2018年上半年国内公有云云上资产合规现状报告

一、报告背景

自2005年亚马逊发布AWS伊始，云计算历经十数年的发展，已被广泛应用于各个领域，云计算支出在全球IT支出中的比例不断提升，并形成了一个新兴的、高达数千亿美元的全球市场。

在国内，2009年成立的阿里云引领了云计算风潮。在完成一定的技术积累和客户普及教育后，目前，我国的云计算产业已进入一个较长的高速增长期，在国家政策的大力扶持下，加之阿里云、腾讯云等大型公有云厂商的大力推动，我国云计算市场的规模急剧扩张，网络效应和规模效应明显放大，并已成为我国IT产业一个新的高速增长点。

然而，在各个公有云厂商努力开疆拓土，打造各自的云计算帝国的同时，云上资产的合规性问题也日益凸显：

一方面，越来越多的互联网企业和传统企业依托公有云厂商提供的服务开展业务或进行数字转型，企业的数字资产正在向云上集中，云上资产的安全与合规显得尤为重要。而公有云厂商在某种程度上已经与上云企业形成了责任共担关系：上云企业必须依托公有云厂商在基础设施、平台乃至软件层面提供的安全能力来构建云上业务的安全体系，公有云厂商在安全和合规层面也承担了比传统的IDC厂商和网络运营商更多的责任和义务，安全与合规能力的输出也已成为其核心竞争力之一。

另一方面，云计算本身的开放性、便捷性、多样性、高性价比，以及公有云厂商在安全方面的努力，不仅吸引着正常的企业用户，同样也吸引着网络黑灰产从业者：越来越多的网络黑灰产通过购买公有云服务，将用于攻击、诈骗、引流的网站和服务器置于云中，进一步降本提效。同时，还可利用公有云提供的安全能力与企业和安全厂商进行对抗。这迫使公有云厂商必须加强对云上资产的合规审计能力，做到及时、准确地识别云上资产及服务的违规、滥用行为，强化对公有云内容和行为安全的管控力度，承担起相应的社会责任。

有鉴于此，威胁猎人依托自身的黑灰产流量布控能力，结合战略合作伙伴金山毒霸提供的恶意网站感知数据，对公有云云上资产的合规现状进行了深入的调研分析，通过大量的一手数据，形成了《国内公有云云上资产合规现状报告（2018年上半年）》，旨在阐明国内公有云在云上资产合规审计领域面临的现状及问题，为国家相关监管机构和公有云厂商提供参考。

二、基本概念 1、报告中涉及的概念及术语

（1）撞库：撞库攻击指的是黑客通过收集互联网上已泄露的用户账户信息，生成对应的字典表，再利用部分用户相同的注册习惯（即使用相同的用户名和密码），尝试登陆其它的网站或应用，以获取新的可利用账户信息。

（2）爬虫：爬虫又称为网页蜘蛛，是一种按照既定规则，自动抓取网络上的指定信息的程序或脚本，可分为遍历爬取网页超链接的网页爬虫和构造特定 API 接口请求数据的接口爬虫两类。

（3）蜜罐：蜜罐（Honeypot）是指被当入侵诱饵，引诱黑客前来攻击已收集相关证据信息的软件系统。依照蜜网项目组（The Honeynet Project）的定义，蜜罐是一种安全资源，其价值在于被探测、被攻击或被攻陷。

（4）网络钓鱼：网络钓鱼是构造带有欺骗性的电子邮件或伪造的Web站点，以吸引受害者提交敏感信息，或向目标传递并植入恶意程序的一种社会工程攻击方式，常被用于执行网络欺诈和网络入侵。按照攻击载体，网络钓鱼可分为网站钓鱼、邮件钓鱼、短信钓鱼、IM社交钓鱼、移动APP钓鱼等类型。

（5）DDoS攻击：即分布式拒绝服务攻击。一般来说，DDoS攻击会利用“肉鸡”对目标网站在较短的时间内发起大量合法请求，以消耗和占用目标的网络和主机资源，迫使其无法正常提供服务。

（6）僵尸网络：僵尸网络（Botnet）是攻击者出于恶意目的，传播僵尸程序bot以控制大量计算机，并通过一对多的命令与控制信道所组成的网络。需注意的是，这个网络并非物理意义上具有拓扑结构的网络。

（7）暗网：暗网（DarkWeb）是指统称那些只能用特殊软件、特殊授权或对电脑做特殊设置才能连上的网络，使用一般的浏览器和搜索引擎找不到暗网的内容。

2、数据取样及说明

数据来源说明

本报告的主要数据来源包括：

（1）内容类数据；通过定向监控手段（云清平台）获取的违规/恶意网站及其内容数据。

（2）样本类数据：通过广谱监控手段（TH-Karma平台）获取的黑灰产工具样本。

（3）流量类数据：通过蜜罐监控手段（TH-Karma平台）获取的黑灰产攻击流量数据。

（4）黑IP/域名类数据：通过第三方合作、蜜罐监控手段（云清平台及TH-Karma平台）获取的黑IP/域名数据。

（5）其他类数据：通过其他第三方合作和监控手段获得的云主机安全相关数据，包括但不限于上述的数据类型。

数据取样说明

本报告的数据取样主要采取以下几种方式：

（1）关键词取样：根据特定的关键词及关键词组合，从全集数据中提取与特定分析对象或特定分析场景有关的数据子集。主要用于数据统计或趋势分析。

（2）相似度采样：根据文本或样本数据的相似度，从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例分析。

（3）随机采样：对未知类型或内容数据进行简单随机采样，抽样比例根据具体的分析场景决定，主要用于情报线索发现或关键词校验。

（4）分层采样：对已知工具/事件数据按既定的标签规则分为若干子集，对每个子集中的数据随机抽取部分数据进行分析，抽样比例根据具体分析场景决定，主要用于案例分析或关键词校验。

我们认为我方采集的非全量数据样本，在概率上符合一定的数据取样准则，基于相关数据样本的分析结果，在趋势分析和分类统计上与实际情况不会存在太大的偏差值。对于受限于数据获取的渠道、数据本身的变化、抽样概率的限制及样本噪点的影响等所导致的偏差，我们会采取人工经验判断方式进行修正，这部分数据我们会加以注明。

三、针对公有云的网络攻击威胁

基于威胁猎人自有的黑灰产攻击流量监控数据，我们从中专门提取了针对公有云的各类攻击数据。从中可以看出，2018年上半年（2018年01月-06月）间，以国内各大公有云的云上应用和云主机为目标的网络攻击整体呈明显上升趋势，威胁类型以机器人、撞库攻击为主，针对云主机、域名和邮箱等资源的业务灰产仍大量存在。

1、攻击总次数整体呈上升趋势

通过对相关攻击行为按月进行次数

统计，我们可以看到，在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后，黑灰产对公有云的攻击次数呈明显的上升趋势。

2、阿里云、腾讯云遭攻击最多

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!