《2021网络空间测绘年报》解读|公有云资产画像与风险度量
近日,绿盟科技与中国电信联合发布《2021网络空间测绘年报》,旨在通过测绘的方法,发现物联网、公有云、工控系统、安全设备、数据库、智慧平台等关键领域资产在公网上的暴露情况,分析各个领域资产所面临的安全隐患,助力于数字化转型背景下新兴资产服务的安全管理。
本文为《2021网络空间测绘年报》精华解读系列第三篇,主要介绍公有云的资产测绘与风险度量。
PART 01 公有云资产测绘的动因与挑战
近年来公有云安全事件数量呈现上升趋势,特别是非法利用云资源挖矿和云上数据泄露。随着各个行业上云步伐加快,云上业务及数据变得越来越重要,同时,公有云上服务租户众多,数据存储巨大,安全事件的影响具有规模性。2021年4月,公有云服务提供商DreamHost泄露了8亿用户数据,包括诸多WordPress账户信息及其关联的邮件地址,邮件地址的暴露可能使攻击者发起针对性的钓鱼攻击或其他社会工程诈骗。
由此看来,云上安全风险一直存在且影响范围广泛。风险态势评估的前提是资产梳理,对云上资产服务的宏观把握十分重要。因此,对公有云资产的梳理与测绘势在必行。然而,对公有云资产开展测绘工作也存在着许多挑战。
首先,大部分公有云厂商不会公开自己的主机IP库,且许多公有云主机IP处于动态变化中。发现存活云主机是梳理云上服务的第一步,而IP库的缺失与IP的多变性为存活云主机的发现带来了巨大挑战。其次,云上资产数量巨大,AWS所公开的IP就有一亿多个,要进一步挖掘这些IP上开放的端口与对外提供的服务所需要的时间成本是巨大的。再次,公有云上租户众多,运行在其上的业务多种多样,资产部署情况复杂,为资产梳理也带来了难度。
PART 02 公有云资产多维画像
在《2021网络空间测绘年报》中,我们经过多方调研与对比测试,针对国内几大公有云厂商,整理出了相对可靠的IP库。而后利用测绘系统对公有云资产从存活主机、暴露端口、对外服务等多个维度入手,进行了统计分析。最终基本梳理出了国内几大公有云厂商的资产暴露情况。其中部分结果展示如下。
图1 阿里云主机地理分布情况
图2 华为云开放数量前六的服务情况
PART 03 公有云关键资产风险度量
在风险度量方面,《2021网络空间测绘年报》从公有云重要资产——对象存储服务入手,对云上数据泄露风险进行了具体分析。我们以Amazon AWS的S3对象存储服务为例,利用数据分析的手段生成了一部分S3访问域名,并对数千个S3存储桶中的数据类型进行了统计分析,分析结果如图3所示。最终在文档类型数据中发现了部分敏感信息,证明了公有云上的数据泄露事件时刻存在。
图3 可公开访问存储桶数据类型分布图
PART 04 总结
面向公有云资产的测绘与风险度量十分重要且挑战巨大。如何构建较为全面的公有云IP库、如何高效地挖掘出资产信息以及如何把控复杂多变的公有云环境都是值得进一步研究的问题。
