多少道防线才能挡住Azure云黑客?

发布日期:2024-01-04 10:30
岁末年初,正是各种数据安全事件多发的时期。

最近便有客户跟小编吐槽,企业云端虚拟机遭到了黑客攻击,导致损失了几十万,而且经过事后调查,判定云平台并无责任,需要使用者应承担全部责任,真是苦不堪言!


snapshot
为此,客户专门向我们讨教,企业到底如何才能保护云端数据安全,有效防范企业云端平台的漏洞。

这不,小编带着迅易科技智能云服务的专家们来了。让大家更清晰地了解Azure云黑客攻击的来龙去脉,同时提供了对应的解决办法,也方便企业参考,防患于未然。(以下访谈内容已进行整理)

01 企业遭遇黑客攻击,损失高达几十万

小编:这次主要发生了什么类型的黑客攻击事件?造成了什么损失?

专家:某IT公司一直使用Azure云实现数据服务、应用服务和网络服务,但是最近该企业虚拟机遭受了挖矿病毒的网络攻击。了解到该企业搭建了5台虚拟机用于测试,数据中心在国内,部署过程中开发人员在一台虚拟机打开了某类高危端口,导致直接暴露在Internet上的端口,在短短一天内,便遭到了国外异常IP的入侵。该黑客伪装成该企业的用户执行可疑进程,将虚拟机CPU占满,导致流量异常暴增,几TB的数据传出,产生了高额的出站流量费用

snapshot
为此,在短短一周内,该企业就直接产生了几十万的费用,在当前严峻的经济环境下,无疑是中小企业的一笔巨大开支。

小编:此次黑客的主要攻击手段是什么?

专家:在事件发生后,该企业的运维人员通过某些杀毒的方法进行清除,但是黑客却使用了Rootkit手段。一般来说,Rootkit自身并不是恶意软件,它是恶意软件用来隐藏自己的一种手段。而且经黑客改造的Rootkit可能包括间谍软件和其它程序,如监视网络通信和用户击键的程序,也可以在系统中构建一个后门便于黑客使用,还可以修改日志文件,攻击网络上其它计算机,或者改变现有的系统工具用以逃避检测。黑客利用多种技术来操纵操作系统,让用户无法利用普通的杀毒软件来找到其踪迹,更别说清除了

小编:当遭遇攻击的时候,是否有相关预警信号?有什么补救措施?

专家:此次的事故没有相关的预警信号,企业其实需要自行设置 Log Analytics日志分析告警、 Defender for cloud安全警报或者 Azure Monitor 自定义的警报规则(例如网络流量异常增加等)。

当时,该企业的杀毒措施主要是:首先用crontab查看有没有可疑的任务,注释掉;接着通过ps看kdevtmpfsi进程号,systemctl查守护进程,把kdevtmpfsi和守护进程一起杀掉,杀完后通过全盘搜索kdevtmpfsi和kinsing并删掉,但以上杀毒措施并不能杀除病毒,只能够删除虚拟机重建。

小编:经过这个案例,我们帮助企业针对云平台又做了什么安全保障?

专家:经过这次事件,我们帮助该企业的运维人员采取了更牢固、更严密的安全保护措施。第一,设置账号密码复杂度;第二,修改默认远程端口,并设置允许访问白名单;第三,禁止可疑IP访问端口;第四,设置网络流量异常告警;第五,开启Defender for cloud。通过这些安全措施,帮助企业确保服务器稳定,减少暴力、DOS/DDOS、钓鱼攻击等,保护数据安全,有效降低30%的云服务成本,而且我们也已经成功帮助企业拦截2个恶意攻击。

此外,我们还帮助该企业的运维人员还制定了完善的运维方案及应急计划。其中包括:制定完善运维方案、定义安全基线、明确责任归属、定期评审和完善、应急计划等。

小编:从这个案例中,开发者们应该能够获得到哪些关键信息呢?

专家:此次攻击中,我们并不能做详细的溯源分析,因为我们本来就是个裸奔的状态,溯源分析需要提前部署一些安全服务才能做到。但是就对黑客的攻击手段来说,也是在不断更新迭代,越来越复杂的攻击手段,自动化的工具等。

比如在系统层面,建议开发者在安装配置系统时,安装应用需要的最少的包,开启最少的服务,达到让黑客无法通过不在控制范围内的端口入侵。


02 为什么全球企业云上安全事故频发?

小编:造成当前黑客攻击严峻态势的主要原因是什么?

专家:造成当前黑客攻击严峻态势的主要原因有以下原因,首先是技术发展,随着互联网的快速发展,新的攻击手段和工具不断涌现,使得网络安全防护面临更大的挑战。其次是企业信息化程度变高,各行各业的信息化程度使得黑客了可趁之机。再者是用户意识低,很多用户对网络安全的认识不够,给黑客攻击提供了机会。最后是法律法规滞后,在一些国家和地区,关于网络安全的法律法规还不完善,对网络犯罪的处罚力度不够,不能有效地震慑黑客。

snapshot

小编:这种攻击是普遍现象吗?他们主要针对什么样的行业/人群进行攻击?

专家:是的,非常普遍。国家网络行动针对全球各个部门,他们主要按地区划分出最具针对性的部门进行攻击,尤其是智库、非政府组织和大学成为黑客攻击的首要目标


snapshot
技术层面上,黑客主要攻击手段是:
1. 恶意软件:包括病毒、蠕虫、特洛伊等,这些可以破坏系统,窃取信息,甚至控制计算机。
2. 钓鱼攻击:通过伪造网站或电子邮件,诱使用户输入敏感信息,如密码、信用卡号等。
3. 拒绝服务攻击:通过大量无意义的请求,使得目标服务器无法正常提供服务。
4. 零日攻击:针对尚未公开的系统漏洞进行攻击。
5. 社会工程学:利用人的心理弱点,诱使其泄露敏感信息或执行某些行为。

小编:微软作为拥有全球安全合规认证最多的公有云服务商,能够提供相关的安全体系,为什么还会发生此类黑客攻击事件?

专家:相对其他厂商来说,微软云服务已经是比较安全的。尽管微软Azure确实提供了强大的安全特性和控制,但这并不能完全保证防止所有黑客攻击。没有一个安全厂商能保证100%的安全,只能尽可能的加强防范,使安全防护无限接近100%。发生黑客攻击事件的原因通常是:


人为错误:如果安全特性没有正确配置或使用,则无法提供预期的保护。例如,如果管理员设置了过于宽松的权限,或未正确配置防火墙规则,这可能会导致安全漏洞。
高级持续性威胁(APT):一些黑客或黑客组织拥有高级技能和资源,能够进行复杂和持久的攻击。他们可能会利用尚未公开或尚未修复的漏洞(即"零日"漏洞)进行攻击。
社会工程学攻击:这种类型的攻击通常涉及欺骗人们泄露他们的凭据或其他敏感信息。例如,网络钓鱼攻击可能会诱使用户点击恶意链接或下载恶意软件。
责任共担模型:大多数云服务包括Azure,都遵循“责任共担模型”的安全模型。在这种模型中,云服务提供商负责保护云基础设施的安全,而客户负责保护他们在云中存储和处理的数据的安全。
内部威胁:企业中不满的员工或内部攻击者可能会滥用他们的权限,窃取数据或破坏系统。
snapshot
因此,即使Azure提供了强大的安全功能,也需要用户正确地配置和使用这些功能以及采取其他必要的安全措施,以最大限度地降低被黑客攻击的风险。

03 企业如何保护云上安全?

小编:为了实现企业Azure云安全架构,我们应该怎么做?

专家:当企业成功上云之后,为了确保整个云环境能够始终保持安全和稳定的运行,治理手段同样不可或缺,可以通过以下手段让企业治理策略有效执行。

snapshot
策略和治理:云安全架构是基础,明确各种安全措施和流程。
人员培训和意识:确保员工接受定期的安全培训。利用好技术和工具,通过Azure提供的各种安全工具和服务,确保这些工具和服务被正确配置和使用。
做好持续监控和响应:建立一套持续的安全监控机制及团队,包括使用Azure Monitor、Azure Sentinel等工具。
实现数据保护:包括数据加密、备份和恢复及访问的严格控制。
保证合规性:根据你的行业和地理位置,你可能需要遵守各种数据保护和隐私法规。确保你的云安全架构符合所有相关的法规要求。
建立安全文化:使每个人都意识到安全的重要性,都积极参与到保护企业安全的行动中来。
snapshot

小编:企业构建云安全架构体系,所需成本高吗?

专家:越安全的架构成本肯定是越高的。但是构建企业Azure云安全架构体系的成本取决于许多因素,包括企业规模、企业选择的Azure服务、企业安全需求等。虽然初始投入可能较高,考虑到网络安全事件可能导致的损失,这样的投资通常是值得的。另外,Azure提供了许多内置的安全工具和服务,这些都包含在企业的Azure订阅费用中,不需要额外支付。

小编:构建安全架构体系后,在IT运维方面会存在哪些影响因素?开发者技能上有哪些改变?

专家:构建企业Azure云安全架构体系后,会对IT运维和开发者的工作带来一些影响和变化。
snapshot
尽管这些变化可能会带来一些挑战,但它们也是提高企业安全性的必要步骤。通过正确的培训和支持,才能让企业的IT运维和开发者团队可以成功地应对这些挑战。

04 迅易云安全服务的优势在哪?

小编:企业想要保障云服务的安全,我们将从哪几个方面应对?

专家:企业应该采取全方位的防护措施来保障云安全,包括加强访问控制,采用加密技术,实施防火墙,实施漏洞管理,监控和响应以及选择可信赖的云服务提供商。作为支持众多国内外云产品的技术服务提供商,迅易科技可以根据企业自身的需求,帮助企业进行推荐选择与采购,并建议企业正确配置和使用这些功能。比如,Azure提供了一系列的安全产品和服务,这些工具可以帮助企业检测和防止安全威胁,保护企业的数据和应用程序。此外,我们还能提供策略和治理的优化,提升全员安全意识和培训,持续监控和响应以及数据保护等方面的服务。

snapshot

小编:对于要满足企业安全需求,针对此类型Azure云攻击,我们构建的安全体系有什么优势?

专家:针对Azure云攻击,建立一个有效的安全体系对于满足企业安全需求至关重要。以下是一些优势:
统一的基础设施安全管理系统:使用 Defender for Cloud,可提供增强可见性和控制Azure资源的安全性。

更牢固的云网络防火墙:使用 Azure 防火墙,提供出站和入站访问控制。

更安全的访问控制和身份验证:使用 AD管理用户访问和身份验证,可设置多因素认证(MFA)提高安全性。

让数据加密:可使用 Azure Key Vault 对数据加密,以及管理和保护用于云应用程序的密钥和其他机密。

持续监控和审计:Azure 提供一系列的日志和监控工具,实时监控安全情况并进行审计。

及时打补丁和更新:确保 Azure 服务和应用程序都已更新到最新版本,并及时打上所有的安全补丁。
snapshot
云上安全,至关重要!如果您想要了解更多云安全的内容和技术手段,欢迎前往迅易科技官网联系我们,我们将有智能云服务的两位专家为您答疑解惑~

图层 5