亚洲精品无码av中文字幕网站,日韩有码免费在线视频,五月丁香久久久久久,少妇被粗大的猛进69视频

青騰與IDAC、騰訊標準和騰訊安全聯合發(fā)布《2019中國主機安全服務報告》
瀏覽:213 時間:2023-8-19

2020年初,一種COVID-19流行病迅速蔓延。這種病毒打破了物理界限,給人類社會的發(fā)展帶來了不可預測的變數。然而,在陸、海、空、空之外的“第五空間”——賽博空間,隨著物理世界和虛擬世界的深度融合,未知威脅不斷觸及安全紅線,防止黑天鵝入侵網絡安全迫在眉睫。其中,對于企業(yè)來說,主機是承載企業(yè)數據和服務的核心,也是抵御網絡威脅的最后一道防線。如何解決其安全風險尤為關鍵。

為了使各行各業(yè)的組織充分而清楚地了解當前主機的安全狀況以及如何保護主機的安全。近日,青騰云安全與中國工業(yè)互聯網發(fā)展聯盟(IDAC)、騰訊標準、騰訊安全聯合發(fā)布《2019中國主機安全服務報告》。報告以理論與實踐相結合為指導思想,通過前期大量的數據調查,分析了我國主機安全的整體狀況和主機安全產品的成熟程度,為主機安全未來的發(fā)展指明了方向。

從4個維度和20個角度分析主持人的整體情況

本報告將從主機資產概況、主機風險分析、主機入侵檢測和主機合規(guī)性分析四個方面詳細分析2019年主機安全的總體情況。

盤點你擁有的資產

沒有完整而詳細的主機資產列表,安全運營和維護團隊將無法確保組織的安全,因為沒有人能夠保護“未知”事物的安全。通過分析大量企業(yè)級主機的核心資產,該報告為企業(yè)制定安全保護策略提供了支持和幫助。

通過統(tǒng)計分析發(fā)現,在企業(yè)客戶中,超過81.45%的主機使用Linux操作系統(tǒng),只有18.55%的主機使用Windows操作系統(tǒng)。造成這種情況的原因有很多,比如Linux的兼容性好、模塊化和資源消耗少,這使得很多客戶選擇了Linux系統(tǒng)。圖1:不同主機操作系統(tǒng)的使用率

根據對樣本數據的分析,74%的主機擁有特殊帳戶,如UID 0、GID 0、Root/Administrator帳戶、Sudo權限等。這些特殊賬戶往往成為黑客青睞的資產,是高風險的重點保護資產。圖2:特殊主機帳戶的使用

另外,在對樣本數據的分析中發(fā)現,Tomcat服務是Linux系統(tǒng)中使用最多的Web服務,使用率高達58%,其次是Nginx,使用率為32%。圖Linux五大網絡服務的使用

在Windows環(huán)境中,IIS的使用率最高,達到47%,其次是Tomcat,達到36%。此外,Apache和Nginx以一定比例使用。圖4:視窗五大網絡服務的使用

評估存在哪些風險

為了在黑客入侵前發(fā)現系統(tǒng)風險點,安全人員需要通過專業(yè)的風險評估工具來檢測、移除和控制風險,以減少攻擊面,包括安全補丁、漏洞、弱密碼、應用風險、賬戶風險等。

根據受漏洞影響的主機數量,我們發(fā)現2019年受影響最大的前10個漏洞,其中許多是前幾年的。特別是對于那些舊資產,修補是一個嚴重的短缺。因此,這些漏洞已經成為黑客的突破口。圖5:2019年影響主機排名前10的漏洞

除了脆弱性風險外,在對網絡服務器等互聯網空間資產進行測繪后,發(fā)現大量資產開通了高風險端口,具有較高的安全風險。例如,許多黑客喜歡嘗試入侵端口22和3389。如果主機有一個弱密碼登錄,很容易被成功破解,然后服務器被黑客控制。特別是今年暴露的藍守(CVE-2019-0708)和視窗RDS(CVE-2019-1181)都是漏洞,對視窗遠程桌面服務有很大的危害,3389是視窗遠程桌面的默認端口,因此帶有3389的視窗服務器更容易受到入侵攻擊。建議服務器修改默認遠程連接端口,如果沒有必要,請關閉該端口。圖6:開放常見高風險港口

此外,不同的服務有一些弱密碼,它們有自己的服務特征,其中一些是安裝過程中的默認密碼。例如,MySQL數據庫的默認密碼為空。通過分析發(fā)現,主機軟件的弱密碼主要集中在MySQL、SSH、SVN、Redis和vsftpd,MySQL和SSH的弱密碼超過30%。圖7:主機軟件的弱密碼清單

特洛伊病毒也是主機中最常見的風險。風險木馬軟件在各行業(yè)中毒事件中所占比例最高(40%以上),科技行業(yè)感染風險木馬軟件的比例小于其他行業(yè)。因為風險木馬軟件的感染主要是由于不良的上網習慣和缺乏安全意識(如使用盜版軟件或插件工具等)造成的。),技術行業(yè)的員工可能對互聯網安全有更高的認識。

教育行業(yè)感染木馬的感染率相對較高,這可能與該行業(yè)文件交互傳輸頻繁有關。圖8:病毒類型在不同行業(yè)的分布

后門遠程控制木馬是除風險軟件以外感染最多的類型,約占20%。后門遠程控制木馬隱蔽性極強,通過接受遠程指令進行信息竊取、屏幕截圖、文件上傳等操作,對金融技術等信息敏感行業(yè)造成極大危害。

檢測存在哪些攻擊

通過對暴露在公共網絡中的服務器進行抽樣分析,發(fā)現在常見的攻擊類型中,遠程代碼執(zhí)行(RCE)、SQL注入和XSS攻擊所占比例較高,黑客獲取服務器和網站基本信息的常用探測掃描量也很高。圖9:常見的主機漏洞

2019年,全國企業(yè)用戶感染木馬的案例超過100萬起。其中,Webshell惡意程序感染占73.27%;Windows惡意程序感染占18.05%;Linux中的惡意程序感染占8.68%。圖10:主機感染了病毒木馬

從受感染的主機中發(fā)現了10,000多種木馬病毒,其中Webshell病毒約占27%,Windows木馬病毒約占61%,Linux木馬病毒約占12%。圖11:病毒木馬的分布

從上面可以看出,2019年有近80萬個Webshell惡意程序感染,占所有感染的70%。就受感染的服務器數量而言,Webshell感染約占所有Windows服務器的44%,Webshell感染約占所有Linux服務器的0.2%。這表明視窗服務器更容易受到網絡外殼攻擊。

從受感染的網絡外殼語言類型來看,PHP類型的網絡外殼最多,其次是ASP語言。圖12:網絡外殼語言類型的比例分布

此外,根據本報告對不同操作系統(tǒng)樣本數據的分析,發(fā)現3000多臺Windows服務器感染了挖掘木馬,其中2000多臺Linux服務器感染了挖掘木馬。

通過對被感染主機的分析,發(fā)現挖掘木馬主要挖掘比特幣和門羅幣。猜一猜原因,可能是比特幣是數字現金的先驅,而且它的價值非常高,所以它成了黑客的焦點。門羅硬幣是一種新的數字現金,因為它主要使用中央處理器進行挖掘,所以黑色團伙喜歡使用入侵服務器進行挖掘。從入侵和開采時間來看:

Windows平臺上挖掘事件主要發(fā)生的年初(1-3月)和年末(12月)如下:圖13:Windows平臺上挖掘事件的月度統(tǒng)計

但是,Linux平臺上的挖掘事件主要集中在年中(4-6月)和年末(11-12月):圖14:Linux平臺上挖掘事件的月度統(tǒng)計

可以看出,無論是Windows平臺還是Linux平臺,年底的挖掘入侵發(fā)生率都很高,需要注意服務器的CPU是否過高。

確定是否符合要求

所有企事業(yè)單位的網絡安全建設都需要滿足國家或監(jiān)管部門的安全標準,如equal security 2.0和CIS安全標準。安全標準,也稱為“安全基線”。安全基線的意義在于建立一系列滿足最基本保護要求的基準,廣泛應用于金融、運營商、互聯網等行業(yè)。自我檢查和自我強化

主機賬戶安全性的重要性不言而喻,但在樣本分析過程中,我們仍然發(fā)現許多賬戶不符合要求,如沒有密碼嘗試次數鎖定、沒有密碼復雜度限制等。不符合國家一級保護的相關要求。在equal insurance 2.0的一般基本要求的認證控制項中,明確要求“登錄用戶必須經過身份識別和認證,身份必須唯一,認證信息必須具有復雜性要求并定期更換”,“提供登錄失敗處理功能,并配置和啟用結束會話、限制非法登錄次數、登錄連接超時自動退出等相關措施。”圖15:主機賬號不符合

此外,主機服務器上還有許多應用程序。如果應用程序中存在不符合要求的情況,如配置錯誤、未修補的漏洞補丁等。然后黑客可以通過應用程序進入主機系統(tǒng),這將帶來很大的風險。圖16:常見應用程序的配置風險

當然,如果主機的底層操作系統(tǒng)配置不當,將會出現許多安全問題。建議安全運行維護人員仔細配置主機,以滿足組織的安全需求,并可根據需要進行重新配置。通過對樣本數據的研究和分析,發(fā)現GRUB密碼設置、UMASK值異常和無SYN COOKIE是主機系統(tǒng)風險比例最大的三種類型。圖17:主機系統(tǒng)不符合性分析

從三個層面解讀未來主機安全的發(fā)展方向

正如達爾文所說,進化來自突變,安全面臨著“不可預測的未來”。主機安全作為網絡安全領域的一個重要分支,面臨著不可預知的黑客攻擊,傳統(tǒng)的防范和攔截策略已不再可行。

一方面,攻擊者和防御者處于天然的不平等地位,傳統(tǒng)的基于警報或現有威脅特征的檢測技術,包括防火墻、入侵防御系統(tǒng)、防病毒和沙箱等被動防御手段,使得這種不平等更加嚴重。許多被黑客捕獲的企業(yè)組織已經建立了一定的安全防御系統(tǒng),但他們仍然不能及時發(fā)現或阻止威脅,并最大限度地減少損失。主要是因為目前的檢測系統(tǒng)在處理未知威脅方面存在一些不足,表現在以下幾個方面:

單一檢測技術:基于簽名的檢測技術無法檢測未知威脅,也無法定位丟失的主機。

缺乏連續(xù)檢測:只能進行周期性檢測,不能覆蓋威脅的整個生命周期。

聯動是不可能的:每個安全檢測產品都是獨立工作的,攻擊報警信息是零散的,所以聯動是不可能的。

另一方面,當前安全攻防對抗日趨激烈,單純依靠預防和防范的策略已不再可行,必須更加注重發(fā)現和應對。在企業(yè)受到攻擊的假設下,有必要構建一個集防御、檢測、響應和預防為一體的全新的安全防護體系。這也可以從2019年6月的網絡演習規(guī)則中看出,演習并沒有強制系統(tǒng)不被入侵,而是強調入侵后的快速反應能力。

最后,隨著云計算的快速發(fā)展,云和云原生趨勢逐漸成為主流,云和云原生等新架構不斷涌現。如何使原有的主機安全產品適應新的架構也成為企業(yè)不得不考慮的話題。

為了應對外部環(huán)境的不斷演變,主機安全防護軟件不斷更新和迭代,產生了一系列細分領域的主機安全產品。從主機安全產品的發(fā)展水平來看,大致可以概括為五個階段:“基本主機安全產品”、“以應用為中心的主機安全產品”、“以檢測-響應為中心的主機安全產品”、“以主動防御為中心的主機安全產品”和“新型主機安全產品”。圖18:主機安全性成熟度曲線

我們可以看到,在未來,作為企業(yè)基礎設施的必需品,企業(yè)只有朝著“持續(xù)檢測、快速響應、全面適應”的方向發(fā)展主機安全產品,才能更好地應對未知的未來。

寫在最后

《進化論》這一宏大的理論體系不僅促使市場充分了解中國主機安全的現狀,也為主機安全的發(fā)展指明了方向。未來,作為中國主機安全的領導者,慶騰將繼續(xù)深化在這一領域的探索和推廣,繼續(xù)幫助政府、金融、互聯網、運營商、醫(yī)療、教育等不同行業(yè)的用戶。構筑網絡安全的最后一道防線,為中國的網絡安全事業(yè)輸出源源不斷的安全免疫力!

有關報告的詳細信息,請注意“慶騰云安全信息”的公開號碼。