《新华三:2023年网络安全漏洞态势报告(40页).pdf》由会员分享,可在线阅读,更多相关《新华三:2023年网络安全漏洞态势报告(40页).pdf(40页珍藏版)》请在三个皮匠报告上搜索。
1、 2023 年网络安全漏洞态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 概述概述 3 1.1 漏洞增长趋势 3 1.2 攻击总体态势 5 2 2 WebWeb 应用漏洞应用漏洞 8 2.1 新增漏洞趋势 8 2.2 漏洞分类 9 2.3 重点漏洞回顾 10 2.4 攻击态势分析 12 3 3 操作系统漏洞操作系统漏洞 13 3.1 新增漏洞趋势 13 3.2 漏洞分类 13 3.3 重点漏洞回顾 14 3.4 攻击态势分析 16 4 4 网络设备漏洞网络设备漏洞 17 4.1 新增漏洞趋势 17 4.2 漏洞分类 18 4.3 重点漏洞回顾 19 4.4 攻击态势分析 21
2、5 5 数据库漏洞数据库漏洞 22 5.1 新增漏洞趋势 22 5.2 漏洞分类 23 5.3 重点漏洞回顾 24 5.4 攻击态势分析 25 6 6 工控系统漏洞工控系统漏洞 26 6.1 新增漏洞趋势 26 6.2 漏洞分类 27 6.3 重点漏洞回顾 28 6.4 攻击态势分析 29 7 7 云计算平台漏洞云计算平台漏洞 30 7.1 新增漏洞趋势 30 7.2 漏洞分类 30 7.3 重点漏洞回顾 31 7.4 攻击态势分析 32 8 8 总结与建议总结与建议 33 8.1 总结 33 8.2 安全建议 34 9 9 结语结语 38 主动安全 3 2023 年网络安全漏洞态势报告年网络
3、安全漏洞态势报告 新华三安全攻防实验室持续关注国内外网络安全漏洞和态势,协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布2023 年网络安全漏洞态势报告。报告开篇概述了 2023 年漏洞和攻击的总体趋势,正文从 Web 应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析 2023 年网络安全领域新增漏洞情况以及演变趋势,希望为各行业网络安全建设者提供参考和帮助。1 概述概述 1.1 漏洞增长趋势 2023 年新华三安全攻防实验室漏洞知识库收录的漏洞总数为 29039 条,比 2022 年(24892 条)增长16.6%
4、,为历史之最。其中超危漏洞 4298 条,高危漏洞 10741 条,如图 1 所示,超危与高危漏洞占比51.8%,如图 2 所示,高危以上漏洞比 2023 年增长 7.1%。自 2017 年以来,公开漏洞数量一直在稳步增加,每年增加数量超过 10%。主动安全 4 图 1 2017-2023 年新增漏洞总趋势 图 2 2023 年不同危险级别漏洞占比 7752489229039050000000250003000035000020004000600080004000160002017年2018年2019年20
5、20年2021年2022年2023年超危高危中危低危总数超危14.8%高危37.0%中危46.2%低危2.0%超危高危中危低危 主动安全 5 1.2 攻击总体态势 将 2023 年漏洞按照影响对象进行统计,Web 应用类漏洞占比仍然为第一位,占比 40.2%,其次是应用程序、操作系统漏洞,分别占比 29.2%、9.1%,如图 3 所示。应用程序漏洞数量比去年增长 60.8%,增幅较大;智能终端(IOT 设备)漏洞数量比去年增长 64.4%,操作系统、网络设备、云计算、数据库漏洞相比去年漏洞数量有所回落。漏洞数量是危险的一方面,在已披露的漏洞中,有超过 7000 个漏洞具有“概念验证利用代码”,
6、超过 100 个漏洞已经被黑客“广泛利用”。图 3 2023 年漏洞影响对象占比 将 2023 年漏洞按照攻击分类进行统计,如图 4 所示,排名前三的漏洞为跨站脚本、权限许可和访问控制、缓冲区错误,分别占比 17.0%,13.4%和 11.2%。权限许可和访问控制占比较 2022 年有大幅提升,权限许可和访问控制漏洞是由于权限限制不正确,或者访问控制设置错误,导致远程攻击者可以绕过身份验证因素或者访问控制设置,达到获取敏感信息,读写任意文件或者权限提升的目的。注入类漏洞,如代码注入、SQL 注入、命令注入共占比 18.7%,仍然是最突出的漏洞类型。WEB应用40.3%应用程序29.3%操作系统
7、9.1%网络设备7.9%智能终端7.0%云计算3.1%工控2.4%数据库1.0%主动安全 6 图 4 2023 年漏洞攻击分类占比 安全漏洞数量持续增长成为了各行各业不可忽视的挑战,尤其是在工业、金融、交通、国防、医疗和信息技术等领域,安全漏洞的爆发和利用对社会、企业和个人造成了巨大的安全风险。同时,生成式人工智能等一批新技术在带来巨大机遇的同时,也意味着其在安全性上会产生更多挑战。2023 年,针对各个领域网络资产的攻击进一步加剧,根据对 2023 年漏洞及网络攻击进行的观察,我们得出一些结论:1.漏洞数量持续增长,0day 漏洞利用数量明显增加 随着黑客攻击技术的提升和市场化,0day 漏
8、洞的数量和利用呈明显增长趋势,大量攻击团伙利用未公开及厂商未及时修复的漏洞对目标系统进行未授权访问、数据窃取、数据勒索或其他恶意活动,这类漏洞的利用往往具有高度隐秘性和攻击性,使得安全防护和应对的难度进一步提高。GoAnywhere 今年爆出的CVE-2023-0669 漏洞被黑客大规模利用,最早利用该漏洞进行大规模攻击的仍然是 Clop 勒索软件组织,在最初的一波攻击中就有 130 家企业受到了影响。由于 GoAnywhere 是在漏洞被披露可能存在利用的第5 天才推出修复程序,这留给了黑客充裕的利用时间,政府、能源、金融、医疗行业多家知名企业成为攻击受害者,也充分展现了“零日漏洞+供应链攻
9、击”的可怕之处。2.大量 N-Day 漏洞被积极利用,Log4j 漏洞仍是攻击首要目标 2023 年涌现出数以万计的新漏洞,但根据相关现网攻击检测数据报告,2023 年被用于现网攻击尝试利用次数较多的漏洞反而是过去几年已经披露和修补的 N-Day 漏洞。这些漏洞通常已经被成熟的工具化,且已有修补补丁。由于现网仍有海量的产品和服务未对这些漏洞进行修补,进而被攻击者“趁虚而入”。根据统计,2023 年利用最多的漏洞有 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)、MS17-010 系列漏洞、Apache Struts2 远程代码执行漏洞(CVE-2017-5638)
10、、GNU Bash 远程命令执行漏洞(CVE-2014-6271)等。尽管 Log4j 是一个出现时间已久的漏洞,但在 2023 年期间仍然是攻击者的首要选择。跨站脚本17.0%权限许可和访问控制问题13.4%缓冲区错误11.2%代码注入7.8%SQL注入7.5%敏感信息泄露6.4%跨站请求伪造4.2%拒绝服务4.1%命令注入3.5%目录遍历2.8%输入验证错误2.6%其他19.5%主动安全 7 3.配置不当引发整体安全风险,身份验证和访问权限管理不当漏洞增加 随着互联网的加速发展,企业和组织不断推进内外网业务由线下转向线上,以便于协同及效率提升,业务之间的对接、耦合、互通,使得业务数据大量的
11、产生、传输、交互、公开等。而不同系统、软件和应用程序的默认配置、身份验证和访问权限管理等配置不当问题逐渐成为网络中最易忽视的攻击风险。错误配置可能会导致敏感数据的泄漏,比如未做好严格的权限校验和限制以及未采取严格的加密措施等都会被黑客充分利用。当服务器存在未及时修复的安全漏洞时,错误配置会为攻击者提供突破口,以入侵单个安全控制点作为跳板进一步危及整个系统的安全性。4.数据泄露与滥用风险涌现,数据泄漏事件创下记录 2023 年数据泄漏事件还处于高发的态势,根据报告,2021 和 2022 年,全球泄露了惊人的 26 亿条个人记录,仅 2022 年一年就泄漏了约 15 亿条个人记录。2023 年创
12、下新的数据泄漏记录,仅 2023 年前 9 个月的数据泄露总数就已经比 2022 年全年总数高出 20%。2023 年 5 月,据 Emsisoft 报道,文件传输服务MOVEit 的漏洞已经导致 2706 个组织遭到(勒索软件)攻击,超过 9300 万人的个人数据被泄露。2023年 10 月基因检测提供商 23andMe 遭遇撞库攻击,导致重大数据泄露,690 万用户的数据被泄露。史上最畅销游戏大作 GTA5(侠盗猎车手 5)的源代码在 2023 年圣诞夜被泄露,发布者声称此举是为了替近日被宣判永久监视医疗的 Lapsus$黑客组织成员 Arion Kurtaj 复仇,同时也是为了阻止恶意版
13、本的 GTA5源代码在网上流传。2023 年 12 月,PayPal 披露其用户账户在大规模撞库攻击中被泄露,攻击者攻破了34942 个 PayPal 账户。5.勒索团伙加速高危漏洞武器化利用,勒索攻击高位增长 2023 年,勒索软件攻击的复杂性和敏捷性快速提高。根据德国“statista”网站统计显示,全球高达 72%的企业成为攻击受害者,其中包括英国“皇家邮政”和美国波音等企业。过往勒索团队常以钓鱼、水坑、Nday等利用手段作为主要的初始载体和入侵手段来部署勒索软件。2023 年,勒索团伙攻击方式逐渐升级转变为对关键的零日漏洞加速武器化利用。其中以利用漏洞而闻名的 Clop 勒索软件组织利
14、用 MOVEit 等多个关键的零日漏洞进行了广泛攻击,黑客组织 LockBit 利用 Citrix Bleed 漏洞(CVE-2023-4966)对金融企业成功实施了攻击,可能窃取、泄露金融和医疗等领域的价值、敏感数据。以 LockBit 为首的勒索组织通过“勒索软件即服务”(RaaS),将恶意软件售卖给其他黑客组织,形成攻击产业链,并不断衍生出新变种,导致恶意软件泛滥。勒索攻击形式也逐渐从有组织高烈度转向无序化低烈度,涉及的行业领域更多、破坏性更严重。6.大语言模型成为攻防“双刃剑”,其快速演进加剧攻防不对等 随着人工智能技术的飞速发展,生成式 AI 狂潮席卷全球,成为了各行各业的新研究热点
15、。在不断对抗发展的网络安全领域,大语言模型不仅成为抵御复杂网络攻击的利器,也已然被攻击者充分利用,不断开发演进新的攻击方式。例如防御方面可以开发和建立自动化威胁检测和安全防护系统等,攻击方面可以用于攻击自动化、智能化社会工程攻击、恶意软件检测规避等。大语言模型的应用极大地降低了攻击利用的门 主动安全 8 槛,攻击者无需再花费大量时间手动阅读源码、验证漏洞和构建恶意利用代码,极大提高攻击效率和成功率,使得开发团队和安全团队需要以更快速处置速度应对。7.VR/AR 设备漏洞开始显现,以人体感官为中心的设备安全面临挑战 网络安全是一个动态的领域,随着技术的进步,各种类型的漏洞与攻击都会被引入。例如,
16、对于 VR/AR等新型设备,鉴于内容的潜在不可靠性,VR/AR 等增强现实设备可以作为黑客欺骗用户的有效工具,成为社会工程学攻击的一部分。例如,黑客可以通过虚假的标志或画面显示来扭曲用户对现实的看法,在侵入用户的 VR/AR 设备后,改变用户通过设备看到的场景,这就可能会让他们通过冒充用户认识和信任的人来实施诈骗。在 Vision Pro 发布后的一天内,其头显系统 visionOS 就被发现存在一个内核漏洞。此外,在 Vision Pro 即将登陆美国市场之际,苹果公司发布了一项紧急系统更新。此次 visionOS 1.0.2 版本的发布距离上一版本的推出仅隔一周,突显了安全问题的紧迫性。此
17、次更新修复了一个 WebKit 漏洞,该漏洞允许攻击者精心制作恶意网页,一旦 Vision Pro 用户访问这些被感染的网页,攻击者便能在用户设备上执行任意代码,进而控制设备或窃取信息。2 2 WebWeb 应用漏洞应用漏洞 2.1 新增漏洞趋势 针对 Web 应用的攻击依然是互联网的主要威胁来源之一,更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2023 年新华三漏洞知识库收录 Web 应用漏洞 11739 条,较 2022 年(10488 条)增长 11.9%。对比 2022 年和 2023 年每月 Web 应用漏洞变化趋势如图 5 所示:主动安全 9 图
18、 5 2022 与 2023 年 Web 应用新增漏洞趋势 2.2 漏洞分类 黑客普遍会利用 Web 应用漏洞对网络进行渗透,以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出 2023 年 Web 应用漏洞主要集中在跨站脚本、注入、跨站请求伪造三种类型,占据全部漏洞类型的 69%。跨站脚本与注入是 Web 应用最常见的漏洞,利用跨站脚本漏洞,黑客可以对受害用户进行 Cookie 窃取、会话劫持、钓鱼欺骗等各种攻击;利用注入漏洞,黑客可能窃取、更改、删除用户数据,或者执行系统命令等,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。跨站请求伪造相比 2023 年增幅较大,跨站
19、请求伪造是一种通过挟制当前用户已登录的 Web 应用程序从而实现非用户本意的操作的攻击方法,比如发邮件、发消息、改密码、购买商品、银行转账等,相对于跨站脚本攻击来说跨站请求伪造危害更严重。020040060080001月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主动安全 10 图 6 2023 年 Web 应用漏洞类型占比 2.3 重点漏洞回顾 表 1 2023 年 Web 应用重点漏洞 漏洞名称 发布时间 CVSSv3 评分 Oracle Weblogic IIOP 协议远程代码执行漏洞(CVE-2023-21839)2023/01/18
20、7.5 Apache Superset身份认证绕过漏洞(CVE-2023-27524)2023/04/24 9.8 Apache Rocket远程代码执行漏洞(CVE-2023-33246)2023/05/24 9.8 GitLab 目录遍历漏洞(CVE-2023-2825)2023/05/26 10.0 Nuxt远程代码执行漏洞(CVE-2023-3224)2023/06/13 9.8 Spring Boot Admin Thymeleaf模板注入漏洞(CVE-2023-38286)2023/07/14 7.5 Metabase远程代码执行漏洞(CVE-2023-38646)2023/07/
21、21 9.8 Spring for Apache Kafka反序列化漏洞(CVE-2023-34040)2023/08/24 7.8 JetBrains TeamCity 绕过身份验证漏洞(CVE-2023-42793)2023/09/19 9.8 Atlassian Confluence Data Center and Server权限提升漏洞(CVE-2023-22515)2023/10/04 10.0 HTTP/2拒绝服务漏洞(CVE-2023-44487)2023/10/10 7.5 Apache ActiveMQ 远程代码执行漏洞(CVE-2023-46604)2023/10/27
22、9.8 跨站脚本36.0%注入22.3%跨站请求伪造9.8%权限许可和访问控制问题9.7%敏感信息泄露4.9%目录遍历3.2%文件上传2.6%输入验证错误2.0%拒绝服务1.7%缓冲区错误1.6%其他6.3%主动安全 11 Atlassian Confluence 身份认证绕过漏洞(CVE-2023-22518)2023/10/31 9.8 Apache Tomcat 请求走私漏洞(CVE-2023-46589)2023/11/28 7.5 Apache OFBiz XMLRPC不安全反序列化(CVE-2023-49070)2023/12/05 9.8 Apache Struts2代码执行漏洞
23、(CVE-2023-50164)2023/12/07 9.8 Apache OFBiz远程代码执行漏洞(CVE-2023-51467)2023/12/26 9.8 经典漏洞盘点:Oracle Weblogic IIOP 协议远程代码执行漏洞(CVE-2023-21839)Weblogic 是由美国 Oracle 公司出品的一款基于 JAVAEE 架构的中间件,主要用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器,在国内外应用十分广泛。该漏洞允许未经身份验证的远程攻击者通过 T3/IIOP 协议网络访问并破坏 WebLogic 服务器,成功利用此漏
24、洞可导致关键数据的未授权访问或直接获取 WebLogic 服务器权限。漏洞原理是通过 Weblogic T3/IIOP 协议支持远程绑定对象 bind 到服务端,当远程对象继承自 OpaqueReference,lookup 查看远程对象时,服务端调用远程对象 getReferent 方法,其中的 remoteJNDIName 参数可控,导致攻击者可利用 rmi/ldap 远程协议进行远程命令执行。GitLab 目录遍历漏洞(CVE-2023-2825)GitLab 是管理 Git 存储库的平台,主要提供免费的公共和私人存储库,问题跟踪和 wiki,不仅如此,GitLab 还提供了自己的持续集
25、成(CI)系统来管理项目,并提供用户界面以及 GitLab 的其他功能。目前已拥有约 3000 万名已注册用户以及 100 万名付费客户。CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的威胁攻击者可以轻松在服务器上读取任意文件。此外,利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。威胁攻击者可以读取服务器上的任意文件,例如配置文件、密钥文件、日志文件等,造成信息泄露或进一步的攻击。安全研究人员通过长时间追踪发现,该漏洞全球共 40 多万个使用记录,其中中国接近 17
26、 万个,德国 5 万多个,美国接近 5 万个。Apache ActiveMQ 远程代码执行漏洞(CVE-2023-46604)Apache ActiveMQ 是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议,用户可以在各种语言和平台上获得客户端选择的好处,用 JavaScript、C、C+、Python、.Net 编写的客户端连接等,使用无处不在的 AMQ P 协议集成多平台应用程序,通过 websockets 使用 STOMP 在 web 应用程序之间交换消息。2023 年 10 月份,在 Apache ActiveMQ 发布的新版本中修复了一个远程代码执行漏洞 CVE
27、-2023-46604。该漏洞是由于在 BaseDataStreamMarshaller 方法中未对接收的数据进行必要的检查,威胁攻击者可通过构造恶意数据包通过默认的 61616 端口利用该漏洞,最终在服务器上实现远程代码执行。据悉,Kinsing 恶意软件以及 HelloKitty 勒索软件等背后的黑客组织一直积极利用 CVE-2023-46604 漏洞。威胁攻击者利用安全漏洞来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问,中国、美国、德国、印度、荷兰、俄罗斯、法国和韩国等国家成为了攻击者主要目标。主动安全 12 Atlassian Conflue
28、nce Data Center and Server 权限提升漏洞(CVE-2023-22515)Atlassian Confluence Server 是澳大利亚 Atlassian 公司的一套具有企业知识管理功能,并支持用于构建企业 WiKi 的协同软件的服务器版本。2023 年 10 月,安全专家在 Atlassian Confluence Server 中发现安全漏洞 CVE-2023-22515,其 CVSS 评分为满分 10 分,利用条件低危害等级极高。该漏洞由 Confluence Data Center&Server 中的/setup 端点的访问控制不当造成。通过利用此漏洞,攻
29、击者可以获得 Confluence 实例的管理员访问权限。HTTP/2 拒绝服务漏洞(CVE-2023-44487)HTTP/2 是 HTTP 协议的最新版本,它是 HTTP/1.1 的升级版,旨在提高 Web 应用的性能和安全性。在2023 年 10 月 10 日漏洞披露后,包括微软、Apache、Google、Amazon 在内的多个厂商同步披露该漏洞并给出修复补丁和缓解措施。既满足客户对漏洞的知情权也保障有足够的 Embargo 期供厂商修复漏洞,减少伤害和降低风险。HTTP/2 作为 HTTP/1.1 的迭代版本,目前大部分的应用服务器和中间件都已支持,影响范围较大。该漏洞源于 HTT
30、P/2 协议的 Rapid Reset 存在缺陷,攻击者可以在 HTTP/2 协议中创建新的多路复用流,然后立即发送取消流(RST_STREAM),导致服务器不断分配资源处理流的创建和取消请求,最终资源耗尽导致拒绝服务。2.4 攻击态势分析 1.高危漏洞传播和利用间隔缩短 最新漏洞被公布后,漏洞细节及相关利用代码传播速度显著加快,在漏洞公开披露的同一天,立即会有目标被该漏洞攻击,并在爆发第一时间就会被攻击者整合到漏洞攻击库中展开全网探测扫描,而 web 服务的公开、远程访问特性也促使攻击者会充分利用时间差,在漏洞修补和防御措施实施前迅速展开攻击,从而能够极大的提升利用成功率。2.办公管理类系统
31、仍是核心风险区域 在当前日益数字化和网络化的办公环境中,办公软件的复杂性、功能多样性和广泛使用为潜在漏洞提供了更多的攻击面,办公类系统持续被视为攻击者的首要目标。作为企业日常工作的核心系统,其内部存储了大量的业务数据、员工信息等敏感资料,攻击者会利用各种手段对此类系统进行攻击,以获取上述高价值数据。TellYouThePass 勒索病毒家族在 2023 年下半年对国内各类 OA、财务及 Web 系统平台发起多轮攻击,如 2023 年 8 月 27 日,针对某通财务管理软件的勒索投毒攻击,单次范围超 1000 台服务器。2023 年下半年,海莲花组织使用漏洞攻击了国内多款 OA 系统的服务器。中
32、国电信安全公司水滴实验室追踪发现,2023 年 11 月 28 日至 12 月 8 日,境外高级勒索团伙 Mallox 疑似利用某 OA 管理系统、某审批管理系统、某资源管理系统的漏洞攻击中国境内二十余个企业、部门。主动安全 13 3 3 操作系统漏洞操作系统漏洞 3.1 新增漏洞趋势 操作系统是构成网络信息系统的核心关键组件,其安全可靠程度决定了计算机系统的安全性和可靠性。操作系统作为传统的攻击目标,其漏洞占据着重要位置。2023 年新华三漏洞知识库收录的操作系统漏洞总数为 2511 条,较 2022 年总数(2607 条)稍有下降,对比 2022 年和 2023 年每月操作系统漏洞变化趋势
33、如图 7 所示。图 7 2022 与 2023 年操作系统新增漏洞趋势 3.2 漏洞分类 操作系统是应用软件和服务运行的公共平台,其安全漏洞是网络安全的主要隐患和风险。对于操作系统,黑客最关注的是获得较高控制权限,进而为实施更深层次的网络渗透提供更大的便利和可能。2023 年操作系统权限许可和访问控制问题突出,占比 22.2%,是排名第一的漏洞,同时缓冲区溢出、代码注入、敏感信息泄露等漏洞也是操作系统较为突出的问题,如图 8 所示。05003003504001月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主动安全 14 图 8 2023 年操作
34、系统漏洞种类占比 3.3 重点漏洞回顾 表 2 2023 年操作系统重点漏洞 漏洞名称 发布时间 CVSSv3 评分 Microsoft Windows IKE Vendor ID 空指针解引用导致拒绝服务漏洞(CVE-2023-21547)2023/01/10 7.5 Microsoft Outlook特权升级漏洞(CVE-2023-23397)2023/03/14 9.8 Microsoft Message Queuing拒绝服务漏洞(CVE-2023-21554)2023/04/11 9.8 Microsoft Windows Layer 2 Tunneling Protocol拒绝服务
35、漏洞(CVE-2023-28220)2023/04/11 8.1 Windows OLE 远程代码执行漏洞(CVE-2023-29325)2023/05/09 8.1 Win32k 特权提升漏洞(CVE-2023-29336)2023/05/09 7.8 Windows Network File System 远程代码执行漏洞(CVE-2023-24941)2023/05/09 9.8 Microsoft Exchange远程代码执行漏洞(CVE-2023-32031)2023/06/14 8.8 Apple macOS Big Sur缓冲区溢出漏洞(CVE-2023-32434)2023/0
36、6/23 7.8 Linux Kernel ksmbd SMB2 QUERY INFO拒绝服务漏洞(CVE-2023-32248)2023/07/24 7.5 Microsoft Exchange Server身份认证绕过漏洞(CVE-2023-38181)2023/08/09 8.8 权限许可和访问控制问题22.2%缓冲区错误15.7%代码注入14.7%敏感信息泄露13.1%拒绝服务11.6%释放后重用4.9%输入验证错误4.3%竞争条件问题2.2%命令注入2.2%资源管理错误1.8%其他7.3%主动安全 15 经典漏洞盘点:Microsoft Outlook 特权升级漏洞(CVE-2023
37、-23397)Microsoft Office Outlook 是微软办公软件套装的组件之一,它对 Windows 自带的 Outlook express 的功能进行了扩充。Outlook 具有很多功能,可以使用它来收发电子邮件、管理联系人信息、安排日程等。2023年 3 月 14 日,乌克兰计算机应急响应小组(CERT-UA)向微软上报的 Outlook 提权漏洞 CVE-2023-23397相关信息被公布,据称该漏洞被 APT28 组织在 2022 年 4 月中旬和 12 月的攻击活动中使用。CVE-2023-23397 是一个非常严重的漏洞,该漏洞允许攻击者远程获取受害者的身份验证凭据,
38、而无需受害者做出任何操作。漏洞原理为未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的 UNC 位置,造成受害者的 Net-NTLMv2 散列泄露给攻击者,后续攻击者可以将其中继到另一个服务并作为受害者进行身份验证,最终实现权限提升。根据报告该漏洞的在野利用至少从 2022 年 3 月开始,攻击者后期以 Ubiquiti-EdgeRouter 路由器作为 C2 服务器,且攻击活动的受害者涉及多个国家。Recorded Future 在 6 月份警告说,APT28 威胁组织很可能利用 Outlook 漏洞攻击乌克兰的重要组织,10 月份,法国网络安全局(ANSSI)又
39、披露俄罗斯黑客利用该漏洞攻击了法国的政府实体、企业、大学、研究机构和智库。Windows Network File System 远程代码执行漏洞(CVE-2023-24941)NFS(Network File System)是一种用于服务器和客户机之间文件访问和共享的通信协议,通过它,客户机可以远程访问存储设备上的数据。CVE-2023-24941 是微软在 2023 年 5 月份补丁日修复的一个位于Windows 网络文件系统中的远程代码执行漏洞。根据微软的描述,该漏洞可在 NFSV4.1 协议中触发。经过分析发现,该漏洞是由于 NFS 协议在处理服务器内存不足时的方式不当所致,当申请内存
40、失败时,程序仍然执行了写入操作,攻击者可以通过精心构造的 utf8strings 数据包来触发该漏洞,从而导致服务器崩溃甚至执行任意代码的风险。Apple macOS Big Sur 缓冲区溢出漏洞(CVE-2023-32434)Apple macOS Big Sur 是美国苹果(Apple)公司用于 MAC 操作系统 macOS 的第 17 个主要版本。Apple macOS Big Sur 存在输入验证错误漏洞,该漏洞源于存在整数溢出问题,应用程序可能能够使用内核权限执行任意代码。2023 年 6 月,俄罗斯政府首次曝光了大规模的 iPhone 后门活动,威胁攻击者利用三角测量攻击感染了大
41、量俄罗斯外交使团和数千名使馆工作人员的 iPhone。随后,卡巴斯基方面的研究人员对其进行深入分析发现,威胁攻击者在三角测量攻击中使用了多达四个零日漏洞,漏洞详情如下:CVE-2023-32434,CVSS 评分:7.8 分,内核中的整数溢出漏洞,恶意应用程序可利用该漏洞以内核权限执行任意代码;CVE-2023-32435,CVSS 评分:8.8 分,Webkit 中的内存损坏漏洞,在处理特制的 Web 内容时可能导致任意代码执行;CVE-2023-38606,CVSS 评分:5.5 分,Apple kernel 安全特性绕过漏洞,攻击者使用恶意应用程序利用该漏洞能够修改敏感的内核状态,从而可
42、能控制设备;主动安全 16 CVE-2023-41990,CVSS 评分:7.8 分,该漏洞是处理字体文件的过程中可能导致任意代码执行,是该漏洞利用链“初始入口点”。Microsoft Exchange Server 身份认证绕过漏洞(CVE-2023-38181)该漏洞存在于 Microsoft Exchange Server 中,是一个身份绕过漏洞。这是 CVE-2023-32031 的补丁绕过,它本身是 CVE-2023-21529 的绕过,而 CVE-2023-21529 是 CVE-2022-41082 的绕过,CVE-2022-41082 是在主动进攻。利用该漏洞需要进行身份验证。
43、攻击者可以利用此漏洞执行 NTLM 中继攻击,以其他用户的身份进行身份验证,获得与服务器的 PowerShell 远程会话。3.4 攻击态势分析 1.移动终端操作系统漏洞零日漏洞比例持续上升 移动设备如智能手机和平板电脑等已经成为人们日常生活和工作的重要工具,这些设备的操作系统漏洞可能会导致用户的个人信息泄露、隐私泄露、甚至金融损失。在 2023 年 9 月,爆发了三个苹果漏洞,分别是 CVE-2023-41992、CVE-2023-41991 和 CVE-2023-41993,这些漏洞被串联使用,形成了一个漏洞链,用于投放监视供应商 Cytrox 的间谍软件产品 Predator。在 202
44、3 年 5 月至 9 月期间,埃及议会前议员Ahmed Eltantawy 成为了 Predator 间谍软件的目标,攻击者利用此漏洞链盗取了大量敏感信息,造成了个人乃至于国家机密信息的泄露。2023 年末,卡巴斯基安全研究人员 Boris Larin 发布了可能是 iPhone 史上复杂程度最高、影响最广泛的的间谍软件攻击之一的三角测量 Triangulation 的详细情况细节,包括四个漏洞:CVE-2023-32434,CVE-2023-32435,CVE-2023-38606,CVE-2023-41990,这些漏洞组合在一起形成了一个零点击漏洞链,威胁攻击者可以利用其提升自身权限、执行
45、远程代码执行命令,甚至可以完全控制设备和用户数据,导致无需任何用户交互即可执行代码,并从攻击者的服务器下载其他恶意软件。在四年时间里,威胁攻击者疯狂地袭击了 iOS 16.2 之前的所有 iOS 版本,不仅涉及到 iPhone,还包括 Mac、iPod、iPad、Apple TV 和 Apple Watch 等。主动安全 17 图 9 2023 年操作系统漏洞按系统分类占比 2.权限提升类漏洞数量持续占据操作系统漏洞高位 权限提升类漏洞一直以来都是操作系统漏洞中的重要组成部分,并且持续占据高位。这类漏洞允许攻击者在系统中提升其权限级别,从而获得比其正常权限更高的系统访问权限。当攻击者成功利用权
46、限提升漏洞时,可以执行一系列潜在危险的操作,如访问敏感数据、修改系统设置、安装恶意软件等。2023 年微软发布的补丁通告中,权限提升漏洞总数较多,且漏洞评分也相对较高,如 CVE-2023-21768,CVE-2023-29336 等,攻击方式多种多样,包括内核提权、驱动提权、API 提权等等,且在野利用中攻击者常利用权限提升漏洞来提升用户权限,从而盗取敏感信息或者执行其他未授权操作。4 4 网络设备漏洞网络设备漏洞 4.1 新增漏洞趋势 路由器、防火墙、交换机等设备作为关键信息基础设施,其自身安全性已成为世界各国密切关注的重点。网络设备存在软硬件漏洞可能导致设备被攻击入侵,进而导致设备数据和
47、用户信息泄露、设备被控、感染Windows21.2%Google Android19.4%Apple16.5%网络设备OS11.5%Linux kernel11.4%Huawei HarmonyOS8.5%Dell3.5%其他8.0%主动安全 18 僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。2023 年新华三漏洞知识库共收录网络设备类漏洞 2299 条,较 2022 年(2650 条)下降 13.2%,网络设备新增漏洞有所减缓,但问题仍然突出。对比 2022 年和 2023 年每月网络设备类漏洞变化趋势如图 10 所示。图 10 2022 与 2023 年网络设备
48、新增漏洞趋势 4.2 漏洞分类 随着各类新兴技术的发展,企业 IT 系统之间的相互连接使用了更多的网络设备,这为网络物理系统的安全带来了更多风险,使得企业暴露在攻击者眼中的攻击面大幅增加。据统计,2023 年注入类漏洞占比最高,达到 32.5%,较去年有显著增长。其次是缓冲区溢出、权限许可和访问控制问题,占比分别为 28.4%和 13.7%,如图 11 所示。05003003504001月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主动安全 19 图 11 2023 年网络设备漏洞类型占比 4.3 重点漏洞回顾 表 3 2023 年网络设备重点
49、漏洞 漏洞名称 发布时间 CVSSv3 评分 Cisco IOS XE 系统 WebUI 未授权命令执行漏洞(CVE-2023-20198)2023/10/06 10.0 F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)2023/10/26 9.8 Citrix NetScaler ADC&Gateway信息泄露漏洞(CVE-2023-4966)2023/10/10 9.4 Netgear_D_R_Router_命令注入漏洞(CVE-2023-33533)2023/06/06 8.8 Fortinet FortiOS and FortiProxy SSL-VPN 缓冲区溢出
50、漏洞(CVE-2023-27997)2023/06/13 9.8 Ivanti Sentry MICSLogService 认证绕过漏洞(CVE-2023-38035)2023/08/21 9.8 梭子鱼邮件安全网关命令注入漏洞(CVE-2023-2868)2023/05/24 9.8 Sophos Web Appliance 命令注入漏洞(CVE-2023-1671)2023/04/04 9.8 JumpServer未授权访问漏洞(CVE-2023-42442)2023/09/15 8.2 经典漏洞盘点:梭子鱼邮件安全网关命令注入漏洞(CVE-2023-2868)注入32.5%缓冲区错误28
51、.4%权限许可和访问控制问题13.7%跨站脚本7.2%敏感信息泄露5.0%拒绝服务4.7%目录遍历2.5%输入验证错误1.5%其他4.4%主动安全 20 Barracuda Email Security Gateway 是 Barracuda 公司的一种电子邮件安全网关,可管理和过滤所有入站和出站电子邮件流量,以保护组织免受电子邮件威胁和数据泄露。2023 年 5 月 23 日,Barracuda Networks披露了其电子邮件安全网关(ESG)设备中的一个零日漏洞(CVE-2023-2868)。调查显示,该远程命令注入漏洞早在 2022 年 10 月就已被利用。Barracuda Emai
52、l Security Gateway 5.1.3.001 到 9.2.0.006 版本存在安全漏洞,该漏洞源于用户提供的 tar 文件存在问题,攻击者利用该漏洞可以远程执行系统命令。Citrix Systems NetScaler ADC 和 NetScaler Gateway 安全漏洞(CVE-2023-4966)2023 年 8 月下旬,网络安全研究人员持续发现 CVE-2023-4966 漏洞在野被利用,根据攻击事件中成功利用 CVE-2023-4966 的结果,这个漏洞会导致 NetScaler ADC 和网关设备上的合法用户会话被接管,会话接管绕过了密码和多重身份验证。威胁攻击者使用
53、特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。更糟糕的是,研究人员发现疑似 LockBit 勒索软件组织正在利用其发起网络攻击攻击活动,通过越界窃取 cookie 等敏感信息,从而绕过身份验证,获取系统权限,然后植入勒索病毒进行勒索攻击。此漏洞是由于 Citrix NetScaler ADC 和 NetScaler Gateway在处理 OpenID Connect Discovery endpoin
54、t 时的缓冲区管理不当,导致攻击者可以通过发送包含大量字符的 HTTP Host 头的请求来触发缓冲区溢出,导致敏感信息泄露。攻击者可利用泄露的用户 session,登陆进入内网,执行任意操作。Cisco IOS XE Web UI 权限提升漏洞(CVE-2023-20198)Cisco IOS(Internetwork Operating System,简称 IOS)是思科公司(Cisco System)为其网络设备开发的操作维护系统。IOS XE 是思科 IOS 操作系统的一种,Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署
55、和可管理性,并增强用户体验。Cisco IOS XE 软件的 Web UI 功能中存在漏洞,当暴露于互联网或不受信任的网络时,未经身份验证的远程威胁者可利用该漏洞创建具有 15 级访问权限的帐户,并使用该帐户来控制受影响的系统。该漏洞的 CVSSv3 评分为10.0,影响启用了 Web UI 功能的 Cisco IOS XE 软件。根据 Censys 和 LeakIX 的数据,估计有超过 41,000 台运行易受攻击的 IOS XE 软件的思科设备已被利用这两个安全漏洞的威胁者所破坏。F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)F5 BIG-IP 是美国 F5 公司的一
56、款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Configuration utility 存在安全漏洞,该漏洞源于存在远程代码执行(RCE)漏洞。攻击者可利用该漏洞通过 management port 或 self IP addresses 执行任意系统命令。Citrix NetScaler ADC 会话劫持及网关漏洞(CVE-2023-4966)Citrix NetScaler ADC(Application Delivery Controller)是一个高级的负载均衡器和网络性能优化解决方案。2023 年 10 月 10 日,安全研究人员发现并披
57、露 Citrix Bleed CVE-2023-4966 漏洞。2023 年 8 月下旬,网络安全研究人员持续发现 CVE-2023-4966 漏洞在野被利用,根据攻击事件中成功利用 CVE-2023-4966 的结果,这个漏洞会导致 NetScaler ADC 和网关设备上的合法用户会话被接管,会话接管绕过了密码和多重身份验证。威胁攻击者使用特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。更糟糕的是,
58、CVE-2023-4966 漏洞被业内臭名昭著 LockBit 主动安全 21 勒索软件盯上了,研究人员发现疑似 LockBit 勒索软件组织正在利用其发起网络攻击攻击活动,通过越界窃取 cookie 等敏感信息,从而绕过身份验证,获取系统权限,然后植入勒索病毒进行勒索攻击。4.4 攻击态势分析 1.勒索组织利用网络设备漏洞开展大量勒索行动 现代企业为保障业务正常运行会大量采购网络设备,包括服务器、路由器和交换机等设备,这些设备存储着大量敏感信息。一旦存在未修复的信息泄露漏洞,黑客组织就可能利用漏洞进入后台,甚至勒索企业要求支付大额赎金。如果企业拒不支付,则重要数据可能被公开,而支付赎金又会进
59、一步助长勒索组织的攻击行动。以 2023 年 11 月 8 日工商银行旗下的 ICBC Financial Services 遭受勒索病毒攻击事件为例,部分金融服务系统遭到中断,不得不通过 U 盘手动传递结算信息才能完成金融交易。据报道,该次入侵的手段大多指向 CVE-2023-4966(Citrix NetScaler ADC&Citrix NetScaler Gateway 信息泄露漏洞)。攻击者利用未打补丁的 Citrix NetScaler 设备进行了入侵。值得注意的是,Citrix Bleed 在 2023 年 10 月 10 日披露了 CVE-2023-4966 漏洞详情,而 10
60、 月 25 日 AssetNote 公布了 Citrix Bleed 漏洞的 PoC 以及分析,仅两周后 ICBC Financial Services 遭受了勒索病毒攻击。这一事件表明黑客组织将漏洞快速武器化,在未及时进行漏洞修补的情况下,企业面临巨大的风险被攻击。2.物联网设备遭受的攻击急剧增加 随着物联网技术的不断发展和普及,越来越多的设备被连接到互联网上。这些设备包括智能家居、工业控制系统、医疗设备等。然而,由于物联网设备的生产商往往缺乏足够的安全意识和技术能力,并且常运行在低功耗、低成本的硬件上,这使得它们更容易受到攻击。此外,许多物联网设备的操作系统和软件存在已知的安全漏洞,许多组
61、织和个人在使用物联网设备时缺乏足够的安全意识,他们可能没有采取适当的安全措施来保护设备和数据,从而使设备容易受到攻击。根据 Check Point 的报告,与 2022 年相比,2023年前两个月每个组织的平均每周攻击次数增加了 41%。平均每周,54%的组织遭受针对物联网设备的网络攻击,攻击主要发生在欧洲,其次是亚太地区和拉丁美洲。主动安全 22 图 12 2017-2023 年网络安全产品漏洞趋势 5 5 数据库漏洞数据库漏洞 5.1 新增漏洞趋势 随着云技术、数字化转型的蓬勃发展,数据库被企事业单位广泛使用到私有云、公有云、行业云等开放、半开放场景中。本地的数据库也逐渐跟随业务从幕后走向
62、前台,从内网走向外网,从实体走向虚拟(云)。正因如此,数据库处于新的环境之中,给黑客带来了更多可以入侵的机会。2023 年新华三漏洞知识库收录数据库漏洞总数 298 条,相比 2022 年(337 条)下降 11.5%,对比 2022 年和 2023 年每月数据库漏洞变化趋势如图 13 所示。2263222324036020030040050060070020020202120222023 主动安全 23 图 13 2022 与 2023 年数据库系统新增漏洞趋势 5.2 漏洞分类 MySQL 数据库作为传统的关系型数据库,由于代码开源、版本众多,2
63、023 年漏洞数量仍然位居第一,占据总漏洞的 32.4%,但相比去年减少,如图 14 所示。IBM DB2 2023 年暴露漏洞较多,占比 14.3%,排名第二。图 14 2023 年各数据库系统漏洞占比 从漏洞类型分布上来看,主要集中在权限许可和访问控制问题、代码注入、拒绝服务三种类型,占据全部漏洞类型的 67.7%,如图 15 所示。权限许可和访问控制问题漏洞相比 2023 年增幅较大,对于数据库,0204060801001201401月2月3月4月5月6月7月8月9月10月11月12月2022年2023年Oracle MySQL32.4%IBM DB214.3%Microsoft ODB
64、C Driver7.0%Oracle Database5.5%Redis4.4%Microsoft SQL Server3.7%MonetDB3.7%PostgreSQL3.3%其他25.7%主动安全 24 其最主要风险为权限控制与配置问题。当黑客入侵数据库或内部员工滥用权限时,敏感数据可能会被窃取或泄露。这可能导致个人隐私泄露、财务损失以及声誉受损。图 15 2023 年数据库漏洞类型占比 5.3 重点漏洞回顾 表 4 2023 年数据库重点漏洞 漏洞名称 发布时间 CVSSv3 评分 Neo4j XXE漏洞(CVE-2023-23926)2023/2/16 8.1 SQLite JDBC远
65、程代码执行漏洞(CVE-2023-32697)2023/5/23 9.8 OpenTSDB 注入漏洞(CVE-2023-36812)2023/6/30 9.8 Oracle MySQL Connectors代码执行漏洞(CVE-2023-22102)2023/10/18 8.3 Redis RedisGraph代码执行漏洞(CVE-2023-47004)2023/11/7 8.8 PostgreSQL JDBC Driver SQL注入漏洞(CVE-2023-2454)2023/12/11 6.6 经典漏洞盘点:Redis RedisGraph 代码执行漏洞(CVE-2023-47004)Re
66、dis(全称为 Remote Dictionary Server)是一个使用 ANSI C 编写的高性能键值对存储系统,具有快速、灵活和可扩展的特性。它是一个基于内存的数据结构存储系统,可以用作数据库、缓存和消息代理。权限许可和访问控制问题31.6%代码注入19.9%拒绝服务16.2%输入验证错误6.4%敏感信息泄露4.7%SQL注入4.7%缓冲区错误3.7%跨站脚本3.0%其他9.8%主动安全 25 RedisGraph 是 Redis 实验室开发的一个 Redis 模块,用于将图形数据库功能添加到 Redis 数据库中。该漏洞由于 RedisGraph 对字符串数组的长度计算错误,导致缓冲
67、区溢出;成功利用该漏洞可能导致在易受攻击的 Redis 实例上执行任意代码。Oracle MySQL Connectors 代码执行漏洞(CVE-2023-22102)Oracle MySQL Server 是美国甲骨文(Oracle)公司的一款关系型数据库。Oracle MySQL 的 MySQL Connectors 产品中存在代码执行漏洞。允许未经身份验证的攻击者通过多种协议访问网络来破坏 MySQL连接器,成功利用此漏洞可导致攻击者接管 MySQL 连接器。SQLite JDBC 远程代码执行漏洞(CVE-2023-32697)SQLite 是一个进程内的轻量级嵌入式数据库,它的数据库
68、就是一个文件,实现了自给自足、无服务器、零配置以及事务性的 SQL 数据库引擎功能。SQLite JDBC 是一个用于在 Java 中访问和创建 SQLite 数据库文件的库。Sqlite-jdbc 存在一个通过 JDBC URL 可以执行远程代码的漏洞。攻击者可以通过构造恶意的 JDBC URL,执行任意 Java 代码,造成服务器被入侵或数据被泄露等危害。PostgreSQL JDBC Driver SQL 注入漏洞(CVE-2023-2454)PostgreSQL 是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),由加州大学计算机系开发。该系统支持大部分 SQL
69、标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL JDBC Driver 是一个用 Pure Java(Type 4)编写的开源 JDBC 驱动程序,用于 PostgreSQL 本地网络协议中进行通信。PostgreSQL 11.0 至 11.20 之前版本、12.0 至 12.15 之前版本、13.0 至 13.11之前版本、14.0 至 14.8 之前版本、15.0 至 15.3 之前版本存在输入验证错误漏洞,攻击者可利用该漏洞以提升的权限执行任意代码。5.4 攻击态势分析 1.主流数据库依然是漏洞攻击的高发区 主流数据库如 MySQL、Oracle 和 Micr
70、osoft SQL Server 等在全球范围内拥有大量的用户,这意味着黑客可以更加便捷攻击这些数据库,进而获取大量的敏感信息,如个人身份信息、财务数据和企业机密等。主流数据库还具有复杂的功能和结构,涉及到多个组件和交互,使得它们在设计和实现上可能存在更多的潜在安全漏洞。主流数据库系统通常与各种第三方工具、插件和库集成,这些集成可能带来额外的安全风险,因为第三方组件可能存在漏洞或与数据库系统的集成方式存在安全问题等。例如:2023 年 7 月美国Metabase 公司数据分析和可视化工具 Metabase,被发现存在远程命令执行漏洞(CVE-2023-38646),黑客可以利用这些漏洞来绕过访
71、问控制、执行未授权操作或窃取数据。主动安全 26 2.数据库攻击态势呈现出更高的复杂性和针对性 近年来,随着 APT 组织的兴起,数据库成为了其漏洞利用的主要目标之一。APT 组织利用其高度的组织结构和丰富的资源,对特定行业、地区或组织进行深入的侦查、渗透和窃取数据,导致整体攻击态势呈现出高度的复杂性和针对性。其次,随着攻击者对数据库技术的了解越来越深入,他们开始利用更复杂的攻击手段来绕过传统的安全防护措施。随着攻击者的技战法的提升以及新型技术的涌现,攻击者开始利用自动化工具和人工智能技术来进行数据库攻击,这些工具可以快速识别目标系统的安全漏洞,并自动执行攻击任务。这使得攻击过程更加高效和隐蔽
72、,给企业带来了更大的安全防护压力。6 6 工控系统漏洞工控系统漏洞 6.1 新增漏洞趋势 在德国工业 4.0、美国工业互联网、中国制造 2025 等战略的不断推进下,再加上物联网、云计算、大数据、5G 等新一代信息技术的融合发展,工业生产网络逐渐与办公网、互联网以及第三方网络进行互联互通,使得原本封闭可信的工业生产环境被打破,面临了病毒、木马、黑客、敌对势力等威胁。针对工业控制系统的各种网络攻击事件逐步升级,尤其在电力、燃气、化工、石油、铁路、新能源、核应用等相关领域的关键网络一直都是全球攻击者的重要目标。2023 年新华三漏洞知识库收录的工控漏洞总数为 699 条,总数比 2022 年(66
73、3 条)上升 5.4%,对比 2022 年和 2023 年每月工控系统漏洞变化趋势如图 16 所示:主动安全 27 图 16 2022 与 2023 年工控系统新增漏洞趋势 6.2 漏洞分类 工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。工业设备的高危漏洞、后门、病毒、高级持续性威胁以及无线技术应用带来的风险,给工业控制系统的安全防护带来巨大挑战。根据统计,2023 年缓冲区溢出、权限许可和访问控制问题、注入等是工控系统最为突出的问题,如图 17 所示,各类型占比和 2022 年相差不大。020406080100
74、1201月2月3月4月5月6月7月8月9月10月11月12月2022年2023年 主动安全 28 图 17 2023 年工控系统漏洞种类占比 6.3 重点漏洞回顾 表 5 2023 年工控系统重点漏洞 漏洞名称 发布时间 CVSSv3 评分 Contec SolarView Compact命令注入漏洞(CVE-2023-23333)2023/02/06 9.8 Rockwell Automation ThinManager缓冲区溢出漏洞(CVE-2023-27857)2023/03/22 7.5 Delta Electronics DX-2100-L1-CN 跨站脚本漏洞(CVE-2023-0
75、432)2023/03/31 9.0 MySCADA myPRO 操作系统命令注入漏洞(CVE-2023-28384)2023/04/27 9.9 SDG Technologies PnPSCADA SQL注入漏洞(CVE-2023-1934)2023/05/12 7.5 Advantech iView ConfigurationServlet SQL注入漏洞(CVE-2023-3983)2023/07/31 8.8 FUXA 任意命令执行漏洞(CVE-2023-33831)2023/09/18 9.8 经典漏洞盘点:Contec SolarView Compact 命令注入漏洞(CVE-20
76、23-23333)Contec SolarView Compact 是日本 Contec 公司提供光伏发电测量的应用系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec 表示,全球大约 3 万个发电站已经引进了这些设备,根据运营规模和使用的设备类型不同,SolarView 设备提供不同的封装形式。Contec SolarView Compact 6.00 版本及之前版本存在安全漏洞。攻击者利用该漏洞通过 downloader.php 绕过内部限制来执行命令。缓冲区错误32.4%权限许可和访问控制问题19.5%注入15.7%跨站脚本5.8%敏感信息泄露5.4%输入验证错误5.0%
77、拒绝服务4.7%目录遍历3.9%其他7.4%主动安全 29 MySCADA myPRO 操作系统命令注入漏洞(CVE-2023-28384)MySCADA myPRO 是一个应用软件。myPRO 是专业的 HMI/SCADA 系统,主要设计用于工业过程的可视化和控制。美国网路安全暨基础设施安全局(CISA)于 2023 年 4 月 6 日,针对 mySCADA、Hitachi Energy 等厂牌的 SCADA 控制器重大漏洞提出警告。其中最严重的漏洞,出现在 mySCADA myPRO,CVE-2023-28400、CVE-2023-28716、CVE-2023-28384、CVE-2023
78、-29169、CVE-2023-29150,皆为作业系统的命令注入漏洞,CVSS 风险评分为 9.9。mySCADA myPRO 8.26.0 版本及之前版本存在安全漏洞,该漏洞源于 mySCADA myPRO 某些参数存在安全问题。攻击者利用该漏洞通过参数注入任意操作系统命令。FUXA 任意命令执行漏洞(CVE-2023-33831)FUXA 是一个开源的基于网络的过程可视化(SCADA/HMI/Dashboard)软件。FUXA 1.1.13 版本存在安全漏洞,该漏洞源于/api/runscript 端点中存在远程命令执行(RCE)漏洞。攻击者可利用该漏洞通过设计POST 请求执行任意命令
79、。6.4 攻击态势分析 1.政治因素仍为工控安全攻击主要导火索 工控系统在能源、钢铁、化工、电力、交通、水利等行业有着广泛应用,由于这些行业涉及社会运转的各类基础设施,且针对工业系统的攻击会破坏工业系统的正常运行,极易造成停产、停电等大规模的破坏,所以针对工控系统也成为了一些具有政治动机的黑客组织的首要攻击目标。2023 年 1 月,黑客组织GhostSec 声称对白俄罗斯的工业远程终端单元进行了攻击,造成了当地工厂停产停工。该组织是Anonymous 旗下的一个黑客主义行动组织,主要从事一些政治动机的黑客行为,此次攻击显然与俄乌冲突相关;2023 年 4 月,以色列胡拉谷地区的水利系统遭受攻
80、击,导致数千台灌溉检测系统停止运作,多个受害者农场停产,直接影响了该地区农业生产。据传是此次攻击源于 Oplsrael 活动,此活动是由伊斯兰国家黑客组织的,每年一次,目的是反对以色列政府和破坏以色列基础设施;2023 年 7 月,我国武汉市地震监测中心部分地震速报数据前端台站采集点网络设备被植入后门,地震监控数据被窃取,相关人员调查取证后判断此次事件为境外某具有政府背景的黑客组织发起的攻击行为。由此观之,工控系统已经成为具有政治因素的黑客组织重点目标,一旦遭受攻击,影响面巨大,对国家安全、经济发展和社会稳定都会造成严重影响。2.工控网络风险因为暴露面增加持续上升 随着数字化转型的进行,新兴的
81、网络风险管理方法正在推动 OT 和 IT 之间的融合,越来越多之前封闭的工控系统正暴露在攻击之下。工控产业的 OT 资产控制着能源、制造、公共交通等许多关键基础设施和其他重要系统,对国家安全、经济发展和民生有着至关重要的作用,但是由于其中许多系统缺少有效的安全保护措施,很难或根本无法进行修复和打补丁,对于攻击者来说,都是高效的切入点。随着 OT 与 IT 网 主动安全 30 络融合发展,攻击者越来越多地利用其中一个环境中的漏洞来接触另一个环境中的资产,工控网络所面临的风险也伴随着攻击者关注度提升和利用手段的增加持续上升,与其他网络环境所面对的情况一样,工控系统也迫切需要更有效的方法来检测和解决
82、 OT 安全漏洞。7 7 云计算平台漏洞云计算平台漏洞 7.1 新增漏洞趋势 在当今快速发展的数字化时代,云计算技术已成为企业现代化 IT 架构的关键组成部分。然而,随着其普及和应用,安全问题也愈发引人关注。2023 年,云计算安全领域取得了重大突破,通过一系列安全管控手段,有效降低了高危漏洞和数据泄露的风险。2023 年新华三漏洞知识库收录云计算平台漏洞 888 条,比 2022 年(总数 1353 条)下降 34.3%,近 2 年漏洞增长趋势如图 18 所示:图 18 2022 与 2023 年云计算平台新增漏洞趋势 7.2 漏洞分类 在云计算环境中,安全风险主要来自于以下几个方面:数据泄
83、露、系统崩溃、服务中断、未经授权的访问等。数据泄露可能发生在数据的传输、存储和处理过程中,若被恶意利用,将导致严重的法律和财务风险。020406080067891011122022年2023年 主动安全 31 系统崩溃和服务中断则会影响云计算服务的可用性,对用户体验和业务连续性造成严重影响。根据 2023年数据统计,云计算漏洞类型主要分布在权限许可和访问控制问题、注入、敏感信息泄露、拒绝服务,这几种类型总共占比 65.9%,如图 19 所示。图 19 2023 年云计算平台漏洞类型占比 7.3 重点漏洞回顾 表 6 2023 年云计算平台重点漏洞 漏
84、洞名称 发布时间 CVSSv3 评分 VMware Aria Operations for Logs 不安全反序列化漏洞(CVE-2023-20864)2023/04/20 9.8 Apache Spark 命令注入漏洞(CVE-2023-32007)2023/05/02 8.8 VMware Aria Operations 命令注入漏洞(CVE-2023-20887)2023/06/07 9.8 CloudExplorer Lite 命令注入漏洞(CVE-2023-38692)2023/08/04 9.8 VMware Aria Operations for Networks saveFil
85、eToDisk 目录穿越漏洞(CVE-2023-20890)2023/08/29 7.2 Docker Desktop 代码注入漏洞(CVE-2023-0625)2023/09/25 9.8 VMware vCenter Server 缓冲区错误漏洞(CVE-2023-34048)2023/10/25 9.8 VMware Cloud Director 安全漏洞(CVE-2023-34060)2023/11/14 9.8 经典漏洞盘点:权限许可和访问控制问题27.9%注入18.6%敏感信息泄露11.8%拒绝服务7.6%跨站脚本6.5%缓冲区错误6.2%输入验证错误4.1%目录遍历4.0%其他1
86、3.4%主动安全 32 VMware Aria Operations for Logs 不安全反序列化漏洞(CVE-2023-20864)VMware Aria Operations for Logs(以前称作 vRealize Log Insight)是 VMware 推出的针对私有云、混合云等大型数据中心环境日志事件的统一管理平台。通过集中式日志管理、深入的运营可见性和智能分析来大规模管理数据,以便跨私有云、混合云和多云环境进行故障排除和审计。2023 年 4 月,VMware 官方发布了安全通告,VMware Aria Operations for Logs 存在反序列化漏洞,未经身份验
87、证的攻击者可以利用该漏洞在远程服务器上执行任意代码,从而获取到远程服务器的权限。VMware Aria Operations 命令注入漏洞(CVE-2023-20887)2023 年 6 月,研究人员发现了 VMware Aria Operations for Networks(以下简称 Aria Operations)中存在命令注入漏洞,影响该软件 6.2 至 6.10 版本。服务器配置中的漏洞以及不正确的输入处理导致了该漏洞,未经身份验证的用户以及有权访问 Aria Operations 的恶意攻击者都可以利用该漏洞以管理员权限实现远程代码执行。在 Aria Operations 存在漏洞
88、的版本中,Nginx 中定义的规则存在错误配置导致了未授权访问。此外,还有个 API 函数使用管理员权限接受用户输入而不对其进行处理。将这两个漏洞结合起来,攻击者可以发送特定的请求来实现远程代码执行。VMware vCenter Server 缓冲区错误漏洞(CVE-2023-34048)vCenter Server 是 VMware vSphere 虚拟化架构的核心管理组件,为 ESXI 主机和虚拟机提供管理服务,通过 vCenter Server 可以集中管理多台 ESXI 主机和虚拟机。2023 年 10 月,VMware vCenter Server 修复了一个越界写入漏洞(CVE-2
89、023-34048),其 CVSSv3 评分为 9.8。由于 vCenter Server 在 DCE/RPC协议的实现中存在漏洞,具有 vCenter Server 网络访问权限的远程威胁者可利用该漏洞触发越界写入,从而导致远程代码执行。根据研究,该漏洞在 2021 年开始已经被黑客组织利用。Docker Desktop 代码注入漏洞(CVE-2023-0625)Apache Spark 是美国阿帕奇(Apache)软件基金会的维护的一款支持非循环数据流和内存计算的大规模数据处理引擎。Spark 优点在于能更好地适用于数据挖掘与机器学习等需要迭代的 MapReduce 算法。Apache S
90、park UI 提供了通过配置选项 Spark.acl.enable 启用 acl 的可能性。使用身份验证过滤器,这将检查用户是否具有查看或修改应用程序的访问权限。如果启用了 acl,HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行命令。恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它,这将导致任意 shell 命令执行。7.4 攻击态势分析 1.云服务遭受攻击导致的瘫痪事件增多 2023 年,微软、西部数据、Leaseweb 和其他云服务供应商因遭受网络攻击屡屡故障,云中断造成的损失越来越大,这要求
91、云服务提供商投入更多资源来提升网络安全防护能力,以确保用户数据的安全和服务的稳定性。全球知名硬盘和数据存储服务提供商西部数据 2023 年 4 月遭受网络攻击,攻击者获得了多个公司系统的访问权限,并导致 My Cloud 云服务瘫痪超过 24 小时。2023 年 6 月,微软用户发现 Azure 云平台门户经历了一次重大中断,“匿名苏丹”组织声称对 Azure 门户进行了 DDoS 攻击。2023 年 8 月,丹麦大 主动安全 33 型云服务提供商 CloudNordic 发表在线声明,宣布服务器遭勒索软件加密,导致所有客户数据丢失,公司陷入“彻底瘫痪”。同月,全球最大的云计算和托管服务提供商
92、之一 Leaseweb 通知用户,公司最近遭遇一起安全事件,导致一些“关键”系统被迫关闭。2.云计算 N-Day 漏洞被勒索组织大肆利用 随着 VMware ESXi 成为最流行的虚拟化平台之一,大量勒索团伙都开始发布针对 ESXi 平台的勒索加密程序,包括 N-Day 漏洞。2023 年 2 月,多个安全厂商就名为 ESXi Aras 的大规模勒索软件攻击发出预警,此次攻击针对存在历史漏洞 CVE-2021-21974 的 ESXi,攻击者通过此漏洞可实现远程代码执行。有消息源指出多个恶意软件团伙利用了 2021 年 9 月 Babuk 勒索软件泄露的源代码,构建了多达 9 个针对VMwar
93、e ESXi 系统的不同勒索软件家族,其变体从 2022 年下半年至 2023 年上半年持续出现,这凸显了勒索软件对于高价目标的针对性不断提升,这也让高价值目标必须解决自身的老旧漏洞问题。8 8 总结与建议总结与建议 8.1 总结 2023 年全球网络安全事件频发,数据泄露、业务中断、工厂停工等时有发生,网络安全形势依然严峻,甚至愈加错综复杂。随着技术的发展,网络安全漏洞的趋势也在不断变化,零日漏洞的利用增加,云计算、物联网、车联网、人工智能等新兴技术领域成为重点攻击对象。勒索软件攻击更加有针对性,生成式人工智能技术可能被用于更复杂的网络攻击并降低攻击门槛。网络攻击方转向以多重手段规避网络安全
94、防线,攻击目标也愈加精准。2023 年漏洞总数仍然在快速增长,Web 应用、操作系统、网络设备、数据库、工控系统、云计算平台漏洞都被大肆利用,任何一类漏洞都有可能造成蠕虫病毒传播事件或者勒索事件的爆发。其中 Web 类超高危漏洞数量持续攀升,使用范围广的服务框架、平台、中间件、管理系统等仍是攻击重点,利用难度低危害大的漏洞一旦出现,很快被黑客组织使用,给全球造成较大影响;操作系统零日漏洞增多,权限提升类漏洞持续占据高位,Exchange 漏洞受到勒索组织青睐,用来进行横向移动、权限提升进而达到加密文件及窃取数据的目的,而移动终端系统漏洞依然高发,多个在野 0day 被发现,导致个人乃至于国家机
95、密信息的泄露;网络边界设备漏洞被有组织的黑客武器化,成为攻击内网及其他基础设施的跳板;工控系统安全由于影响重大,不仅是勒索组织的头号目标,也随着全球地缘政治冲突在不断升级;云计算相关组件及引擎、虚拟化软件等均爆出多个关键漏洞,且相关漏洞利用代码被广泛传播,在多起网络安全事件中发现漏洞被利用,造成云服务器瘫痪、勒索事件等,严重危害了相关云平台的安全。主动安全 34 网络空间安全态势需要企业和组织采取综合性的防御措施。包括实施供应商审查机制以抵御供应链攻击,加强账户安全以应对身份和凭证欺诈,建立漏洞管理体系以有效防范安全漏洞威胁,以及强化分段网络管理来提高数据安全应对能力。这些措施旨在面对日益复杂
96、的网络威胁,确保网络系统和数据得到充分的保护,维护业务的正常运行和客户安全。8.2 安全建议 在漏洞态势不断发生变化的大环境中,新华三秉承“主动安全”的核心理念,从漏洞的视角针对目前的安全建设提出建议,如及时安装系统和软件的更新补丁,隔离办公网和生产环境,主机进行集成化管理,配置防护系统实时对攻击进行阻断,禁止外部 IP 访问特殊端口(如 139、445、3389 端口),采用最小化端口与服务暴露原则等。具体细分领域的建议如下:1.Web 应用安全建议 Web 类应用系统的应用软件需要具备一定的安全功能,来保证系统本身不被攻击或破坏。能够通过某种形式的身份验证来识别用户,并确保身份验证过程是安
97、全的。为了防止一些恶意输入,还要对输入的数据和参数进行校验。另外还要考虑 Web 系统的安全配置、敏感数据的保护、用户的权限管理以及所有操作的安全审计。因此 Web 应用系统本身安全建议如下:身份验证:管理页面采取强口令策略。系统登录验证口令具备一定的复杂度。网页上的登录、认证表单加入强身份认证机制,如验证码、动态口令卡等。对于常见的敏感帐号,如:root、admin、administrator等,在系统安装完成之后修改为其它名称或者禁用。会话管理:会话过程中不允许修改的信息,作为会话状态的一部分在服务器端存储和维护。不通过隐藏域或 URL 重写等不安全的方式存储和维护。不使用客户端提交的未经
98、审核的信息来给会话信息赋值,防止会话信息被篡改。用户登录后分配新的会话标识,不能继续使用用户未登录前所使用的标识。权限管理:用户权限最小化和职责分离。一个帐号只能拥有必需的角色和必需的权限。授权和用户角色数据存放在服务器端,鉴权处理也在服务器端完成。不将授权和角色数据存放在客户端中(比如 Cookie或隐藏域中),以防止被篡改。拒绝用户访问 Web 服务器上不公开的内容,应对各种形式执行程序的访问进行控制。敏感数据保护:敏感数据(比如密码、密钥等)加密存储、加密传输。隐藏域中不存放明文形式的敏感数据。采用安全的密码算法对敏感信息进行加密。程序设计:不在程序中将密码、密钥等数据固化,不在代码中存
99、储如数据库连接字符串、口令和密钥之类的敏感数据。安全审计:对于业务运行异常、非法访问、非法篡改等异常行为应有完整的记录,包括事件的源 IP、事件的类型、事件发生的动作、事件时间等。代码安全:在开发过程中,注意代码安全,主要包括对 SQL 注入、用户输入脚本过滤、Cookie 管理、信息泄露等常见威胁的预防。在代码注释信息中禁止包含数据库连接信息、SQL 语句信息。主动安全 35 中间件安全:中间件版本、安全补丁及时更新,加强安全配置、安全加固,避免被黑客等利用攻击整个系统。2.操作系统安全建议 操作系统是运行应用程序的物理环境,操作系统中的任何漏洞都可能危害应用程序的安全。通过保护操作系统安全
100、,可以使环境稳定,控制资源的访问,以及控制环境的外部访问。针对操作系统的安全策略和建议如下:用户帐户策略:限制服务器计算机上的用户帐户数,减少不必要的和旧的用户帐户;确保仅一些可信用户具有对服务器计算机的管理访问权限,为运行应用程序的帐户分配所需的最低访问权限。密码策略:开发和管理操作系统安全的密码策略,采用高强度密码规则。文件系统策略:为用户授予所需目录的只读权限,缺省情况下,拒绝访问权限,除了被明确授予访问权限的用户,拒绝所有人对资源的访问。网络服务策略:仅使用运行应用程序所需的服务,例如,可能不需要 FTP、Rlogin 或 SSH 服务;为网络服务用户减少访问权限的级别;确保具有 We
101、b 服务器访问权限的用户帐户不可访问 shell 功能;确保未使用的服务没有运行,且它们没有在操作系统上自动启动;删除或注释掉未计划使用的端口,减少系统的可能入口点;保护系统免受与端口 137、138 和 139 相关联的 NetBIOS 威胁。系统补丁策略:经常检查安全性更新,确保服务是最新的;为操作系统安装供应商建议的最新补丁。操作系统最小化:除去不重要的应用程序来减少可能的系统漏洞。记录和监控策略:记录安全性相关的事件,包括成功和失败的登录、注销和用户权限的更改;监视系统日志文件,通过限制对系统日志文件的访问权限,保护其安全;保护维护日志免受篡改;保护日志记录配置文件的安全。定期备份系统
102、资源。3.网络设备安全建议 网络设备在网络中处于重要位置,网络安全产品属于企业边界防护的关键设施,当其产品出现漏洞时,将会对企业造成非常严重的安全威胁。对于企业用户安全建议:在购置设备前应对产品进行安全测试。在部署时应严格设置设备的访问控制权限,避免当设备沦陷时攻击者获得较高权限访问敏感网段。在设备运行时做好访问权限控制(如 IP 限制等),关闭不需要的服务。在运营设备时应同样对设备进行日志记录和审计。当漏洞出现时,及时联系厂商进行设备的更新及售后。对于厂商安全建议:在产品发布前应对产品进行严格的安全测试。主动安全 36 及时关注最新的安全技术,及时修补产品中存在漏洞的第三方库等外部依赖。4.
103、数据库安全建议 数据库软件漏洞属于产品自身的缺陷,由数据库厂商对其修复,通常以产品补丁的形式出现。针对数据库漏洞攻击的数据库加固方式可以采用购买第三方产品,安全建议如下:采取用户权限最小化原则,配置数据库帐号时,满足应用系统使用的最小权限的账号,任何额外的权限都可能是潜在的攻击点。定期安装数据库厂商提供的漏洞补丁,即使由于各种原因无法及时打补丁,通过虚拟补丁等技术暂时或永久加固数据库。对数据库进行安全配置,数据库默认安装下并不会开启所有安全配置,在充分考虑对应用的影响后,尽可能开启数据库自身提供的安全设置将会极大降低被不法分子攻击的成功率。采取数据库功能最小化原则,对于用户来说,大部分数据库功
104、能组件根本不会使用。在综合应用和运维后,划定一个使用组件的最小范围。删除数据库中不用的组件,减少数据库组件可以有效地减少用户面对的风险面。配置高强度密码,杜绝弱口令或默认口令。5.工控系统安全建议 一般现代工业控制系统多由以下几个关键部分组成:人机界面 HMI,远程终端单元 RTU,综合监管系统和可编程逻辑控制器 PLC。由上述部分组成的工业控制系统主要有以下几个风险点:病毒容易通过企业办公网感染综合监管系统,工控系统中多余的 USB 接口封闭不足,对远程维护通道未加严格限制,导致生产网直接暴露在互联网上。因此,建议执行以下操作来加强工控系统运行安全:分离工业控制系统的开发、测试和生产环境。通
105、过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。严格限制工业控制系统面向互联网开通 HTTP、FTP、Telnet等高风险通用网络服务。通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护,在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。拆除或封闭工业主机上不必要的 USB、光驱、无线等接口,若确需使用,通过主机外设安全管理技术手段实施严格访问控制。在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理,对于关键设备、系统和平台的访问采用多因素认证。合
106、理分类设置账户权限,以最小特权原则分配账户权限。强化工业控制设备、SCADA 软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。主动安全 37 对远程访问采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略,远程维护采用虚拟专用网络(VPN)等远程接入方式进行。在工业控制网络部署网络安全监测设备,及时发现处理网络攻击或异常行为,在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。保留工业控制系统的相关访问日志,并对操作过程进行安全审计。6.云计算安全建议 云计算基于虚拟化和分布式计算技术,云计算服务已经不单单是一种
107、分布式计算,而是分布式计算、效用计算、负载均衡、并行计算、网络存储、热备份冗杂和虚拟化等计算机技术混合演进并跃升的结果。云计算技术正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式,与此同时,它也引发了一系列新的安全威胁和挑战。云计算安全包括操作系统安全、数据安全、应用安全、网络控制安全等,对其安全建议如下:云服务提供侧:对于云服务商,需要构建安全稳定的基础设施平台,并且面向应用从构建、部署到运行时刻的全生命周期构建对应的安全防护手段:云平台基础设施层的安全:基础设施主要包括支撑云服务的物理环境,以及运维运营包括计算、存储、网络、数据库、平台、应用、身份管理和高级安全服务等各项云
108、服务的系统设施。云平台基础设施层是保障业务应用正常运行的关键,云服务商需要确保各项云技术的安全开发、配置和部署安全。云服务的自身安全配置和版本维护:建立版本更新和漏洞应急响应机制,虚机 OS 的版本更新和漏洞补丁的安装能力也是保证基础设施安全的基本防护措施,除此之外如 K8s 等容器相关开源社区的风险漏洞,都可能成为恶意攻击者首选的攻击路径,需要厂商提供漏洞的分级响应机制并提供必要的版本升级能力。平台的安全合规性:云服务商需要基于业界通用的安全合规标准,保证服务组件配置的默认安全性,同时面向平台用户和安全审计人员,提供完备的审计机制。业务应用侧提供纵深防御能力:云服务商提供适合云场景下应用的安
109、全防护手段,帮助终端用户在应用生命周期各阶段都能有对应的安全治理方案。企业安全侧:对于企业的安全管理和运维人员来说,首先需要理解云上安全的责任共担模型边界,明确企业自身需要承担起哪些安全责任。对于企业安全管理人员来说可以参考关注如下方向加固企业应用生命周期中的生产安全:应用制品的供应链安全:对于企业来说制品供应链环节的安全性是企业应用生产安全的源头,一方面需要在应用构建阶段保证制品的安全性;另一方面需要在制品入库,分发和部署时刻建立对应的访问控制,安全扫描、审计和准入校验机制,保证制品源头的安全性。主动安全 38 权限配置和凭证下发遵循权限最小化原则:对于企业安全管理人员来说,需要利用云服务商
110、提供的访问控制能力,结合企业内部的权限账号体系,严格遵循权限最小化原则配置对云上资源的访问控制策略;另外严格控制资源访问凭证的下发,对于可能造成越权攻击行为的已下发凭证要及时吊销。关注应用数据和应用运行时刻安全:除了配置完备的资源请求审计外,安全管理运维人员还需要保持对应用运行时安全的关注,及时发现安全攻击事件和可能的安全隐患。及时修复安全漏洞和进行版本更新:无论是虚机系统,容器镜像或是平台自身的安全漏洞,都有可能被恶意攻击者利用成为入侵应用内部的跳板,企业安全管理运维人员需要根据云服务商推荐的指导方案进行安全漏洞的修复和版本更新。9 9 结语结语 2023 年,网络空间对抗趋势更加突出,新技
111、术的发展为犯罪分子提供新的攻击载体,网络攻击成本不断降低,攻击方式更加多样,各犯罪领域之间呈现出相互融合、相互支撑的发展态势。网络攻击事件持续影响网络空间安全、社会安全,甚至国家安全。在此形势下,各国对网络空间安全越来越重视,关基保护、数据安全、平台治理以及相关技术规范逐步实行。面对日益增长的网络空间安全威胁,新华三一直秉承“主动安全”的核心理念,持续引入新兴技术研究成果,加强威胁漏洞情报积累,形成更加及时、精准有效、覆盖全面的网络空间安全态势感知体系,提升网络安全防护水平。 Copyright 2023 新华三集团 保留一切权利 免责声明:虽然新华三集团试图在本资料中提供准确的信息,但不保证本资料的内容不含有技术性误差或印刷性错误,为此新华三集团对本资料中信息的准确性不承担任何责任,新华三集团保留在没有任何通知或提示的情况下 对本资料的内容进行修改的权利。CN-170X30-20220422-BR-HZ-V1.0 主动安全 新华三以主动安全理念为核心 致力于成为客户业务数字化转型的助力者 融绘数字未来 共享美好生活