2024年云安全態(tài)勢報(bào)告-25正式版

前言云計(jì)算經(jīng)過多年的發(fā)展，已經(jīng)逐漸成為了企業(yè)的基礎(chǔ)設(shè)施，其彈性與便捷讓企業(yè)能夠快速拓展并抓住機(jī)遇，隨著業(yè)務(wù)復(fù)雜性的提升，如今，多云/混合云架構(gòu)已經(jīng)成為多數(shù)企業(yè)的首選。同時，GenAI的到來也在改變企業(yè)的基礎(chǔ)設(shè)施選擇，容器/Serverless等資產(chǎn)使用比例明顯上升。然而，這些創(chuàng)新和靈活性的背后，是成倍增加的復(fù)雜性，“復(fù)雜性”意味著更多的“脆弱性”，據(jù)阿里云觀測數(shù)據(jù)顯示，2024年云上有風(fēng)險(xiǎn)的資產(chǎn)數(shù)量增加了40%。隨著數(shù)字經(jīng)濟(jì)的持續(xù)發(fā)展，安全對抗也在變得愈發(fā)強(qiáng)烈。過去一年，我們看到漏洞、勒索軟件的數(shù)量和攻擊手法都在迭代更新。作為保護(hù)者，阿里云也在持續(xù)更新原生安全能力，當(dāng)然我們不僅要提供安全的云服務(wù)，更要幫助客戶安全地使用云。在這份報(bào)告中，我們整理了2024年云上各類風(fēng)險(xiǎn)態(tài)勢，包含配置、響應(yīng)、漏洞、勒索等方面，并給出相應(yīng)的治理建議，希望能幫助企業(yè)構(gòu)建適合自身的安全防護(hù)策略，在日益復(fù)雜多變的環(huán)境中，穩(wěn)健發(fā)展、不斷前行。為了解決這些風(fēng)險(xiǎn)，企業(yè)將持續(xù)面對安全碎片化問題。我們常常會看到，在傳統(tǒng)方案中，一家企業(yè)往往部署了十余種甚至更多的安全工具，每款工具都有無數(shù)的告警需要處理。此外，不同的基礎(chǔ)設(shè)施，不同的云針對產(chǎn)品的使用配置也不盡相同，一個錯誤的配置就可能增加暴露風(fēng)險(xiǎn)，帶來數(shù)據(jù)泄露的可能。歐陽欣阿里云安全產(chǎn)品總經(jīng)理云，是安全碎片化的終結(jié)者。編寫單位阿里云安全團(tuán)隊(duì)我們長期以來一直致力于保護(hù)企業(yè)的環(huán)境，并堅(jiān)持「三體化」安全建設(shè)思路，幫助客戶實(shí)現(xiàn)：指導(dǎo)委員會不同環(huán)境（公有云、專有云及線下IDC）的安全統(tǒng)管不同安全產(chǎn)品告警信息的聚合和關(guān)聯(lián)分析生產(chǎn)網(wǎng)和辦公網(wǎng)的統(tǒng)一管理和運(yùn)維歐陽欣阿里云安全產(chǎn)品總經(jīng)理祝建躍阿里云安全產(chǎn)品負(fù)責(zé)人劉志生阿里云安全產(chǎn)品技術(shù)負(fù)責(zé)人在2012年，阿里云推出了第一款主機(jī)類防護(hù)產(chǎn)品：安騎士，并在2019年正式更新成云原生的應(yīng)用平臺保護(hù)產(chǎn)品：云安全中心，旨在幫助客戶建立多云混合云的安全配置、威脅、告警統(tǒng)管，實(shí)現(xiàn)安全運(yùn)營的閉環(huán)，2024年阿里云累計(jì)檢測客戶漏洞數(shù)量超過3億個，幫助用戶修復(fù)漏洞超過5000萬個。同時，我們也在積極探索GenAI能為安全帶來何種助益，在2022年阿里云已正式推出安全大模型，為客戶提供清晰的風(fēng)險(xiǎn)解釋和處置手段，目前AI助手實(shí)現(xiàn)了99%的告警事件覆蓋，用戶調(diào)用量提升超過300%。編寫組成員（以下按姓氏拼音首字母排序）曹梁波雷陳恒毅李玉琳羅博文呂英豪陶夏溦李浩然莫誠就譚肖依劉晉成馬樂樂屠勵杰楊李貝鐘現(xiàn)奎田民伍悅王巍淇鐘丹周來張旭俊3億5000萬99%300%設(shè)計(jì)支持累計(jì)檢測客戶漏洞數(shù)量幫助用戶修復(fù)漏洞AI助手告警事件覆蓋用戶調(diào)用量提升徐方芳單夷繁李夢平聯(lián)系我們0102//企業(yè)的基礎(chǔ)設(shè)施正在變得越來越復(fù)雜，多云/混合云成為主流的選擇，云已經(jīng)成為企業(yè)的基礎(chǔ)設(shè)施。漏洞數(shù)量和高危漏洞所帶來的威脅態(tài)勢呈增長態(tài)勢。2024年，阿里云漏洞庫累計(jì)收錄40209個漏洞，較2023年增長12%。其中，CVSS評價(jià)為高危的漏洞數(shù)22489個，較2023年增長4%。開源組件漏洞是主要的云上風(fēng)險(xiǎn)，組件使用者配置不當(dāng)是漏洞形成的主要成因。漏洞利用是勒索軟件常用的攻擊手段。受保護(hù)的資產(chǎn)持續(xù)增加，日均安全掃描量破百萬，容器/Serverless等資產(chǎn)使用比例明顯上升，GenAI時代正在改變企業(yè)的基礎(chǔ)設(shè)施選擇。但“復(fù)雜性”意味著更多的“脆弱性”，阿里云觀測到，有風(fēng)險(xiǎn)的資產(chǎn)數(shù)量增加40%，集中在計(jì)算（ECS）、身份認(rèn)證（RAM）、存儲（OSS/NAS）、數(shù)據(jù)庫（RDS/KVSTORE）等核心資產(chǎn)中?？蛻魬?yīng)采用自動化的漏洞修復(fù)工具，降低MTTD/MTTR是應(yīng)對漏洞風(fēng)險(xiǎn)的有效手段。一方面，提前發(fā)現(xiàn)并修復(fù)漏洞，可有效保護(hù)企業(yè)和用戶的信息安全。2024年阿里云累計(jì)檢測客戶漏洞數(shù)量超過3億個，幫助用戶修復(fù)漏洞超過5000萬個。另一方面，在運(yùn)行時，依托自動化和智能化增強(qiáng)入侵檢測與防御能力，可有效減少漏洞檢測與修復(fù)時間?；诖竽Ｐ偷陌⒗镌圃瓢踩行腁I助手的引入實(shí)現(xiàn)了99%的告警事件覆蓋，AI助手的用戶調(diào)用量提升超過300%。通過對資產(chǎn)的持續(xù)性掃描，阿里云整理了六大典型的安全配置風(fēng)險(xiǎn)，并梳理了典型的攻擊路徑。其中，機(jī)器身份的大量應(yīng)用，讓身份安全和權(quán)限管控成為重中之重：AK泄漏、弱密碼、過度授權(quán)......任意的脆弱性都有可能成為攻擊鏈路上的擊破點(diǎn)，正確管理企業(yè)云上的身份與授權(quán)是安全的基石。同樣，隨著AI和大模型的快速發(fā)展，相關(guān)企業(yè)也成為了新的攻擊對象，服務(wù)中斷、數(shù)據(jù)泄露等事件層出不窮。阿里云整理了模型從部署、訓(xùn)練到上線全流程的安全風(fēng)險(xiǎn)和防護(hù)建議，高算力、高資源、高迭代的特點(diǎn)，也給其安全帶來了更多的挑戰(zhàn)。03/2024年，安全對抗也在持續(xù)增強(qiáng)。勒索軟件呈現(xiàn)爆發(fā)式增長趨勢，漲幅達(dá)到74%，隨著Bitcoin等加密貨幣價(jià)格大幅飆升，勒索攻擊者活動愈發(fā)猖獗，且表現(xiàn)出高度的執(zhí)著與專業(yè)性，單次攻擊時間可持續(xù)數(shù)小時，采用多種手段。同時，隨著頭部RaaS生態(tài)變動，大量從頭部勒索組織脫離的附屬機(jī)構(gòu)會優(yōu)先選擇攻擊防護(hù)能力較弱的中小企業(yè)。同時，勒索組織的勒索效率也在提升，且行為更加隱蔽，在約50%的勒索事件中，攻擊者會優(yōu)先選擇攻擊EDR、HIPS等安全防護(hù)產(chǎn)品，在安全模塊無法工作后才進(jìn)行勒索，確保新型的勒索病毒不被安全產(chǎn)品收集。在攻防態(tài)勢愈發(fā)嚴(yán)峻的當(dāng)下，企業(yè)應(yīng)盡快提升自身的安全防護(hù)力。01.2024Chapter企業(yè)基礎(chǔ)設(shè)施變得越來越復(fù)雜_AboutAlibabaCloudSecurity0708企業(yè)基礎(chǔ)設(shè)施正在變得越來越復(fù)雜，含有配置問題的風(fēng)險(xiǎn)資產(chǎn)增多02云上日均資產(chǎn)掃描量破百萬，風(fēng)險(xiǎn)資產(chǎn)數(shù)量增加40%，AK泄漏、過度授權(quán)和弱口令需重點(diǎn)關(guān)注2024年，隨著GenAI和大模型的蓬勃發(fā)展，新的業(yè)務(wù)形態(tài)持續(xù)出現(xiàn)，生成式人工智能正在顛覆安全領(lǐng)域。一方面，AIGC等新業(yè)務(wù)形態(tài)的出現(xiàn)帶來的新的安全風(fēng)險(xiǎn)，大模型的推理技術(shù)也越來越多地被用在攻防對抗中，安全團(tuán)隊(duì)需要對攻防技術(shù)和策略進(jìn)行快速的更新；另一方面，企業(yè)的基礎(chǔ)設(shè)施正在變得越來越復(fù)雜，多云混合云部署成為主流，圍繞著AI模型的訓(xùn)練、推理，容器/Severless的使用頻率增加，資產(chǎn)迭代的生命周期被大幅縮短，持續(xù)的資產(chǎn)監(jiān)控和配置管理的必要性愈發(fā)凸顯。云上資產(chǎn)量級快速增加，風(fēng)險(xiǎn)資產(chǎn)數(shù)量上漲40%隨著企業(yè)上云率提升，云上資產(chǎn)數(shù)量越來越多，企業(yè)的安全意識也在逐步提升。根據(jù)云安全中心數(shù)據(jù)顯示，配置安全的日均掃描量已達(dá)150W+，掃描出的風(fēng)險(xiǎn)資產(chǎn)數(shù)量提升40%，其中計(jì)算（ECS）、身份認(rèn)證（RAM）、存儲（OSS/NAS）、數(shù)據(jù)庫（RDS/KVSTORE）等云上核心資產(chǎn)的配置風(fēng)險(xiǎn)，需要企業(yè)優(yōu)先關(guān)注。阿里云安全團(tuán)隊(duì)從資產(chǎn)類型、配置管理以及身份安全三個方面監(jiān)控了相關(guān)數(shù)據(jù)和態(tài)勢的變化，我們看到云上有風(fēng)險(xiǎn)的資產(chǎn)數(shù)量增加40%，而在此類變化下，保持對安全的持續(xù)監(jiān)控和管理，成為一個巨大的挑戰(zhàn)。150w+

+40%日均掃描量風(fēng)險(xiǎn)資產(chǎn)上漲01企業(yè)架構(gòu)加速向云上演進(jìn)，GenAI正在改變企業(yè)的資產(chǎn)選擇隨著企業(yè)上云程度加深，架構(gòu)的復(fù)雜性也在提升，需要同時防護(hù)云上和原有環(huán)境中的資產(chǎn)，過去一年阿里云對云外主機(jī)的防護(hù)數(shù)量增長28.4%。同時，GenAI（生成式人工智能）在2023年作為一種突破性力量出現(xiàn)，圍繞著AI的模型訓(xùn)練、推理，云上架構(gòu)正在從虛擬機(jī)（ECS）向無服務(wù)/容器演進(jìn)，目前云上受到保護(hù)的容器/Serverless資產(chǎn)已超過百萬級。配置風(fēng)險(xiǎn)風(fēng)險(xiǎn)資產(chǎn)數(shù)量30000002500000200000015000001000000云安全中心防護(hù)的云外主機(jī)數(shù)增長+28.4%

+2.1%云外主機(jī)在整體防護(hù)主機(jī)中的占比增長5000000ECSRAMOSSACRRDSVPCSLB架構(gòu)的復(fù)雜化和資產(chǎn)迭代速度的增快給安全帶來了更大的挑戰(zhàn)，既需要保證多環(huán)境中的安全策略一致性，也要持續(xù)收斂因工作負(fù)載快速迭代而擴(kuò)大的攻擊面，實(shí)現(xiàn)持續(xù)性的安全洞察、監(jiān)控和事件響應(yīng)。（云上TOP風(fēng)險(xiǎn)資產(chǎn)）0910六大典型安全配置風(fēng)險(xiǎn)場景：40%以上的企業(yè)存在配置風(fēng)險(xiǎn)典型風(fēng)險(xiǎn)場景四：存儲開放公共讀寫和匿名訪問，存在敏感泄漏風(fēng)險(xiǎn)55%組織存儲開放公共讀寫和匿名訪問根據(jù)對以上資產(chǎn)的持續(xù)性掃描，40%的企業(yè)均存在各類配置風(fēng)險(xiǎn)，面臨著防護(hù)效果不佳，甚至面臨暴力破解和數(shù)據(jù)泄露的風(fēng)險(xiǎn)?；诖?，阿里云安全團(tuán)隊(duì)整理了云上六大典型配置風(fēng)險(xiǎn)場景，包含高危端口管理、白名單配置、AK防護(hù)、存儲讀寫、身份授權(quán)等多個方面，需要企業(yè)持續(xù)性的安全治理和建設(shè)。這意味著互聯(lián)網(wǎng)上的任何人都可以讀取企業(yè)存儲桶內(nèi)的數(shù)據(jù)，并刪除或向存儲桶寫入新的數(shù)據(jù)，企業(yè)應(yīng)將OSS/NAS等存儲產(chǎn)品設(shè)置為無公開訪問對象/白名單不對公網(wǎng)開放，并禁止匿名授權(quán)策略。典型風(fēng)險(xiǎn)場景一：高危端口暴露，面臨爆破風(fēng)險(xiǎn)51%

組織存在高危管理端口暴露到公網(wǎng)典型風(fēng)險(xiǎn)場景五：CIEM過度授權(quán)風(fēng)險(xiǎn)43%

組織身份權(quán)限存在過度授權(quán)風(fēng)險(xiǎn)只要存在外部訪問的場景，均有可能存在高危管理端口的暴露，包括：CLB、ALB、SSH、RDP、DNAT等產(chǎn)品，企業(yè)應(yīng)該定期檢查對應(yīng)產(chǎn)品的端口暴露情況，禁止任意IP訪問。身份是云上安全的基石，對于身份及訪問權(quán)限的管理存在于幾乎每一款產(chǎn)品中，過度授權(quán)極易引發(fā)云上RAM權(quán)限體系提權(quán)，導(dǎo)致敏感數(shù)據(jù)泄漏，對于計(jì)算、存儲、數(shù)據(jù)庫等核心云產(chǎn)品的權(quán)限濫用情況最為嚴(yán)重，企業(yè)需重點(diǎn)關(guān)注：典型風(fēng)險(xiǎn)場景二：數(shù)據(jù)庫白名單對公網(wǎng)開放，存在暴力破解和數(shù)據(jù)泄漏風(fēng)險(xiǎn)41%

組織存在數(shù)據(jù)庫端口暴露到公網(wǎng)風(fēng)險(xiǎn)量將數(shù)據(jù)庫的白名單設(shè)置為公網(wǎng)開放，意味著允許來自互聯(lián)網(wǎng)任何IP的連接請求，極有可能遭遇攻擊者的暴力破解，從而導(dǎo)致數(shù)據(jù)泄漏和勒索的問題。企業(yè)應(yīng)該將云上RDS、MongoDB、Redis、Elasticsearch、PolarDB等數(shù)據(jù)庫服務(wù)設(shè)置為白名單不對公網(wǎng)開放，提升數(shù)據(jù)安全性。用戶的云服務(wù)器ECS存在過度授權(quán)用戶的函數(shù)計(jì)算存在過度授權(quán)用戶的對象存儲OSS存在過度授權(quán)用戶的云數(shù)據(jù)庫RDS存在過度授權(quán)角色的ECS權(quán)限存在過度授權(quán)用戶的訪問控制RAM存在過度授權(quán)角色的OSS權(quán)限存在過度授權(quán)用戶的短信服務(wù)存在過度授權(quán)角色的FC權(quán)限存在過度授權(quán)角色的RAN權(quán)限存在過度授權(quán)典型風(fēng)險(xiǎn)場景三：AccessKey未做好防護(hù)，存在泄漏風(fēng)險(xiǎn)44%

組織AccessKey未做好防護(hù)典型風(fēng)險(xiǎn)場景六：風(fēng)險(xiǎn)資產(chǎn)未正確進(jìn)行安全防護(hù)53%

組織存在風(fēng)險(xiǎn)資產(chǎn)未進(jìn)行正確安全防護(hù)訪問密鑰AK（AccessKey）是阿里云提供給用戶的永久性訪問密鑰，用于通過開發(fā)工具（API、CLI、SDK、CloudShell、Terraform等）訪問阿里云時的身份驗(yàn)證，包括AccessKeyID和AccessKeySecret，AK相當(dāng)于登錄密碼，一旦泄漏，將會給業(yè)務(wù)、數(shù)據(jù)帶來巨大風(fēng)險(xiǎn)。企業(yè)應(yīng)對云上AK進(jìn)行持續(xù)的監(jiān)控和治理，包括對主賬號禁用AK、持續(xù)性的AK泄漏檢查，以及定期對閑置子賬號的AK進(jìn)行清理。一方面，對于有使用云上ECS、EIP、公網(wǎng)EIP、數(shù)據(jù)庫等產(chǎn)品的客戶，應(yīng)該對相應(yīng)的資產(chǎn)開啟安全防護(hù)；另一方面，對于已經(jīng)使用了諸如Web應(yīng)用防火墻、云防火墻、DDoS防護(hù)等產(chǎn)品的客戶，需要進(jìn)行正確的配置，例如在DDoS防護(hù)中開啟全局防護(hù)策略，在Web應(yīng)用防火墻中選擇合適的規(guī)則引擎，并配置回源/高防回源，根據(jù)業(yè)務(wù)的流量情況，開啟對應(yīng)的互聯(lián)網(wǎng)/VPC/NAT防火墻，并進(jìn)行合理的ACL配置等。111203使用安全配置檢查/安全審計(jì)工具，并定期巡檢：使用ActionTrail，記錄子賬號的創(chuàng)建和授權(quán)日志，實(shí)現(xiàn)審計(jì)和告警監(jiān)控；身份安全是企業(yè)的基石：AK泄漏、身份提權(quán)、弱口令風(fēng)險(xiǎn)治理開通云安全中心的安全配置、AK泄漏和異常調(diào)用功能模塊，實(shí)時監(jiān)控與告警；定期查看RAM的安全檢查及安全報(bào)告；定期AK輪轉(zhuǎn)隨著云服務(wù)和容器化技術(shù)的快速普及，如何避免安全配置導(dǎo)致AK泄漏、身份提權(quán)和訪問弱口令等風(fēng)險(xiǎn)，為身份的安全管理帶來了更大的挑戰(zhàn)。尤其是機(jī)器身份（Non-HumanIdenti-ties,NHI）技術(shù)的大量應(yīng)用，如何有效動態(tài)創(chuàng)建和輪轉(zhuǎn)身份，確保最小使用授權(quán)，成為云安全態(tài)勢管理的關(guān)鍵。弱口令公網(wǎng)暴露率風(fēng)險(xiǎn)大幅收斂，但內(nèi)網(wǎng)風(fēng)險(xiǎn)依然很大根據(jù)阿里云統(tǒng)計(jì)數(shù)據(jù)顯示，弱口令在公網(wǎng)的暴露比例不超過1%，暴露風(fēng)險(xiǎn)已大幅收斂。但內(nèi)網(wǎng)的弱口令暴露比例是公網(wǎng)的10倍以上，云上的弱口令主要集中在數(shù)據(jù)庫和操作系統(tǒng)（SSH、RDP），其中Redis最高達(dá)到35.7%，其次是MongoDB達(dá)到21.4%，需要客戶重點(diǎn)關(guān)注：AK異常調(diào)用量連續(xù)三年增加，提升205.36%，企業(yè)治理率僅達(dá)16.81%AK泄露作為云上六大配置風(fēng)險(xiǎn)之一，依賴客戶持續(xù)的安全治理。根據(jù)阿里云數(shù)據(jù)顯示，過去3年，隨著云上資源的使用量增多，客戶面臨的AK風(fēng)險(xiǎn)也在持續(xù)上升，異常調(diào)用量提升205.26%，但治理率僅有16.81%。存在弱口令的服務(wù)比例JenkinsTomcatFTP威脅檢測模型輸出AK異常調(diào)用按請求去重用戶已處理告警按請求去重RsyncMongoDBRDP210,00030,00020,00010,000140,00070,000MssqIMysqISSH00202220232024202220232024RedisAK泄漏有多種途徑，例如：0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%硬編碼明文泄露：企業(yè)將AK/SK編譯到程序代碼/配置文件中，攻擊者只需要對小程序包進(jìn)行反編譯即可獲取AK；身份提權(quán)的三大風(fēng)險(xiǎn)場景存儲桶訪問權(quán)限配置公開：因存儲桶權(quán)限配置錯誤，導(dǎo)致機(jī)密數(shù)據(jù)（包含AK）被泄露；網(wǎng)絡(luò)請求泄漏：通過后端API將AK/SK返回到前端，僅需對程序進(jìn)行網(wǎng)絡(luò)抓包，即可獲取AK身份的信任和授權(quán)是云上權(quán)限體系的核心之一，從上文統(tǒng)計(jì)數(shù)據(jù)來看，43%的企業(yè)存在過度授權(quán)的風(fēng)險(xiǎn)。根據(jù)阿里云云安全中心對過去的數(shù)據(jù)觀察總結(jié)，梳理出了三大典型場景，需要企業(yè)重點(diǎn)關(guān)注：對此，阿里云建議企業(yè)進(jìn)行以下的安全治理：ECS實(shí)例綁定的RAM角色具有超出業(yè)務(wù)需求的授權(quán)采用「最小化授權(quán)」的方式，主賬號盡量避免使用AK；ECS實(shí)例上運(yùn)行的服務(wù)被攻破后被攻擊者直接獲取綁定的云上身份，并進(jìn)一步提權(quán)。對于外部用戶（比如手機(jī)APP場景）訪問，或業(yè)務(wù)部署在ECS上的情況，盡量使用STS-Token的登錄方式，避免使用AK登錄方式；AdministratorAccessAction登錄控制臺、訪問API時「絕對禁止」使用主賬號的AK；使用RAM創(chuàng)建子賬號，并為每個子賬號創(chuàng)建單獨(dú)AK；AssumeRoleActionECSRoleRolePolicyRAMFullAccessAction（對應(yīng)攻擊路徑）編寫基于IP的權(quán)限策略，從而限制AK只能從內(nèi)網(wǎng)發(fā)起訪問，避免泄漏風(fēng)險(xiǎn)1314角色的信任策略配置了對其他阿里云賬號的信任關(guān)系下圖展示了利用漏洞、ECS和RAM三個不同入口，通過漏洞攻擊橫向移動、通過存儲的憑證橫向移動、通過存儲的AK獲取RAM身份、通過RAM身份提權(quán)四類主要攻擊路徑，最終或控制云資源，或獲取敏感數(shù)據(jù)，或獲取憑證。在展示的攻擊路徑中，威脅者可以針對所有潛在的風(fēng)險(xiǎn)點(diǎn)進(jìn)行攻擊，甚至可以一次實(shí)現(xiàn)多條路徑上的攻擊?？缳~號的信任關(guān)系是云上身份體系中進(jìn)行跨賬號提權(quán)的有效方式，若對方的憑證泄露或服務(wù)被攻破可能導(dǎo)致防守嚴(yán)密的本方云資產(chǎn)被直接攫取控制權(quán)。以【灰線】典型攻擊路徑為例，攻擊者通過公網(wǎng)掃描到SLB的公網(wǎng)IP，并通過漏洞攻擊獲取了某臺ECS的權(quán)限，并通過VPC網(wǎng)絡(luò)橫向移動到另外一臺有網(wǎng)絡(luò)連通的高級別ECS上，通過獲取對應(yīng)的管理員身份，拿到RAM權(quán)限，并最終拿到其它云資產(chǎn)的控制權(quán)，成功滲透。而在此過程中，攻擊者可以在任意點(diǎn)跳到其它攻擊路徑上，并最終使用API/AK等方式拿到授權(quán)。AccountAttachPolicyToRoleActionPolicyRole（對應(yīng)攻擊路徑）LeadkedAKTrustedOtherAccountVulnerability非管理員的身份（包括用戶、用戶組、角色等）被授予了對自身的管理權(quán)限AssumeRoleACSDBECSetcKMS...CloudAPIALLCLOUDSERVICE非管理員身份必須被限制不能向自身添加權(quán)限，也不能向其能夠控制的其他身份添加權(quán)限，并嚴(yán)格限制其能夠授予的權(quán)限策略，否則可能會形成直接或間接的提權(quán)路徑。RAMldentityPublicIPAttackCloudAPIInternetSLBECSWithinRCE/SSRFRoleOSSCloudAPIRAMUserRoleVPCNetworkDataSecurityECSAccountAttackLoginwithCredentialHighRiskActionSensitiveDataCredentialUsergroupPolicyRole（對應(yīng)攻擊路徑）OSSECSWithoutRCEECSWithoutRCECloudAPIECSWithinRCEElevatedRAMldentityCloudAPISensitiveDataCredentialSensitiveDataCredentialAK04RoleRAMldentity復(fù)雜性提升了資產(chǎn)脆弱性，公網(wǎng)暴露和過度授權(quán)成為攻擊路徑上的薄弱點(diǎn)典型攻擊路徑公網(wǎng)暴露漏洞攻擊RAM提權(quán)內(nèi)網(wǎng)漏洞攻擊角色調(diào)用API信任其他阿里云賬號ECS實(shí)例綁定角色通過泄露AK獲取身份憑證登錄RAM身份調(diào)用API在復(fù)雜環(huán)境中，資產(chǎn)的脆弱性大大提升，僅僅一小部分資源就可能導(dǎo)致更大比例的攻擊路徑，在多云/混合云環(huán)境中造成重大損害，包括計(jì)算資源濫用、數(shù)據(jù)泄漏和用戶憑證暴露。根據(jù)阿里云觀察，89.9%設(shè)置了敏感資產(chǎn)的用戶檢測出敏感資產(chǎn)型相關(guān)的風(fēng)險(xiǎn)，而攻擊路徑上最常見的薄弱點(diǎn)是公網(wǎng)暴露和不安全的憑證。對于企業(yè)而言，應(yīng)該對資產(chǎn)、配置進(jìn)行持續(xù)性的掃描和管理，盡可能收斂公網(wǎng)暴露面以及配置問題，降低攻擊者沿著攻擊路徑前進(jìn)的可能。151605建立數(shù)據(jù)分類分級機(jī)制，進(jìn)行安全定級；進(jìn)行敏感數(shù)據(jù)脫敏，覆蓋多類文件類型。使用安全的數(shù)據(jù)傳輸鏈路，并部署云防火墻等網(wǎng)絡(luò)邊界安全工具。大模型及AI相關(guān)行業(yè)攻擊頻發(fā)，企業(yè)應(yīng)建立全鏈路的安全防護(hù)體系采用RAM、KMS等產(chǎn)品對數(shù)據(jù)訪問和密鑰進(jìn)行管理，開啟數(shù)據(jù)訪問日志審計(jì)。隨著大模型與AI應(yīng)用熱度的持續(xù)走高，用戶量級呈指數(shù)級增長，攻擊也紛沓而至：從算力被竊取、線上服務(wù)中斷，到數(shù)據(jù)泄露隱憂，API盜用等等，行業(yè)的特殊性也給其安全防護(hù)帶去了不同的挑戰(zhàn)。云安全團(tuán)隊(duì)整理了模型在不同階段，企業(yè)主要面臨的風(fēng)險(xiǎn)及相關(guān)建議。大模型部署階段：AI基礎(chǔ)設(shè)施防護(hù)對于AI及大模型相關(guān)企業(yè)，在部署開發(fā)過程中所面臨的產(chǎn)品配置風(fēng)險(xiǎn)、身份與權(quán)限風(fēng)險(xiǎn)與其他各行業(yè)并無太多區(qū)別，但因其包含巨大的數(shù)據(jù)量級和資源，一旦發(fā)生數(shù)據(jù)泄露或身份提權(quán)，即會造成巨大的經(jīng)濟(jì)損失：大模型及AI應(yīng)用各階段所需關(guān)注的安全防護(hù)某熱門大模型公司，被海外安全公司披露因內(nèi)部數(shù)據(jù)庫因配置錯誤，存在公網(wǎng)暴露和未經(jīng)授權(quán)的訪問風(fēng)險(xiǎn)，可能會導(dǎo)致100W條內(nèi)部數(shù)據(jù)泄露，包括日志、聊天記錄、API密鑰等敏感信息。大模型訓(xùn)練階段大模型部署階段計(jì)算集群防護(hù)大模型業(yè)務(wù)運(yùn)營階段AIGC治理?

數(shù)據(jù)的采集與處理?

數(shù)據(jù)搜集與分類分級?

數(shù)據(jù)傳輸安全某智駕公司OSS存儲桶因誤配置為Public-read，被攻擊者爬取X條激光雷達(dá)標(biāo)注數(shù)據(jù)，導(dǎo)致競對公司短期內(nèi)復(fù)現(xiàn)其感知模型。?

GPU計(jì)算實(shí)例運(yùn)行時威脅防護(hù)?

生成式內(nèi)容安全?

生成式內(nèi)容合規(guī)?

容器鏡像安全/容器運(yùn)行時防護(hù)?

數(shù)據(jù)存儲安全GPU共享平臺Redis暴露API密鑰：Redis實(shí)例公網(wǎng)可訪問且無密碼，攻擊者獲取API密鑰后偽造100+ML任務(wù)，消耗X萬元算力資源。?

數(shù)據(jù)訪問與權(quán)限管控?

AI供應(yīng)鏈安全此外，根據(jù)云安全團(tuán)隊(duì)的觀察，大模型及AI相關(guān)企業(yè)更多采用容器/Severless等方式部署，對比ECS虛擬機(jī)，迭代更為頻繁，需要對容器鏡像庫、運(yùn)行時等流程進(jìn)行實(shí)時監(jiān)控。大模型部署階段AI基礎(chǔ)設(shè)施層大模型業(yè)務(wù)運(yùn)營階段業(yè)務(wù)連續(xù)性在網(wǎng)絡(luò)傳輸方面，AI與大模型公司的核心算法資源往往都部署在云上，存在多云/混合云部署環(huán)境，且往往有多個VPC進(jìn)行不同生產(chǎn)環(huán)境的隔離，VPC之間存在頻繁的流量互訪，如果夾帶了敏感信息或惡意流量越權(quán)訪問，可能會導(dǎo)致數(shù)據(jù)泄露。?

網(wǎng)絡(luò)層流量安全傳輸交換?

抗DDoS安全防護(hù)?

Web應(yīng)用流量防護(hù)?

BOT機(jī)器流量對抗?

產(chǎn)品配置安全?

身份與權(quán)限安全?

憑據(jù)憑證安全安全建議企業(yè)應(yīng)配備實(shí)時的配置掃描工具，并對身份權(quán)限及數(shù)據(jù)安全進(jìn)行監(jiān)控，堅(jiān)持執(zhí)行最小權(quán)限原則。大模型訓(xùn)練階段：數(shù)據(jù)的全流程安全使用云安全中心CSPM檢測并修復(fù)高危配置：通過CSPM自動掃描所有OSSBucketACL策略，檢測有public-read配置的實(shí)例，并支持客戶一鍵修復(fù)。對Redis、NAS等AI基礎(chǔ)設(shè)施資產(chǎn)暴露分析，發(fā)現(xiàn)公網(wǎng)暴露風(fēng)險(xiǎn)并聯(lián)動VPC安全組、防火墻配置ACL策略。數(shù)據(jù)安全是AI及大模型公司無法繞開的核心問題，大模型的訓(xùn)練和推理依賴于海量數(shù)據(jù)，包括用戶輸入、歷史記錄、敏感信息等，多家頭部企業(yè)均出現(xiàn)過數(shù)據(jù)泄露、API盜取、密鑰泄露等安全事件，引發(fā)社會的討論和擔(dān)憂。使用云安全中心CIEM持續(xù)檢測并治理過度授權(quán)問題：分析算法工程師的云賬號身份權(quán)限，云產(chǎn)品權(quán)限授權(quán)應(yīng)精細(xì)到具體操作，Action和Resource不應(yīng)該配置為*，應(yīng)該遵循最小化權(quán)限原則。安全建議企業(yè)應(yīng)在VPC間部署有東西向防護(hù)能力的防火墻，對主動外聯(lián)流量進(jìn)行過濾和嚴(yán)格管控，防止數(shù)據(jù)泄漏。阿里云云防火墻具備南北向、東西向的流量防護(hù)能力，且可以對出方向流量進(jìn)行嚴(yán)格管控，防止不合規(guī)的訪問產(chǎn)生。在大模型數(shù)據(jù)準(zhǔn)備階段，企業(yè)應(yīng)針對使用數(shù)據(jù)的全生命周期構(gòu)建安全防護(hù)體系，包含從數(shù)據(jù)收集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)處理和數(shù)據(jù)刪除的不同階段。1718大模型部署階段：計(jì)算集群防護(hù)此外，AI大模型自身為完善應(yīng)答內(nèi)容的豐富度和準(zhǔn)確性，需要在互聯(lián)網(wǎng)爬取相應(yīng)信息，這也導(dǎo)致全網(wǎng)的爬蟲流量上漲，AI大模型爬蟲更關(guān)注咨詢、教育以及互聯(lián)網(wǎng)行業(yè)網(wǎng)站，針對重點(diǎn)客群進(jìn)行持續(xù)觀測，發(fā)現(xiàn)AI大模型發(fā)起的爬蟲流量占比已達(dá)到6%。大模型的訓(xùn)練和調(diào)優(yōu)過程都需要大量算力支持，而近年來隨著虛擬貨幣價(jià)格的持續(xù)走高，GPU算力被劫持進(jìn)行挖礦活動也甚囂塵上，發(fā)生了多起利用泄漏的AK創(chuàng)建Severless高性能GPU實(shí)例運(yùn)行挖礦程序而導(dǎo)致平臺、企業(yè)算力受損的事件，造成極大的經(jīng)濟(jì)損失。安全建議企業(yè)需要針對重點(diǎn)接口進(jìn)行DDoS攻擊防護(hù)以及爬蟲攻擊防護(hù)，避免對業(yè)務(wù)的穩(wěn)定性造成影響。在模型部署過程中，可能會調(diào)用多類部署工具或中間件，產(chǎn)生風(fēng)險(xiǎn)。例如攻擊者可以在微調(diào)業(yè)務(wù)鏡像中植入后門，通過從非官方源拉取的llama2-?netune鏡像包含惡意代碼，在訓(xùn)練時回傳LoRA適配器參數(shù)至外部服務(wù)器，實(shí)現(xiàn)后門/權(quán)限的篡取。使用阿里云Web應(yīng)用防護(hù)墻并啟用Bot管理功能，Bot管理可以通過簽名校驗(yàn)、流量指紋分析、行為特征分析、客戶端探針分析等多重手段進(jìn)行爬蟲檢測，支持網(wǎng)頁端以及原生APP接入，用戶可以針對大模型應(yīng)用的核心交互接口配置相應(yīng)防護(hù)策略。除了在流量層面進(jìn)行防護(hù)，還可以在賬號層面進(jìn)行防護(hù)，結(jié)合風(fēng)險(xiǎn)識別產(chǎn)品對賬號進(jìn)行風(fēng)險(xiǎn)識別，針對有異常的賬號進(jìn)一步進(jìn)行治理，可以結(jié)合驗(yàn)證碼、實(shí)名認(rèn)證、人臉核身方式進(jìn)行賬號核驗(yàn)，加強(qiáng)賬號的防護(hù)。安全建議企業(yè)應(yīng)選擇受安全防護(hù)的GPU平臺，或?qū)PU計(jì)算實(shí)例進(jìn)行運(yùn)行時威脅檢測。云安全中心對PAI\靈駿等Serverless高性能GPU計(jì)算實(shí)提供運(yùn)行時的威脅檢測，實(shí)時檢測并攔截訓(xùn)練/推理集群工作負(fù)載的惡意進(jìn)程啟動，可識別XMRig挖礦特征進(jìn)程并自動隔離，保護(hù)訓(xùn)練集群的穩(wěn)定、合規(guī)運(yùn)行。阿里云內(nèi)容安全大模型，除去通用場景以外，對于一些疑難領(lǐng)域，例如廣告對抗、隱喻暗喻場景，傳統(tǒng)技術(shù)難以獲得明顯效果提升。在這些領(lǐng)域，依賴大模型強(qiáng)大的通識和遷移能力，通過SFT快速迭代，迅速響應(yīng)高對抗、難識別的風(fēng)險(xiǎn)場景防控。企業(yè)應(yīng)采用主動防御策略，部署對應(yīng)的防護(hù)安全產(chǎn)品。云安全中心鏡像掃描通過對鏡像文件的漏洞、基線、惡意軟件和敏感文件的安全檢測，并結(jié)合主動防御策略，可攔截存有惡意代碼的鏡像文件上線發(fā)布，阻斷因鏡像文件引入的安全攻擊。大模型業(yè)務(wù)運(yùn)營階段：AIGC治理對于AI服務(wù)的生成物，即包含文字、圖片、視頻等在內(nèi)的AIGC內(nèi)容安全也不容忽視，AIGC所帶來的新生產(chǎn)模式背后，是生成量級和風(fēng)險(xiǎn)量級的指數(shù)級增長，傳統(tǒng)工具的策略更新速度、覆蓋特征、訓(xùn)練模式都難以跟上時代需求，過去一年，因AIGC和其延伸的DeepFake導(dǎo)致的詐騙事件頻發(fā)，最高造成了上億元的經(jīng)濟(jì)損失。大模型業(yè)務(wù)運(yùn)營階段：業(yè)務(wù)連續(xù)性在AI應(yīng)用/大模型公司為終端用戶提供服務(wù)的過程中，業(yè)務(wù)的穩(wěn)定和連貫性是最重要的指標(biāo)之一。一方面，當(dāng)前大模型公司成為DDoS攻擊的熱門目標(biāo)行業(yè)，多家大模型廠商在國內(nèi)和海外的業(yè)務(wù)近期都因遭受DDoS攻擊影響了業(yè)務(wù)的正常訪問。從2025年1月至今，阿里云安全團(tuán)隊(duì)觀測到目前針對大模型行業(yè)的大流量DDoS攻擊主要以UDP反射、NTP反射、SYN-Flood等手法為主：安全建議針對AIGC相關(guān)內(nèi)容的防護(hù)，企業(yè)應(yīng)采用效率更高、更有針對性的檢測模型，同時采用數(shù)字水印的方式滿足監(jiān)管合規(guī)要求。峰值超過了1Tbps日常有多次10-300Gbps不同規(guī)模的大流量攻擊混合了數(shù)十次應(yīng)用層資源耗盡型攻擊另一方面，大模型的API接口也頻繁遭到爬蟲攻擊，阿里云安全團(tuán)隊(duì)監(jiān)控到大模型用戶的爬蟲流量占比總流量已超過30%，且攻防對抗愈發(fā)激烈，爬蟲攻擊手段已進(jìn)化為擬人行為、驗(yàn)證碼智能識別等。1920Recommendations01/提升多云/混合云環(huán)境的可見性：治理風(fēng)險(xiǎn)的第一步是提升對復(fù)雜基礎(chǔ)設(shè)施的可見性，云安全中心提供云原生靈活的多云混合云資產(chǎn)的接入方案，通過資產(chǎn)的統(tǒng)一管理發(fā)現(xiàn)高風(fēng)險(xiǎn)資產(chǎn)，并幫助企業(yè)IT部門逐步消除影子資產(chǎn)帶來的未知安全風(fēng)險(xiǎn)，并為實(shí)施統(tǒng)一的安全策略和事件快速處置打下基礎(chǔ)。02/推動跨部門協(xié)作效率，縮短風(fēng)險(xiǎn)治理的時間：伴隨企業(yè)的業(yè)務(wù)創(chuàng)新和越來越多容器、Server-less技術(shù)的應(yīng)用，云產(chǎn)品的配置、身份和權(quán)限處于更快速的動態(tài)變化，企業(yè)可借助云安全中心提供的合規(guī)檢查、配置風(fēng)險(xiǎn)檢查規(guī)則，持續(xù)監(jiān)控云安全態(tài)勢，實(shí)現(xiàn)風(fēng)險(xiǎn)早發(fā)現(xiàn)、早治理，持續(xù)提升云安全防護(hù)水位。03/針對機(jī)器身份，使用最小授權(quán)原則并盡量使用臨時憑據(jù)可有效降低身份場景的風(fēng)險(xiǎn)和管理成本。通過專業(yè)的云上密鑰管理服務(wù)產(chǎn)品，可動態(tài)創(chuàng)建和銷毀機(jī)器身份，確保所有非人類實(shí)體的安全配置和最小權(quán)限原則的應(yīng)用。02.2024Chapter漏洞數(shù)量和高危漏洞所帶來的威脅態(tài)勢呈增長態(tài)勢_AboutAlibabaCloudSecurity2324漏洞數(shù)量龐大且呈增長態(tài)勢，減少漏洞修復(fù)窗口至關(guān)重要漏洞成因大多因組件使用者的配置不當(dāng)所致經(jīng)過對安全漏洞的統(tǒng)計(jì)發(fā)現(xiàn)，針對企業(yè)用戶造成漏洞的應(yīng)用主要是Spring、ApacheShiro、Redis等開源組件應(yīng)用。同時，漏洞成因主要是由于組件使用者的配置不當(dāng)導(dǎo)致，例如沒有設(shè)置密碼或者設(shè)置了弱口令、使用了默認(rèn)的密鑰配置、沒有設(shè)置恰當(dāng)?shù)脑L問措施、內(nèi)網(wǎng)服務(wù)或者端點(diǎn)直接對外暴露等。安全漏洞可能對企業(yè)和用戶造成嚴(yán)重影響，一旦被惡意利用，可能導(dǎo)致數(shù)據(jù)泄露、敏感信息暴露、服務(wù)中斷或被濫用，損害企業(yè)聲譽(yù)和客戶信任。攻擊者可借此訪問未經(jīng)授權(quán)的資源，篡改數(shù)據(jù)或植入惡意軟件，甚至可能控制整個云環(huán)境，影響所有依賴該云服務(wù)運(yùn)營的業(yè)務(wù)。此外，安全漏洞還可能引發(fā)法律和合規(guī)性問題，導(dǎo)致企業(yè)面臨罰款和其他法律責(zé)任。因此，及時發(fā)現(xiàn)并修復(fù)漏洞對于維護(hù)云計(jì)算的安全性和可靠性至關(guān)重要。數(shù)據(jù)漏洞ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44832）SpringBootActuator未授權(quán)訪問漏洞Nacos配置不當(dāng)致未授權(quán)訪問漏洞DruidMonitor配置不當(dāng)致未授權(quán)訪問漏洞JMXRMI端口反序列化漏洞阿里云發(fā)現(xiàn)，2024年漏洞數(shù)量和高危漏洞所帶來的威脅勢呈增長態(tài)勢，防護(hù)方一方面需要及時發(fā)現(xiàn)并修復(fù)漏洞，提前完善云安全管理；另一方面，充分利用自動化和智能化的手段加速漏洞利用攻擊的對抗，通過降低漏洞平均修復(fù)時長（MTTR）縮小漏洞修復(fù)窗口。Redis未授權(quán)或弱口令漏洞01JavaJDWP調(diào)試接口遠(yuǎn)程命令執(zhí)行漏洞ApacheRocketmq代碼執(zhí)行漏洞漏洞數(shù)量整體增長12%，風(fēng)險(xiǎn)持續(xù)上升ApacheShiro默認(rèn)密鑰致命令執(zhí)行漏洞Laravel框架調(diào)試模式致信息泄漏從漏洞數(shù)量及高危漏洞數(shù)量來看，整體呈增長趨勢這些應(yīng)用漏洞可造成代碼執(zhí)行或者敏感信息泄漏，攻擊者可以直接獲取服務(wù)器權(quán)限，或者獲取到諸如ak/sk等敏感信息，進(jìn)而對云資源造成更大的危害。作為防護(hù)的一方，不僅需要及時修復(fù)自身使用的各類組件應(yīng)用的漏洞，還應(yīng)重點(diǎn)關(guān)注諸如默認(rèn)口令、未授權(quán)訪問、權(quán)限校驗(yàn)缺失等諸方面的配置問題。阿里云安全團(tuán)隊(duì)統(tǒng)計(jì)，2024年阿里云漏洞庫累計(jì)收錄40209個漏洞，較2023年阿里云漏洞庫累計(jì)收錄的35947個漏洞增加4262個，YoY增長12%；CVSS評價(jià)為高危的漏洞數(shù)22489個，較2023年CVSS高危及以上漏洞21680個漏洞增加個809個，YoY增長4%；2024年經(jīng)阿里云評定高危漏洞5471個。漏洞名稱漏洞成因漏洞影響ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-44832）SpringBootActuator未授權(quán)訪問漏洞Nacos配置不當(dāng)致未授權(quán)訪問漏洞DruidMonitor配置不當(dāng)致未授權(quán)訪問漏洞JMXRMI端口反序列化漏洞代碼問題配置不當(dāng)配置不當(dāng)配置不當(dāng)配置不當(dāng)配置不當(dāng)配置不當(dāng)代碼問題代碼問題配置問題代碼執(zhí)行信息泄漏信息泄漏信息泄漏代碼執(zhí)行信息泄漏代碼執(zhí)行代碼執(zhí)行代碼執(zhí)行信息泄漏對比2023年，阿里云漏洞庫累計(jì)收錄數(shù)增長12%CVSS評價(jià)高危漏洞數(shù)量增長4%+12%

+4%，。Redis未授權(quán)或弱口令漏洞JavaJDWP調(diào)試接口遠(yuǎn)程命令執(zhí)行漏洞ApacheRocketmq代碼執(zhí)行漏洞漏洞數(shù)量龐大，作為防護(hù)一方，應(yīng)基于資產(chǎn)業(yè)務(wù)視角和基于風(fēng)險(xiǎn)為中心的漏洞優(yōu)先級排序，優(yōu)先修復(fù)被阿里云評定為較高風(fēng)險(xiǎn)的漏洞。聚焦最關(guān)鍵的風(fēng)險(xiǎn)，保證在最佳時間期窗口內(nèi)完成漏洞修復(fù)。ApacheShiro默認(rèn)密鑰致命令執(zhí)行漏洞Laravel框架調(diào)試模式致信息泄漏252602漏洞利用是勒索病毒攻擊的主要手段之一AI助手用戶調(diào)用量提升316%，安全自動化處置比例已接近80%，平均漏洞修復(fù)時間為小時級基于各類常見通用應(yīng)用軟件的漏洞進(jìn)行利用是勒索病毒攻擊的主要手段之一。在2024年披露的漏洞中，以CVE-2024-4577PHPCGIWindows平臺遠(yuǎn)程代碼執(zhí)行漏洞為代表，由于此漏洞易于利用且風(fēng)險(xiǎn)等級為嚴(yán)重，攻擊者可以利用該漏洞上傳Webshell、下載惡意軟件（如勒索軟件），甚至添加新用戶以便后續(xù)RDP登錄等操作，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行、敏感信息泄露或服務(wù)器崩潰。作為衡量IT系統(tǒng)漏洞速度和效率重要指標(biāo)，業(yè)界高危漏洞的平均修復(fù)時長（MTTR）為65天，而攻擊者對于漏洞的平均利用時間為15天，業(yè)界MTTR遠(yuǎn)高于攻擊者的平均利用時間。同時，最新的研究數(shù)據(jù)表明攻擊者的入侵時間已經(jīng)縮短到小時級。這就要求防護(hù)一方必須縮短MTTR來應(yīng)對漏洞修復(fù)與漏洞利用之間巨大的時間差。漏洞利用是勒索病毒攻擊的主要手段。其中以CVE-2024-4577PHPCGIWindows平臺遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-4577）為代表，由于此漏洞易于利用且風(fēng)險(xiǎn)等級為高危，攻擊者可以利用該漏洞上傳Webshell、下載惡意軟件（如勒索軟件），甚至添加新用戶以便后續(xù)RDP登錄等操作，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行、敏感信息泄露或服務(wù)器崩潰。累計(jì)修復(fù)漏洞超5000萬個，平均修復(fù)時間兩小時，修復(fù)比例仍需提升2024年國際權(quán)威機(jī)構(gòu)披露的勒索病毒漏洞分布情況先于攻擊者發(fā)現(xiàn)并修復(fù)漏洞可有效預(yù)防數(shù)據(jù)泄露等安全事件的發(fā)生，從而保護(hù)企業(yè)和用戶的敏感信息不被未經(jīng)授權(quán)訪問或竊取，維護(hù)隱私和信息安全。3億+漏洞名稱組件Cleo利用效果代碼執(zhí)行代碼執(zhí)行文件讀取代碼執(zhí)行代碼執(zhí)行代碼執(zhí)行文件讀取代碼執(zhí)行本地提權(quán)代碼執(zhí)行代碼執(zhí)行本地提權(quán)本地提權(quán)CVE-2024-50623CVE-2024-51378CVE-2024-11667CVE-2024-40711CVE-2024-6670CleoSynchronization任意文件讀取上傳漏洞（CVE-2024-50623）CyberPanel代碼執(zhí)行漏洞CyberPanelZyxelZyxel多款產(chǎn)品路徑遍歷漏洞(CVE-2024-11667)VeeamBackup&Replication安全漏洞(CVE-2024-40711)WhatsUpGoldHasErrorsSQL注入身份驗(yàn)證繞過漏洞(CVE-2024-6670)SonicWALLSonicOS訪問控制錯誤漏洞(CVE-2024-40766)JenkinsCLI任意文件讀取漏洞（CVE-2024-23897）VMwareESXi安全漏洞(CVE-2024-37085)累計(jì)檢測出云上客戶漏洞數(shù)量約超過3億阿里云安全團(tuán)隊(duì)統(tǒng)計(jì)，2024年累計(jì)新檢測出客戶漏洞數(shù)量約超過3億個（包括系統(tǒng)和應(yīng)用軟件漏洞等），幫助用戶修復(fù)漏洞超過5000萬個。其中，累計(jì)處理業(yè)界披露高危應(yīng)急漏洞數(shù)十個，平均在兩小時內(nèi)完成分析和上線相關(guān)漏洞檢測，并聯(lián)動其他云安全產(chǎn)品協(xié)同上線漏洞防御與檢測告警規(guī)則。VeeamWhatsUpSonicWALLJenkins5000萬+CVE-2024-40766CVE-2024-23897CVE-2024-37085CVE-2024-26169CVE-2024-4577CVE-2024-27198CVE-2024-21338CVE-2024-1709VMwareWindowsPHP幫助用戶修復(fù)漏洞超過5000萬個Windows錯誤報(bào)告服務(wù)特權(quán)漏洞提升PHPCGIWindows平臺遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-4577）Teamcity認(rèn)證繞過致代碼執(zhí)行漏洞（CVE-2024-27198）Windows內(nèi)核特權(quán)提升漏洞TeamcityWindowsWindows來源：使用備用路徑或通道繞過身份驗(yàn)證(CVE-2024-1709)1、MeanTimeToRemediation(MTTR)forCriticalSeverityvulnerabilitiesis65days(acrossthefullstack).Andwhilethisresultissimilartopreviousyears,industryreportsestimatethatadversariesarenowabletoexploitavulnerabilitywithin15days(onaverage)ofdiscovery（CISA）作為防護(hù)一方，應(yīng)特別關(guān)注勒索病毒的發(fā)現(xiàn)與防護(hù)，及時修復(fù)漏洞，防患于未然。2、Theaveragetimeittooktomovelaterallyfrominitialaccessdropping35%annuallytojust62minutes,accordingtoCrowdstrike.（Crowdstrike）2728AI和大模型的引入極大提升了運(yùn)營效率，CaseStudy：自動化檢測和響應(yīng)利用Log4J漏洞攻擊安全自動化處置比例已接近80%，調(diào)用量增長316%在一次實(shí)際的安全事件中，安全運(yùn)營人員發(fā)現(xiàn)有攻擊者利用ApacheLog4j庫的Web應(yīng)用程序存在Log4j遠(yuǎn)程代碼執(zhí)行漏洞與C&C惡意域名（domain）通信，遠(yuǎn)程攻擊成功，已將網(wǎng)站后門jsp文件Webshell成功上傳到服務(wù)器，通過Webshell控制受害者2臺服務(wù)器（ALB負(fù)載均衡后的2個ECS服務(wù)器），以便達(dá)到長期控制的目的。通過集中化的視圖、智能化的分析和自動化的響應(yīng)編排，與安全產(chǎn)品和基礎(chǔ)設(shè)施協(xié)調(diào)處置，提升漏洞利用攻擊的實(shí)時對抗能力，降低MTTR/MTTD。在運(yùn)行時，對于高危漏洞利用的攻擊需要采取如下應(yīng)對措施：安全系統(tǒng)響應(yīng)過程產(chǎn)品安全日志、網(wǎng)絡(luò)日志、系統(tǒng)日志、應(yīng)用日志統(tǒng)一采集、標(biāo)準(zhǔn)化和存儲結(jié)合圖計(jì)算、AI大模型基于告警識別安全事件，自動化溯源攻擊路徑，發(fā)現(xiàn)可疑入侵點(diǎn)聯(lián)動安全產(chǎn)品和基礎(chǔ)設(shè)施，對IP、文件、進(jìn)程、域名等實(shí)體進(jìn)行自動化響應(yīng)處置自動告警檢測生成安全事件自動化調(diào)查下發(fā)封禁策略云安全中心CTDR和CWPP模塊檢測到“l(fā)og4j攻擊成功(域名關(guān)聯(lián))”、“發(fā)現(xiàn)后門（Webshell）文件”、“WebShell文件防御”等告警。生成安全事件并通知。CTDR模塊基于圖計(jì)算技術(shù)，通過相同的實(shí)體（如主機(jī)資產(chǎn)）、惡意IoC（攻擊者IP、惡意域名、進(jìn)程等），將相關(guān)告警聚合生成高危安全事件，并基于響應(yīng)規(guī)則通知安全分析師。CTDR模塊基于惡意實(shí)體系統(tǒng)展開自動化調(diào)查，自動溯源惡意實(shí)體的日志活動痕跡及可利用的漏洞入侵點(diǎn)，識別攻擊數(shù)據(jù)，如IP、域名、惡意文件等。AI大模型運(yùn)營提效，安全分析師通過AI大模型訓(xùn)練的智能助手，快速獲取安全事件的概述、處置建議和總結(jié)報(bào)告。自動化調(diào)用預(yù)置劇本聯(lián)動ALB負(fù)載均衡和云防火墻，對攻擊者IP下發(fā)封禁策略進(jìn)行風(fēng)險(xiǎn)處置。其中，AI和大模型的引入在安全運(yùn)營階段起到了明顯的提效作用。阿里云將通義大模型與云安全中心集成，推出了云安全助手，應(yīng)用到了安全運(yùn)營的咨詢、告警研判、事件調(diào)查與報(bào)告，以及響應(yīng)等諸多場景中去。阿里云云安全中心AI助手的引入實(shí)現(xiàn)了99%的告警事件覆蓋率，用戶覆蓋率達(dá)到了88%。同時，阿里云將AIAgent技術(shù)被應(yīng)用于針對安全事件的響應(yīng)處置中，對包括病毒木馬類的事件進(jìn)行自動化的安全事件告警分析，完全不用人工參與，安全事件的自動化處置比例已經(jīng)接近80%。從2023年10月到2024年11月底，云安全中心AI助手的用戶調(diào)用量增長率達(dá)到316%。云安全中心智能助手調(diào)用增長2930Recommendations02/云安全告警分析和處置，要求工程師需具備專業(yè)的安全知識和豐富的云產(chǎn)品使用經(jīng)驗(yàn)，現(xiàn)實(shí)矛盾是企業(yè)往往缺少專業(yè)云安全專家，所以越來越多的安全工程師，通過使用云安全中心基于生成式AI的安全助手，查看惡意代碼的攻擊原理、攻擊溯源分析、處置建議，完成對告警的處理。0103//一次云上安全事件的處置，需涉及多款云產(chǎn)品的日志關(guān)聯(lián)分析和聯(lián)動處置，同時真實(shí)的攻擊告警也隱匿在互聯(lián)網(wǎng)上常態(tài)化的掃描中，針對上述安全運(yùn)營的難題，建議安全工程師使用云安全中心自動化的威脅分析與響應(yīng)工具，通過AI分析引擎、圖計(jì)算分析引擎自動化研判、聚合真實(shí)的攻擊事件，并根據(jù)預(yù)設(shè)的劇本自動化完成攻擊IP封禁、惡意文件隔離等處置動作。針對企業(yè)面臨待修復(fù)漏洞數(shù)量多、漏洞風(fēng)險(xiǎn)排查難等問題，建議用戶首先通過云安全中心檢測全局資產(chǎn)漏洞，在業(yè)務(wù)上線前通過容器鏡像掃描、agentless等能力，檢測容器鏡像、主機(jī)鏡像的漏洞，借助安全左移流程在開發(fā)階段修復(fù)存量漏洞；在業(yè)務(wù)運(yùn)行時，通過下發(fā)周期性漏洞掃描任務(wù)、漏洞互聯(lián)網(wǎng)暴露分析、攻擊路徑分析等云原生的工具，對漏洞修復(fù)的優(yōu)先級進(jìn)行準(zhǔn)確評估和排序；在修復(fù)階段，對于已經(jīng)完成驗(yàn)證的補(bǔ)丁，借助云安全中心的自動化漏洞修復(fù)任務(wù)管理，實(shí)現(xiàn)高效的批量修復(fù)；對于存在漏洞但短期無法升級的應(yīng)用系統(tǒng)，可以通過自動化部署RASP方案，實(shí)現(xiàn)對“帶洞運(yùn)行”的應(yīng)用進(jìn)行安全加固。03.2024Chapter2024年，安全對抗也在持續(xù)增強(qiáng)_AboutAlibabaCloudSecurity3334安全對抗持續(xù)增強(qiáng)，勒索事件呈爆發(fā)式增長趨勢，漲幅高達(dá)74%01安全對抗流程化、攻擊強(qiáng)度持續(xù)升溫2024年，勒索軟件對抗強(qiáng)度、勒索效率均在持續(xù)升級。勒索家族向頭部聚集，呈現(xiàn)收斂態(tài)勢。但頭部RaaS組織生態(tài)的巨大變動，使得大、中、小企業(yè)均成為了勒索組織的攻擊對象。RaaS生態(tài)所賦予了攻擊者高度組織化和技術(shù)的支持，將對網(wǎng)絡(luò)安全構(gòu)成持續(xù)性的威脅。在過去的一年里，隨著數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，企業(yè)架構(gòu)、配置、身份復(fù)雜性的提升，也帶來了更多的脆弱性，攻擊者更加猖獗。2024年，勒索攻擊事件呈現(xiàn)爆發(fā)式增長，相較2023年整體漲幅高達(dá)74%。雖然各國政府對勒索產(chǎn)業(yè)的打擊力度持續(xù)加大，各企業(yè)也在不斷提升自身安全能力，但新的挑戰(zhàn)和趨勢也在持續(xù)浮現(xiàn)。74%攻擊事件巨幅增長2024全年，勒索攻擊事件呈現(xiàn)爆發(fā)式的增長勢，相較23年整體漲幅高達(dá)74%。在2024年，阿里云觀測到：50%勒索攻擊進(jìn)入“貪婪”階段勒索局勢日漸混亂勒索市場競爭劇烈隨著各類地緣政治問題，勒索攻擊與國家安全的關(guān)聯(lián)日益緊密；受Bitcoin等加密貨幣價(jià)格大幅飆升影響，勒索攻擊者活動愈發(fā)猖獗，僅Q4季度發(fā)生的勒索事件就達(dá)到了2023年全年的50%。頭部RaaS勒索組織Lockbit為吸引更多的附屬機(jī)構(gòu)，不惜成本，為其“加盟”伙伴提供各類服務(wù)支持和高達(dá)75%的贖金分成；另一方面，隨著各國執(zhí)法機(jī)構(gòu)持續(xù)打擊頭部勒索組織，和其內(nèi)部分歧與不穩(wěn)定因素，導(dǎo)致大量負(fù)數(shù)機(jī)構(gòu)選擇自立“山頭”，不再歸屬某個“RaaS”品牌；數(shù)小時自動化對抗強(qiáng)度持續(xù)升溫根據(jù)云安全中心監(jiān)控?cái)?shù)據(jù)顯示，在某些勒索事件中，攻擊者表現(xiàn)出高度的執(zhí)著與專業(yè)性，單次攻擊可持續(xù)數(shù)小時，不斷嘗試多種手段突破安全防線。中小企業(yè)成為新的攻擊目標(biāo)從頭部勒索組織脫離的各附屬機(jī)構(gòu)獨(dú)立運(yùn)營后，其攻擊策略更傾向于“機(jī)會主義”，優(yōu)先選擇防護(hù)能力較弱的中小型目標(biāo)，把握機(jī)會從而盡快獲利；勒索效率大幅提升2024年，一些勒索組織大幅提升了勒索效率，將批量化入侵與安全對抗相結(jié)合，通過服務(wù)漏洞批量入侵后，自動化運(yùn)行安全對抗模塊和執(zhí)行勒索病毒。攻擊后果愈發(fā)嚴(yán)重，關(guān)鍵基礎(chǔ)設(shè)施的防護(hù)醫(yī)療機(jī)構(gòu)成為勒索組織頻繁攻擊的對象，多次導(dǎo)致關(guān)鍵醫(yī)療系統(tǒng)癱瘓、病例記錄無法查閱、手術(shù)推遲等嚴(yán)重后果，直接威脅到了患者的生命安全；更隱蔽勒索贖金創(chuàng)紀(jì)錄，已攀升至歷史新高2024年初，某財(cái)富50強(qiáng)公司向勒索組織DarkAngels支付了7500萬美元；勒索行為更加隱蔽約為50%的勒索事件中，攻擊者會優(yōu)先選擇攻擊EDR、HIPS等安全防護(hù)產(chǎn)品，確保其無法正常工作后才會上傳勒索病毒，同時也避免病毒新變種被安全產(chǎn)品收集。贖金支付比例下降隨著企業(yè)防御和恢復(fù)能力提升，以及對勒索組織不信任等多種因素影響，選擇支付勒索贖金的受害組織比例下降至28%35360203攻擊事件飆升74%，勒索軟件數(shù)量首次下降LockBit勒索成為變重?cái)?shù)量+活躍度“雙料”TOP1，Mallox提升入侵效率2024年勒索軟件整體態(tài)勢呈現(xiàn)出家族數(shù)量收斂與攻擊事件激增的雙重特點(diǎn)，勒索家族數(shù)量有所減少，部分實(shí)力較弱的家族逐漸淘汰，但頭部家族活躍度不減。LockBit仍是云上勒索的主要威脅，憑借持續(xù)的變種更新和勒索攻擊排名穩(wěn)居榜首。阿里云安全團(tuán)隊(duì)以季度為單位著重統(tǒng)計(jì)了TOP10家族的攻擊活躍度分布，LockBit勒索組織一度成為“變種數(shù)量”和“攻擊活躍度”的雙料年度Top1，造成的攻擊事件相較去年同比增長500%，有極強(qiáng)的破壞性，能夠進(jìn)入系統(tǒng)安全模式進(jìn)行加密，給安全防護(hù)帶來了巨大挑戰(zhàn)。同時，新興勒索家族也在不斷崛起，TargetOwner和Weaxor首次在云上出現(xiàn)便登上攻擊事件Top10榜單，而老牌家族BeijingCrypt在沉寂兩個季度后突然復(fù)蘇，下半年爆發(fā)式增長，躍升至前10名。另外TellYouThePass家族雖未進(jìn)入前10，但通過利用CVE-2024-4577漏洞在Q2發(fā)起的攻擊也對云平臺安全構(gòu)成了顯著威脅。與此同時，Mallox家族大幅提升了攻擊效率，通過漏洞自動化批量入侵，并增加了自動化安全對抗模塊，使用BYOVD等手段對抗安全防護(hù)，進(jìn)一步增強(qiáng)了攻擊隱蔽性和成功率。根據(jù)2024年Q1-Q4的勒索家族樣本數(shù)據(jù)顯示：Lol家族2023Q3首次在云平臺出現(xiàn)，并在2024年活躍度顯著上升，變種數(shù)量躍居Top10，在全年攻擊事件中其身影隨處可見12324%33%74%RCRU64家族曾在2023年Q1季度短暫活躍后沉寂，但自2024年二季度起，變種數(shù)量突然攀升，且全年活躍度呈持續(xù)上升趨勢，呈現(xiàn)出其卷土重來的態(tài)勢活躍家族數(shù)量近3年來首次下降，家族數(shù)量減少32個，同比下降24%各勒索家族變種數(shù)量整體漲幅33%勒索攻擊事件呈爆炸式增長，增幅比例約74%BeijingCrypt家族曾是去年攻擊事件的TOP1，但從今年的樣本變種數(shù)量來看，其活躍度在前兩個季度有所下降而且并未進(jìn)入前十，尤其在第一季度未發(fā)現(xiàn)任何新變種的出現(xiàn)，活動明顯放緩從勒索軟件分布來看，2024年，頭部RaaS勒索組織LockBit繼續(xù)穩(wěn)居榜首，其勒索樣本變種數(shù)量呈斷崖式領(lǐng)先，超過2-9名變種數(shù)量的總和。2024年勒索家族樣本量季度分布統(tǒng)計(jì)全年Q1Q2Q3Q4LockbitMakopPhobosMalloxBabukLolLokiTellYouThePassLockbitPhobosMalloxBabukLokiMakopBlackMatterRCRU64LolTellYouThePassBlackMatterRCRU64373804根據(jù)2024年Q1-Q4的勒索家族攻擊活躍度數(shù)據(jù)顯示：安全對抗比例超50%，勒索軟件安全對抗技術(shù)大盤點(diǎn)勒索家族迭代頻繁，TOP10榜單中出現(xiàn)了諸多“新面孔”：TargetOwner和Weaxor家族都是在24年首次在云上出現(xiàn)的新型家族，并立刻躍進(jìn)攻擊事件TOP1012在過去的2024年，隨著勒索組織技術(shù)的經(jīng)濟(jì)，安全對抗愈演愈烈。勒索團(tuán)伙不斷采用新技術(shù)對抗安全軟件，諸如各類免殺技術(shù)、利用機(jī)制漏洞繞過防御、勒索軟件的免殺革新、RING0的深層對抗、勒索加密機(jī)制的變革等...下文將從實(shí)際攻擊案例出發(fā)，梳理不同類型的對抗方式。排名第三的RCRU64家族在2023年Q1首次出現(xiàn)后沉寂，在2024年再度卷土重來，攻擊事件激增去年的Top1得主BeijingCrypt家族，在安靜了2個季度后，下半年也加入加密貨幣“牛市的狂歡”，展開了瘋狂的勒索攻擊3內(nèi)核級對抗BYOVD（自帶易受攻擊驅(qū)動）攻擊此外，TellYouThePass家族雖未“入榜”，但其利用CVE-2024-4577RCE漏洞在Q2季度也迎來了一波小規(guī)模爆發(fā)，該家族所具備的利用高危漏洞伺機(jī)而動的特質(zhì)，讓其威脅性依舊不容忽視。今年常見的可利用驅(qū)動主要包括ProcExp和Martini，利用該手段的典型家族是Mallox，而已知的BYOVD攻擊可以利用驅(qū)動程序多達(dá)數(shù)百種自定義對抗驅(qū)動開發(fā)今年曾捕獲到攻擊者自行開發(fā)的內(nèi)核對抗驅(qū)動，用于強(qiáng)殺安全軟件進(jìn)程，并具備有效的驅(qū)動程序簽名2024年各季度勒索家族活躍度情況“工具流”對抗ARK工具對抗ARK工具是近些年運(yùn)用最多的對抗方式，常見的工具包括Pchunter、WKE、ProcessHacker等，據(jù)不完全統(tǒng)計(jì)，曾被利用的ARK工具多達(dá)數(shù)十種安全軟件“自相殘殺”利用可配置自定義主防規(guī)則的安全軟件，去破壞目標(biāo)安全軟件正常運(yùn)行，包括禁止進(jìn)程啟動和阻斷行為等多種方式使其工作異常Q1Q2Q3Q4文件粉碎機(jī)LockbitPhobosMalloxRCRU64-BeijingCryptMakopTargetOwnerLolWeaxor利用常見的文件粉碎機(jī)程序，強(qiáng)行刪除安全軟件相關(guān)文件和目錄BlackMatterDevicData394005系統(tǒng)機(jī)制對抗歐洲IP仍被攻擊者優(yōu)先考慮，RDP入侵稍有增長安全模式利用利用部分安全軟件在安全模式下無法正常運(yùn)行的缺陷，實(shí)現(xiàn)防御繞過。LockBit和BlackMatter勒索軟件自身就集成了該能力，而BeijingCrypt家族則是利用了AnyDesk軟件提供的“重啟后進(jìn)入安全模式”功能阿里云安全團(tuán)隊(duì)基于遠(yuǎn)程登錄（RDP/SSH）來源IP，整理了2024年勒索攻擊者的地域分布數(shù)據(jù)，可以發(fā)現(xiàn)，其趨勢與前兩年保持一致，歐洲地區(qū)IP仍然是主要的攻擊來源。2024年云上勒索攻擊者IP國家分布TOP10SessionManger利用SessionManger是Windows系統(tǒng)運(yùn)行時機(jī)非常早的啟動項(xiàng)，利用這一特性，會優(yōu)先于安全軟件功能生效前執(zhí)行勒索/對抗，實(shí)現(xiàn)防御繞過注冊表IFEO利用通過篡改安全軟件IFEO注冊表中的關(guān)鍵選項(xiàng)，例如堆棧申請等配置，使安全模塊無法正常運(yùn)行保加利亞美國伊朗荷蘭德國俄羅斯韓國委內(nèi)瑞拉立陶宛英國2024年云上勒索攻擊者IP大洲分布TOP10針對性破壞北美洲大洋洲亞洲權(quán)限破壞非洲通過肆意篡改安全軟件相關(guān)的目錄和文件ACL權(quán)限，導(dǎo)致其工作發(fā)生不可預(yù)知的異常問題南美洲句柄破壞歐洲通過技術(shù)手段刪除安全軟件運(yùn)行中打開的相關(guān)句柄，導(dǎo)致其工作發(fā)生不可預(yù)知的異常問題從入侵方式而言，RDP入侵有所增加，但整體來看，入口服務(wù)仍是主要入侵途徑，四個季度通過入口服務(wù)入侵的比例始終保持在50%以上，涉及的服務(wù)包括PHP、IIS、SQLServer和部分Java服務(wù)。此外，二季度由于TellYouThePass家族攻擊活動，漏洞利用比例有所上升：Q1Q2Q3Q4RDP數(shù)據(jù)庫漏洞利用其他41420607C/C++為主流開發(fā)語言，部分家族有解密可能互聯(lián)網(wǎng)與零售業(yè)仍舊是云上勒索的重災(zāi)區(qū)阿里云安全團(tuán)隊(duì)分析了各勒索家族樣本的開發(fā)語言分布，發(fā)現(xiàn)依舊以C/C++語言為主