「2019年中国ホストセキュリティサービスレポート」を公開しました
2020年の初めに、新しい王冠の流行が急速に広がり、ウイルスは物理的な境界を破り、予測不可能な変数を人間社会の発展にもたらしました。「フィフススペース」-サイバースペース、陸地、海、空、宇宙の外で、物理世界と仮想世界の深い統合により、未知の脅威がセキュリティの赤い線に触れ続けており、サイバーセキュリティを防止することが不可欠です。その中でも、企業にとって、メインフレームは企業のデータとサービスを運ぶコアであり、サイバー脅威に対する防御の最後のマイルです。セキュリティリスクを解決する方法は特に重要です。
ホストの現在のセキュリティステータス、およびホストのセキュリティを保護する方法をすべての段階の組織に完全かつ明確に理解させるため。最近、Qingteng Cloud Securityは、中国産業インターネット開発アライアンス(IDAC)、Tencent Standards、Tencent Securityと共同で、「2019 China Host Security Service Report」を共同で発表しました。レポートでは、理論を指針として、メインフレームセキュリティの現在の全体的な状態と中国でのメインフレームセキュリティ製品の成熟度を、初期段階での多数のデータ調査を通じて分析し、メインフレームセキュリティの将来の方向性を示しています。
ホストの全体的なステータスを分析するための4つのディメンションと20のパースペクティブ
このレポートでは、ホスト資産の概要、ホストリスク分析、ホスト侵入検知、ホストコンプライアンス分析の4つの側面から、2019年のホストセキュリティの全体的な概要を分析します。
資産の在庫
メインフレームアセットの完全かつ詳細なリストがないと、「未知」のセキュリティを誰も保護できないため、セキュリティオペレーションチームは組織のセキュリティを確保できません。このレポートは、企業がセキュリティ保護戦略を開発するためのサポートと支援を提供するために、多数のエンタープライズレベルのメインフレームコアアセットを分析します。
統計分析により、エンタープライズレベルのお客様のうち、81.45%以上のホストがLinuxオペレーティングシステムを使用しており、18.55%のホストのみがWindowsオペレーティングシステムを使用していることがわかりました。これには、Linuxとの互換性、モジュール性、リソース消費量の削減など、多くの理由があるため、多くのお客様がLinuxシステムを選択します。
図1:さまざまなホストオペレーティングシステムの使用率
サンプルデータを分析すると、ホストの74%がUID 0、GID 0、ルート/管理者アカウント、Sudo権限などの特別なアカウントを持っていることがわかります。これらの特別なアカウントは、ハッカーによって好まれる資産になることがよくあります。これは、リスクの高いキー保護資産です。
図2:特別なホストアカウントの使用
また、サンプルデータの分析では、Linuxシステムで最も使用されているWebサービスアプリケーションはTomcatサービスであり、最大58%であり、次にNginxが使用され、使用率は32%に達しています。
図3:Linux Top5 Webサービスの使用
Windows環境では、IISが最も多く47%に達し、Tomcatが36%に達しています。さらに、ApacheとNginxの使用も一定の割合を占めています。
図4:Windows Top5 Webサービスの使用法
存在するリスクを評価する
ハッキングの前にシステムリスクポイントを発見するために、セキュリティ担当者は専門のリスク評価ツールを使用して、リスクを検出、削除、制御し、セキュリティパッチ、脆弱性、脆弱なパスワード、アプリケーションリスク、アカウントリスクなどの攻撃対象を減らす必要があります。等
脆弱性の影響を受けるホストの数に基づいて、2019年に最も影響が大きかったTOP10の脆弱性の多くが見つかりました。その多くは、前年度の脆弱性でした。特にこれらの古い資産の場合、パッチの修復は非常に不十分であるため、これらの脆弱性はハッキングの突破口となりました。
図5:2019年にホストTOP10に影響を与える脆弱性
脆弱性のリスクに加えて、Webサーバーなどのインターネットスペース資産の空間調査とマッピングの後に、多数の資産が危険度の高いポートを開いており、高いセキュリティリスクがあることがわかりました。たとえば、多くのハッカーはポート22と3389に侵入しようとしています。ホストのパスワードログインが脆弱な場合、ハッキングは簡単に成功し、サーバーはハッカーによって制御されます。特に、今年公開されたBlueKeep(CVE-2019-0708)およびWindows RDS(CVE-2019-1181)はすべてWindowsリモートデスクトップサービスの脆弱性であり、非常に有害であり、3389はWindowsリモートデスクトップのデフォルトポートであり、3389を開きます。 Windowsサーバーは侵入攻撃に対してより脆弱です。サーバーでデフォルトのリモート接続ポートを変更することをお勧めします。必要がない場合は、ポートを閉じることができます。
図6:一般的なリスクの高いポートの開放
さらに、さまざまなサービスには、独自のサービス特性を持つ弱いパスワードがいくつかあり、一部はインストール時のデフォルトのパスワードです。たとえば、MySQLデータベースのデフォルトのパスワードは空です。分析の結果、ホストソフトウェアの脆弱なパスワードは主に、MySQL、SSH、SVN、Redis、vsftpdの5種類のアプリケーションに集中していることがわかりました。このうち、MySQLとSSHの脆弱なパスワードは30%以上です。
図7:ホストソフトウェアの脆弱なパスワードインベントリ
トロイの木馬ウイルスもホストで最も一般的なリスクです。リスクトロイの木馬ソフトウェアは、すべての業界で最も高い割合(40%以上)を占めています。テクノロジー業界では、他の業界よりもトロイの木馬ソフトウェアの割合が低くなっています。危険なトロイの木馬ソフトウェアの感染は、主にインターネットの悪い習慣とセキュリティ意識の欠如(海賊版ソフトウェアやプラグインツールの使用など)によって引き起こされるため、テクノロジー業界の従業員のインターネットセキュリティ意識は比較的高い可能性があります。
教育業界における感染したトロイの木馬の割合は比較的高く、これはこの業界で頻繁にファイルがインタラクティブに送信されることに関連している可能性があります。
図8:さまざまな業界におけるウイルスの種類の分布
バックドアリモコンのトロイの木馬は、危険なソフトウェアを除いて最も感染したタイプで、約20%を占めています。バックドアリモートコントロールのトロイの木馬は非常に隠蔽性が高く、情報の盗難、スクリーンショット、ファイルのアップロード、その他の操作を実行するためのリモートの指示を受け入れるため、金融技術などの情報に敏感な産業に大きな害を及ぼす可能性があります。
存在する攻撃を検出する
パブリックネットワークで公開されているサーバーのサンプル分析を通じて、一般的な種類の攻撃の中で、リモートコード実行(RCE)、SQLインジェクション、およびXSS攻撃の割合が高いことがわかります。同時に、サーバーとWebサイトに関する基本的な情報を入手するために、ハッカーはしばしば遭遇しますプローブスキャンの量も非常に多いです。
図9:一般的なホストの脆弱性
2019年、全国の企業ユーザーの間で100万を超えるウイルスサーバートロイの木馬感染がありました。その中で、Webshellの悪意のあるプログラムの感染は73.27%を占め、Windowsの悪意のあるプログラムの感染は18.05%を占め、Linuxの悪意のあるプログラムの感染は8.68%を占めています。
図10:ホストはウイルスのトロイの木馬に感染しています
感染したホストから、合計10,000を超えるトロイの木馬ウイルスが見つかりました。そのうち、Webshellが約27%、Windowsトロイの木馬ウイルスが約61%、Linuxトロイの木馬ウイルスが約12%を占めています。
図11:トロイの木馬ウイルスの分布
上記からわかるように、2019年には約800,000のWebshellマルウェア感染があり、すべての感染の70%を占めています。感染したサーバーの数では、WindowsサーバーのWebshell感染はすべてのWindowsサーバーの約44%を占め、LinuxサーバーのWebshell感染はすべてのLinuxサーバーの約0.2%を占めます。これは、WindowsサーバーがWebshell攻撃に対してより脆弱であることを示しています。
感染したWebshell言語タイプの観点から見ると、PHPタイプのWebshellが最も多く、ASP言語がそれに続きます。
図12:Webshell言語タイプの比率分布
さらに、このレポートでは、さまざまなオペレーティングシステムのサンプルデータの分析に基づいて、合計3000台を超えるWindowsサーバーがマイニングトロイの木馬に感染しており、そのうち2000台を超えるLinuxサーバーがマイニングトロイの木馬に感染しています。
感染したホストを分析すると、マイニングトロイの木馬は主にビットコインとモネロをマイニングしていることがわかります。その理由を推測すると、ビットコインはデジタル通貨のパイオニアであり、その価値は非常に高く、ハッカーの焦点となっている可能性があります。Moneroは新興のデジタル通貨であり、主にマイニングにCPUを使用するため、ブラックギャングは侵入サーバーをマイニングに使用することを好みます。侵入マイニング時間の観点から:
年初(1月〜3月)と年末(12月)のWindowsプラットフォームのマイニングイベントは次のとおりです。
図13:Windowsプラットフォームでのマイニングイベントの月次統計
ただし、Linuxプラットフォームのマイニングイベントは、主に年の半ば(4月から6月)と年の終わり(11月から12月)に集中しています。
図14:Linuxプラットフォームのマイニングイベントの月次統計
WindowsプラットフォームまたはLinuxプラットフォームに関係なく、年末はマイニング侵入イベントの発生率が高い期間であることがわかります。この期間中、サーバーのCPU使用率が過度に高いかどうかに注目する必要があります。
コンプライアンスが満たされているかどうかを判断する
すべての企業および機関のネットワークセキュリティ構造は、isoguaranty 2.0やCISセキュリティ標準など、国家または規制のセキュリティ標準を満たす必要があります。「安全基準」とも呼ばれる安全基準。セキュリティベースラインの重要性は、最も基本的な保護要件を達成するための一連のベンチマークを策定することであり、金融、通信事業者、インターネット、その他の業界で広く使用されています。コンプライアンスのベースラインによる自己検査と自己強化は、企業が自身のリスクステータスと隠れた脆弱性を認識するのに役立ちます。
ホストアカウントのセキュリティの重要性は自明ですが、サンプルの分析中に、多くのアカウントは、パスワード試行ロックの数を設定しない、パスワードの複雑さの制限を設定しないなど、国に準拠していないなどの非準拠の状況にあることがわかりました等級保護に関する要件。Isobao 2.0の一般的な基本要件のID検証制御項目では、「ログインユーザーのIDを識別および認証する必要があります。IDは一意であり、ID認証情報は複雑な要件があり、定期的に置き換える必要があります」、「ログイン失敗の処理が必要です。機能、セッションの終了、不正なログインの数の制限、ログイン接続がタイムアウトしたときに自動的にログアウトするなど、関連する対策を構成して有効にする必要があります。
図15:ホスティングアカウントの非準拠
さらに、多くのアプリケーションがホストサーバーでホストされていますが、構成エラー、パッチが適用されていない脆弱性パッチなど、アプリケーションに非準拠の状況がある場合。次に、ハッカーはアプリケーションを介してホストシステムに侵入できます。これは大きなリスクをもたらします。
図16:一般的なアプリケーションの構成リスク
もちろん、ホストの基盤となるオペレーティングシステムが適切に構成されていないと、多くのセキュリティ問題が発生します。セキュリティ運用および保守の担当者は、組織のセキュリティニーズを満たすようにホストを慎重に構成し、必要に応じて再構成できるようにすることをお勧めします。サンプルデータの調査と分析を通じて、GRUBパスワードの設定、UMASKの異常値、SYN COOKIEを開かないなどの3種類の問題が、すべてのホストシステムリスクの中で最も大きな割合を占める3種類であることがわかりました。
図17:ホストシステムの非準拠の分析
3つのレベルでのホストセキュリティの将来の進化の解釈
ダーウィンの「進化」が言うように、進化は突然変異から生じ、安全に直面しているのは「予測不可能な未来」です。ホストセキュリティは、ネットワークセキュリティの分野における重要な分野であり、ハッカーによる攻撃を予測することは困難であるため、従来の防止およびブロック戦略は機能していません。
一方で、攻撃者と防御者は自然に不平等な立場にあります。ファイアウォール、IPS、アンチウイルス、サンドボックスなどのパッシブ防御方法を含む、アラームまたは既存の脅威特性に基づく従来の検出技術は、この不平等をさらに真剣に。ハッカーによって侵害された多くの企業組織は、特定のセキュリティ防御システムをまだ確立していませんが、脅威を適時に検出または停止して損失を最小限に抑えることができていません。主な理由は、現在の検出システムには未知の脅威への対応プロセスにいくつかの欠点があるためです。これらの欠点は、次の側面で明らかになります。
- 単一の検出技術:署名検出技術に基づいて、未知の脅威を検出することは不可能であり、失われたホストを見つけることは不可能です。
- 継続的な検出の欠如:定期的な検出しか行えず、脅威のライフサイクル全体をカバーすることはできません。
- リンクできません:各セキュリティ検出製品は独立して動作し、攻撃アラーム情報は分割されており、リンクできません。
一方、現在の安全保障上の攻撃と防御の対立はますます厳しくなり、予防と予防の戦略に単純に依存することはもはや現実的ではなく、検出と対応にもっと注意を払う必要があります。企業組織は、攻撃されたという想定の下で、防御、検出、対応、および予防を統合する新しいセキュリティ保護システムを構築する必要があります。これは、2019年6月のネットワーク演習のルールからも確認できます。これは、システムへの侵入を強制するものではなく、侵入後に迅速に対応する機能を強調しています。
最後に、クラウドコンピューティングの急速な発展に伴い、マルチクラウドやクラウドネイティブのトレンドが徐々に主流になり、マルチクラウドやクラウドネイティブなどの新しいアーキテクチャに直面して、新しいホストアーキテクチャも登場しています。考慮されていないトピック。
外部環境の継続的な進化に対応するために、ホストセキュリティ保護ソフトウェアも絶えず更新および反復され、細分化された分野で一連のホストセキュリティ製品が生み出されます。ホストセキュリティ製品の開発レベルの観点から、「基本的なホストセキュリティ製品」、「アプリケーションをコアとするホストセキュリティ製品」、「検出と応答をコアとするホストセキュリティ製品」、「アクティブディフェンス」に要約できます。これは、コアホストセキュリティ製品の「5つの段階」および「新しい形式のホストセキュリティ製品」です。
図18:ホストのセキュリティ成熟度曲線
将来的には、エンタープライズインフラストラクチャの構築の必要性として、メインフレームセキュリティ製品が「継続的な検出、迅速な対応、包括的な適応」の方向に開発された場合にのみ、企業が未知の未来へのより良い対処を支援できることがわかります。
最後に書く
「China Host Security Service Report 2019」の壮大な理論体系は、市場における中国のホストセキュリティの現状を十分に理解させるだけでなく、ホストセキュリティの発展の方向性を示しています。将来的には、国内のメインフレームセキュリティリーダーとして、Ivyはこの分野の調査と推進をさらに深め、政府、金融、インターネット、オペレーター、医療、教育などのさまざまな業界のユーザーがネットワークセキュリティのラストマイル防衛線を構築するのを引き続き支援します中国のネットワークセキュリティビジネスは、安定したセキュリティイミュニティを備えています。