2024年云上攻防发展洞察.pdf

资源描述

1、云上攻防发展洞察云上攻防发展洞察前言云计算技术持续迭代创新，企业上云转型加速进行，随着企业云上资产和业务的比重逐渐提升，安全问题日益凸显。针对云上资产的网络攻击事件层出不穷，云计算技术被滥用的风险迅速增加，云上攻防态势和发展备受关注。本报告梳理了云计算场景下的网络攻防态势现状，分析当前我国云上攻防行业市场格局，归纳常见网络攻击技术和防御手段，以探讨传统网络攻防和云计算结合的新态势，洞察云计算时代网络空间安全的行业未来发展。前言编制组王睿宁孔松郭雪吴剑刚梁伟廖铨何永翀严仍义周月徐贤范淑杰李晓明郑斌刘金革陈焕新编制组目录一、云上攻防态

2、势洞察.1（一）云上风险点位增加，攻防视角发生变化.1 1云上风险点位变化.1 2网络攻击目标变化.2 3网络攻防形式变化.4（二）科技竞争引导网络博弈，云上防御体系逐渐完善.6 二、云上攻防市场洞察.8（一）我国云上攻防市场不断扩大.8（二）国内外市场格局基本形成.12 1云计算攻防产品和服务品类丰富.12 2国内外云安全市场参与者众多.13 三、云上攻防技术洞察.16（一）攻防技术逐渐适应云计算环境.16（二）攻防框架构建体系化知识库.23 四、发展趋势与建议.26（一）ICT 新技术融合加速云上攻防态势复杂化.26（二）多措并举维护云安全生态.28 附录：云安全实践优秀案例.30 目录

3、图目录图 1 云上攻防场景示意图.1 图 2 2022 中国通用网络安全服务细分市场规模.9 图 3 2022 年中国数据安全、安全网关、终端安全市场占有率.10 图 4 企业云安全建设主要驱动因素.11 图 5 云上攻防产品和服务概览.13 图 6 最受关注的 API 安全问题 Top10.17 图 7 云平台 DDoS 防御架构参考.21 表 1 近期大规模云上网络攻击事件.3 表 2 国外云安全市场典型企业.14 表 3 国内云安全市场典型企业.15 图目录表目录云计算标准和开源推进委员会云上攻防发展洞察（2024）1 一、云上攻防态势洞察随着数字化转型不断推进，云计算与大数据

4、的应用衍生至千行百业，各类云服务承载了无法估量的数字资产，互联网则支撑了海量数据和信息在云上业务间传递。云计算在赋能数字化发展的同时，也为黑客提供了新的攻击目标和攻击手段。时逢全球局势动荡，科技竞争激烈，网络攻防态势日益严峻。本报告从网络攻击侧和防御侧的典型态势出发，聚焦云计算环境新风险，洞察云上攻防新趋势。来源：中国信息通信研究院图 1 云上攻防场景示意图（一）（一）云上风险点位增加，攻防视角发生变化云上风险点位增加，攻防视角发生变化 1云上风险点位变化云上风险点位变化业务上云打破了传统数据中心的集中式部署方式，分散化的数据存储和即开即用的原生化服务对网络性能高度依赖，增加了云计算安全的

5、风险点位。云计算标准和开源推进委员会云上攻防发展洞察（2024）2 隐私和数据泄露风险增加，一些云用户安全意识薄弱，时常出现凭据信息保存不当、数据访问操作不规范等情况，增加了敏感信息暴露在网络中的潜在风险。服务可用性不受控，云厂商承担着大部分数字基础设施运行和维护的责任，一旦遭受网络攻击造成服务不可用，可能会影响众多企业的业务运营，云用户自身则难以规避此类风险。云上风险暴露面扩大，为满足日益复杂的业务需求，多云、混合云部署成为常态，各类管理平台、运维工具关联众多云上资产，每一个开放接口和网络边界都是潜在的攻击面，增加了风险暴露管理的难度。易受互联网波动影响，用户上云用云高度依赖互联网，尤其是公

6、有云和专有云，用户侧的网络传输质量不确定性大，网络延迟、中断等情况将严重影响使用体验和安全性。企业上云使得潜在的安全风险发生变化，面向云的攻击者与防御者视角也随之改变。2网络攻击目标变化网络攻击目标变化传统数据中心多为“存用一体”的业务架构，对于攻击者来说，能够渗透目标企业的网络、存储等基础设施，就意味着对数据和应用的破坏也轻而易举，而在云计算环境中，攻击目标被拆分成云服务商和云用户两个主体，双方面临不同的安全风险。一是面向云服务商的攻击主要针对数字基础设施，造成大规模数据泄露、服务不可用和数据勒索等事件。目前，数据窃取仍是黑客云上攻击的主要意图，其影响范围广且难以预防。2023 年数据泄露

7、的平均成本达到445万美元，创历史新高。今年5月，云存储巨头Snowflake的大量客户实例遭黑客攻击，导致全球超过 165 家知名企业发生大规云计算标准和开源推进委员会云上攻防发展洞察（2024）3 模数据泄露，成为云计算历史上最严重的数据泄漏事件之一。此外，对云服务商的勒索攻击迅速增长，涉及数据量和金额不断创下新高，由于各国对勒索事件的监管力度不一，存在大量灰色地带，其扩张趋势在短时间内难以遏制。二是面向云用户的攻击主要集中在用户终端或云外网络，利用了部分用户安全意识薄弱、安全配置不足的特点。主要手段包括通过网络钓鱼窃取隐私信息、利用暴露的网络端口和 API 进行非法访问、扫描并入侵用户配

8、置漏洞和未及时更新的系统漏洞等。云上攻击者利用API Key、敏感文件执行等手段发起攻击的次数明显上升，暴力破解、钓鱼攻击、社会工程等针对用户侧的攻击大幅增加。虽然大多数企业都已建立安全防御体系，但由于安全人员匮乏、安全预算不足、云安全理念和决策落后等原因，往往处于被动防御状态，为不法分子创造了可乘之机。表 1 近期大规模云上网络攻击事件时间时间安全安全事件事件攻击方式与影响攻击方式与影响 2023 年 8 月数据加密勒索丹麦大型云服务提供商CloudNordic服务器遭勒索软件加密，所有系统、网站和邮件不可用，导致全部客户数据丢失，公司陷入“彻底瘫痪”。2023 年 11 月密码

9、泄露斯洛文尼亚电力公司 HSE 遭受勒索软件攻击，攻击者通过从未受保护的云存储实例中窃取了 HSE 系统的密码，锁定了 IT 系统和文件。2024 年 1 月 API 数据泄露 Atlassian 旗下的在线项目管理工具 Trello 遭到黑客攻击，黑客利用其公共 API 匹配云计算标准和开源推进委员会云上攻防发展洞察（2024）4 时间时间安全安全事件事件攻击方式与影响攻击方式与影响现有的电子邮件数据库，超 1500 万数据被泄露。2024 年 2 月数据加密勒索美国最大的医疗 IT 公司 Change Healthcare遭受了医疗系统有史以来最严重的勒索软件攻击之一，导致美国

10、各地药店瘫痪，处方药的配送出现严重问题，初步损失超 60 亿元。2024 年 3 月 DDoS 攻击法国多个政府机构遭遇了大规模的分布式拒绝服务（DDoS）攻击，影响了超过 300 个网页域名和 177,000 个 IP 地址，导致重要公共服务网站的严重中断。黑客组织Anonymous Sudan 声称对此次攻击负责。2024 年 5 月云存储数据泄露云存储巨头Snowflake的大量客户实例遭黑客攻击，导致全球超过 165 家知名企业发生大规模数据泄露，数以亿计的个人受到影响。来源：公开资料整理 3网络攻防形式网络攻防形式变化变化云计算在提供便捷的计算资源和服务的同时，也为网络攻击提

11、供了更多形式和手段，大规模、有组织的长期对抗成为主流。云计算环境数据集中化，是网络攻击的重点目标，更是国际上有组织、有实力的黑客团体制造大规模安全事件的绝佳标靶。反之，云计算分布式部署和资源虚拟化的特性同样可能被黑客利用，捏造虚拟身份，隐藏真实地址，增加了企业威胁防御的难度，也使得攻击溯源更加复杂。云计算标准和开源推进委员会云上攻防发展洞察（2024）5 一是大规模恶意攻击以云网络为介质，传播速度快，攻击频率高，破坏力强。黑客突破云服务商内部防火墙，将木马病毒植入到云服务器上，就能够利用云计算的特性轻而易举地侵占计算资源或传播木马病毒。近年来，针对云平台的大规模挖矿攻击层出不穷。“8220”挖

12、矿组织通过向云平台传播恶意脚本，自动下载挖矿程序以及其他恶意程序。“Outlaw”则是攻击云服务器组建僵尸网络，在节点中植入挖矿木马，并通过云网渗透扩张，以获得更大规模的计算资源。这些挖矿组织长期活跃，造成了大量算力流失和资源浪费。二是云计算提供虚拟资源和服务，为匿名访问提供便利，攻击者真实身份难追溯。洋葱网络（Tor）是黑客常用的分布式匿名网络，可以通过多次跳转来保护用户的隐私和匿名性。攻击者在云计算环境中部署 Tor 节点用以传播恶意流量，不但弱化了网络攻击地域限制和资源限制，还可以利用协议伪装使得攻击流量几乎不能被溯源工具拆解分析。三是云计算成为关键数字基础设施，云上攻击对重点行业的影响

13、加剧。长期以来，高级持续攻击（APT）都是黑客组织入侵他国数字基础设施，破坏重要机构，窃取机密信息的主要手段。随着军事战术、空天科技、信息通信等国家重要领域不断上云转型，对数字基础设施的依赖程度加深，加剧了其遭受国际组织 APT 攻击的潜在风险。俄乌冲突、巴以冲突都将网络攻击置于重要战略地位，不断使用 APT、DDoS 等手段攻击数字基础设施，造成了通讯延迟、能源供应中断等影响。云计算标准和开源推进委员会云上攻防发展洞察（2024）6（二）（二）科技竞争科技竞争引导网络博弈，引导网络博弈，云上云上防御体系逐渐防御体系逐渐完善完善云计算作为众多数字基础设施的运行平台和数据信息的传递媒介，承载了

14、大量信息通信、经济运行和公共服务等活动，是国家科技实力的重要体现，当今网络空间和云环境已成为国际科技和经济竞争的重要战场，云上攻防态势愈演愈烈。云上攻击方式复杂多变。一是云计算作为攻击目标，遭破坏后影响广泛。据 IBM 报告显示，2023 年与云环境中所存储数据相关的泄露事件占总数的 82%，其中 39%的攻击跨越多个云环境，造成的平均损失高达 475 万美元。互联网、金融云、工业云仍是遭受网络攻击最多的三大领域，近年来已发生数起重大云安全事件，诸如加拿大石油巨头遭到网络攻击导致全国加油服务中断、Microsoft 365 及 Azure 云服务因 DDoS 攻击而频繁中断、OpenAI 和阿

15、里云同时遭受 DDoS攻击影响全系产品等。二是云计算作为攻击手段，能够加剧网络攻击效果。实际上，使用网络攻击对关键数字基础设施造成持久的物理损害并不普遍，其在科技竞争中的应用更多是作为威胁手段和设置阻碍。一些基于云计算的攻击即服务（AaaS）、勒索软件即服务（RaaS）和僵尸在互联网灰色地带异常活跃。利用云服务提供的高带宽和计算资源，攻击者可以发动规模更大、更复杂的 DDoS 攻击，瘫痪目标系统。攻击者通过云平台实时更新恶意代码，绕过传统的安全防护措施，并迅速传播到全球的目标系统，不仅提高了攻击的成功率，还使得防御方难以迅速响应和溯源。云计算标准和开源推进委员会云上攻防发展洞察（2024）7

16、云上防御体系基本成形。一是各国云上安全政策逐步完善，监管力度提升、粒度细化。美国发布国防部云战略、美国本土外云计算战略等文件，明确了云计算运用发展的指导原则，将重要数据和应用服务向云上迁移。俄乌冲突爆发后，欧洲陆续发布网络安全条例、网络团结法案等多项法规，巩固云安全防线。各国对网络空间的防御策略逐渐转变，由被动防护转变为主动防御，由对网络关基设施的关注延伸到各个领域的上云业务。二是技术创新不断落地，国家级防御体系加快建设。一些政府组织已开始尝试将云计算引入国家防御体系。美空军加速推进“一号云”和“联合作战云能力”两大云计算项目，提升军事信息系统的服务可靠性、存储灵活性和安全性。欧盟着眼于未来网

17、络安全技术研发，在 6G、量子安全体系等方面投入大量资源，建立联合网络单元共享预警信息，确保组织内对网络安全事件响应协调一致。三是广交同盟，共建网络空间防御共同体。发起安全倡议、组建多方联盟等是各大利益共同体提升网络防御能力的常见方式。2023 年，欧盟发布提案建立欧洲网络护盾和区域网络合作中心，提升组织内部和与周边国家的网络安全战略关系。北约合作网络防御卓越中心面向成员国和合作伙伴共享威胁情报和防御资源，提升整体网络防御能力。云计算标准和开源推进委员会云上攻防发展洞察（2024）8 二、云上攻防市场洞察（一）（一）我国云上攻防市场我国云上攻防市场不断扩大不断扩大网络安全是维护企业数字业务平

18、稳运行的基石，企业对攻防产品和服务需求多样化，传统网络攻防市场基本盘稳定，以攻防即服务引导的云上攻防市场增长迅速。从市场规模来看，我国网络攻防市场体量较小，云安全市场仍处于上升期。企业参与网络攻防市场可分为提供网络攻防服务和输出网络攻防产品两种形式，国内网络攻防市场主要以企业对外提供网络攻防服务为主，如红蓝对抗、重保演练、应急响应、渗透测试等。如图 2 所示，中国网络安全服务细分市场中，安全运营服务仍是的绝对主力，攻防服务占比 16%，仍有较大提升空间。云计算正在全球范围重塑组织的 IT 架构，云上资产重要性的提升，云安全市场已经成为网络安全技术提供商的必争之地，包括网络安全厂商、云服务商、电

19、信运营商等纷纷投入大量资源。2023 年全球云安全市场规模为 378.7 亿美元1，预计 2032 年将增长到 1562.5 亿美元，其中，随着中国、日本、印度等国家的监管体系不断完善，亚太地区的云安全市场复合增长率全球领先。1云安全市场规模、份额、趋势和行业分析,FORTUNE BUSINESS INSIGHTS,https:/ 云计算标准和开源推进委员会云上攻防发展洞察（2024）9 数据来源：嘶吼网络安全服务市场洞察报告图 2 2022 中国通用网络安全服务细分市场规模从参与企业来看，头部安全厂商和云服务商主导市场，新型挑战者不断涌现。传统安全厂商积极推进安全产品虚拟化部署,提升云端

20、适配能力，帮助企业加固云环境，并提供面向云的网络安全服务，如云安全托管运营、云上渗透测试、云安全风险评估等；部分企业搭建自有云平台，将现有安全产品原生化，实现安全能力内循环。云服务商安全赛道竞争激烈，基于云平台提供 SaaS 安全产品，赋能云服务客户的虚拟资产和业务安全，同时对外开放 API 接口，满足外部开发者安全需求；头部云服务商网络安全市场参与度高，如图 3所示，阿里云的数据安全市场占有率与头部安全厂商不相上下，在安全网关市场云服务商市占率达到四成。云安全专精型企业成长迅速，企业云上安全防御需求多样，青藤云等聚焦云安全解决方案的创新型企业快速崛起，已在国内终端安全市场跻身前列。云计算标准

21、和开源推进委员会云上攻防发展洞察（2024）10 数据来源：Statista 图 3 2022 年中国数据安全、安全网关、终端安全市场占有率从市场需求来看，政策合规和增强韧性是云上攻防市场发展的主要推动力。网络活动复杂多变，攻防威胁广泛存在，网络空间安全已经上升为国家安全战略。近年来，东西方网络空间大国先后密集出台了大量的网络安全政策法规，如美国的 5G 云基础设施保护指南、中国的网络安全“三大基本法”和等级保护要求，都对云安全做出了规范指引。在逐渐完善的法律框架下，云服务商和云服务客户受合规要求驱动，安全意识不断提升，对云服务的安全防御水平需求进一步提升。同时，云计算市场规模的不断扩大，云

22、平台遭受攻击的次数逐年增长，破坏程度和经济损失触目惊心。日益严峻的云安全态势使得企业更加重视云上安全投资。IDC 调查显示，中国 2024 年网络安全支出居亚太地区首位，占比 40%，五年复合增长率达到 13.5%。在国内，政府、金融、电信是网络安全支出主要行业，占据了总投资市场阿里云,5%2022年中国数据安全市场占有率奇安信阿里云启明星辰天空卫士天融信其他阿里云,25.4%腾讯云,13.3%2022年中国安全网关市场占有率阿里云腾讯云中国电信华为F5其他青藤云,7.2%2022年中国终端安全市场占有率奇安信亚信安全青藤云深信服天融信其他云计算标准和开源推进委员会云上攻防发展洞察（2024）

23、11 的 60%。由于事前风险事件预防压力大，企业逐渐将投资重心转向业务韧性和事后安全保障，增强抗风险能力，减少不必要的损失。增强韧性已经成为企业使用云安全解决方案的最主要驱动力。数据来源：Statista 图 4 企业云安全建设主要驱动因素从云计算细分领域来看，云计算架构调整带来新的风险点位。一是 IaaS 安全需求庞大。我国公有云数字基础设施需求量庞大，IaaS 市场规模占公有云整体（IaaS/PaaS/SaaS）市场规模的一半以上2。在 IaaS环境中，云服务客户对基础设施和操作系统具有更多的控制权，攻击暴露面更大，安全防御压力高。在工作负载方层面，常见的 IaaS 攻击向量通常针对虚

24、拟机、操作系统、存储等安全设置中的错误配置或漏洞；在网络层面，DDoS 攻击以其成本低、影响大、收益高等特点受到了众多攻击团伙的青睐。IDC数据显示，2023年中国公有云抗DDoS市场规模约为 22 亿元人民币，规模同比增长 15.8%，市场集中度不断提升，竞争进一步增强。二是多云/混合云环境成为主要战场。企业虚拟资产庞大，数字业务复杂，单一的数字化环境难以满足日益增 2 IDC,https:/ 0%20%40%60%增强企业韧性缩短开发时间成本控制减少软件补丁更新工作量提高用户和系统行为可见性延长正常运行时间提升性能企业云安全建设主要驱动因素云计算标准和开源推进委员会云上攻防发展洞察（202

25、4）12 长的数据安全和应用多活需要，多地、多云的虚拟化部署架构被广泛应用。Gartner 认为，到 2024 年中国混合云市场渗透率将达到 70%。尤其是对于政府组织、银行、医疗等服务行业，将对外业务迁移到公共云能够有效提高业务敏捷性和成本效率，将关键流程和核心应用迁移到私有云能够更好地维护安全性。因此，多云、混合云攻防统一管控成为云服务商和安全厂商共同关注的产品和服务方向。（二）（二）国内外国内外市场市场格局格局基本形成基本形成 1云计算云计算攻防产品攻防产品和和服务服务品类丰富品类丰富云计算攻防市场产品类别丰富，依托于云计算的弹性扩展和原生化特性，攻击和防御能力均呈现服务化趋势。根据企

26、业上云用云过程，云计算攻防可划分为企业组织和开发安全、云基础资源安全、网络和数据安全、业务和应用安全等场景。从攻击视角来看，云上攻击产品和服务按照攻击目的可划分为：1）拒绝服务类，如 DDoS 服务、加密勒索；2）漏洞利用类，如渗透工具、容器逃逸；3）信息收集类，如扫描工具、逆向工具；4）伪造欺骗类，如钓鱼邮件、社会工程。随着新兴技术发展，AaaS、RaaS 市场不断扩张，细分领域逐渐成形，有专注于某些特定攻击（如 DDoS、勒索软件、网络间谍活动）的服务提供商，也有提供端到端攻击服务的综合性平台，从简单的工具租赁到复杂的定制化攻击方案，攻击者提供的服务越来越专业化。从防御视角来看，云上防御产

27、品和服务按照防御方式可划分为：1）检测与响应类，如云防火墙、失陷感知；2）运营运维类，如云工云计算标准和开源推进委员会云上攻防发展洞察（2024）13 作负载保护平台、云堡垒机；3）安全管理类，如风险管理、API 管理；4）面向云的安全服务，如安全托管、安全评估、安全培训。随着零信任理念不断渗透，安全大模型广泛接入，云上防御产品和服务逐渐成熟，构建一个综合性的云安全体系，已经成为企业实现数字化转型、保障业务稳定运行的必备条件。由于业务部署方式和责任承担模式不同，国内外云安全市场中产品和服务供应形式有所差异，值得进一步探讨。来源：中国信息通信研究院图 5 云上攻防产品和服务概览 2国内外国内外

28、云安全云安全市场参与者市场参与者众多众多国际上，云服务商引领云安全产品市场。北美云安全市场较为成熟，云平台安全主要由相应的云服务商进行维护，亚马逊 AWS、微软 Azure、谷歌云等头部云服务商在网络攻防领域竞争力强，通常能够提供精细化的安全产品和功能，并通过 SDK、API 向开发者提供安全支持。Zscaler、Palo Alto Networks、Fortinet 等网络安全厂商则倾云计算标准和开源推进委员会云上攻防发展洞察（2024）14 向于提供集成的云安全解决方案和云边安全服务，通过自有综合性云安全平台进行管理和监控。表 2 国外云安全市场典型企业企业企业类型类型云云安全安全

29、产品和服务产品和服务亚马逊云服务商亚马逊是北美最大的云服务供应商，依托云服务业务提供安全防御能力，包括基础设施保护、账户安全服务、实例安全服务、安全管理服务以及与其他合作伙伴的安全与合规解决方案。微软云服务商微软云安全产品和服务并不直接产生营收，而是用于自有云平台，Azure Security Center 是微软的云安全管理和监控服务，帮助客户保护其Azure 订阅中的资源，提供了安全策略建议、威胁检测、漏洞管理和安全警报等功能。谷歌云云服务商谷歌为云服务客户提供全面的安全和访问控制产品和服务，并将安全大模型接入全线安全产品，提升云平台防御能力。此外，谷歌云提供 API、SDK

30、和大模型平台 Security AI Workbench 等，为开发者提供支持。Zscaler 网络安全提供商 Zscaler 提供全面的网络安全和访问控制解决方案，包括互联网访问安全、云防火墙、云 DLP 等产品。除了自有云安全平台，Zscaler 还可以通过API 调用、代理部署、集成解决方案等方式，为其他云平台提供安全服务，帮助企业保护多云环境中的网络、应用和数据安全。Palo Alto Networks 网络安全提供商 Palo Alto Networks 基于自有云安全平台提供一系列云安全产品和解决方案，用于保护公共云、私有云和混合云环境中的工作负载、容器、Serverless

31、应用和存储服务。云计算标准和开源推进委员会云上攻防发展洞察（2024）15 企业企业类型类型云云安全安全产品和服务产品和服务 Fortinet 网络安全提供商 Fortinet 通过综合的网络安全平台进行安全服务与管理，并提供云防火墙、云 WAF、CASB 等一系列云安全产品，通过一体化解决方案向云服务商和云服务客户提供云安全支持。来源：公开资料整理我国云安全市场“产品+服务”模式更加普遍。国内云安全产品和服务模式更加适应我国云安全和网络安全环境现状，头部云服务商的安全能力较为成熟，安全产品能够覆盖云平台安全需求，且普遍支持对外提供安全服务和开放 API，为用户提供安全支持。一些聚焦

32、于云安全解决方案但不主营云基础资源的新型云安全厂商快速崛起，受到多云、混合云环境企业广泛青睐。云上攻防、渗透测试、云安全托管等面向云的安全服务仍由安全厂商主导，搭配云安全工具形成配套解决方案。运营商自建云+安全厂商联动模式也较为普遍，在政府部门、央国企组织数字化转型过程中应用广泛。以下选取国内典型的云服务商、运营商、安全厂商和新型云安全厂商的云安全业务进行介绍。表 3 国内云安全市场典型企业企业企业类型类型云云安全产品和服务安全产品和服务阿里云云服务商阿里云为客户提供稳定、可靠、安全的云计算基础服务，SaaS 化安全产品类型众多，覆盖网络安全、数据安全、身份安全等各个领域，同时提供

33、 API、SDK 等方式，便于客户接入云平台的安全能力。天翼云运营商天翼云依托运营商基本盘，发挥在网络基础设施和通信技术方面的资源优势，云计算标准和开源推进委员会云上攻防发展洞察（2024）16 企业企业类型类型云云安全产品和服务安全产品和服务整合电信行业威胁情报资源、提供高性能安全防护产品。与安全厂商联动，更加适应复杂的多云环境，为地方政企数字化转型提供支撑。青藤云安全云安全厂商青藤云聚焦主机安全和云安全赛道，通过安全管理平台，为企业云环境提供整体云安全解决方案，广泛应用于金融、互联网、医疗、政府等多个行业，为大量企业提供了有效的安全保障。新华三网络安全提供商新华三结合自

34、身软硬件网络安全基础，将安全能力虚拟化，形成云安全资源池，适配政企云安全合规需求。为用户提供云平台安全设计、安全加固、攻防对抗、云安全托管等安全服务。来源：公开资料整理三、云上攻防技术洞察（一）攻防技术（一）攻防技术逐渐适应云逐渐适应云计算计算环境环境技术创新突破是行业发展的基本动力，云计算提供了新的技术应用方向。一方面，云计算提升了基础设施资源的高可用性和防御性能；另一方面，分布式可扩展的部署方式提升了网络攻击的灵活性，使得攻击行为更加难以追溯。云上攻防目标千变万化，攻击技术层出不穷，对企业安全防御能力提出了新挑战。1API 安全漏洞扩大云上攻击面安全漏洞扩大云上攻击面经过 API 产

35、生的流量占互联网流量的一半以上，管理和滥用预防极其复杂。由于企业云上资产管理不严格、不健全，部分 API 处于未云计算标准和开源推进委员会云上攻防发展洞察（2024）17 知、未管、未保护的状态，给攻击者带来可乘之机。Cloudflare 的一项调查显示，通过机器学习模型扫描已知的 API 调用和所有 HTTP 请求，与用户配置工具对比，识别可能下落不明的 API 流量，发现未受保护的“影子 API”比例超过 30%，潜在的攻击面安全管理刻不容缓。API 作为连接云计算服务的重要门户，与企业业务密切相关，面临多层级网络攻击威胁，目前出现最广泛的 API 问题是过度数据暴露，SQL 注入、SSR

36、F、恶意文件上传等 OWASP 常见 Web 攻击难以避免，此外还存在多种业务层攻击，例如越权访问和信息遍历，API 安全诉求成为热门话题。数据来源：公开资料整理图 6 最受关注的 API 安全问题 Top10 为了有效应对新型 API 风险，强化 API 资源管理是确保应用安全的关键步骤。应确保所有已上线的 API 都纳入管理范围，并建立四层防御体系。一是请求环境防御，通常 API 会在浏览器、小程序或App 中被调用，需要提前识别调用者的开发和运行环境，准确识别来云计算标准和开源推进委员会云上攻防发展洞察（2024）18 自非法环境调用，对异常访问环境进行实时拦截，降低攻击风险。二是安全

37、风险防御，结合 AI、大数据和威胁情报技术，持续监控并分析流量行为，重点防范 API 自身缺陷、参数违规、越权访问、安全攻击和异常行为等风险。针对 API 的各种安全风险，提供包括但不限于安全攻击防护、异常请求阻断和异常行为限流等多重防护措施。三是敏感数据管控，利用专家经验和机器学习技术，对敏感数据进行有效过滤和识别，并结合行业分类分级标准，实施相应的安全策略管控，如数据脱敏和筛选等。四是业务攻击防御，API 安全与业务紧密相关，需要结合特定关键字进行智能统计分析，通过业务模型深度学习，制定合适的 API 业务安全防御策略，识别撞库、登录、注册、爬虫等异常业务请求，并提供阻断、限流和挑战等拦截

38、动作，增强业务攻击防御能力。2容器、集群攻防容器、集群攻防场景不断延伸场景不断延伸随着企业业务数字化，计算资源虚拟化，越来越多的关键功能运行在容器、Serverless 等轻量级平台上，容器安全攻防场景不断延伸。容器技术为轻量级虚拟化提供了载体，因其强一致性、可移植性和高效资源利用率在业内得到了广泛应用，大规模集群式落地，攻击暴露面随之扩大。多租户共享 Kubernetes 集群，服务实例运行在 pod 中，不同租户的实例可能在同一个节点上，黑客通过跨租户越权访问可能实现云资源实例的入侵。Serverless 应用通常使用容器部署应用或函数，并结合沙箱、网络隔离等加固安全环境。沙箱配置漏洞可

39、能出现绕过风险，导致黑客达到远程代码执行漏洞、文件读取、网络访问的云计算标准和开源推进委员会云上攻防发展洞察（2024）19 目的。网络隔离不完善可使得其他租户容器、master 节点等遭受攻击，导致对元数据服务的越权访问和敏感数据泄露。以容器为载体的业务往往具有生命周期短、计算复杂、网络复杂的特性，安全事件影响范围广、损失代价高，做好虚拟资产清点、运行前风险发现和运行时入侵检测至关重要。一是容器基线安全，容器创建时需基于 Docker 和 Kubernetes 的 CIS 安全配置规范，对运行环境和程序自身配置进行检查。容器运行时确保 Docker 安全操作，按照 Kubernetes 基线

40、检测主节点配置、控制面板配置、工作节点安全配置等安全性。二是容器进程安全，云主机上运行的容器都应受到安全监控和进程保护。将容器目录加入到实时监控路径中，通过进程、文件实时监控能力，及时发现容器内新建进程和文件，并对相关进程和文件进行实时查杀。三是容器 Web 应用安全，针对容器 Web 应用的后门攻击、目录扫描等层出不穷，可结合安全数据分析能力，对用户设置的 Web 目录进行实时防护，在目录出现变更时启动扫描，并将安全策略匹配到的恶意信息上报到主机安全管理平台，实时防护客户网站安全。四是容器逃逸检测，应及时发现具有逃逸风险的容器和具有逃逸行为的进程，将检测信息上报给主机安全控制台进行同步，并给

41、出详细的描述信息和处理建议。3云上云上 DDoS 攻击攻击影响广泛影响广泛万物互联时代，DDoS 攻击成本低廉且影响广泛，已成为国家级网络战的重要手段。DDoS 攻击是一种常见且危险的网络攻击手段，攻击者通过向目标服务器发送大量请求，消耗其资源，导致其无法正云计算标准和开源推进委员会云上攻防发展洞察（2024）20 常提供服务。常见的 DDoS 攻击技术包括：1）流量型攻击，通过发送大量的数据流量，耗尽目标网络的带宽资源，如发送大量 UDP 数据包、ICMP 请求，和利用开放的 DNS 解析器，将小请求放大成大响应，攻击目标网络；2）协议型攻击，针对网络层或传输层的协议漏洞，通过发送大量 A

42、CK 和 SYN 请求包消耗服务器资源，使其无法响应正常请求；3）应用层攻击，通过过量的 HTTP 请求和 DNS 查询请求，占用服务器的应用处理资源，从而达到拒绝服务的目的；4）反射型攻击，利用第三方服务器向目标发起反射攻击，通常搭配相关协议放大请求提升攻击效果；5）混合攻击，结合多种 DDoS 攻击技术，同时攻击多层级云服务。全球 DDoS 攻击的规模每两年翻一倍，而在企业复杂的多云、混合云环境中，安全架构和策略差异对企业云安全战略的完整性和科学性提出更高要求，企业在碎片化的分布式架构中进行故障排除更加困难。云计算提供了动态扩展和负载均衡的能力，但 DDoS 攻击者也可能利用这些特性来提升

43、攻击效果。对云服务商和安全厂商来说，应准确识别云环境安全需求，提升抗 DDoS 产品性能、优化防御算法、增强配套服务水平。自动化流量监控与异常检测，基于阈值和流量特征识别异常流量，监控用户和设备的访问行为，进行行为分析，以及支持通过数字签名、机器学习等进行模式识别，涉及到的产品包括UEBA、抗 D、IDS 等，需具备较高水平的流量负载能力。流量过滤与清洗，在流量达到一定阈值时，将可疑 DDoS 攻击流量从原始网络路径中重定向到清洗设备上，通过安全规则或工具识别并剥离恶意流云计算标准和开源推进委员会云上攻防发展洞察（2024）21 量，包括过滤攻击报文、限制流量速度、限制数据包速度等，将还原的合

44、法流量回注到原始网络中，云防火墙、云 WAF、IPS 均可覆盖这类功能。灾难恢复与业务优化。云平台遭遇大规模 DDoS 攻击后需及时进行响应，阻断攻击源、恢复中断服务、解除临时性防御策略。结合安全损失评估，优化防御措施，如调整 CDN 配置、增加 WAF 规则、定期安全审计、搭配云安全托管和安全培训等安全服务形成防御闭环。来源：中国信息通信研究院图 7 云平台 DDoS 防御架构参考 4认知认知战战成为网络战重要一环成为网络战重要一环网络认知战（Cognitive Warfare）是一种利用网络技术和信息操作来影响人们的认知、态度和行为的战略，综合运用了心理战、信息战和网络战的手段，目标是

45、通过操纵信息环境和利用人类心理弱点来云计算标准和开源推进委员会云上攻防发展洞察（2024）22 达到特定的政治、军事或经济目的。网络认知战的核心是通过多种途径影响和控制目标群体的认知和行为。通过舆论操纵影响信息完整性、可用性，攻击者借助信息篡改和伪造技术散布不实信息，或操控搜索引擎和推荐算法控制信息的可见性，误导公众主观判断，造成网络空间信息混乱。政治矛盾引导网络攻击。认知战在国际地缘政治矛盾中被广泛应用，即利用舆论武器影响目标人群的思维方式和行动方式，引起民族性、自发性的网络攻击，而云计算的广泛运用使得攻击溯源更加困难。社会工程突破企业安全防线。社会工程网络攻击通过心理操纵和欺骗手段，诱骗目

46、标泄露敏感信息、执行不当操作或提供非法访问权限，如钓鱼攻击、电话欺诈、冒充攻击等。云环境访问控制场景多变，不严格的身份鉴别和权限分配都可能会被社会工程攻击利用。网络认知战是一种复杂且影响深远的战术，涉及组织管理、安全技术、人员观念等多维因素。引入零信任理念强化访问控制。秉持“永不信任，始终验证”的安全原则，通过多因素身份验证和多模式 IAM实现细粒度访问控制，搭配 ZTNA、SDP 等安全网关提升访问控制效率。提升人员防范意识和安全能力。定期进行云安全和网络安全意识培训，提升员工对社会工程攻击的识别和防范能力，塑造主动安全观，实现人人讲安全，个个会应急。规范化企业云安全建设。构建覆盖从顶层安全

47、战略到云上业务运行的整体安全框架，主动匹配合规要求，积极配合监管审查，提升企业云环境治理水平。云计算标准和开源推进委员会云上攻防发展洞察（2024）23（二）攻防框架（二）攻防框架构建体系化知识库构建体系化知识库体系化的攻防模型能够帮助组织理解和对抗黑客的攻击技术和战术，提供了一个全面的攻击知识库，详细描述了攻击者可能使用的战术、技术和常见知识。通过了解和应用各类攻防框架、模型和矩阵，组织可以更好地理解攻击者的行为模式和策略，从而提高网络空间安全的防御能力。1ATT&CK ATT&CK 模型是由 MITRE 公司开发的一个详细框架，用于描述和分类网络攻击者的行为和技术，广泛应用于网络安全领域

48、。ATT&CK 模型以攻击者视角描述网络攻击中各阶段所涉及技术，包括攻击前准备、攻击时技术和移动端技术。将已知攻击者行为转换为包括战术和技术的结构化列表，通过结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）和矩阵来表示。框架全面呈现了常见的网络攻击行为，能够作为进攻和防御效果的有效度量。ATT&CK 的典型的应用场景包括：1）发挥威胁情报最大价值：提供标准化的术语和结构描述攻击者战术、技术和程序（TTPs），帮助安全团队识别和理解攻击行为模式，提高威胁情报的准确性和可操作性；2）提升检测分析效率：根据 ATT&CK 模型中的技术和战术，制定和优化检测规则和响应策略；3）

49、针对性攻击模拟：基于威胁情报模拟真实的攻击行为，测试和评估防御系统的有效性；4）支撑能力验证与改进：使用 ATT&CK 模型开展防御差距评估，指导企业安全决策。云计算标准和开源推进委员会云上攻防发展洞察（2024）24 2网络杀伤链洛克希德马丁公司提出的网络安全威胁的杀伤链模型广泛应用于描述网络攻击和防御流程，涵盖了攻击者从初始侦察到最终目标达成的整个攻击生命周期。侦察阶段，收集目标的信息，确定可利用的漏洞和潜在的攻击面；武器化阶段，攻击者将恶意代码或工具，创建可以用于攻击的“武器”；传送阶段，攻击者将武器传送到目标系统；利用阶段，攻击者利用目标系统中的漏洞或弱点执行恶意代码；安装阶段，攻

50、击者在目标系统中安装恶意软件，以确保持久访问；命令与控制阶段，攻击者建立与被感染系统的远程通信通道实现目标远程控制；最终攻击者在目标系统上执行攻击行为，例如数据窃取、破坏系统、勒索或网络间谍活动。为梳理日益复杂的云网攻击，Meta 于 2022 年推出了新的“在线操作杀伤链”模型，具体描述了攻击者在执行在线操作攻击时的各个步骤和阶段，帮助组织更有效地检测、阻止和响应在线攻击。3入侵分析钻石模型入侵分析钻石模型是一种用于分析网络入侵事件的模型，帮助安全团队理解和分析入侵者的行为、动机、目标和工具。该模型由美国情报界提出，并在网络安全领域得到广泛应用。模型以钻石形状展现入侵事件的四个核心要素，即

展开阅读全文