2023阿里云安全年度报告

2020-2021阿里云安全年度报告AlibabaCloudSecurity2020-2021ReportAlibabaCloudSecurity2020-2021Report目录前言 03云计算/安全发展一览图 04核心观点 05一、百名CIO调研：云安全建设洞察 云，已经成为新一代基础设施 企业上云速度增加灵活、弹性是企业上云的核心原因仅有4.23%的企业上云时遇到了障碍安全，是企业上云的基石 没有不重视安全的企业超过90%的企业认为云上更安全云安全建设满意度仅达及格 企业最担心的云上风险企业云安全建设尚有很大提升空间云上攻防：仅有24%的企业未遭受过网络攻击 20企业云上TOP3攻击类型43%的云上应急响应时间为小时级80%的云上攻击未造成实际损失云上安全建设 23云安全建设困惑与展望 29企业未满足的安全需求TOP3人才，决定了安全建设的深度阿里云安全年度报告-目录 1二、2021年云上安全态势 云上TOP10常见风险 异常登录——2021勒索软件漏洞入侵（Nday/0day）未经授权的访问API滥用DDoS攻击数据泄漏BOT恶意流量攻击云上安全建议 48三、新一代的云上安全建设 新一代云安全建设架构图 云安全成熟度模型 50最佳实践：他们的云上防护 云化数字政府最佳实践|浙里的一朵安全云数字郑州：政务统一身份认证平台让城市大脑更“人性”分布式云落地华数传媒：统一安全管控完美日记：一文详解|新零售电商定制化安全法则深度访谈：他们这样建设云安全 安全与业务共建共赢——群之脉的云上安全之旅“保险+安全”双驱动——众安保险的云上最佳实践安全是上云生命线——中国扶贫基金会的云安全之路阿里云安全年度报告-目录 2+云计算/云安全市场规模19592008市场规模达到801亿元增长约76.9%市场规模达到1253.9增长约56.5%中国云安全市场规模达到55.1亿元同比增长45.8%达到82.5亿元49.7%云上安全市场规模有望达到139.1亿元2014-2020云上/情况云上重要技术PAGEPAGE10核心观点样本构成有效调研样本主要由企业首席信息官（CIO）、首席技术官（CTO）、首席安全官（CSO）、首席信息安全官（CISO）、信息化负责人、运维负责人或拥有同等职责的IT负责人、企业网络安全负责人构成，共搜集到103份有效样本，其中：80.65%的企业有业务部署在公有云/私有云上，19.1%还未选择上云；IDC：19.35%以公有云为主：48.39%以私有云为主：32.26%（图1-1：受访企业上云情况）员工人数在500人以下的企业占比25.81%，500-1000人占比为10.75%，1000-10000人占比为23.66%，10000人以上占比为17.2%；0-99人：22.58%≥10000：17.2%5000-9999人：3.23%1000-4999人：20.43%100-499人：25.81%500-999人：10.75%（图1-2：受访企业员工规模）样本行业分布在各行业占比如下：行业分布占比互联网行业（产互、互娱、游戏、在线教育等）33.71%金融行业（金融服务、银行、证券投资、保险等）11.24%政府、央企、事业单位7.87%新零售、快销8.99%文化、旅游2.25%能源、汽车4.49%工业制造11.24%其他12.36%民航1.12%物流运输2.25%房地产1.12%公益1.12%企业服务、软件服务2.25%80.64%的企业设有分支机构，其中38.71%的企业分支机构在5个以上，11.83%的企业在国外有业务部署。1.08%%%

38.71%11.83%有设立，数量达5个及以上 有设立，数量达1-4个之间 有设立，国内外均有分支机构 暂未设立 其他（图1-3：受访企业分支机构设立情况）观点详解（一）企业上云节奏加速。调研样本中，80.65%1、的企业业务上云率达到50%以上；2、公有云客户对云的接受度更高，70.45%公有云企业业务上云率在50%以上；3、云上有核心业务部署的企业率接近50%：内网数据中心上云率47.3%、生产开发区39.78%、内网办公区37.63%；企业核心业务未来5年上云比率上超预期。1、未来5年预估企业上云率将达到93.77%，其中公有云占比69.01%，私有云占比2、接近50%的企业业务上云率将达到70-100%；不会：4%

0-10%：4%

10-30%：10.67%会：以私有云为主：29.33%

70-100%：46.67%会：以公有云为主：66.67%

30-50%：16%50-70%：22.67%（图2-1：受访企业未来五年上云选择） （图2-2：受访企业未来五年业务上云比率）（二）安全是企业上云的基石：90.54%的企业认为上云提升了业务安全性。安全，已经成为企业关注的重点。86.09%的企业非常重视安全。在对业务效率和安全管控的重要性评级时，业务效率占比得分5.41，安全管控占比得分4.59，安全重要性已经和业务比肩（满分为10分）。90.54%的受访企业认为，上云会提升业务安全性，特别是在身份与权限管控（68.18%）、数据安全（60.61%）、入侵防护（53.03%）三方面提升明显。59.7%52.24%安全性下降：9.46%59.7%52.24%604020有提升：90.54% 0（图3-1：受访企业对云上安全性的认知） （图3-2：云上安全性提升TOP5）50%36.49%50%36.49%32.43%28.38%25.68%（三）Web漏洞、钓鱼邮件和挖矿 40病毒是企业云上常见攻击TOP3。 20网络攻击态势正在变得愈发复杂，仅有20.44% 0的受访企业未遭受过网络攻击，最常遭受的攻击类型如下：（图4-1：云上最常见攻击类型TOP5）这些攻击事件对企业影响各异，7%的攻击给企业造成了严重损失，导致业务中断、资源挖矿和内部系统破坏等后果。25.86%24.14%25.86%24.14%18.97% 20.69%12.07%12.07%6.9%6.9%6.9%3.45%3.45%20100业务中断

数据泄露

资源被恶意挖矿占用

企业内部系统遭到破坏

遭受恶意团队现金勒索

受到国家监管部门处罚无损失 轻微 一般 严重（图4-2：攻击导致较为严重的损失类型）在遭到攻击后，66.21%的云上企业应急响应时间达到了小时级，其中22.97%甚至达到了分钟级，实现快速止血：月级：1.35%周级：9.46%

超过一年

分钟级：22.97%天级：22.97%小时级：43.24%（图4-3：企业的云上应急响应时间）（四）流量安全、应用安全和数据安全是企业云上部署产品的TOP3。企业部署最多的是流量安全产品（77.03%），其次为应用安全（52.7%）、数据安全（44.59%）。在调研中发现，虽然91.78%的受访客户都担心云上数据泄漏问题，但真正部署了相应防护产品的企业仅有44.59%，还未达到一半。企业最担心的云上威胁最常遭受的网络攻击主要部署/预算投入的安全产品数据泄漏Web漏洞攻击流量安全（云防火墙、DDoS）漏洞和不安全的API钓鱼邮件应用安全（WAF、邮件、数字证书）账号盗用挖矿病毒数据安全（数据库审计、敏感数据保护、数据脱敏、密钥管理）弱口令DDoS/cc攻击身份安全（IAM、IDaaS、零信任、RAM）DDoS/cc攻击API攻击主机安全（云安全中心、态势感知）（图5-1：企业预算投入和遭遇网络攻击的对应）（五）多云部署成为主流，但安全统管、跨云管理产品尚不能满足企业需求。此次调研中，65.3%的企业选择了多云部署模式，例如将国内业务部署在阿里云上，国外业务部署在谷歌云上。或者将业务中心部署在华为云上，将账号密钥等数据库部署在阿里云上。85.92%30.99%85.92%30.99%36.62%8.45%16.9%4.23%12.68%腾讯云华为云亚马逊云微软云谷歌云其他0 10

30

50 60

80

100（图13-1：企业选择的云服务商情况）但与之相对，仅有的企业在选择安全产品时考虑了和第三方的集成能力。实际部署中，54.05%的企业不止购买了一家的安全产品，在不同的云上会使用不同厂商提供的产品。分散导致了低便利性，45.83%的企业表示他们在此方向的需求未得到满足，多云产品的适配性、统一性还有待打磨。（六）安全可视化、云上数据治理和安全自动化是企业未满足的安全需求TOP3。云上安全可视化（52.78%）、自动化（52.15%）以及数据治理（51.39%）是大多数企业觉得仍需提升的点。而在安全能力上，例如移动安全、硬件安全，包括流量安全，企业需求的满意度较高。此外，通过将预算投入方向和企业未满足的需求进行对比，我们发现：数据安全、身份管理和运营管控是企业有预算投入但需求仍未满足的产品TOP3，企业的安全需求紧跟着业务变化，安全功能也需要与时俱进。（七）缺少云安全专业人员，成为制衡企业云安全建设的重要原因。68.06%的受访企业认为，云安全建设最大的难点在于缺乏专业的从业者，尤其缺乏体系化的建设经验。仅有41.56%的企业认为他们对于云安全非常了解，34.72%认为对云安全一般了解，23.61%认为自身的安全团队对云安全不了解或基本不了解。（八）企业未来云安全预算投入趋向于保守，更偏向解决方案等落地内容输入。70.27%的企业在未来一年没有增加预算的计划。但我们也看到，随着疫情、国际形势变化等新趋势产生，安全也在变得愈来愈重要和复杂，为了更好应对挑战，28.36%的企业选择增加安全预算支持，幅度从5-20%不等。此外，比起单点的产品介绍，企业更关注整体的行业解决方案、安全建设的最佳实践，包括客户案例（68.82%）的落地。35.56%88.17%35.56%88.17%68.82%61.29%2.15%行业解决方案、安全建设最佳实践客户案例行业报告、白皮书其他0 10

20 30 40

60 70

90 100（图31-2：企业希望获得的云安全相关内容）一、百名CIO调研：云安全建设洞察上云率逐渐递增的当下，企业对于云上安全的关注也在增加，但传统的安全建设思路难以适应分布式、高弹性、高算力的云环境。在本次调研中，百名来自不同行业、规模的企业C-group群体分享了他们在向云转型的过程中，是如何构建企业安全体系，现有成熟度，过程中有哪些尚未解决的困惑和对未来的期待……勾勒出了现阶段中国企业云上安全建设景象图。调研结果显示，企业对于云上安全建设的满意度仅仅达到及格，我们从攻防形势、产品部署、预算投入、安全意识四个方面深入探寻了企业的现状和困惑，无论是对于正在或即将上云的企业，还是对提供云安全服务的厂商，都是一个有益的参考。（一）云，已经成为新一代基础设施根据《中国云计算产业发展白皮书》¹预测，2023年中国政府和企业的上云率将超过60%，在本次的问卷调研中，企业的业务上云、核心业务上云、未来五年上云比率均超出预期，云，已经成为新一代的基础设施。1、企业上云速度增加：80.65%的受访企业已上云IT架构关系到企业信息化、数字化的整体结构、防护特性和基本功能。随着技术发展，在传统IDC架构的基础上发展出了敏捷、经济和架构更优的私有云、公有云平台。参与调研的企业有80.65%已经有业务在云上，有19.35%的客户还未选择上云，选择继续采用传统的IDC架构。IDC：19.35%以公有云为主：48.39%以私有云为主：32.26%（图9-1：受访企业上云情况）¹2020年中国信通院发布《云计算发展白皮书》。阿里云安全年度报告-百名CIO调研：云安全建设洞察 11CIO调研：云安全建设洞察CIO调研：云安全建设洞察PAGE12已经上云的企业中，54.93%的企业人员规模在100人以下，1000-10000人以上企业占比19.72%，人员规模在10000人以上的企业占比16.90%。对比整体数据，小型企业和超大型企业成上云主力军。0%17%25%0%17%25%1%18%9%30%100-499人500-999人1000-4999人5000-9999人≥10000人其他(图9-2：受访上云企业规模占比)不同行业的IT架构呈现较大的差别，根据图9-3数据所示，选择公有云架构的企业主要以互联网为主，而金融、工业制造、政府央企等则主要以私有云为主，且上云率显著低于平均。65.52%10.34%20%50%65.52%10.34%20%50%30%28.57%28.57%42.86%14.29%28.57%100%75%25%36.36%36.36%58.33%33.33%8.33%金融行业（银行、证券投资、保险等政府、央企、事业单位新零售文化产业能源行业工业制造其他0 20 40 60 80 100IDC 以私有云为主 以公有云为主（图9-3：不同行业企业IT架构分布）云上有核心业务部署的企业接近50%其中内网数据中心上云率、生产开发区39.78%、内网办公区核心业务上云率明显高于私有云。70-90%：28.93%

100%：3.7%

0-10%：14.81%10-30%：22.22%

100%：15.91%

0-10%：6.82%

10-30%：6.82%30-50%：15.91%

70-90%：36.36%30-50%：22.22%

50-70%：18.18%（图10-1：以私有云为主的客户业务上云率占比分布） （图10-2：以公有云为主的客户业务上云率占比分布）根据图10-3所示，选择私有云的客户更愿意将涉及内网和核心数据区域（办公区、数据中心、生产开发区），远程办公接入区，DMZ区以及核心交换区等放在云上。而选择上公有云的客户，则更多的将外网服务区放在云上（占比65.91%）。65.91%59.26%65.91%59.26%51.85%56.82%50%40.74% 40.74% 45.45% 45.45%33.33% 33.33%29.55%25.93%22.22%22.73%11.36%13.64%6.82%50250内网办公区核心交换区

运维管理区

外网服务区

灾备中心

以公有云为主DMZ区其他（图10-3：公、私有云客户云上业务模块分布对比）未来5年企业上云率将达到90%尽管云计算这个概念在1969年已经被提出，1972年IBM即发布了第一代的虚拟交互：VM/370操作系统。但是中国企业对云计算还处于一个逐步接受的阶段，根据《2020-2025年中国网络安全行业调研及十四五战略规划咨询报告》中数据显示，近十年来，我国企业上云率从2009年的3.2%增长至2018年的30.8%。而在此次调研中，93.77%的企业在未来5年内都有上云计划，69.01%的企业会以上公有云为主，26.76%的企业会以上私有云为主，仅有4%的企业不会选择上云，企业上云节奏加速。0-10%：4%10-30%：10.67%30-50%：16%70-90%：46.67%50-70%：22.67%（图11-1：未来5年企业业务上云率占比）在业务上云率上，根据图11-1，未来五年将会有69.34%的企业业务上云率在50%以上，比现有占比提升19.87%。近一半的企业五年后云上业务占比将达到70%以上，企业对云，特别是对公有云的接受度正在大幅提升。2、灵活、弹性是企业上云的核心原因云计算普及的背后，是高速发展的网络、业务、流量，相比传统的IDC架构，云更能适应复杂的网络环境、高并发的业务场景、被打破的流量边界。在调研中的企业认为，上云使企业架构变得更加灵活、弹性，这也是云计算的核心优势之一。根据图12-1所示，架构灵活（77.3%）、总成本降低（56%）、自动化程度提升（54.67%）、流程简化效率提升（53.33%）是上云带给企业的优势性转变。56%56%54.67%53.33%48%40%40%34.67%30.67%28%25.33%4%生产流程简化、效率提升各团队、地域间协同性提升应急响应速度提升能见度提升其他0 10

30

50 60

80 90（图12-1：企业上云后产生的变化）但同时，在云上统管能力、安全应急响应和能见度上，感知到有明显提升的企业较少，这也是云服务商需要持续提升和打磨产品能力的重要方向。高可用是企业最看重的云功能同样的，企业在选择云服务商时，服务是否高可用也是最重要的因素（84.51%），根据图12-2所示，云服务是否具备易操作性（64.78%），云服务商是否安全合规（60.56%）也是企业的核心关注点。而云服务是否满点考虑的，仅有不到30%的企业客户进行了选择。84.51%64.79%84.51%64.79%60.56%59.15%59.15%57.75%56.34%54.93%49.3%46.48%33.8%30.99%29.58%8.45%1.41%500（图12-2：企业选用云服务商的考虑因素排序）多云部署是企业的主流选择在企业对上云的感知，以及对云服务商选择因素排序下，此次调研中，85.92%企业选用了阿里云提供的服务，36.63%选用了华为云，30.99%选用了腾讯云。国外的云服务商里，微软云占比最高，达到16.9%，其次是亚马逊云和谷歌云。同时我们发现，65.3%上。或者将业务中心部署在华为云上，而将账号密钥等数据库部署在阿里云上，在我们对企业CIO的访谈过程中发现，多云或者混合云部署模式可以实现“不把鸡蛋放在一个篮子里”，加强了企业对于云服务的信任度。85.92%30.99%85.92%30.99%36.62%8.45%16.9%4.23%12.68%腾讯云华为云亚马逊云微软云谷歌云其他0

20 30

50 60

80

100（图13-1：企业选择的云服务商情况）3、仅有4.23%的企业上云时遇到了障碍在谈及未来五年的上云计划时，19.35%未上云的企业中，仅有4.23%顾虑有如下几条：现有IT架构能够满足业务需求内部缺乏专业人员对于云相关的知识不够熟悉担心云上数据安全性企业服务的客户数据不允许上云重要价值。（二）安全，是企业上云的基石企业上云步伐加速的同时，“安全”和“云安全”也成为了新的科技热词。通过进一步探寻受访企业对于安全的认知与重视程度，以及上云对于安全性的影响，我们发现，安全性一方面成为企业上云的推进力，另一方面，云上安全的新特点，也给企业带去了挑战。1、没有不重视安全的企业根据图14-1所示，53.41%的企业表示对安全非常重视，32.95%对安全比较重视，而不太重视的占比仅有3.41%，没有一家企业不重视安全。不重视：0%不太重视：3.41%一般重视：10.23%比较重视：32.95%

非常重视：53.41%（图14-1：企业对安全的重视程度）从企业规模和行业角度来看，员工规模在10000人以上的企业对安全重视程度最高（78.57%）。从行业角度而言，金融行业、政府央企事业单位和互联网企业，对于安全的重视程度最高。45.83%44.44%45.83%44.44%55%55.56%66.67%78.57%29.17%35%55.56%33.33%33.33%10%16.67%8.33%14.29%75502500-99人

100-499人非常重视

500-999人比较重视

1000-4999人一般重视

5000-9999人不太重视

≥10000人 其不重视（图14-2：不同规模企业对安全的重视程度）1007550

62.07%

88.89%

57.14%

20%40%25

28.57%

30%6.02%0 3.45%互联网行业（产互、互娱、游戏、在线教育等）

11.11%金融行业（金融服务、银行、证券投资、保险等）

14.29%政府、央企、事业单位

10%工业制造非常重视 比较重视 一般重视 不太重视 不重视（图14-3：不同行业对安全的重视程度）数据保护，是企业重视安全的核心所示，企业重视安全的原因多样的企业是因为对敏感数据/核心数据保护需求高，70%的企业是为了满足行业高合规需求，而66.67%的企业表示，安全已经成为企业内的共识，54.02%的企业高管对于安全的关注度。70%70%54.44%46.67%33.33%26.67%24.44%13.33%其他0 10 20

40

60 70 80（图15-1：企业重视安全的原因）为需求、意识驱动。安全管控的重要性已与业务效率比肩在企业重视安全的背景之下，我们邀请了所有受访企业对安全和业务重要性占比进行了打分，在总分10情况下，根据图16-1显示，在受访的企业里，安全管控的重要性占据了4.6分，业务效率占据了5.4本比肩。业务效率：5.4安全管控：4.6（图16-1：安全与业务重要性占比）2、超过90%的企业认为云上更安全业务的便利性将企业引向云上，安全性让企业留在云上。90.54%的上云企业认为，对比线下IDC，云上的安全性有所提升，特别是在身份与权限管理数据安全（59.7%），入侵防护（52.24%），计算环境安全等方面。安全性下降：9.46%有提升：90.54%（图17-1：企业上云后安全性变化）59.7%59.7%52.24%47.76%47.76%41.79%38.81%37.31%34.33%%31.34%%29.85%28.36%26.87%25.37%2.99%50250（图17-2：云上哪些方面安全性有提升）仅有9.46%的企业认为云上安全性下降，特别是上云后数据安全防护性下降，50%认为身份与权限管理风险增大，33.3%担心云平台基础安全，16.67%认为API的风险在云上被放大。看似互相矛盾的体验背后，是安全的复杂性。防护效果的好坏，不仅涉及到平台方的安全性、安全产品是否好用、防护效果是否好等等，也涉及到产品是否成功部署和使用、是否得到正确配置等等，分布式架构给安全带去新特点，也给上云企业带去了新挑战。（三）云安全建设满意度仅达及格1、企业最担心的云上风险面对云带来的挑战，我们分别调研了已上云和暂未上云企业对云上安全风险的认知。根据图18-1和图18-2示，对已上云的企业，数据泄漏（92%）、漏洞和不安全的API（56%）、账号盗用（48%）是其担忧的TOP3风险。尚未上云的企业，对内部人员弱口令和恶意软件问题更关注，对不安全的API和云上账号盗用问题的担心度则较低。92%56%48%92%56%48%42.67%41.33%33.33%32%26.67%22.67%20%漏洞和不安全未及时更新、打补丁的系统和软件DDoS/ccAK0 10

30 40

60

80 90 100（图18-1：已上云企业最担心的云上安全风险）89.47%89.47%36.84%漏洞和不安全未及时更新、打补丁的系统和软件DDoS/ccAK0 10

20

40

60

80 90 100（18-2：尚未上云企业最担心的云上安全风险）2、企业云安全建设尚有很大提升空间但当我们邀请受访企业对自身云上安全建设打分时，发现在满分100的情况下，得分平均值为64.49是什么导致了多数企业对现有的云安全建设不甚满意，我们从云上攻防、产品部署、预算分布、人员安排、安全意识等几个方面对受访企业进行了进一步调查。（四）云上攻防：仅有24%的企业未遭受过网络攻击2021年美国RSAC大会主题是Resilience，即“弹性”，它强调了这样一个事实，网络攻击将会和我们“长久相伴”，网络安全的重点逐步从完全阻挡攻击的发生，转变为从攻击中快速止血，安全不能再是坚硬的玻璃杯，而应该成为弹性的皮球。根据阿里云多年的攻击情报观测，我们发现网络攻击正在变得常态化，简单和低成本使得任意一个组织或个人，都能发起一场也许会带去巨大损失的攻击。1、企业云上TOP3攻击类型在此次调研中，我们对企业遭受的云上攻击情况进行了统计，根据图19-1所示，过去的一年中，云上TOP3攻击为：Web漏洞攻击（50%）、钓鱼邮件（36.49%）、挖矿病毒攻击（32.43%），此外，DDoS/cc攻击、API攻击、安全设备漏洞攻击也是企业面临的安全风险。同时，仅有24.32%的企业未遭受过网络攻击，随着RaaS（Ransomware-as-a-service）平台的出现和流行，极大地降低了网络攻击的成本和难度，未来针对中小企业的攻击数量也许会愈来愈多。50%36.49%50%36.49%32.43%28.38%25.68%24.32%20.27%18.92%14.86%13.51%12.16%8.11%8.11%6.76%5.41%4.04%40200（图19-1：过去一年企业遭受的云上攻击类型）其他：1.72%同时，随着云上应用和生态的丰富，针对SaaS软件的攻击数量会提升。根据图19-2所示，53.45%的攻击处于SaaS层，同时17.24%的攻击位于供应链层，2020年的SolarWinds事件也给供应链安全敲响了警钟。

供应链：17.24%SaaS层：53.45%

IaaS层：48.28%PssS层：34.48%（图19-2：企业遭受的攻击所在位置）2、43%的云上应急响应时间为小时级遭受攻击后，越短的止血时间意味着越少的损失，在本次受访企业中，66.21%的云上企业应急响应时间达到了小时级，其中22.97%甚至达到了分钟级，实现快速止血，且公有云企业的止血反应速度明显高于私有云企业。云上高可用、高弹性等特性给企业带去了诸多便捷，同时也给安全带去了一个巨大的优势，即可见度的提升。无论是可视化面板、统一的API接口、便捷的资产发现等，都帮助企业看的更清晰，对于异常行为的发现和反应速度也更快，选择合适的可视化和自动编排处理工具，是提升云上止血速度的关键。

周级：9.46%

超过一年：0%（图20-1：云上企业止血时间）

分钟级：22.97%小时级：43.24%3、80%的云上攻击未造成实际损失尽管从2011年到现在，云上攻击量增加了276.8%倍²，但基于云上坚实的底层防护和快速的止血反应，真正造成业务损失的攻击并不多。在此次调研中，根据图4-2所示，仅有7%的攻击给企业带去了严重的损失，导致业务中断、资源挖矿等后果，超过80%的攻击对企业没有或仅仅造成了轻微的损失。25.86%24.14%25.86%24.14%18.97% 20.69%12.07%12.07%6.9%6.9%6.9%3.45%3.45%20100业务中断

数据泄露

资源被恶意挖矿占用

企业内部系统遭到破坏

遭受恶意团队现金勒索

受到国家监管部门处罚无损失 轻微 一般 严重（图4-2：攻击导致较为严重的损失类型）在造成企业业务损失的攻击里，业务中断占比22%，资源被恶意挖矿占用占比16%，数据泄漏占比16%，这也是现阶段网络攻击获取收益的核心点：业务、数据、挖矿。10%22%11%10%22%11%11%16%14%16%数据泄露企业内部系统遭到破坏数据被篡改遭受恶意团队现金勒索收到国家监管部门处罚（图21-1：攻击造成的业务损失类型占比）从调研中我们可以看到，网络攻击正在常态化、便利化，一旦没有做好有效的防守，就可能带来较为严重的业务损失，轻则资源被占用，重则机密数据泄漏。而云上快速的止血时间可有效减轻攻击影响。对企业而言，更重要的是建立有效的云上安全防护机制，从源头对攻击进行阻断。²根据HACKMAGEDDON数据统计。（五）云上安全建设：小见大，展现CIO眼中云安全的样貌。1、产品部署：流量安全产品部署度最高根据图22-1所示，企业部署最多的是流量安全产品（77.03%），其次为应用安全（52.7%）、数据安全（44.59%）。在前面的调研中，虽然品的企业仅有44.59%，还未达到一半。随着《数据保护法》的实行，数据安全成为众多企业的头号关注点，然而如何落地，如何选择有效的产品，仍是待解答的问题。52.7%44.59%52.7%44.59%36.49%29.73%18.92%13.51%13.51%10.81%5.41%5.41%身份安全产品：云上IAM管理、IDaaS、零信任体系、RAM、其他主机安全产品：云安全中心（CWPP）、态势感知运营管理产品：SIEM、边缘安全产品：SASE、UEM、CASB其他0 20

40

80 100（图22-1：企业部署安全产品一览图）均有部署，此外安全服务占比较高，达到50%。实用性是安全产品的硬实力83.78%71.62%64.86%83.78%71.62%64.86%55.41%29.73%29.73%27.03%18.92%2.7%其他0 10

20 30 40

60

80 90（图23-1：企业购买安全产品的考虑因素）多云统管安全产品部署尚未成为主流根据之前的数据，65.3%的企业选择了多云部署模式，但仅有的企业在选择安全产品时考虑了和第三方使用腾讯云的客户，则偏向部署更多腾讯云的安全产品，华为云、亚马逊、微软云同理。部署第三方安全厂商产品的客户占比仅有16.22%，多云统管、跨云统管的安全产品尚未成为主流。12.16%16.22%1.35%16.22%1.35%81%4.32%8.11%78.38%222.97%阿里云 腾讯云 华为云 亚马逊云微软云 谷歌云 安全厂商云安全产品 企业内部自行开发的安全产品（图24-1：不同厂商安全产品选购占比情况）安全产品使用满意度部署了众多云安全产品的企业，对于其实际防护能力较为满意，68.56%的企业客户认为部署的安全产品全部从架构、意识、产品、预算、人员共同搭建的系统，在后续的调研中，我们将更多地看到，向云上转型过程中，企业在产品之外遇到的困扰与难题。1.35%4.05%1.35%4.05%13.51%4.05%22.97%24.32%所有安全产品均对业务起到有效防护作用 大部分安全产品对业务起到有效防护作用 部分安全产品对业务起到有效防护作小部分安全产品对业务起到有效防护作用 不清楚安全产品部署是否有效果 其他（图25-1：企业对安全产品的满意程度）2、预算分布：超过数企业安全投入占比大于5%企业对安全的重视程度、安全建设的好坏程度和预算投入往往是成正相关的。根据图26-1所示，24.32%业安全预算占比达到了10%以上，32.43%的占比在5-10%之间，仅有的企业投入低于1%。2.7%24.32%2.7%24.32%18.92%21.62%32.4占比企业总预算10%以上 占比企业总预算5-10%之间 占比企业总预算1-4%之间 占比<1% 其他（图26-1：企业安全预算投入情况）安全预算主要支出方向和企业重点部署的安全产品保持一致，占据大头的依旧是流量安全产品、应用安全产品和数据安全产品。值得关注的是，仅有的企业将安全人员薪酬作为主要支出方向，但与之矛盾的是，的企业认为缺乏专业的安全人员是阻碍其云上安全建设的主要原因。79.73%55.41%43.24%79.73%55.41%43.24%33.78%28.38%21.62%13.51%12.16%10.81%10.81%10.81%6.76%2.7%DDoS防护、其他Web应用防火墙、邮件安全、数字证书IAM管理、IDaaS、零信任体系、RAM主机安全产品：云安全中心（CWPP）态势感知应急响应、等保咨询端点安全产品：终端安全管理、恶意软件防护移动安全产品：移动终端安全、移动设备管理、移动应用安全运营管理产品：SIEM、边缘安全产品：SASE、UEM、其他0 10

20

40

60

80 90（图26-2：企业安全预算主要支出方向）安全预算投入是否合理对现有的安全占比及支出方向，70%以上的企业认为是合理的。安全问题未得到解决是主要原因。不清楚：12.16%

企业安全问题未解决:38.1%

其他：0%

支出太高：30.77%不合理：17.57%合理：70.27%

产品效果未达预期：38.82%

分配不合理：46.15%（图27-1：企业对安全预算支出合理性认知） （图27-1：企业认为预算不合理的原因）70%的企业在未来一年不会增加安全预算同样的，在大部分企业认为安全预算支出合理的背景下，70.27%们也看到，随着疫情、国际形势变化等新趋势，安全也在变得愈来愈重要和复杂，为了更好应对挑战，28.36%的企业选择增加安全预算支持，幅度从5-20%不等。1.35%28.38%70.27%会，预计增加预算占比至 暂不增加 会削减企业安全语速（图28-1：未来一年企业安全预算增减情况占比）这笔增加的预算将主要用于安全产品的补齐（95.24%），而随着多云混合云的部署、安全建设的复杂化，国家大型攻防活动的常态化，云安全服务支出（包括咨询、安全管家、渗透测试、红蓝对抗等）的占比有了较大提升。此外，安全人员薪酬提升，也是预算支出的重点方向之一（52.38%），让专业的人来做专业的事，也许是安全领域降本提效的最好方式。4.76%4.76%52.38%提升企业安全人员支出：增加现有人员薪酬、招聘更多安全运维人员云安全服务：咨询服务、安全管家、渗透测试、红蓝对抗 其他（图28-2：企业增加预算投入方向）3、人员分工：近数企业有独立安全部门专职的网络安全工作负责人员，更多的由其他部门同事兼职或吸纳安全公司外包人员来完成。在网络安全成为国家和企业战略要素的今天，这一情况是否有改变呢？29.73%24.32%21.62%29.73%24.32%21.62%16.22%0%其他0 5 10

15 20

30 35（图29-1：企业内部安全团队架构情况）根据图29-1所示，有45.95%的企业已设立独立安全部门，其中8.33%为一级部门。此外，23.61%立的部门，但是有专职的安全工作负责人，显示出企业对安全的重视程度有所提升。当然，仍有29.73%的企业既无独立的部门，也没有专职的工作者，以500人以下规模的小型互联网公司为主，预算的缺乏使其很难支撑起专职团队。专业人才的适配度有待提升大多数企业向云转型的过程中，都会遇到架构、产品、使用习惯上的改变，专业人才和高层的重视会使这一转型事半功倍，云安全亦然。在访谈过程中，我们看到CIO认为企业安全团队的专业性仍有待提升。根据图30-1所示，仅有企业认为他们对于云安全非常了解，34.72%一般了解，还有23.61%人员对云安全根本不了解。对于企业最高决策者而言，仅有33%的企业认为他们对云安全是了解的，而25%解或基本不了解。41.89%35.14%41.89%35.14%29.73%21.62%14.86%10.81%10.81%14.86%8.11%40200企业安全最高决策者（CSO/运维负责人）

企业安全从业人员不了解 基本不了解 一般了解 了解 非常了解（图30-1：企业各团队对安全的了解程度）低了解度带来的往往是错误的产品购买和预算投入。对现有安全预算花费满意的企业里，无论是最高决策者，还是企业从业人员，都对云安全更了解；而认为预算花费不合理的企业，相关人员对云安全不了解的比例占据45%以上。4、安全意识：在推动网络安全建设过程中，企业最高领导人的关注度十分重要，作为战略发展最重要的决策者，他们很大程度上决定了网络安全建设是否能落地。本次调研中，我们将关注度分成10个等级，其中1分为最不关注，10分为最关注。根据图31-1所示，企业最高决策者对安全的关注度平均得分达到「及格线」。0-2：69-10:103-4：99-10:103-4：9（图28-1：企业决策者对安全关注度打分）Gartner曾做出预测：到2023年，99%的云安全故障将会是用户的错³。弱密码、配置错误、钓鱼邮件等风险，更多依赖于用户安全意识的提升来规避。未来的云安全建设，取决于云厂商和企业客户的共同努力。（六）云安全建设困惑与展望：1、企业未满足的安全需求TOP3了解企业云安全现状后，我们对其现存的云安全问题、难点进行了调研，并共同展望了安全的未来。根据图29-1所示，云上安全可视化（52.78%）、自动化（52.15%）以及数据治理（51.39%）是大多数企业觉得仍需提升的点。相比而言，在安全能力上，例如移动安全、硬件安全，包括流量安全，企业需求的满意度较高。在多云部署的大背景下，企业对安全统管（跨云、跨供应商）的需求度也很高，虽然目前仅有16.22%的企业使用了第三方安全产品进行多云管理，但45.83%的企业表示他们在此方向的需求未得到满足，多云产品的适配性、统一性还有待打磨。此外，通过将预算投入方向和企业未满足的需求进行对比，我们发现：数据安全、身份管理和运营管控是TOP3有预算投入但需求仍未得到满足的产品，企业的安全需求紧跟着业务变化，安全功能也需要与时俱进。52.78%52.15%52.78%52.15%51.39%45.83%40.28%38.89%33.33%25%23.61%20.83%19.44%18.06%16.67%13.89%4.17%40200（图29-1：企业尚未满足的云安全需求）³NeilMacDonald《HowToMakeYourCloudMoreSecureThanYourDataCenter》2021。2、人才，决定了安全建设的深度根据图30-1所示，目前企业云安全建设的最大难点在安全人员匮乏其次缺乏预算（59.46%）、经验、收益（52.7%）也是企业面临的难点。而合理化预算开支、体系化建设经验、体现安全的价值和人才的专业程度是相辅相成的。59.46%59.46%55.41%52.7%22.97%5.41%安全建设的收益无法体现安全产品无法满足企业安全需求其他0 10 20

30 40

60 70 80（图30-1：企业安全建设难点排序）在希望获得的安全输入上，比起单点的产品介绍，企业更关注整体的行业解决方案、安全建设的最佳实践，包括客户案例（68.82%）的落地。36.56%88.17%68.82%36.56%88.17%68.82%61.29%2.15%其他0 10 20

40 50 60

80

100（图31-2：企业希望获得的云安全相关内容）在本次百名CIO调研中，我们可以看到企业上云速度在加快，云安全成为了此趋势的保障。随着疫情、国际形势的变化，网络攻击趋向常态化，大部分企业都曾遭受过或轻或重的攻击。为了进行更好地防控，已上云的企业，将预算主要投入在云安全产品的购买上，部署了诸多单点产品，例如防火墙、WAF等，并借助云的优势降低应急响应时间，仅有8%的攻击造成了严重业务损失。但是从整体上看，缺乏专业的安全人才、体系化的建设经验使得企业在安全可视化、自动化、数据治理等方面受挫。未来企业对云安全预算投入趋于稳定，更希望接受的输入是整体的行业解决方案，可落地的最佳实践，以及客户案例。二、2021年云上安全态势2021年，全球进入了后疫情时代，大规模的远程办公促进着企业上云率的提升，云已经成为新一代的基础设施。在对CIO的调研中，我们发现企业需要的是在单点防护产品之上，体系化的安全建设和落地。在此之前，有必要对云上常见的安全风险和情况进行梳理，阿里云作为全球第三、国内第一大的云服务商，在多年的观测2021年云上最常见的TOP10安全威胁及特点，这也是企业在建设云上安全时，最需解决的问题。（一）云上TOP10常见风险1、异常登录——2021年，弱密码依然广泛存在调研发现：内部人员弱口令、泄密等问题是用户核心担忧的云上风险之一。对2020年1月2021年5月期间的云上主机侧风险进行监控之时，阿里云发现28%的安全风险情况是异常登录造成的，其中，弱口令仍旧是云上异常登录的核心原因。根据数据统计，云上常见的弱密码类型有如下几种：123456root1231qaz@WSX12345678adminAa123456!QAZ2wsx这些弱密码广泛地分布在各种软件、应用中：mongodb2.49%mssql9.02%ssh32.03%mysql18.67%redis19.22%

openldap0.02%oracle0.95%pgsql2.97%pptp0.84%rdp13.80%阿里云安全年度报告-2021年云上安全态势 312021年云上安全态势2021年云上安全态势PAGE3232.03%的弱密码分布在SSH中，19.22%分布在redis中，18.67%分布在MySQL中，一旦含有弱密码的账户遭到字典或撞库破解，那就有可能带来的就是账户遗失、权限被盗、数据泄漏等损失。而在访谈的过程中我们发现，很多企业员工并不知道弱密码潜在的安全风险，甚至不知道什么样的密码是弱密码，企业内部安全建设急需加强。2、勒索软件根据Unit42的《RansomwareThreatReport》报告显示，勒索软件攻击在2021了93%，勒索软件受害者在2020年所支付的赎金比2019年增长了171%，达到了312493美元。超过1000业因为无法支付赎金而遭受到数据损失，在2020年，有40%新发现的勒索病毒家族在攻击中采用了数据渗透的手法。2021年，全球经历了数起大型勒索事件，带去了严重的经济损失：2021年5月9日，美国最大的燃油管道公司ColonialPipline（哥伦比亚管道）遭到DarkSide勒索软件攻击，每天可运送250万桶汽油和柴油等成品的管道网络被迫关闭，一直到5月12日才恢复营业。期间造成美国东部沿海十几个州出现恐慌抢购潮，加油站爆发油荒，造成了巨大的经济损失。2021年5月31日，全球最大的肉类供应商JBS遭受勒索软件攻击，公司服务器遭到黑客有组织的攻击，受影响的系统包括美国分部和澳大利亚分部，部分工厂暂停作业，最终公司向黑客组织支付了1100万美金。美国核武器承包商SolOriens遭遇了REvil勒索软件攻击，攻击者声称不缴纳赎金就将核武器机密信息泄漏给其他国家的军方。在众多勒索软件攻击事件中，有将近70%的勒索团伙采用双重勒索策略，以数据泄露问题威胁受害者支付巨额赎金。但是随着勒索软件技术的演进，双重勒索技术也进行了拓展和扩充，成为了“三重攻击”。REvil勒索软件组织在2021年2月宣称，他们在双重勒索方案的基础上又增加了两个阶段，即向受害者的业务合作伙伴和媒体发起DDoS攻击并拨打骚扰电话。旨在对受害公司施加更大压力，迫使他们在指定时间段内按要求支付赎金。第三方受害者（例如公司客户、外部同事和服务提供商）已经成为勒索软件组织新的攻击目标之一。RaaS（Ransomware-as-a-service）即是其中之一，它不仅极大降低了攻击者的成本，还会增加未来勒索软件的攻击事件数量，特别是针对中小企业的勒索。阿里云云上威胁情报中心在去年一年里对云上百万台主机攻防态势进行监控，通过对比2020看到在2021年5月之后，勒索软件攻击频次明显上升。70060050040030020010001 2 3 4 5 62020年 2021年（左边是2020年1-6月，右边是2021年1-6月）下图展现了2021年以来云上出现最多的攻击家族，排名第一的是出现在2018年末的Snatch家族，有数次版本更新；其次是首次出现在2017年的Globelmposter勒索病毒，主要通过钓鱼邮件进行传播，变种频繁、非常活跃。而在前两年集中爆发的WannaCry家族已经基本销声匿迹，云上客户基本已经修复了该漏洞。4%4%4%5%29%4%4%4%5%29%8%8%8%21%9%GibonBuhtrapUrsuSodinokibiMBRLockCrysis勒索软件通过各类网络、系统漏洞传播，其中较为典型的勒索软件和传播方式如下，网络传播方式中还是以RDP这类默认开放服务的暴力破解等为主。序号勒索软件名称网络传播方式1SnatchRDP暴力破解2Globelmposter钓鱼邮件/RDP暴力破解3PhobosRDP暴力破解/人工投放4Gibon钓鱼邮件5EasyRansom0day6Buhtrap0day7Ursu钓鱼邮件OracleWeblogicServer漏洞RDP攻击8Sodinokibi垃圾邮件APT水坑攻击方式漏洞利用工具包和恶意广告下载9MBRLock钓鱼邮件10 Crysis

RDP暴力破解3、挖矿蠕虫2021年各类数字加密货币价格持续走高，在4月中旬创下了接近6.5万美元的历史新高，而本以嘲讽虚拟货币市场投机热度而诞生的狗狗币，在今年1月，24小时内价格飙升了800%，市值达到100亿美元。巨大的利益背后是愈演愈烈的挖矿团伙，根据前瞻产业研究院《2021年数据货币发展研究报告》中显示，高涨的比特币价格背后，是越来越高的算力。截止2021年6月6日，比特币平均每日算力达150.97EH/s，挖矿难度达到了。为了争夺算力，各挖矿团伙加入了对主机计算资源的掠夺。阿里云根据2020-2021了典型的挖矿蠕虫及其影响范围。家族样本量影响机器数DDG157816778GuardMiner4444417437Prometei406114FritzFrog19227systemdMiner56780121508Sysrv-Hello58782458H2Miner10029316526KerberodsMiner7225185LSDMiner345148114skidmap138334368mediaservice69395974其中，出现了一些大规模的新挖矿木马团伙，凭借独特的技术特点造成了巨大的威胁。（1）次生危害性增强常规挖矿只会消耗CPU黑客团伙通过其他方面来牟利：通过长期潜伏、盗取核心数据等将一次成功的入侵行为利益最大化。例如阿里云安全对外披露的AutoUpdate僵尸网络，除了常规的持久化、挖矿牟利、隐藏自身等行为外，更会扫描失陷服务器的磁盘，盗取云账号Access等核心数据，对用户的账号和数据安全造成极高风险。（2）漏洞武器库集成更加丰富挖矿木马多数集成了暴力破解、未授权访问等几种或数十种不同类型的漏洞、服务攻击方式。例如阿里云安全对外披露的XMSSMiner集成了Confluence远程文件读取、Mock远程命令执行、ApacheSolr行等8类漏洞，涉及OA、中间件、邮件系统等云上日常服务开发等各方面。（3）多平台或成常态为了保障挖矿木马尽可能大面积的传播，除了集成更加丰富的漏洞武器库外，多平台传播也成了各个团伙的常态，利用各个系统下默认开放的服务，能最大程度入侵开放在互联网上的主机。例如阿里云安全对外披露的Lemon-duck变种，Windows平台下利用RDP暴力破解、永恒之蓝、MS-SQL暴力破解，Linux平台下利用SSH暴力破解、Redis未授权访问、WebLogic未授权访问等。其服务在系统中都以默认开放形式存在，多平台加速了其传播过程。快速0/Nday集成0day作为网络攻防中的核武器，PoC一旦在互联网中公布，便会被各个团伙收入囊中快速集成，利用企业修护漏洞的时间差进行传播。例如阿里云安全对外披露的synMiner，2021年8月26日Atlassian官方发布Conflu-ence远程代码执行漏洞通告，8月30日18时云安全即捕获了该漏洞的在野利用，而9月1日其PoC在Github公布后的不到24时即9月2日synMiner团伙便集成了该远程代码执行漏洞对外入侵、传播挖矿、DDoS木马。（5）集成正常开放服务利用企业上云后部分本地服务便转变成远程服务，例如典型的程序代码调试，整个开发过程中必要的进行端口服务开放给挖矿蠕虫造成了可乘之机。例如阿里云安全对外披露的JDWPMiner，通过Java远程调试协议JDWP进行广泛的传播，其调试过程中服务、端口不当导致全互联网暴露，造成了广泛用于开发电商、办公、CMS等Java应用被入侵。4、恶意后门：云上的恶意后门一般分为三类：类型 示例类型 示例主机类

WebShell僵尸、木马、蠕虫后门反弹Shell2021监测的全网僵尸网络排行如下:排行家族数量1Mozi2411762Outlaw2159083DDGS1083264Generic966375elf,mirai367936紫狐病毒278827doc,emotet,heodo212848doc,emotet,epoch2,heodo212089bashlite,elf,gafgyt1939510doc,emotet,epoch1,heodo12733黑客入侵主机后可以直接使用当前环境如Bash、Python、Perl等系统原生支持的语言反弹shell至C&C服务器，连接成功后即拥有了该系统的全部权限。常见的反弹shell类型如下：序号 类型序号 类型Bash反弹Shellperl反弹ShellPython反弹Shellruby反弹Shellnc反弹Shelljava反弹Shellxterm反弹Shellexec反弹Shellmeterpreter反弹Shell在2021年上半年，整体WebsShell的告警呈现稳定攀升趋势。45000004000000350000030000002500000200000015000001000000500000020210000 20210100 20210200 20210300 20210400 20210500 20210600 20210700然而值得注意的是，企业对于网站后门文件的处置率普遍不高。全云客户的WebShell的处置率仅有38%。而通过老WebShell上传新WebShell的方式是一种核心的入侵方式，一旦新的WebShell传，植入的WebShell还可能被其他黑客利用，造成更大危害。此外，我们看到云上付费客户的WebShell处理率达到了67%，提升了近30%，对于企业而言，提升安全意识也许是增加WebShell处理率的最好方法。5、漏洞入侵（Nday/0day）调研发现，过去的一年企业遭受最多的云上攻击是Web漏洞攻击，占比达到48.61%，为企业最常遭遇的安全风险。据阿里云安全中心监测，2021年上半年（1-6月），互联网共披露的安全漏洞达9364数达到563个，其中：系统漏洞2171个，涉及89种系统类型；应用漏洞4933个，涉及2490款APP；这些漏洞中，低危漏洞占比67%，中危和高危漏洞总占比达到33%，和修复的漏洞。低危中危高危根据漏洞是否曾经被发现过，可以将其分为0day漏洞和Nday漏洞。近年来越来越多的企业和安全产品开始关注对0day漏洞的防御能力。然而对于大部分企业来说，更需要关注的依旧在Nday漏洞上，阿里云发现云上三分之一的漏洞来源于客户没有及时更新或下载补丁，甚至对一些已经披露过多次的漏洞，仍旧有客户没有修复。阿里云安全中心也在持续监控云上漏洞情况，在过去一年里，帮助客户在云上修复336万个漏洞，保护云上环境安全。根据漏洞修复情况，阿里云整理2021年的0day与常见Nday漏洞如下，同时也建议客户使用云上自动化扫描工具，持续监控云上服务器、容器、应用等模块，及时修复，避免损失。（1）0day漏洞（2）Nday漏洞年度有特点的0day过去一年挖矿和蠕虫使用最常见漏洞Top10YApi管理平台任意代码执行漏洞ApacheShiro<=1.2.4默认密钥致命令执行漏ApacheDubbo多个高危漏洞洞（CVE-2021-30179等）Thinkphp<5.0.23/5.1.31远程代码执行漏洞用友NCBeanShell远程代码执行漏洞（CN-ThinkPHP<5.0.24/5.1.33远程代码执行漏洞VD-2021-30167）Struts2系列漏洞VMwarevCenterServer远程代码执行漏洞OracleWebLogicT3反序列化代码执行漏洞（CVE-2021-21985）OracleWebLogicServer/console/console.-ApacheOFBiz反序列化任意代码执行漏洞portal 接口远程代码执行漏洞（CVE-2021-30128等）CVE-2020-14883ApacheDruid远程代码执行漏洞JenkinsGroovyPlugin远程代码执行漏洞（CVE-2021-26919）SpringBootActuator未授权访问远程代码执F5BIG-IP/BIG-IQ多个严重高危漏洞行漏洞（CVE-2021-22986等）Confluence远程代码执行漏洞SaltStack多个高危漏洞（CVE-2021-25283XXL-JOBAPI接口未授权访问致反序列化漏洞等）VMwarevCenterServer远程代码执行漏洞（CVE-2021-21972）ApacheSkywalkingGraphQL注入与远程代码执行漏洞（1）0day漏洞（2）Nday漏洞年度有特点的0day过去一年漏洞数最多的应用Top10ApacheDruid远程代码执行漏洞Drupal(CVE-2021-25646)各类国产OAJumpServer远程命令执行漏洞ShiroLaravel<=8.4.2Debug模式_ignition远程代Webloigc码执行漏洞XXL-job致远OAajaxActionformulaManager文件上SaltStack传漏洞宝塔致远OAmenu.douploadMenuIcon文件写入ApacheDruid漏洞JenkinsApacheFlink高危漏洞预警Spring（CVE-2020-17518/CVE-2020-17519）骑士CMSweixinconnect远程代码执行漏洞SolarWindsOrionAPI远程代码执行漏洞（CVE-2020-10148）SolarWinds供应链攻击事件ApacheStruts远程代码执行漏洞（S2-061、CVE-2020-17530）Drupal远程代码执行漏洞（CVE-2020-28949、CVE-2020-28948）骑士CMSassign_resume_tpl远程代码执行漏洞Drupal远程代码执行漏洞（CVE-2020-13671）XStream<1.4.14远程代码执行高危漏洞（CVE-2020-26217）6、未经授权的访问风险。造成未经授权访问一般有如下几类原因：弱密码社会工程学攻击，主要集中在钓鱼邮件存在漏洞的系统或账户内部威胁，员工主动进行的信息窃取、泄漏等恶意软件，例如Zeus恶意软件，使用僵尸网络来入侵目标系统并进行凭证盗取而云上监测到未授权访问漏洞利用尤甚，类型包含了数据库、分布式计算平台、消息中间件、编排引擎等各类应用，其中比较常见的如下序号漏洞类型1Redis未授权访问漏洞数据库2Mongodb未授权访问漏洞数据库3Memcached未授权访问漏洞分布式的高速缓存系统4ZooKeeper未授权访问分布式应用程序协调服务5Elasticsearch未授权访问分布式全文检索引擎6Kibana未授权访问分析和可视化平台7DockerRemoteAPI未授权访问漏洞容器8KubernetesApiServer未授权访问漏洞容器编排引擎9Hadoop未授权访问分布式系统基础框架10jenkins未授权访问漏洞持续集成工具11ActiveMQ未授权访问漏洞消息中间件12RabbitMQ未授权访问漏洞消息队列13Springbootactuator未授权访问漏洞监控系统数据框架14JBOSS未授权访问漏洞应用服务器15dubbo未授权访问漏洞分布式服务框架16druid未授权访问数据存储17CouchDB未授权访问漏洞数据库管理系统18AtlassianCrowd未授权访问漏洞单点登录和身份认证平台19JupyterNotebook未授权访问漏洞交互技术应用程序20SparkRESTAPI未授权访问漏洞计算引擎下图展示了2021年以来云上受未授权访问漏洞资产影响面，排名第一的是分布式全文检索引擎，消息中间件、数据库存储等重要应用名列二、三。数据、计算作为云上最重要的资源，未经授权的服务开放，互联网上的任何个人和团伙都可以轻松访问，给企业带来的潜在影响是极其大的。ElasticsearchdruidDockerRemoteAPI未授权访问漏洞HadoopSpringbootactuator未授权访问漏洞SparkRESTAPI未授权访问漏洞KubernetesApiServerjenkins未授权访问漏洞7、API滥用云原生产品、架构、业务大多支持统一的Open API接口，提升便利度的同时，也增加了API风险管理的要性。根据阿里云的数据观察和统计，在云上中，超过86.98%的客户在业务中使用API，超过66.69%的业务（域名）存在API接口，API流量占应用层总流量超过76.98&。有API接口的客户 暂未使用API客户 有API的业务占比 暂无API的业务 API总流量（天） 其他流量随着API使用的增加，API流量中的恶意流量和机器流量占比也在逐步增加，据阿里云观察，2021年通过API的流量中，有63.07%的流量为恶意流量和机器流量。恶意API流量占比 其他流量从全球范围来看，根据《SaltSecurity》的报告显示，在过去六个月里（2020年12月-2021年6月）通过API的恶意流量增长了348%，在2021年里，有91%的企业和组织遭受过API的安全问题。不安全的API会带来各种不同的业务风险，从统计数据来看，在过去一年里，55%的企业在开发和使用API程中遭遇过漏洞攻击，39%的企业遭遇过鉴权问题，23%的企业遭遇过DoS攻击。为了帮助企业更好地保护API，阿里云根据防护经验梳理了API险情况，如下所示：设计阶段定义确定业务需求，明确API风险业务设计缺陷，如输入输出设计不合理，输入中引入冗余参数、输出中暴露过多数据；敏感数据明文传输，未做加密或脱敏设计——55.88%的客户存在敏感数据过度暴露问题；权限设计缺陷，未遵循最小权限原则，导致接口存在未授权访问风险——72.06%的客户缺乏鉴权机制和敏感数据接口。开发阶段定义技术人员依据业务需求和接口设计，开发实现接口功能。风险代码缺陷，导致接口存在稳定性风险、漏洞性能风险，接口处理性能无法满足业务正常需要缺乏异常处理，导致处理不正常数据时报错，泄漏开发配置信息。发布阶段定义风险新接口上线，未纳入安全管控，导致疑似内部接口暴露，产生新的攻击面：64.71%的客户存在此类风险；接口未做访问控制，导致接口暴露，如将内部办公或特定群体使用的接口暴露在公网缺乏访问限速机制：83.82%的客户存在此类风险。运行阶段定义风险稳定性风险，由于接口设计开发缺陷、业务变更、DDoS非法调用，如未授权访问、越权访问等，导致数据泄漏、数据污染等；接口滥用，如短信接口滥用、非法爬虫、垃圾注册等；恶意攻击，如漏洞攻击、暴力破解等；日志缺失，接口运行过程中缺少日志记录。迭代阶段定义因业务变更、升级改造等因素，需要对接口进行版本迭代（通常会重走前述流程风险版本迭代过程中，业务稳定性风险； 老版本接口退役后未及时下线关闭，仍可被调用。下线阶段定义风险接口下线后未及时关闭，仍可被调用。8、DDoS攻击（1）带宽攻击阿里云2020年发布的《阿里云安全DDoS攻防态势观察》里，我们看到相比2019年，2020年在以消耗网络带宽为目标的大流量攻击上，5Gbps以上规模事件显著增加，100Gbps以上规模时间占比更是连续2年翻倍。>100Gbps3.2%>100Gbps3.2%>100Gbps6.3%2.4%50-100Gbps29.8%10-50Gbps14.5%5-10Gbps<5GbpsVS4.9%50-100Gbps32.4%10-50Gbps5-10Gbps34.8%<5Gbps2019 2020此外，与2019年同期对比，2020年1-6月的DDoS攻击事件增长了26%，疫情和远程办公极大地增加了攻击的数量，而DDoS攻击数量在2021年有较为明显回落：160000140000120000100000800006000040000200000数据显示，2020年春节期间DDoS攻击数量经历了一个最高峰，此后到11月一直有回落，在2021年春季期间又有所反弹，此后又持续下降，趋于稳定。疫情导致DDoS攻击猛增的情况已经逐步平缓。（2）攻击流量变化从2020年1月到2021年5月的四层、七层防护数据如图，在进入2021年以来，DDoS的流量峰值明显有放缓。9080706050403020100（四层cps流量峰值）去年11、12月疫情期间，应用层资源耗尽型攻击（七层CC）HTTP攻击峰值536.9W QPS；HTTPS攻击峰305.9WQPS。6005004003002001000（七层QPS流量峰值）（3）行业属性从2020-2021年的攻击行业分布来看，受到攻击最多的是数据服务类企业，且数量远大于其他行业，数据资产已经变得愈发重要。其次是互联网基础设施和服务行业，以及游戏行业、媒体行业、新零售行业、金融行业等。120000100000800006000040000200000（4）攻击手段2021年的大流量DDoS攻击中，UDP协议利用仍是主要手段，占比23%，其次为Net反射和ssdp反射。同时我们发现，在全部的攻击事件中，76%的DDoS事件采用混合攻击手段，仅有24.02种手段的部分中，平均每次事件混合了种类型。5.86%

3.84%Memcached反射

0.70%ICMPFlood 0.60%CHARGEN反射攻击ACKFlood8.57%DNSFlood大流量攻击类型分布 9.46% CLDAP12.38%SSDP反射

23.38%UDPFlood18.64%SYNFlood16.57%NTP反射出现形式： 混合攻击占比（5）攻击团伙4.7%4.7%40.3%11.3%单一团伙攻击资源规模分布

<=50005001-1000010001-2000020001-3000030001-40000>=40001团伙关联逻辑攻击类型 判定方式传统僵尸网络肉鸡 通过中控协议识别到中控IP+端口，结合情报数据关联分析，相同中控域名判定为同一攻击团伙。基于反射源类型、反射源IP重合度、反射协议放大倍数和攻击Payload特征、反射类攻击手段 时间窗口内攻击目标重合度等多个维度，对不同反射攻击时间聚类，两次攻特征相似判定为同一攻击团伙。作为云上最为普遍的攻击之一，各云上客户需要重点防护。在今年监控到的DDoS攻击中，阿里云实现了99%的总防护成功率。不同于纯靠大带宽去抗，有效的威胁情报和多层联动处理能力都帮助阿里云更好地对DDoS攻击进行防护：在2021年防护的攻击中，有52.36%的攻击流量直接由情报能力阻断，同时七层联动四层的能力，让74.61%的攻击流量由