开年,一场新冠肺炎疫情迅速蔓延,病毒打破了物理边界,对人类社会的发展带来了不可预料的变数。而在陆、海、天、空外的“第五空间”——网络空间,随着物理与虚拟世界的深度融合,未知的威胁不断触碰安全红线,预防网络安全刻不容缓。这其中,对企业而言,主机是承载企业数据和服务的核心,是抗击网络威胁的最后一公里防线,如何解决其安全隐患尤为关键。为使各行各业的组织机构全面而清晰地了解当前主机安全状况,以及如何守护主机安全。近日,青藤云安全携手中国产业互联网发展联盟(IDAC)、腾讯标准、腾讯安全,共同发布《中国主机安全服务报告》。该报告以理论结合实践为指导思想,通过前期大量数据调研,分析当前我国主机安全整体状况、主机安全产品成熟度,为主机安全未来的发展指明了方向。4个维度20个视角剖析主机整体状况本报告将从主机资产概况、主机风险分析、主机入侵检测、主机合规分析四个方面详细分析年主机安全的整体概况。清点拥有哪些资产如果没有完整的、详细的主机资产清单,安全运维团队将无法确保组织机构的安全,因为任何人都无法保护“未知”事物的安全性。本报告通过分析大量的企业级主机核心资产情况,从而为各企业制定安全防护策略提供支持和帮助。通过统计分析发现,在企业级客户中,超过81.45%的主机使用都是Linux操作系统,只有18.55%主机使用的是Windows操作系统。这其中原因有很多,比如Linux兼容性更好、模块化、资源消耗少等等原因,让很多客户都会选择Linux系统。图一:不同主机操作系统的使用比例通过对样本数据的分析可知,74%的主机上都存在UID为0、GID为0、Root/Administrator账号、Sudo权限等特殊账号。这些特殊账号,往往会成为备受黑客青睐的资产,属于高危重点保护资产。图二:主机特殊账号的使用情况此外,在样本数据分析中,发现在Linux系统中,使用最多的Web服务应用是Tomcat服务,高达58%,其次是Nginx,使用率达到了32%。图三:LinuxTop5Web服务的使用情况而在Windows环境下,IIS使用最多,达到47%,其次是Tomcat,达到36%。另外,Apache和Nginx的使用也占到了一定比例。图四:WindowsTop5Web服务的使用情况评估存在什么风险为了在黑客入侵前发现系统风险点,安全人员需要通过专业的风险评估工具,对风险进行检测、移除和控制,来减小攻击面,包括安全补丁、漏洞、弱密码、应用风险、账号风险等。基于漏洞所影响的主机数量,发现年影响范围最大的TOP10漏洞,有很多都是前几年的漏洞。尤其是针对那些老旧资产,补丁修复更是严重不足,因此,这些漏洞就成为了黑客入侵的突破口。图五:年影响主机TOP10的漏洞除了漏洞风险之外,在对Web服务器等互联网空间资产做空间测绘后发现,有大量的资产开放了高危端口,存在较高的安全隐患。例如,很多黑客攻击者很喜欢尝试入侵22、端口。如果主机存在弱密码登录的情况,很容易就被暴破成功,进而服务器被黑客控制。特别是今年曝光的BlueKeep(CVE--)、WindowsRDS(CVE--),均是Windows远程桌面服务的漏洞并且危害巨大,而又是Windows远程桌面的默认端口,开放的Windows服务器更容易受到入侵攻击。建议服务器修改默认的远程连接端口,如无必要,可关闭该端口。图六:常见高危端口的开放情况此外,不同服务都有一些具有各自服务特色的弱口令,有一部分是安装时的默认密码。比如MySQL数据库的默认密码为空。通过分析发现,主机软件弱密码主要集中在MySQL、SSH、SVN、Redis、vsftpd这五类应用上,其中MySQL和SSH弱密码问题更是超过了30%。图七:主机软件弱密码盘点木马病毒也是主机中最常见的风险,风险木马类软件在各行业的染毒事件中占比最高(40%以上),科技行业相对其他行业感染风险木马软件的比例更小。由于风险木马软件的感染主要是不良的上网习惯及缺乏安全意识引起的(如使用盗版软件或外挂工具等),可能科技行业从业人员的上网安全意识相对更高。感染型木马在教育行业感染比例相对较高,可能和该行业频繁的文件交互传输有关。图八:不同行业感染病毒类型分布后门远控类木马是除了风险软件之外感染量最大的染毒类型,占比在20%左右。后门远控类木马有着极高的隐蔽性,接受远程指令执行信息窃取、截屏、文件上传等操作,对金融科技等信息敏感行业可造成极大危害。检测存在什么攻击通过对暴露在公网的服务器做抽样分析发现,在常见的攻击类型中,远程代码执行(RCE)、SQL注入、XSS攻击类型比例较高,同时黑客为了获取服务器、网站的基本信息,常见的探测性扫描(ProbeScan)量同样非常高。图九:常见主机漏洞年,全国企业用户服务器病毒木马感染事件超百万起。其中Webshell恶意程序感染事件占73.27%;Windows恶意程序感染事件占18.05%;Linux恶意程序感染事件占8.68%。图十:主机感染病毒木马的情况从感染主机中,总共发现超1万种木马病毒,其中Webshell约占27%,Windows木马病毒约占61%,Linux木马病毒约占12%。图十一:病毒木马种类分布由上文可知,年Webshell恶意程序感染事件为近80万起,占所有感染事件的70%。从被感染服务器的数量来看,Windows服务器感染Webshell占所有Windows服务器的约44%,Linux服务器感染Webshell占所有Linux服务器的约0.2%。这说明Windows服务器更容易受到Webshell的攻击。从感染的Webshell语言类型来看,PHP类型的Webshell是最多的,其次是ASP语言。图十二:Webshell语言类型的比例分布此外,在本报告中,根据不同操作系统样本数据进行分析,总共发现超过台Windows服务器感染了挖矿木马,其中超台Linux服务器感染了挖矿木马。通过对被感染的主机进行分析,发现挖矿木马主要挖比特币与门罗币。猜测其原因,可能是比特币是数字货币的开创者,其价值非常高,当仁不让地成为黑客的重点
转载请注明:http://www.aierlanlan.com/grrz/9301.html
