■青藤联合IDAC、腾讯标准、腾讯安全共同发布《2019中国主机安全服务报告》( 三 )
文章图片
图十二:Webshell语言类型的比例分布
此外 , 在本报告中 , 根据不同操作系统样本数据进行分析 , 总共发现超过3000台Windows服务器感染了挖矿木马 , 其中超2000台Linux服务器感染了挖矿木马 。
通过对被感染的主机进行分析 , 发现挖矿木马主要挖比特币与门罗币 。 猜测其原因 , 可能是比特币是数字货币的开创者 , 其价值非常高 , 当仁不让地成为黑客的重点关注对象 。 而门罗币则是新兴的数字货币 , 由于主要使用CPU进行挖矿 , 所以黑产团伙喜欢利用入侵服务器进行挖矿 。 从入侵挖矿时间的角度来看:
Windows平台挖矿事件主要出现的年初(1月-3月)和年底(12月)如下图所示:
文章图片
图十三:Windows平台挖矿事件月度统计
但是 , Linux平台挖矿事件主要集中在年中(4月-6月)和年底(11月-12月):
文章图片
图十四:Linux平台挖矿事件月度统计
可以看出 , 无论Windows平台还是Linux平台 , 年底都是挖矿入侵事件的高发时期 , 这段时间需要重点关注服务器是否出现CPU占用过高的情况 。
判断是否满足合规
所有企事业单位的网络安全建设都需要满足国家或监管单位的安全标准 , 如等保2.0、CIS安全标准等 。 安全标准 , 也称为“安全基线” 。 安全基线的意义在于为达到最基本的防护要求而制定一系列基准 , 在金融、运营商、互联网等行业的应用范围非常广泛 。 通过合规基线进行自查和自加固可以更好地帮助企业认清自身风险现状和漏洞隐患 。
主机账号安全性的重要性不言而喻 , 但是在样本分析过程中 , 我们仍然发现很多账号存在不合规情况 , 例如未设置密码尝试次数锁定、未设置密码复杂度限制等 , 这不符合国家等级保护相关要求 。 在等保2.0通用基本要求的身份验证控制项中明确要求“应对登录的用户进行身份标识和鉴别 , 身份标识具有唯一性 , 身份鉴别信息具有复杂度要求并定期更换”、“应具有登录失败处理功能 , 应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施” 。 
文章图片
图十五:主机账号的不合规情况
此外 , 主机服务器上承载了非常多的应用 , 如果应用中存在不合规的情况 , 例如配置错误、未修补的漏洞补丁等 。 那么黑客通过应用就能进入主机系统内部 , 这将带来极大风险 。 
文章图片
图十六:常见应用的配置风险
当然 , 如果没有对主机底层的操作系统进行适当配置 , 就会引发许多安全问题 。 建议安全运维人员能够谨慎配置主机来满足组织机构的安全需求 , 并能够根据需求重新配置 。 通过研究分析样本数据 , 发现GRUB密码设置、UMASK值异常、未开启SYN COOKIE这三类问题是所有主机系统风险中所占比例最多的三类 。 
文章图片
图十七:主机系统不合规的情况分析
3个层面解读未来主机安全进化方向
正如达尔文《进化论》说 , 进化来源于突变 , 而安全面对的正是“不可预知的未来” 。 主机安全作为网络安全领域中的重要分支 , 面对难以预测黑客攻击手段 , 传统的防范、阻止策略已经行不通 。
推荐阅读
- 扬州被联合国授予世界美食之都 目前全球仅有8座城市入选
- 中国政府联合医疗工作组抵达乌兹别克斯坦
- 联合国机构:疫情或致非洲30万人死亡、1.2亿人感染
- 陆军第80集团军组织陆航特战联合伞降训练
- 纽约联合国总部员工远程办公期限延长至5月底
- 【世卫组织】联合国:疫情或致非洲超30万人丧生、1.2亿人感染
- 表面是德艺双馨的“老实人”,私下却联合男友诈骗粉丝千万财产?!
- 作业@辽宁省气象部门开展空地联合增雨作业 助春播降火险
- 联合国警告:疫情造成的经济下滑可能导致数十万儿童死亡
- 山东乳山检察院联合市妇联开展亲职教育工作