2024年云安全态势报告

前言 随着数字经济的持续发展，安全对抗也在变得愈发强烈。过去一年，我们看到漏洞、勒索软件的数量和攻击手法都在迭代更新。作为保护者，阿里云也在持续更新原生安全能力，当然我们不仅要提供安全的云服务，更要帮助客户安全地使用云。在这份报告中，我们整理了2024年云上各类风险态势，包含配置、响应、漏洞、勒索等方面，并给出相应的治理建议，希望能帮助企业构建适合自身的安全防护策略，在日益复杂多变的环境中，稳健发展、不断前行。 云计算经过多年的发展，已经逐渐成为了企业的基础设施，其弹性与便捷让企业能够快速拓展并抓住机遇，随着业务复杂性的提升，如今，多云/混合云架构已经成为多数企业的首选。同时，GenAI的到来也在改变企业的基础设施选择，容器/Serverless等资产使用比例明显上升。然而，这些创新和灵活性的背后，是成倍增加的复杂性，“复杂性”意味着更多的“脆弱性”，据阿里云观测数据显示，2024年云上有风险的资产数量增加了40%。 为了解决这些风险，企业将持续面对安全碎片化问题。我们常常会看到，在传统方案中，一家企业往往部署了十余种甚至更多的安全工具，每款工具都有无数的告警需要处理。此外，不同的基础设施，不同的云针对产品的使用配置也不尽相同，一个错误的配置就可能增加暴露风险，带来数据泄露的可能。 欧阳欣 阿里云安全产品总经理 编写单位阿里云安全团队 云，是安全碎片化的终结者。 我们长期以来一直致力于保护企业的环境，并坚持「三体化」安全建设思路，帮助客户实现： 指导委员会欧阳欣 阿里云安全产品总经理祝建跃 阿里云安全产品负责人刘志生 阿里云安全产品技术负责人 不同环境（公有云、专有云及线下IDC）的安全统管不同安全产品告警信息的聚合和关联分析生产网和办公网的统一管理和运维 在2012年，阿里云推出了第一款主机类防护产品：安骑士，并在2019年正式更新成云原生的应用平台保护产品：云安全中心，旨在帮助客户建立多云混合云的安全配置、威胁、告警统管，实现安全运营的闭环，2024年阿里云累计检测客户漏洞数量超过3亿个，帮助用户修复漏洞超过5000万个。同时，我们也在积极探索GenAI能为安全带来何种助益，在2022年阿里云已正式推出安全大模型，为客户提供清晰的风险解释和处置手段，目前AI助手实现了99%的告警事件覆盖，用户调用量提升超过300%。 编写组成员（以下按姓氏拼音首字母排序）梁雷曹波杨李贝屠励杰陶夏溦吕英豪罗博文钟丹伍悦马乐乐刘晋成李玉琳陈恒毅王巍淇田民谭肖依莫诚就李浩然周来张旭俊钟现奎 设计支持 徐方芳单夷繁李梦平 企业的基础设施正在变得越来越复杂，多云/混合云成为主流的选择，云已经成为企业的基础设施。 漏洞数量和高危漏洞所带来的威胁态势呈增长态势。 2024年，阿里云漏洞库累计收录40209个漏洞，较2023年增长12%。其中，CVSS评价为高危的漏洞数22489个，较2023年增长4%。开源组件漏洞是主要的云上风险，组件使用者配置不当是漏洞形成的主要成因。漏洞利用是勒索软件常用的攻击手段。 受保护的资产持续增加，日均安全扫描量破百万，容器/Serverless等资产使用比例明显上升，GenAI时代正在改变企业的基础设施选择。但“复杂性”意味着更多的“脆弱性”，阿里云观测到，有风险的资产数量增加40%，集中在计算（ECS）、身份认证（RAM）、存储（OSS/NAS）、数据库（RDS/KVSTORE）等核心资产中。 客户应采用自动化的漏洞修复工具，降低MTTD/MTTR是应对漏洞风险的有效手段。一方面，提前发现并修复漏洞，可有效保护企业和用户的信息安全。2024年阿里云累计检测客户漏洞数量超过3亿个，帮助用户修复漏洞超过5000万个。另一方面，在运行时，依托自动化和智能化增强入侵检测与防御能力，可有效减少漏洞检测与修复时间。基于大模型的阿里云云安全中心AI助手的引入实现了99%的告警事件覆盖，AI助手的用户调用量提升超过300%。 通过对资产的持续性扫描，阿里云整理了六大典型的安全配置风险，并梳理了典型的攻击路径。其中，机器身份的大量应用，让身份安全和权限管控成为重中之重：AK泄漏、弱密码、过度授权......任意的脆弱性都有可能成为攻击链路上的击破点，正确管理企业云上的身份与授权是安全的基石。 同样，随着AI和大模型的快速发展，相关企业也成为了新的攻击对象，服务中断、数据泄露等事件层出不穷。阿里云整理了模型从部署、训练到上线全流程的安全风险和防护建议，高算力、高资源、高迭代的特点，也给其安全带来了更多的挑战。 2024年，安全对抗也在持续增强。 勒索软件呈现爆发式增长趋势，涨幅达到74%，随着Bitcoin等加密货币价格大幅飙升，勒索攻击者活动愈发猖獗，且表现出高度的执着与专业性，单次攻击时间可持续数小时，采用多种手段。同时，随着头部RaaS生态变动，大量从头部勒索组织脱离的附属机构会优先选择攻击防护能力较弱的中小企业。 同时，勒索组织的勒索效率也在提升，且行为更加隐蔽，在约50%的勒索事件中，攻击者会优先选择攻击EDR、HIPS等安全防护产品，在安全模块无法工作后才进行勒索，确保新型的勒索病毒不被安全产品收集。在攻防态势愈发严峻的当下，企业应尽快提升自身的安全防护力。 企业基础设施变得越来越复杂_ 企业基础设施正在变得越来越复杂，含有配置问题的风险资产增多 02云上日均资产扫描量破百万，风险资产数量增加 40%， AK泄漏、过度授权和弱口令需重点关注 2024年，随着GenAI和大模型的蓬勃发展，新的业务形态持续出现，生成式人工智能正在颠覆安全领域。一方面，AIGC等新业务形态的出现带来的新的安全风险，大模型的推理技术也越来越多地被用在攻防对抗中，安全团队需要对攻防技术和策略进行快速的更新；另一方面，企业的基础设施正在变得越来越复杂，多云混合云部署成为主流，围绕着AI模型的训练、推理，容器/Severless的使用频率增加，资产迭代的生命周期被大幅缩短，持续的资产监控和配置管理的必要性愈发凸显。 云上资产量级快速增加，风险资产数量上涨40% 随着企业上云率提升，云上资产数量越来越多，企业的安全意识也在逐步提升。根据云安全中心数据显示，配置安全的日均扫描量已达150W+，扫描出的风险资产数量提升40%，其中计算（ECS）、身份认证（RAM）、存储（OSS/NAS）、数据库（RDS/KVSTORE）等云上核心资产的配置风险，需要企业优先关注。 阿里云安全团队从资产类型、配置管理以及身份安全三个方面监控了相关数据和态势的变化，我们看到云上有风险的资产数量增加40%，而在此类变化下，保持对安全的持续监控和管理，成为一个巨大的挑战。 01企业架构加速向云上演进，GenAI正在改变企业的资产选择 随着企业上云程度加深，架构的复杂性也在提升，需要同时防护云上和原有环境中的资产，过去一年阿里云对云外主机的防护数量增长28.4%。同时，GenAI（生成式人工智能）在2023年作为一种突破性力量出现，围绕着AI的模型训练、推理，云上架构正在从虚拟机（ECS）向无服务/容器演进，目前云上受到保护的容器/Serverless资产已超过百万级。 架构的复杂化和资产迭代速度的增快给安全带来了更大的挑战，既需要保证多环境中的安全策略一致性，也要持续收敛因工作负载快速迭代而扩大的攻击面，实现持续性的安全洞察、监控和事件响应。 典型风险场景四：存储开放公共读写和匿名访问，存在敏感泄漏风险 六大典型安全配置风险场景：40%以上的企业存在配置风险 55% 根据对以上资产的持续性扫描，40%的企业均存在各类配置风险，面临着防护效果不佳，甚至面临暴力破解和数据泄露的风险。基于此，阿里云安全团队整理了云上六大典型配置风险场景，包含高危端口管理、白名单配置、AK防护、存储读写、身份授权等多个方面，需要企业持续性的安全治理和建设。 组织存储开放公共 读写和匿名访问 这意味着互联网上的任何人都可以读取企业存储桶内的数据，并删除或向存储桶写入新的数据，企业应将OSS/NAS等存储产品设置为无公开访问对象/白名单不对公网开放，并禁止匿名授权策略。 典型风险场景一：高危端口暴露，面临爆破风险 典型风险场景五：CIEM过度授权风险 组织存在高危管理 端口暴露到公网 组织身份权限 存在过度授权风险 只要存在外部访问的场景，均有可能存在高危管理端口的暴露，包括：CLB、ALB、SSH、RDP、DNAT等产品，企业应该定期检查对应产品的端口暴露情况，禁止任意IP访问。 身份是云上安全的基石，对于身份及访问权限的管理存在于几乎每一款产品中，过度授权极易引发云上RAM权限体系提权，导致敏感数据泄漏，对于计算、存储、数据库等核心云产品的权限滥用情况最为严重，企业需重点关注： 典型风险场景二：数据库白名单对公网开放，存在暴力破解和数据泄漏风险 组织存在数据库 端口暴露到公网 将数据库的白名单设置为公网开放，意味着允许来自互联网任何IP的连接请求，极有可能遭遇攻击者的暴力破解，从而导致数据泄漏和勒索的问题。企业应该将云上RDS、MongoDB、Redis、Elasticsearch、PolarDB等数据库服务设置为白名单不对公网开放，提升数据安全性。 典型风险场景三：AccessKey未做好防护，存在泄漏风险 组织AccessKey 未做好防护44% 典型风险场景六：风险资产未正确进行安全防护 53% 访问密钥AK（AccessKey）是阿里云提供给用户的永久性访问密钥，用于通过开发工具（API、CLI、SDK、CloudShell、Terraform等）访问阿里云时的身份验证，包括AccessKeyID和AccessKey Secret，AK相当于登录密码，一旦泄漏，将会给业务、数据带来巨大风险。企业应对云上AK进行持续的监控和治理，包括对主账号禁用AK、持续性的AK泄漏检查，以及定期对闲置子账号的AK进行清理。 组织存在风险资产未进行正确安全防护 一方面，对于有使用云上ECS、EIP、公网EIP、数据库等产品的客户，应该对相应的资产开启安全防护； 另一方面，对于已经使用了诸如Web应用防火墙、云防火墙、DDoS防护等产品的客户，需要进行正确的配置，例如在DDoS防护中开启全局防护策略，在Web应用防火墙中选择合适的规则引擎，并配置回源/高防回源，根据业务的流量情况，开启对应的互联网/VPC/NAT防火墙，并进行合理的ACL配置等。 使用安全配置检查/安全审计工具，并定期巡检： 03身份安全是企业的基石：AK泄漏、身份提权、弱口令风险治理 使用ActionTrail，记录子账号的创建和授权日志，实现审计和告警监控；开通云安全中心的安全配置、AK泄漏和异常调用功能模块，实时监控与告警；定期查看RAM的安全检查及安全报告；定期AK轮转 随着云服务和容器化技术的快速普及，如何避免安全配置导致AK泄漏、身份提权和访问弱口令等风险，为身份的安全管理带来了更大的挑战。尤其是机器身份（Non-Human Identi-ties, NHI）技术的大量应用，如何有效动态创建和轮转身份，确保最小使用授权，成为云安全态势管理的关键。 弱口令公网暴露率风险大幅收敛，但内网风险依然很大 根据阿里云统计数据显示，弱口令在公网的暴露比例不超过1%，暴露风险已大幅收敛。但内网的弱口令暴露比例是公网的10倍以上，云上的弱口令主要集中在数据库和操作系统（SSH、RDP），其中Redis最高达到35.7%，其次是MongoDB达到21.4%，需要客户重点关注： AK异常调用量连续三年增加，提升205.36%，企业治理率仅达16.81% AK泄露作为云上六大配置风险之一，依赖客户持续的安全治理。根据阿里云数据显示，过去3年，随着云上资源的使用量增多，客户面临的AK风险也在持续上升，异常调用量提升205.26%，但治理率仅有16.81%。 AK泄漏有多种途径，例如： 硬编码明文泄露：企业将AK/SK编