前言云計算經(jīng)過多年的發(fā)展，已經(jīng)逐漸成為了企業(yè)的基礎設施，其彈性與便捷讓企業(yè)能夠快速拓展并抓住機遇，隨著業(yè)務復雜性的提升，如今，多云/混合云架構已經(jīng)成為多數(shù)企業(yè)的首選。同時，GenAI的到來也在改變企業(yè)的基礎設施選擇，容器/Serverless等資產使用比例明顯上升。然而，這些創(chuàng)新和靈活性的背后，是成倍增加的復雜性，“復雜性”意味著更多的“脆弱性”，據(jù)阿里云觀測數(shù)據(jù)顯示，2024年云上有風險的資產數(shù)量增加了40%。隨著數(shù)字經(jīng)濟的持續(xù)發(fā)展，安全對抗也在變得愈發(fā)強烈。過去一年，我們看到漏洞、勒索軟件的數(shù)量和攻擊手法都在迭代更新。作為保護者，阿里云也在持續(xù)更新原生安全能力，當然我們不僅要提供安全的云服務，更要幫助客戶安全地使用云。在這份報告中，我們整理了2024年云上各類風險態(tài)勢，包含配置、響應、漏洞、勒索等方面，并給出相應的治理建議，希望能幫助企業(yè)構建適合自身的安全防護策略，在日益復雜多變的環(huán)境中，穩(wěn)健發(fā)展、不斷前行。為了解決這些風險，企業(yè)將持續(xù)面對安全碎片化問題。我們常常會看到，在傳統(tǒng)方案中，一家企業(yè)往往部署了十余種甚至更多的安全工具，每款工具都有無數(shù)的告警需要處理。此外，不同的基礎設施，不同的云針對產品的使用配置也不盡相同，一個錯誤的配置就可能增加暴露風險，帶來數(shù)據(jù)泄露的可能。歐陽欣阿里云安全產品總經(jīng)理云，是安全碎片化的終結者。編寫單位阿里云安全團隊我們長期以來一直致力于保護企業(yè)的環(huán)境，并堅持「三體化」安全建設思路，幫助客戶實現(xiàn)：指導委員會不同環(huán)境（公有云、專有云及線下IDC）的安全統(tǒng)管不同安全產品告警信息的聚合和關聯(lián)分析生產網(wǎng)和辦公網(wǎng)的統(tǒng)一管理和運維歐陽欣阿里云安全產品總經(jīng)理祝建躍阿里云安全產品負責人劉志生阿里云安全產品技術負責人在2012年，阿里云推出了第一款主機類防護產品：安騎士，并在2019年正式更新成云原生的應用平臺保護產品：云安全中心，旨在幫助客戶建立多云混合云的安全配置、威脅、告警統(tǒng)管，實現(xiàn)安全運營的閉環(huán)，2024年阿里云累計檢測客戶漏洞數(shù)量超過3億個，幫助用戶修復漏洞超過5000萬個。同時，我們也在積極探索GenAI能為安全帶來何種助益，在2022年阿里云已正式推出安全大模型，為客戶提供清晰的風險解釋和處置手段，目前AI助手實現(xiàn)了99%的告警事件覆蓋，用戶調用量提升超過300%。編寫組成員（以下按姓氏拼音首字母排序）曹梁波雷陳恒毅李玉琳羅博文呂英豪陶夏溦李浩然莫誠就譚肖依劉晉成馬樂樂屠勵杰楊李貝鐘現(xiàn)奎田民伍悅王巍淇鐘丹周來張旭俊3億5000萬99%300%設計支持累計檢測客戶漏洞數(shù)量幫助用戶修復漏洞AI助手告警事件覆蓋用戶調用量提升徐方芳單夷繁李夢平聯(lián)系我們0102//企業(yè)的基礎設施正在變得越來越復雜，多云/混合云成為主流的選擇，云已經(jīng)成為企業(yè)的基礎設施。漏洞數(shù)量和高危漏洞所帶來的威脅態(tài)勢呈增長態(tài)勢。2024年，阿里云漏洞庫累計收錄40209個漏洞，較2023年增長12%。其中，CVSS評價為高危的漏洞數(shù)22489個，較2023年增長4%。開源組件漏洞是主要的云上風險，組件使用者配置不當是漏洞形成的主要成因。漏洞利用是勒索軟件常用的攻擊手段。受保護的資產持續(xù)增加，日均安全掃描量破百萬，容器/Serverless等資產使用比例明顯上升，GenAI時代正在改變企業(yè)的基礎設施選擇。但“復雜性”意味著更多的“脆弱性”，阿里云觀測到，有風險的資產數(shù)量增加40%，集中在計算（ECS）、身份認證（RAM）、存儲（OSS/NAS）、數(shù)據(jù)庫（RDS/KVSTORE）等核心資產中?？蛻魬捎米詣踊穆┒葱迯凸ぞ?，降低MTTD/MTTR是應對漏洞風險的有效手段。一方面，提前發(fā)現(xiàn)并修復漏洞，可有效保護企業(yè)和用戶的信息安全。2024年阿里云累計檢測客戶漏洞數(shù)量超過3億個，幫助用戶修復漏洞超過5000萬個。另一方面，在運行時，依托自動化和智能化增強入侵檢測與防御能力，可有效減少漏洞檢測與修復時間?；诖竽Ｐ偷陌⒗镌圃瓢踩行腁I助手的引入實現(xiàn)了99%的告警事件覆蓋，AI助手的用戶調用量提升超過300%。通過對資產的持續(xù)性掃描，阿里云整理了六大典型的安全配置風險，并梳理了典型的攻擊路徑。其中，機器身份的大量應用，讓身份安全和權限管控成為重中之重：AK泄漏、弱密碼、過度授權......任意的脆弱性都有可能成為攻擊鏈路上的擊破點，正確管理企業(yè)云上的身份與授權是安全的基石。同樣，隨著AI和大模型的快速發(fā)展，相關企業(yè)也成為了新的攻擊對象，服務中斷、數(shù)據(jù)泄露等事件層出不窮。阿里云整理了模型從部署、訓練到上線全流程的安全風險和防護建議，高算力、高資源、高迭代的特點，也給其安全帶來了更多的挑戰(zhàn)。03/2024年，安全對抗也在持續(xù)增強。勒索軟件呈現(xiàn)爆發(fā)式增長趨勢，漲幅達到74%，隨著Bitcoin等加密貨幣價格大幅飆升，勒索攻擊者活動愈發(fā)猖獗，且表現(xiàn)出高度的執(zhí)著與專業(yè)性，單次攻擊時間可持續(xù)數(shù)小時，采用多種手段。同時，隨著頭部RaaS生態(tài)變動，大量從頭部勒索組織脫離的附屬機構會優(yōu)先選擇攻擊防護能力較弱的中小企業(yè)。同時，勒索組織的勒索效率也在提升，且行為更加隱蔽，在約50%的勒索事件中，攻擊者會優(yōu)先選擇攻擊EDR、HIPS等安全防護產品，在安全模塊無法工作后才進行勒索，確保新型的勒索病毒不被安全產品收集。在攻防態(tài)勢愈發(fā)嚴峻的當下，企業(yè)應盡快提升自身的安全防護力。01.2024Chapter企業(yè)基礎設施變得越來越復雜_AboutAlibabaCloudSecurity0708企業(yè)基礎設施正在變得越來越復雜，含有配置問題的風險資產增多02云上日均資產掃描量破百萬，風險資產數(shù)量增加40%，AK泄漏、過度授權和弱口令需重點關注2024年，隨著GenAI和大模型的蓬勃發(fā)展，新的業(yè)務形態(tài)持續(xù)出現(xiàn)，生成式人工智能正在顛覆安全領域。一方面，AIGC等新業(yè)務形態(tài)的出現(xiàn)帶來的新的安全風險，大模型的推理技術也越來越多地被用在攻防對抗中，安全團隊需要對攻防技術和策略進行快速的更新；另一方面，企業(yè)的基礎設施正在變得越來越復雜，多云混合云部署成為主流，圍繞著AI模型的訓練、推理，容器/Severless的使用頻率增加，資產迭代的生命周期被大幅縮短，持續(xù)的資產監(jiān)控和配置管理的必要性愈發(fā)凸顯。云上資產量級快速增加，風險資產數(shù)量上漲40%隨著企業(yè)上云率提升，云上資產數(shù)量越來越多，企業(yè)的安全意識也在逐步提升。根據(jù)云安全中心數(shù)據(jù)顯示，配置安全的日均掃描量已達150W+，掃描出的風險資產數(shù)量提升40%，其中計算（ECS）、身份認證（RAM）、存儲（OSS/NAS）、數(shù)據(jù)庫（RDS/KVSTORE）等云上核心資產的配置風險，需要企業(yè)優(yōu)先關注。阿里云安全團隊從資產類型、配置管理以及身份安全三個方面監(jiān)控了相關數(shù)據(jù)和態(tài)勢的變化，我們看到云上有風險的資產數(shù)量增加40%，而在此類變化下，保持對安全的持續(xù)監(jiān)控和管理，成為一個巨大的挑戰(zhàn)。150w+

+40%日均掃描量風險資產上漲01企業(yè)架構加速向云上演進，GenAI正在改變企業(yè)的資產選擇隨著企業(yè)上云程度加深，架構的復雜性也在提升，需要同時防護云上和原有環(huán)境中的資產，過去一年阿里云對云外主機的防護數(shù)量增長28.4%。同時，GenAI（生成式人工智能）在2023年作為一種突破性力量出現(xiàn)，圍繞著AI的模型訓練、推理，云上架構正在從虛擬機（ECS）向無服務/容器演進，目前云上受到保護的容器/Serverless資產已超過百萬級。配置風險風險資產數(shù)量30000002500000200000015000001000000云安全中心防護的云外主機數(shù)增長+28.4%

+2.1%云外主機在整體防護主機中的占比增長5000000ECSRAMOSSACRRDSVPCSLB架構的復雜化和資產迭代速度的增快給安全帶來了更大的挑戰(zhàn)，既需要保證多環(huán)境中的安全策略一致性，也要持續(xù)收斂因工作負載快速迭代而擴大的攻擊面，實現(xiàn)持續(xù)性的安全洞察、監(jiān)控和事件響應。（云上TOP風險資產）0910六大典型安全配置風險場景：40%以上的企業(yè)存在配置風險典型風險場景四：存儲開放公共讀寫和匿名訪問，存在敏感泄漏風險55%組織存儲開放公共讀寫和匿名訪問根據(jù)對以上資產的持續(xù)性掃描，40%的企業(yè)均存在各類配置風險，面臨著防護效果不佳，甚至面臨暴力破解和數(shù)據(jù)泄露的風險?；诖?，阿里云安全團隊整理了云上六大典型配置風險場景，包含高危端口管理、白名單配置、AK防護、存儲讀寫、身份授權等多個方面，需要企業(yè)持續(xù)性的安全治理和建設。這意味著互聯(lián)網(wǎng)上的任何人都可以讀取企業(yè)存儲桶內的數(shù)據(jù)，并刪除或向存儲桶寫入新的數(shù)據(jù)，企業(yè)應將OSS/NAS等存儲產品設置為無公開訪問對象/白名單不對公網(wǎng)開放，并禁止匿名授權策略。典型風險場景一：高危端口暴露，面臨爆破風險51%

組織存在高危管理端口暴露到公網(wǎng)典型風險場景五：CIEM過度授權風險43%

組織身份權限存在過度授權風險只要存在外部訪問的場景，均有可能存在高危管理端口的暴露，包括：CLB、ALB、SSH、RDP、DNAT等產品，企業(yè)應該定期檢查對應產品的端口暴露情況，禁止任意IP訪問。身份是云上安全的基石，對于身份及訪問權限的管理存在于幾乎每一款產品中，過度授權極易引發(fā)云上RAM權限體系提權，導致敏感數(shù)據(jù)泄漏，對于計算、存儲、數(shù)據(jù)庫等核心云產品的權限濫用情況最為嚴重，企業(yè)需重點關注：典型風險場景二：數(shù)據(jù)庫白名單對公網(wǎng)開放，存在暴力破解和數(shù)據(jù)泄漏風險41%

組織存在數(shù)據(jù)庫端口暴露到公網(wǎng)風險量將數(shù)據(jù)庫的白名單設置為公網(wǎng)開放，意味著允許來自互聯(lián)網(wǎng)任何IP的連接請求，極有可能遭遇攻擊者的暴力破解，從而導致數(shù)據(jù)泄漏和勒索的問題。企業(yè)應該將云上RDS、MongoDB、Redis、Elasticsearch、PolarDB等數(shù)據(jù)庫服務設置為白名單不對公網(wǎng)開放，提升數(shù)據(jù)安全性。用戶的云服務器ECS存在過度授權用戶的函數(shù)計算存在過度授權用戶的對象存儲OSS存在過度授權用戶的云數(shù)據(jù)庫RDS存在過度授權角色的ECS權限存在過度授權用戶的訪問控制RAM存在過度授權角色的OSS權限存在過度授權用戶的短信服務存在過度授權角色的FC權限存在過度授權角色的RAN權限存在過度授權典型風險場景三：AccessKey未做好防護，存在泄漏風險44%

組織AccessKey未做好防護典型風險場景六：風險資產未正確進行安全防護53%

組織存在風險資產未進行正確安全防護訪問密鑰AK（AccessKey）是阿里云提供給用戶的永久性訪問密鑰，用于通過開發(fā)工具（API、CLI、SDK、CloudShell、Terraform等）訪問阿里云時的身份驗證，包括AccessKeyID和AccessKeySecret，AK相當于登錄密碼，一旦泄漏，將會給業(yè)務、數(shù)據(jù)帶來巨大風險。企業(yè)應對云上AK進行持續(xù)的監(jiān)控和治理，包括對主賬號禁用AK、持續(xù)性的AK泄漏檢查，以及定期對閑置子賬號的AK進行清理。一方面，對于有使用云上ECS、EIP、公網(wǎng)EIP、數(shù)據(jù)庫等產品的客戶，應該對相應的資產開啟安全防護；另一方面，對于已經(jīng)使用了諸如Web應用防火墻、云防火墻、DDoS防護等產品的客戶，需要進行正確的配置，例如在DDoS防護中開啟全局防護策略，在Web應用防火墻中選擇合適的規(guī)則引擎，并配置回源/高防回源，根據(jù)業(yè)務的流量情況，開啟對應的互聯(lián)網(wǎng)/VPC/NAT防火墻，并進行合理的ACL配置等。111203使用安全配置檢查/安全審計工具，并定期巡檢：使用ActionTrail，記錄子賬號的創(chuàng)建和授權日志，實現(xiàn)審計和告警監(jiān)控；身份安全是企業(yè)的基石：AK泄漏、身份提權、弱口令風險治理開通云安全中心的安全配置、AK泄漏和異常調用功能模塊，實時監(jiān)控與告警；定期查看RAM的安全檢查及安全報告；定期AK輪轉隨著云服務和容器化技術的快速普及，如何避免安全配置導致AK泄漏、身份提權和訪問弱口令等風險，為身份的安全管理帶來了更大的挑戰(zhàn)。尤其是機器身份（Non-HumanIdenti-ties,NHI）技術的大量應用，如何有效動態(tài)創(chuàng)建和輪轉身份，確保最小使用授權，成為云安全態(tài)勢管理的關鍵。弱口令公網(wǎng)暴露率風險大幅收斂，但內網(wǎng)風險依然很大根據(jù)阿里云統(tǒng)計數(shù)據(jù)顯示，弱口令在公網(wǎng)的暴露比例不超過1%，暴露風險已大幅收斂。但內網(wǎng)的弱口令暴露比例是公網(wǎng)的10倍以上，云上的弱口令主要集中在數(shù)據(jù)庫和操作系統(tǒng)（SSH、RDP），其中Redis最高達到35.7%，其次是MongoDB達到21.4%，需要客戶重點關注：AK異常調用量連續(xù)三年增加，提升205.36%，企業(yè)治理率僅達16.81%AK泄露作為云上六大配置風險之一，依賴客戶持續(xù)的安全治理。根據(jù)阿里云數(shù)據(jù)顯示，過去3年，隨著云上資源的使用量增多，客戶面臨的AK風險也在持續(xù)上升，異常調用量提升205.26%，但治理率僅有16.81%。存在弱口令的服務比例JenkinsTomcatFTP威脅檢測模型輸出AK異常調用按請求去重用戶已處理告警按請求去重RsyncMongoDBRDP210,00030,00020,00010,000140,00070,000MssqIMysqISSH00202220232024202220232024RedisAK泄漏有多種途徑，例如：0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%硬編碼明文泄露：企業(yè)將AK/SK編譯到程序代碼/配置文件中，攻擊者只需要對小程序包進行反編譯即可獲取AK；身份提權的三大風險場景存儲桶訪問權限配置公開：因存儲桶權限配置錯誤，導致機密數(shù)據(jù)（包含AK）被泄露；網(wǎng)絡請求泄漏：通過后端API將AK/SK返回到前端，僅需對程序進行網(wǎng)絡抓包，即可獲取AK身份的信任和授權是云上權限體系的核心之一，從上文統(tǒng)計數(shù)據(jù)來看，43%的企業(yè)存在過度授權的風險。根據(jù)阿里云云安全中心對過去的數(shù)據(jù)觀察總結，梳理出了三大典型場景，需要企業(yè)重點關注：對此，阿里云建議企業(yè)進行以下的安全治理：ECS實例綁定的RAM角色具有超出業(yè)務需求的授權采用「最小化授權」的方式，主賬號盡量避免使用AK；ECS實例上運行的服務被攻破后被攻擊者直接獲取綁定的云上身份，并進一步提權。對于外部用戶（比如手機APP場景）訪問，或業(yè)務部署在ECS上的情況，盡量使用STS-Token的登錄方式，避免使用AK登錄方式；AdministratorAccessAction登錄控制臺、訪問API時「絕對禁止」使用主賬號的AK；使用RAM創(chuàng)建子賬號，并為每個子賬號創(chuàng)建單獨AK；AssumeRoleActionECSRoleRolePolicyRAMFullAccessAction（對應攻擊路徑）編寫基于IP的權限策略，從而限制AK只能從內網(wǎng)發(fā)起訪問，避免泄漏風險1314角色的信任策略配置了對其他阿里云賬號的信任關系下圖展示了利用漏洞、ECS和RAM三個不同入口，通過漏洞攻擊橫向移動、通過存儲的憑證橫向移動、通過存儲的AK獲取RAM身份、通過RAM身份提權四類主要攻擊路徑，最終或控制云資源，或獲取敏感數(shù)據(jù)，或獲取憑證。在展示的攻擊路徑中，威脅者可以針對所有潛在的風險點進行攻擊，甚至可以一次實現(xiàn)多條路徑上的攻擊?？缳~號的信任關系是云上身份體系中進行跨賬號提權的有效方式，若對方的憑證泄露或服務被攻破可能導致防守嚴密的本方云資產被直接攫取控制權。以【灰線】典型攻擊路徑為例，攻擊者通過公網(wǎng)掃描到SLB的公網(wǎng)IP，并通過漏洞攻擊獲取了某臺ECS的權限，并通過VPC網(wǎng)絡橫向移動到另外一臺有網(wǎng)絡連通的高級別ECS上，通過獲取對應的管理員身份，拿到RAM權限，并最終拿到其它云資產的控制權，成功滲透。而在此過程中，攻擊者可以在任意點跳到其它攻擊路徑上，并最終使用API/AK等方式拿到授權。AccountAttachPolicyToRoleActionPolicyRole（對應攻擊路徑）LeadkedAKTrustedOtherAccountVulnerability非管理員的身份（包括用戶、用戶組、角色等）被授予了對自身的管理權限AssumeRoleACSDBECSetcKMS...CloudAPIALLCLOUDSERVICE非管理員身份必須被限制不能向自身添加權限，也不能向其能夠控制的其他身份添加權限，并嚴格限制其能夠授予的權限策略，否則可能會形成直接或間接的提權路徑。RAMldentityPublicIPAttackCloudAPIInternetSLBECSWithinRCE/SSRFRoleOSSCloudAPIRAMUserRoleVPCNetworkDataSecurityECSAccountAttackLoginwithCredentialHighRiskActionSensitiveDataCredentialUsergroupPolicyRole（對應攻擊路徑）OSSECSWithoutRCEECSWithoutRCECloudAPIECSWithinRCEElevatedRAMldentityCloudAPISensitiveDataCredentialSensitiveDataCredentialAK04RoleRAMldentity復雜性提升了資產脆弱性，公網(wǎng)暴露和過度授權成為攻擊路徑上的薄弱點典型攻擊路徑公網(wǎng)暴露漏洞攻擊RAM提權內網(wǎng)漏洞攻擊角色調用API信任其他阿里云賬號ECS實例綁定角色通過泄露AK獲取身份憑證登錄RAM身份調用API在復雜環(huán)境中，資產的脆弱性大大提升，僅僅一小部分資源就可能導致更大比例的攻擊路徑，在多云/混合云環(huán)境中造成重大損害，包括計算資源濫用、數(shù)據(jù)泄漏和用戶憑證暴露。根據(jù)阿里云觀察，89.9%設置了敏感資產的用戶檢測出敏感資產型相關的風險，而攻擊路徑上最常見的薄弱點是公網(wǎng)暴露和不安全的憑證。對于企業(yè)而言，應該對資產、配置進行持續(xù)性的掃描和管理，盡可能收斂公網(wǎng)暴露面以及配置問題，降低攻擊者沿著攻擊路徑前進的可能。151605建立數(shù)據(jù)分類分級機制，進行安全定級；進行敏感數(shù)據(jù)脫敏，覆蓋多類文件類型。使用安全的數(shù)據(jù)傳輸鏈路，并部署云防火墻等網(wǎng)絡邊界安全工具。大模型及AI相關行業(yè)攻擊頻發(fā)，企業(yè)應建立全鏈路的安全防護體系采用RAM、KMS等產品對數(shù)據(jù)訪問和密鑰進行管理，開啟數(shù)據(jù)訪問日志審計。隨著大模型與AI應用熱度的持續(xù)走高，用戶量級呈指數(shù)級增長，攻擊也紛沓而至：從算力被竊取、線上服務中斷，到數(shù)據(jù)泄露隱憂，API盜用等等，行業(yè)的特殊性也給其安全防護帶去了不同的挑戰(zhàn)。云安全團隊整理了模型在不同階段，企業(yè)主要面臨的風險及相關建議。大模型部署階段：AI基礎設施防護對于AI及大模型相關企業(yè)，在部署開發(fā)過程中所面臨的產品配置風險、身份與權限風險與其他各行業(yè)并無太多區(qū)別，但因其包含巨大的數(shù)據(jù)量級和資源，一旦發(fā)生數(shù)據(jù)泄露或身份提權，即會造成巨大的經(jīng)濟損失：大模型及AI應用各階段所需關注的安全防護某熱門大模型公司，被海外安全公司披露因內部數(shù)據(jù)庫因配置錯誤，存在公網(wǎng)暴露和未經(jīng)授權的訪問風險，可能會導致100W條內部數(shù)據(jù)泄露，包括日志、聊天記錄、API密鑰等敏感信息。大模型訓練階段大模型部署階段計算集群防護大模型業(yè)務運營階段AIGC治理?

數(shù)據(jù)的采集與處理?

數(shù)據(jù)搜集與分類分級?

數(shù)據(jù)傳輸安全某智駕公司OSS存儲桶因誤配置為Public-read，被攻擊者爬取X條激光雷達標注數(shù)據(jù)，導致競對公司短期內復現(xiàn)其感知模型。?

GPU計算實例運行時威脅防護?

生成式內容安全?

生成式內容合規(guī)?

容器鏡像安全/容器運行時防護?

數(shù)據(jù)存儲安全GPU共享平臺Redis暴露API密鑰：Redis實例公網(wǎng)可訪問且無密碼，攻擊者獲取API密鑰后偽造100+ML任務，消耗X萬元算力資源。?

數(shù)據(jù)訪問與權限管控?

AI供應鏈安全此外，根據(jù)云安全團隊的觀察，大模型及AI相關企業(yè)更多采用容器/Severless等方式部署，對比ECS虛擬機，迭代更為頻繁，需要對容器鏡像庫、運行時等流程進行實時監(jiān)控。大模型部署階段AI基礎設施層大模型業(yè)務運營階段業(yè)務連續(xù)性在網(wǎng)絡傳輸方面，AI與大模型公司的核心算法資源往往都部署在云上，存在多云/混合云部署環(huán)境，且往往有多個VPC進行不同生產環(huán)境的隔離，VPC之間存在頻繁的流量互訪，如果夾帶了敏感信息或惡意流量越權訪問，可能會導致數(shù)據(jù)泄露。?

網(wǎng)絡層流量安全傳輸交換?

抗DDoS安全防護?

Web應用流量防護?

BOT機器流量對抗?

產品配置安全?

身份與權限安全?

憑據(jù)憑證安全安全建議企業(yè)應配備實時的配置掃描工具，并對身份權限及數(shù)據(jù)安全進行監(jiān)控，堅持執(zhí)行最小權限原則。大模型訓練階段：數(shù)據(jù)的全流程安全使用云安全中心CSPM檢測并修復高危配置：通過CSPM自動掃描所有OSSBucketACL策略，檢測有public-read配置的實例，并支持客戶一鍵修復。對Redis、NAS等AI基礎設施資產暴露分析，發(fā)現(xiàn)公網(wǎng)暴露風險并聯(lián)動VPC安全組、防火墻配置ACL策略。數(shù)據(jù)安全是AI及大模型公司無法繞開的核心問題，大模型的訓練和推理依賴于海量數(shù)據(jù)，包括用戶輸入、歷史記錄、敏感信息等，多家頭部企業(yè)均出現(xiàn)過數(shù)據(jù)泄露、API盜取、密鑰泄露等安全事件，引發(fā)社會的討論和擔憂。使用云安全中心CIEM持續(xù)檢測并治理過度授權問題：分析算法工程師的云賬號身份權限，云產品權限授權應精細到具體操作，Action和Resource不應該配置為*，應該遵循最小化權限原則。安全建議企業(yè)應在VPC間部署有東西向防護能力的防火墻，對主動外聯(lián)流量進行過濾和嚴格管控，防止數(shù)據(jù)泄漏。阿里云云防火墻具備南北向、東西向的流量防護能力，且可以對出方向流量進行嚴格管控，防止不合規(guī)的訪問產生。在大模型數(shù)據(jù)準備階段，企業(yè)應針對使用數(shù)據(jù)的全生命周期構建安全防護體系，包含從數(shù)據(jù)收集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)處理和數(shù)據(jù)刪除的不同階段。1718大模型部署階段：計算集群防護此外，AI大模型自身為完善應答內容的豐富度和準確性，需要在互聯(lián)網(wǎng)爬取相應信息，這也導致全網(wǎng)的爬蟲流量上漲，AI大模型爬蟲更關注咨詢、教育以及互聯(lián)網(wǎng)行業(yè)網(wǎng)站，針對重點客群進行持續(xù)觀測，發(fā)現(xiàn)AI大模型發(fā)起的爬蟲流量占比已達到6%。大模型的訓練和調優(yōu)過程都需要大量算力支持，而近年來隨著虛擬貨幣價格的持續(xù)走高，GPU算力被劫持進行挖礦活動也甚囂塵上，發(fā)生了多起利用泄漏的AK創(chuàng)建Severless高性能GPU實例運行挖礦程序而導致平臺、企業(yè)算力受損的事件，造成極大的經(jīng)濟損失。安全建議企業(yè)需要針對重點接口進行DDoS攻擊防護以及爬蟲攻擊防護，避免對業(yè)務的穩(wěn)定性造成影響。在模型部署過程中，可能會調用多類部署工具或中間件，產生風險。例如攻擊者可以在微調業(yè)務鏡像中植入后門，通過從非官方源拉取的llama2-?netune鏡像包含惡意代碼，在訓練時回傳LoRA適配器參數(shù)至外部服務器，實現(xiàn)后門/權限的篡取。使用阿里云Web應用防護墻并啟用Bot管理功能，Bot管理可以通過簽名校驗、流量指紋分析、行為特征分析、客戶端探針分析等多重手段進行爬蟲檢測，支持網(wǎng)頁端以及原生APP接入，用戶可以針對大模型應用的核心交互接口配置相應防護策略。除了在流量層面進行防護，還可以在賬號層面進行防護，結合風險識別產品對賬號進行風險識別，針對有異常的賬號進一步進行治理，可以結合驗證碼、實名認證、人臉核身方式進行賬號核驗，加強賬號的防護。安全建議企業(yè)應選擇受安全防護的GPU平臺，或對GPU計算實例進行運行時威脅檢測。云安全中心對PAI\靈駿等Serverless高性能GPU計算實提供運行時的威脅檢測，實時檢測并攔截訓練/推理集群工作負載的惡意進程啟動，可識別XMRig挖礦特征進程并自動隔離，保護訓練集群的穩(wěn)定、合規(guī)運行。阿里云內容安全大模型，除去通用場景以外，對于一些疑難領域，例如廣告對抗、隱喻暗喻場景，傳統(tǒng)技術難以獲得明顯效果提升。在這些領域，依賴大模型強大的通識和遷移能力，通過SFT快速迭代，迅速響應高對抗、難識別的風險場景防控。企業(yè)應采用主動防御策略，部署對應的防護安全產品。云安全中心鏡像掃描通過對鏡像文件的漏洞、基線、惡意軟件和敏感文件的安全檢測，并結合主動防御策略，可攔截存有惡意代碼的鏡像文件上線發(fā)布，阻斷因鏡像文件引入的安全攻擊。大模型業(yè)務運營階段：AIGC治理對于AI服務的生成物，即包含文字、圖片、視頻等在內的AIGC內容安全也不容忽視，AIGC所帶來的新生產模式背后，是生成量級和風險量級的指數(shù)級增長，傳統(tǒng)工具的策略更新速度、覆蓋特征、訓練模式都難以跟上時代需求，過去一年，因AIGC和其延伸的DeepFake導致的詐騙事件頻發(fā)，最高造成了上億元的經(jīng)濟損失。大模型業(yè)務運營階段：業(yè)務連續(xù)性在AI應用/大模型公司為終端用戶提供服務的過程中，業(yè)務的穩(wěn)定和連貫性是最重要的指標之一。一方面，當前大模型公司成為DDoS攻擊的熱門目標行業(yè)，多家大模型廠商在國內和海外的業(yè)務近期都因遭受DDoS攻擊影響了業(yè)務的正常訪問。從2025年1月至今，阿里云安全團隊觀測到目前針對大模型行業(yè)的大流量DDoS攻擊主要以UDP反射、NTP反射、SYN-Flood等手法為主：安全建議針對AIGC相關內容的防護，企業(yè)應采用效率更高、更有針對性的檢測模型，同時采用數(shù)字水印的方式滿足監(jiān)管合規(guī)要求。峰值超過了1Tbps日常有多次10-300Gbps不同規(guī)模的大流量攻擊混合了數(shù)十次應用層資源耗盡型攻擊另一方面，大模型的API接口也頻繁遭到爬蟲攻擊，阿里云安全團隊監(jiān)控到大模型用戶的爬蟲流量占比總流量已超過30%，且攻防對抗愈發(fā)激烈，爬蟲攻擊手段已進化為擬人行為、驗證碼智能識別等。1920Recommendations01/提升多云/混合云環(huán)境的可見性：治理風險的第一步是提升對復雜基礎設施的可見性，云安全中心提供云原生靈活的多云混合云資產的接入方案，通過資產的統(tǒng)一管理發(fā)現(xiàn)高風險資產，并幫助企業(yè)IT部門逐步消除影子資產帶來的未知安全風險，并為實施統(tǒng)一的安全策略和事件快速處置打下基礎。02/推動跨部門協(xié)作效率，縮短風險治理的時間：伴隨企業(yè)的業(yè)務創(chuàng)新和越來越多容器、Server-less技術的應用，云產品的配置、身份和權限處于更快速的動態(tài)變化，企業(yè)可借助云安全中心提供的合規(guī)檢查、配置風險檢查規(guī)則，持續(xù)監(jiān)控云安全態(tài)勢，實現(xiàn)風險早發(fā)現(xiàn)、早治理，持續(xù)提升云安全防護水位。03/針對機器身份，使用最小授權原則并盡量使用臨時憑據(jù)可有效降低身份場景的風險和管理成本。通過專業(yè)的云上密鑰管理服務產品，可動態(tài)創(chuàng)建和銷毀機器身份，確保所有非人類實體的安全配置和最小權限原則的應用。02.2024Chapter漏洞數(shù)量和高危漏洞所帶來的威脅態(tài)勢呈增長態(tài)勢_AboutAlibabaCloudSecurity2324漏洞數(shù)量龐大且呈增長態(tài)勢，減少漏洞修復窗口至關重要漏洞成因大多因組件使用者的配置不當所致經(jīng)過對安全漏洞的統(tǒng)計發(fā)現(xiàn)，針對企業(yè)用戶造成漏洞的應用主要是Spring、ApacheShiro、Redis等開源組件應用。同時，漏洞成因主要是由于組件使用者的配置不當導致，例如沒有設置密碼或者設置了弱口令、使用了默認的密鑰配置、沒有設置恰當?shù)脑L問措施、內網(wǎng)服務或者端點直接對外暴露等。安全漏洞可能對企業(yè)和用戶造成嚴重影響，一旦被惡意利用，可能導致數(shù)據(jù)泄露、敏感信息暴露、服務中斷或被濫用，損害企業(yè)聲譽和客戶信任。攻擊者可借此訪問未經(jīng)授權的資源，篡改數(shù)據(jù)或植入惡意軟件，甚至可能控制整個云環(huán)境，影響所有依賴該云服務運營的業(yè)務。此外，安全漏洞還可能引發(fā)法律和合規(guī)性問題，導致企業(yè)面臨罰款和其他法律責任。因此，及時發(fā)現(xiàn)并修復漏洞對于維護云計算的安全性和可靠性至關重要。數(shù)據(jù)漏洞ApacheLog4j2遠程代碼執(zhí)行漏洞（CVE-2021-44832）SpringBootActuator未授權訪問漏洞Nacos配置不當致未授權訪問漏洞DruidMonitor配置不當致未授權訪問漏洞JMXRMI端口反序列化漏洞阿里云發(fā)現(xiàn)，2024年漏洞數(shù)量和高危漏洞所帶來的威脅勢呈增長態(tài)勢，防護方一方面需要及時發(fā)現(xiàn)并修復漏洞，提前完善云安全管理；另一方面，充分利用自動化和智能化的手段加速漏洞利用攻擊的對抗，通過降低漏洞平均修復時長（MTTR）縮小漏洞修復窗口。Redis未授權或弱口令漏洞01JavaJDWP調試接口遠程命令執(zhí)行漏洞ApacheRocketmq代碼執(zhí)行漏洞漏洞數(shù)量整體增長12%，風險持續(xù)上升ApacheShiro默認密鑰致命令執(zhí)行漏洞Laravel框架調試模式致信息泄漏從漏洞數(shù)量及高危漏洞數(shù)量來看，整體呈增長趨勢這些應用漏洞可造成代碼執(zhí)行或者敏感信息泄漏，攻擊者可以直接獲取服務器權限，或者獲取到諸如ak/sk等敏感信息，進而對云資源造成更大的危害。作為防護的一方，不僅需要及時修復自身使用的各類組件應用的漏洞，還應重點關注諸如默認口令、未授權訪問、權限校驗缺失等諸方面的配置問題。阿里云安全團隊統(tǒng)計，2024年阿里云漏洞庫累計收錄40209個漏洞，較2023年阿里云漏洞庫累計收錄的35947個漏洞增加4262個，YoY增長12%；CVSS評價為高危的漏洞數(shù)22489個，較2023年CVSS高危及以上漏洞21680個漏洞增加個809個，YoY增長4%；2024年經(jīng)阿里云評定高危漏洞5471個。漏洞名稱漏洞成因漏洞影響ApacheLog4j2遠程代碼執(zhí)行漏洞（CVE-2021-44832）SpringBootActuator未授權訪問漏洞Nacos配置不當致未授權訪問漏洞DruidMonitor配置不當致未授權訪問漏洞JMXRMI端口反序列化漏洞代碼問題配置不當配置不當配置不當配置不當配置不當配置不當代碼問題代碼問題配置問題代碼執(zhí)行信息泄漏信息泄漏信息泄漏代碼執(zhí)行信息泄漏代碼執(zhí)行代碼執(zhí)行代碼執(zhí)行信息泄漏對比2023年，阿里云漏洞庫累計收錄數(shù)增長12%CVSS評價高危漏洞數(shù)量增長4%+12%

+4%，。Redis未授權或弱口令漏洞JavaJDWP調試接口遠程命令執(zhí)行漏洞ApacheRocketmq代碼執(zhí)行漏洞漏洞數(shù)量龐大，作為防護一方，應基于資產業(yè)務視角和基于風險為中心的漏洞優(yōu)先級排序，優(yōu)先修復被阿里云評定為較高風險的漏洞。聚焦最關鍵的風險，保證在最佳時間期窗口內完成漏洞修復。ApacheShiro默認密鑰致命令執(zhí)行漏洞Laravel框架調試模式致信息泄漏252602漏洞利用是勒索病毒攻擊的主要手段之一AI助手用戶調用量提升316%，安全自動化處置比例已接近80%，平均漏洞修復時間為小時級基于各類常見通用應用軟件的漏洞進行利用是勒索病毒攻擊的主要手段之一。在2024年披露的漏洞中，以CVE-2024-4577PHPCGIWindows平臺遠程代碼執(zhí)行漏洞為代表，由于此漏洞易于利用且風險等級為嚴重，攻擊者可以利用該漏洞上傳Webshell、下載惡意軟件（如勒索軟件），甚至添加新用戶以便后續(xù)RDP登錄等操作，可能導致遠程代碼執(zhí)行、敏感信息泄露或服務器崩潰。作為衡量IT系統(tǒng)漏洞速度和效率重要指標，業(yè)界高危漏洞的平均修復時長（MTTR）為65天，而攻擊者對于漏洞的平均利用時間為15天，業(yè)界MTTR遠高于攻擊者的平均利用時間。同時，最新的研究數(shù)據(jù)表明攻擊者的入侵時間已經(jīng)縮短到小時級。這就要求防護一方必須縮短MTTR來應對漏洞修復與漏洞利用之間巨大的時間差。漏洞利用是勒索病毒攻擊的主要手段。其中以CVE-2024-4577PHPCGIWindows平臺遠程代碼執(zhí)行漏洞（CVE-2024-4577）為代表，由于此漏洞易于利用且風險等級為高危，攻擊者可以利用該漏洞上傳Webshell、下載惡意軟件（如勒索軟件），甚至添加新用戶以便后續(xù)RDP登錄等操作，可能導致遠程代碼執(zhí)行、敏感信息泄露或服務器崩潰。累計修復漏洞超5000萬個，平均修復時間兩小時，修復比例仍需提升2024年國際權威機構披露的勒索病毒漏洞分布情況先于攻擊者發(fā)現(xiàn)并修復漏洞可有效預防數(shù)據(jù)泄露等安全事件的發(fā)生，從而保護企業(yè)和用戶的敏感信息不被未經(jīng)授權訪問或竊取，維護隱私和信息安全。3億+漏洞名稱組件Cleo利用效果代碼執(zhí)行代碼執(zhí)行文件讀取代碼執(zhí)行代碼執(zhí)行代碼執(zhí)行文件讀取代碼執(zhí)行本地提權代碼執(zhí)行代碼執(zhí)行本地提權本地提權CVE-2024-50623CVE-2024-51378CVE-2024-11667CVE-2024-40711CVE-2024-6670CleoSynchronization任意文件讀取上傳漏洞（CVE-2024-50623）CyberPanel代碼執(zhí)行漏洞CyberPanelZyxelZyxel多款產品路徑遍歷漏洞(CVE-2024-11667)VeeamBackup&Replication安全漏洞(CVE-2024-40711)WhatsUpGoldHasErrorsSQL注入身份驗證繞過漏洞(CVE-2024-6670)SonicWALLSonicOS訪問控制錯誤漏洞(CVE-2024-40766)JenkinsCLI任意文件讀取漏洞（CVE-2024-23897）VMwareESXi安全漏洞(CVE-2024-37085)累計檢測出云上客戶漏洞數(shù)量約超過3億阿里云安全團隊統(tǒng)計，2024年累計新檢測出客戶漏洞數(shù)量約超過3億個（包括系統(tǒng)和應用軟件漏洞等），幫助用戶修復漏洞超過5000萬個。其中，累計處理業(yè)界披露高危應急漏洞數(shù)十個，平均在兩小時內完成分析和上線相關漏洞檢測，并聯(lián)動其他云安全產品協(xié)同上線漏洞防御與檢測告警規(guī)則。VeeamWhatsUpSonicWALLJenkins5000萬+CVE-2024-40766CVE-2024-23897CVE-2024-37085CVE-2024-26169CVE-2024-4577CVE-2024-27198CVE-2024-21338CVE-2024-1709VMwareWindowsPHP幫助用戶修復漏洞超過5000萬個Windows錯誤報告服務特權漏洞提升PHPCGIWindows平臺遠程代碼執(zhí)行漏洞（CVE-2024-4577）Teamcity認證繞過致代碼執(zhí)行漏洞（CVE-2024-27198）Windows內核特權提升漏洞TeamcityWindowsWindows來源：使用備用路徑或通道繞過身份驗證(CVE-2024-1709)1、MeanTimeToRemediation(MTTR)forCriticalSeverityvulnerabilitiesis65days(acrossthefullstack).Andwhilethisresultissimilartopreviousyears,industryreportsestimatethatadversariesarenowabletoexploitavulnerabilitywithin15days(onaverage)ofdiscovery（CISA）作為防護一方，應特別關注勒索病毒的發(fā)現(xiàn)與防護，及時修復漏洞，防患于未然。2、Theaveragetimeittooktomovelaterallyfrominitialaccessdropping35%annuallytojust62minutes,accordingtoCrowdstrike.（Crowdstrike）2728AI和大模型的引入極大提升了運營效率，CaseStudy：自動化檢測和響應利用Log4J漏洞攻擊安全自動化處置比例已接近80%，調用量增長316%在一次實際的安全事件中，安全運營人員發(fā)現(xiàn)有攻擊者利用ApacheLog4j庫的Web應用程序存在Log4j遠程代碼執(zhí)行漏洞與C&C惡意域名（domain）通信，遠程攻擊成功，已將網(wǎng)站后門jsp文件Webshell成功上傳到服務器，通過Webshell控制受害者2臺服務器（ALB負載均衡后的2個ECS服務器），以便達到長期控制的目的。通過集中化的視圖、智能化的分析和自動化的響應編排，與安全產品和基礎設施協(xié)調處置，提升漏洞利用攻擊的實時對抗能力，降低MTTR/MTTD。在運行時，對于高危漏洞利用的攻擊需要采取如下應對措施：安全系統(tǒng)響應過程產品安全日志、網(wǎng)絡日志、系統(tǒng)日志、應用日志統(tǒng)一采集、標準化和存儲結合圖計算、AI大模型基于告警識別安全事件，自動化溯源攻擊路徑，發(fā)現(xiàn)可疑入侵點聯(lián)動安全產品和基礎設施，對IP、文件、進程、域名等實體進行自動化響應處置自動告警檢測生成安全事件自動化調查下發(fā)封禁策略云安全中心CTDR和CWPP模塊檢測到“l(fā)og4j攻擊成功(域名關聯(lián))”、“發(fā)現(xiàn)后門（Webshell）文件”、“WebShell文件防御”等告警。生成安全事件并通知。CTDR模塊基于圖計算技術，通過相同的實體（如主機資產）、惡意IoC（攻擊者IP、惡意域名、進程等），將相關告警聚合生成高危安全事件，并基于響應規(guī)則通知安全分析師。CTDR模塊基于惡意實體系統(tǒng)展開自動化調查，自動溯源惡意實體的日志活動痕跡及可利用的漏洞入侵點，識別攻擊數(shù)據(jù)，如IP、域名、惡意文件等。AI大模型運營提效，安全分析師通過AI大模型訓練的智能助手，快速獲取安全事件的概述、處置建議和總結報告。自動化調用預置劇本聯(lián)動ALB負載均衡和云防火墻，對攻擊者IP下發(fā)封禁策略進行風險處置。其中，AI和大模型的引入在安全運營階段起到了明顯的提效作用。阿里云將通義大模型與云安全中心集成，推出了云安全助手，應用到了安全運營的咨詢、告警研判、事件調查與報告，以及響應等諸多場景中去。阿里云云安全中心AI助手的引入實現(xiàn)了99%的告警事件覆蓋率，用戶覆蓋率達到了88%。同時，阿里云將AIAgent技術被應用于針對安全事件的響應處置中，對包括病毒木馬類的事件進行自動化的安全事件告警分析，完全不用人工參與，安全事件的自動化處置比例已經(jīng)接近80%。從2023年10月到2024年11月底，云安全中心AI助手的用戶調用量增長率達到316%。云安全中心智能助手調用增長2930Recommendations02/云安全告警分析和處置，要求工程師需具備專業(yè)的安全知識和豐富的云產品使用經(jīng)驗，現(xiàn)實矛盾是企業(yè)往往缺少專業(yè)云安全專家，所以越來越多的安全工程師，通過使用云安全中心基于生成式AI的安全助手，查看惡意代碼的攻擊原理、攻擊溯源分析、處置建議，完成對告警的處理。0103//一次云上安全事件的處置，需涉及多款云產品的日志關聯(lián)分析和聯(lián)動處置，同時真實的攻擊告警也隱匿在互聯(lián)網(wǎng)上常態(tài)化的掃描中，針對上述安全運營的難題，建議安全工程師使用云安全中心自動化的威脅分析與響應工具，通過AI分析引擎、圖計算分析引擎自動化研判、聚合真實的攻擊事件，并根據(jù)預設的劇本自動化完成攻擊IP封禁、惡意文件隔離等處置動作。針對企業(yè)面臨待修復漏洞數(shù)量多、漏洞風險排查難等問題，建議用戶首先通過云安全中心檢測全局資產漏洞，在業(yè)務上線前通過容器鏡像掃描、agentless等能力，檢測容器鏡像、主機鏡像的漏洞，借助安全左移流程在開發(fā)階段修復存量漏洞；在業(yè)務運行時，通過下發(fā)周期性漏洞掃描任務、漏洞互聯(lián)網(wǎng)暴露分析、攻擊路徑分析等云原生的工具，對漏洞修復的優(yōu)先級進行準確評估和排序；在修復階段，對于已經(jīng)完成驗證的補丁，借助云安全中心的自動化漏洞修復任務管理，實現(xiàn)高效的批量修復；對于存在漏洞但短期無法升級的應用系統(tǒng)，可以通過自動化部署RASP方案，實現(xiàn)對“帶洞運行”的應用進行安全加固。03.2024Chapter2024年，安全對抗也在持續(xù)增強_AboutAlibabaCloudSecurity3334安全對抗持續(xù)增強，勒索事件呈爆發(fā)式增長趨勢，漲幅高達74%01安全對抗流程化、攻擊強度持續(xù)升溫2024年，勒索軟件對抗強度、勒索效率均在持續(xù)升級。勒索家族向頭部聚集，呈現(xiàn)收斂態(tài)勢。但頭部RaaS組織生態(tài)的巨大變動，使得大、中、小企業(yè)均成為了勒索組織的攻擊對象。RaaS生態(tài)所賦予了攻擊者高度組織化和技術的支持，將對網(wǎng)絡安全構成持續(xù)性的威脅。在過去的一年里，隨著數(shù)字經(jīng)濟蓬勃發(fā)展，企業(yè)架構、配置、身份復雜性的提升，也帶來了更多的脆弱性，攻擊者更加猖獗。2024年，勒索攻擊事件呈現(xiàn)爆發(fā)式增長，相較2023年整體漲幅高達74%。雖然各國政府對勒索產業(yè)的打擊力度持續(xù)加大，各企業(yè)也在不斷提升自身安全能力，但新的挑戰(zhàn)和趨勢也在持續(xù)浮現(xiàn)。74%攻擊事件巨幅增長2024全年，勒索攻擊事件呈現(xiàn)爆發(fā)式的增長勢，相較23年整體漲幅高達74%。在2024年，阿里云觀測到：50%勒索攻擊進入“貪婪”階段勒索局勢日漸混亂勒索市場競爭劇烈隨著各類地緣政治問題，勒索攻擊與國家安全的關聯(lián)日益緊密；受Bitcoin等加密貨幣價格大幅飆升影響，勒索攻擊者活動愈發(fā)猖獗，僅Q4季度發(fā)生的勒索事件就達到了2023年全年的50%。頭部RaaS勒索組織Lockbit為吸引更多的附屬機構，不惜成本，為其“加盟”伙伴提供各類服務支持和高達75%的贖金分成；另一方面，隨著各國執(zhí)法機構持續(xù)打擊頭部勒索組織，和其內部分歧與不穩(wěn)定因素，導致大量負數(shù)機構選擇自立“山頭”，不再歸屬某個“RaaS”品牌；數(shù)小時自動化對抗強度持續(xù)升溫根據(jù)云安全中心監(jiān)控數(shù)據(jù)顯示，在某些勒索事件中，攻擊者表現(xiàn)出高度的執(zhí)著與專業(yè)性，單次攻擊可持續(xù)數(shù)小時，不斷嘗試多種手段突破安全防線。中小企業(yè)成為新的攻擊目標從頭部勒索組織脫離的各附屬機構獨立運營后，其攻擊策略更傾向于“機會主義”，優(yōu)先選擇防護能力較弱的中小型目標，把握機會從而盡快獲利；勒索效率大幅提升2024年，一些勒索組織大幅提升了勒索效率，將批量化入侵與安全對抗相結合，通過服務漏洞批量入侵后，自動化運行安全對抗模塊和執(zhí)行勒索病毒。攻擊后果愈發(fā)嚴重，關鍵基礎設施的防護醫(yī)療機構成為勒索組織頻繁攻擊的對象，多次導致關鍵醫(yī)療系統(tǒng)癱瘓、病例記錄無法查閱、手術推遲等嚴重后果，直接威脅到了患者的生命安全；更隱蔽勒索贖金創(chuàng)紀錄，已攀升至歷史新高2024年初，某財富50強公司向勒索組織DarkAngels支付了7500萬美元；勒索行為更加隱蔽約為50%的勒索事件中，攻擊者會優(yōu)先選擇攻擊EDR、HIPS等安全防護產品，確保其無法正常工作后才會上傳勒索病毒，同時也避免病毒新變種被安全產品收集。贖金支付比例下降隨著企業(yè)防御和恢復能力提升，以及對勒索組織不信任等多種因素影響，選擇支付勒索贖金的受害組織比例下降至28%35360203攻擊事件飆升74%，勒索軟件數(shù)量首次下降LockBit勒索成為變重數(shù)量+活躍度“雙料”TOP1，Mallox提升入侵效率2024年勒索軟件整體態(tài)勢呈現(xiàn)出家族數(shù)量收斂與攻擊事件激增的雙重特點，勒索家族數(shù)量有所減少，部分實力較弱的家族逐漸淘汰，但頭部家族活躍度不減。LockBit仍是云上勒索的主要威脅，憑借持續(xù)的變種更新和勒索攻擊排名穩(wěn)居榜首。阿里云安全團隊以季度為單位著重統(tǒng)計了TOP10家族的攻擊活躍度分布，LockBit勒索組織一度成為“變種數(shù)量”和“攻擊活躍度”的雙料年度Top1，造成的攻擊事件相較去年同比增長500%，有極強的破壞性，能夠進入系統(tǒng)安全模式進行加密，給安全防護帶來了巨大挑戰(zhàn)。同時，新興勒索家族也在不斷崛起，TargetOwner和Weaxor首次在云上出現(xiàn)便登上攻擊事件Top10榜單，而老牌家族BeijingCrypt在沉寂兩個季度后突然復蘇，下半年爆發(fā)式增長，躍升至前10名。另外TellYouThePass家族雖未進入前10，但通過利用CVE-2024-4577漏洞在Q2發(fā)起的攻擊也對云平臺安全構成了顯著威脅。與此同時，Mallox家族大幅提升了攻擊效率，通過漏洞自動化批量入侵，并增加了自動化安全對抗模塊，使用BYOVD等手段對抗安全防護，進一步增強了攻擊隱蔽性和成功率。根據(jù)2024年Q1-Q4的勒索家族樣本數(shù)據(jù)顯示：Lol家族2023Q3首次在云平臺出現(xiàn)，并在2024年活躍度顯著上升，變種數(shù)量躍居Top10，在全年攻擊事件中其身影隨處可見12324%33%74%RCRU64家族曾在2023年Q1季度短暫活躍后沉寂，但自2024年二季度起，變種數(shù)量突然攀升，且全年活躍度呈持續(xù)上升趨勢，呈現(xiàn)出其卷土重來的態(tài)勢活躍家族數(shù)量近3年來首次下降，家族數(shù)量減少32個，同比下降24%各勒索家族變種數(shù)量整體漲幅33%勒索攻擊事件呈爆炸式增長，增幅比例約74%BeijingCrypt家族曾是去年攻擊事件的TOP1，但從今年的樣本變種數(shù)量來看，其活躍度在前兩個季度有所下降而且并未進入前十，尤其在第一季度未發(fā)現(xiàn)任何新變種的出現(xiàn)，活動明顯放緩從勒索軟件分布來看，2024年，頭部RaaS勒索組織LockBit繼續(xù)穩(wěn)居榜首，其勒索樣本變種數(shù)量呈斷崖式領先，超過2-9名變種數(shù)量的總和。2024年勒索家族樣本量季度分布統(tǒng)計全年Q1Q2Q3Q4LockbitMakopPhobosMalloxBabukLolLokiTellYouThePassLockbitPhobosMalloxBabukLokiMakopBlackMatterRCRU64LolTellYouThePassBlackMatterRCRU64373804根據(jù)2024年Q1-Q4的勒索家族攻擊活躍度數(shù)據(jù)顯示：安全對抗比例超50%，勒索軟件安全對抗技術大盤點勒索家族迭代頻繁，TOP10榜單中出現(xiàn)了諸多“新面孔”：TargetOwner和Weaxor家族都是在24年首次在云上出現(xiàn)的新型家族，并立刻躍進攻擊事件TOP1012在過去的2024年，隨著勒索組織技術的經(jīng)濟，安全對抗愈演愈烈。勒索團伙不斷采用新技術對抗安全軟件，諸如各類免殺技術、利用機制漏洞繞過防御、勒索軟件的免殺革新、RING0的深層對抗、勒索加密機制的變革等...下文將從實際攻擊案例出發(fā)，梳理不同類型的對抗方式。排名第三的RCRU64家族在2023年Q1首次出現(xiàn)后沉寂，在2024年再度卷土重來，攻擊事件激增去年的Top1得主BeijingCrypt家族，在安靜了2個季度后，下半年也加入加密貨幣“牛市的狂歡”，展開了瘋狂的勒索攻擊3內核級對抗BYOVD（自帶易受攻擊驅動）攻擊此外，TellYouThePass家族雖未“入榜”，但其利用CVE-2024-4577RCE漏洞在Q2季度也迎來了一波小規(guī)模爆發(fā)，該家族所具備的利用高危漏洞伺機而動的特質，讓其威脅性依舊不容忽視。今年常見的可利用驅動主要包括ProcExp和Martini，利用該手段的典型家族是Mallox，而已知的BYOVD攻擊可以利用驅動程序多達數(shù)百種自定義對抗驅動開發(fā)今年曾捕獲到攻擊者自行開發(fā)的內核對抗驅動，用于強殺安全軟件進程，并具備有效的驅動程序簽名2024年各季度勒索家族活躍度情況“工具流”對抗ARK工具對抗ARK工具是近些年運用最多的對抗方式，常見的工具包括Pchunter、WKE、ProcessHacker等，據(jù)不完全統(tǒng)計，曾被利用的ARK工具多達數(shù)十種安全軟件“自相殘殺”利用可配置自定義主防規(guī)則的安全軟件，去破壞目標安全軟件正常運行，包括禁止進程啟動和阻斷行為等多種方式使其工作異常Q1Q2Q3Q4文件粉碎機LockbitPhobosMalloxRCRU64-BeijingCryptMakopTargetOwnerLolWeaxor利用常見的文件粉碎機程序，強行刪除安全軟件相關文件和目錄BlackMatterDevicData394005系統(tǒng)機制對抗歐洲IP仍被攻擊者優(yōu)先考慮，RDP入侵稍有增長安全模式利用利用部分安全軟件在安全模式下無法正常運行的缺陷，實現(xiàn)防御繞過。LockBit和BlackMatter勒索軟件自身就集成了該能力，而BeijingCrypt家族則是利用了AnyDesk軟件提供的“重啟后進入安全模式”功能阿里云安全團隊基于遠程登錄（RDP/SSH）來源IP，整理了2024年勒索攻擊者的地域分布數(shù)據(jù)，可以發(fā)現(xiàn)，其趨勢與前兩年保持一致，歐洲地區(qū)IP仍然是主要的攻擊來源。2024年云上勒索攻擊者IP國家分布TOP10SessionManger利用SessionManger是Windows系統(tǒng)運行時機非常早的啟動項，利用這一特性，會優(yōu)先于安全軟件功能生效前執(zhí)行勒索/對抗，實現(xiàn)防御繞過注冊表IFEO利用通過篡改安全軟件IFEO注冊表中的關鍵選項，例如堆棧申請等配置，使安全模塊無法正常運行保加利亞美國伊朗荷蘭德國俄羅斯韓國委內瑞拉立陶宛英國2024年云上勒索攻擊者IP大洲分布TOP10針對性破壞北美洲大洋洲亞洲權限破壞非洲通過肆意篡改安全軟件相關的目錄和文件ACL權限，導致其工作發(fā)生不可預知的異常問題南美洲句柄破壞歐洲通過技術手段刪除安全軟件運行中打開的相關句柄，導致其工作發(fā)生不可預知的異常問題從入侵方式而言，RDP入侵有所增加，但整體來看，入口服務仍是主要入侵途徑，四個季度通過入口服務入侵的比例始終保持在50%以上，涉及的服務包括PHP、IIS、SQLServer和部分Java服務。此外，二季度由于TellYouThePass家族攻擊活動，漏洞利用比例有所上升：Q1Q2Q3Q4RDP數(shù)據(jù)庫漏洞利用其他41420607C/C++為主流開發(fā)語言，部分家族有解密可能互聯(lián)網(wǎng)與零售業(yè)仍舊是云上勒索的重災區(qū)阿里云安全團隊分析了各勒索家族樣本的開發(fā)語言分布，發(fā)現(xiàn)依舊以C/C++語言為主