断加强企业抗风险韧性,制定并执行全面的应急响应和业务连续性计划,帮助企业能够在面对复杂的网络攻击时保持敏捷和高效。此外,随着云环境安全建设精细化、复杂化,企业应逐渐建立可量化的安全管理和评价体系,不断提高整体安全管理成熟性。对供应侧企业来说,云安全能力的发展方向应该是技术驱动、量化管理、全局防御,对内加强安全管理,对外提供安全赋能。云安全能力供应方应积极探索,提升创新研发能力,努力实现关键技术瓶颈突破,新兴技术与网络安全深度融合,云安全产
43、品和服务创新能力增强。提升用户云安全索养,扩充社会人才储配。应加强云服务用户对云安全基本概念和防护措施的认识,通过教育和宣传,提高安全意识和风险识别能力。在人才培养方面,鼓励和支持院校及培训机构设立云安全相关课程和认证项目,培养专业化、高素质的公安全人才。促进政府、企业和社会各界对网络安全宣传的共同参与及配合,提供实习和就业机会,帮助新兴人才积累实战经验。通过多方合作与持续投入,构建一个知识丰富、技能全面的云安全人才库,为社会的安全发展提供坚实的人才保障。健全行业云安全监管,推进跨域多元合作。依托现有网络安全法律保障体系,贯彻落实云安全防御相关要求,实现权责明确的多部门联动协调,提高跨组织的网
44、络安全响应能力。积极推进针对金融、电力、医疗、交通等关键行业的公安全标准规范和实施指南,通过多层次、多维度的监管和引导,加速重点领域云安全建设,推动构建国家网络安全保障体系。建立广泛的公共和私营部门之间的合作平台,推动安全资源和攻防经验互补。鼓励跨行业和跨国界的网络安全和云安全合作,通过信息共享和技术交流,共同应对复杂的网络威胁,构建网络安全命运共同体。通过建设多元化安全生态,形成覆盖全国、全行业的大安全观,筑牢可信数字安全屏障,为信息化协同发展提供有力保障。附录:云安全实践优秀案例金融业云镜像安全管理实现案例关皎词:云上安全运营、铳像安全、DevOps需求痛点业务轻量化部署将云上安全运营的重
45、点逐渐转移到对容器镜像的安全管理上,包括酹保镜像的安全性、实现自动化的安全扫描,以及在CI/CD流程中整合安全措施.现有行业内传统旁挂式的镜像安全扫描方案中,仅具备饶像内部风险的扫描能力,不具备安全运营闭环能力,直接影响r云原生应用的安全水平,进而造成业务安全隐患。解决方案吉藤云提出镜像可信安全管理方案,设计以镜像为中心的安全业务流程模型,打通业务镜像生命周期流程,嵌入镜像安全检测能力,并利用链像数字技术对镜像进行安全签名,保障业务镜像的分发、部署的完盛性、一致性和安全性。同时实现研发与运行时“双向”反馈,在开发、构建、分发、部署流程中,确认镜像的安全性与合规性,保障上线即安全,在运行时环境持
46、续监控,对安全问题整改提出修复指导。案例创新1、以镜像为核心的可信管理体系:2、镜像血缘关系分析技术;3、内含安全元数据的镜像签名技术:4、镜像安全“双向”反馈机制。应用效果为用户(某股份制银行)建设了全生命周期贯通的研发运营安全体系(DevSeCOps),实现了C1.CD全阶段的云安全检测自动化,有效解决行业共性的开发、生产隔离导致dev和OPS割裂式管理问题。通过镜像血缘关系收敛70%以上历史镜像漏洞,为云上安全运营提供良好支撑。目前已累计对超过数十万个镜像缓存进行了全面监控和安全扫描,确保了饯像安全的全方位覆盖和持续监控。运管商云安全宙码一体化实赛案例关键词:数据安全、密码服务、身份认证
47、需求痛点商用密码技术是保障网络与信息安全的核心技术,某地方运营商为落实商密系统建设要求,需对后端设备登录身份认证加密、重要数据存储机密性、重要数据存储完整性进行改造,实现云平台防假自、防泄密、防篡改、抗抵赖等安全需求。解决方案新华:根据客户需求,搭建云安全密码一体化服务平,支持南向纳管密码安全设备,北向统一提供接口服务:纳管密码机及签名验卷,可对外提供加解密及卷名脸签能力;通过实际业务系统改造,落地后端设备登录身份认证加密、重要数据存:储机密性、道要数据存储完整性三种场景的密码股务能力。案例创新1、采用SM2国密算法数字签名技术实现身份鉴别;2、采用国密算法实现玳要数据存储机密性保护;3、支持
48、应用系统重要数据在存储过程中的完整性安全保护。应用效果客户通过密码服务平,南向纳管云密码机、签名验签服务器,北向可实现加解密能力、签名验签能力:对接落地后端设备登录身份认证加密场景、重要数据存储机密性保护场景、重要数据存储完整性保护场景:平可灵活扩展密码服务能力,对接其他业务系统。致谢本报告在撰写过程中得到了以下单位的支持和帮助,在此表示感谢。由于撰稿时间有限,行业态势变化快,如有疏忽和处漏,欢迎批评指正。中国信息通信研究院、腾讯云计算(北京)有限责任公司、新华三技术有限公司、天翼云科技有限公司、天翼安全科技有限公司、中移(苏州)软件技术有限公司、中电信数智科技有限公司、北京升鑫网络科技有限公司、瑞数信息技术(上海)有限公司、奇安信科技集团
