前言进入后云计算时代，云原生正在成为企业数字化转型的潮流和加速器。云原生安全相关的公司雨后春笋般建立起来，各个大云厂商也积极建立自己云原生的安全能力，保护云上客户的资产。与之相对的，黑产组织为了牟利，也在不断寻找新的战术、技术和流程（TTP）。在利益的驱动下，黑产组织通过不断的寻找和利用云原生安全缺陷，从而形成稳定的盈利模式。知己知彼，百战不殆。了解自己的对手才能更容易的赢得战争。腾讯安全云鼎实验室通过对在野的攻击进行一段时间的统计和分析，对攻击者的战术、技术、流程、活动周期、攻击复杂度等维度进行介绍，希望可以对云原生安全的生态建设有更多帮助。本文的分析数据基于腾讯安全云鼎实验室的哨兵蜜罐捕获的2021年9月至2022年1月总共5个月的攻击数据，总计125,364次攻击。通过腾讯安全云鼎实验室的容器沙箱运行分析的Dockerhub

的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求，从而远程执行任意代码。|风险等级高攻击者可利用该漏洞远程执行任意代码。已发现漏洞利用被公开，危害较大|影响版本Spring

2.12.2版本，下载地址：https://github.com/apache/logging-log4j2/releases/tag/rel/2.12.22.

云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性，解决业务在开发、集成、分发和运行等整个生命周期中遇到的问题，以其高效稳定、快速响应等特点极大的释放了云计算效能，成为企业数字业务应用创新的原动力，有效推动了国民经济的高质量发展。当前，腾讯云原生产品体系和架构已非常完善，涵盖了软件研发流程、计算资源、架构框架、数据存储和处理、安全等五大领域的多个场景。依托这些云原生产品，正在为不同行业、不同规模和不同发展阶段的数十万家客户提供云原生服务。（图1

使用yaml创建node通过上图可见，在此yaml中，将只能在集群内进行路由的节点的IP地址InternalIP设置为攻击者可控的www.attacker.com。创建完毕后，可以通过kubectl

前言在《浅谈云上攻防——元数据服务带来的安全挑战》一文中，生动形象的为我们讲述了元数据服务所面临的一系列安全问题，而其中的问题之一就是通过SSRF去攻击元数据服务；文中列举了2019年美国第一资本投资国际集团（Capital

前言对象存储是云厂商提供的一种用来存储海量文件的分布式存储服务，可用于大规模存储非结构化数据。因为其具有高扩展性、低成本、可靠安全等优点，所以成为许多IT产业向云原生的开发和部署模式转变过程中不可或缺的一部分。随着云上业务的蓬勃发展，作为云原生的一项重要能力，对象存储服务同样也面临着一系列的安全挑战。纵观近些年来的云安全漏洞，与对象存储服务相关的数据泄露事件比比皆是，以2017美国国防部承包商数据泄露为例：“Booz

9月26日，由腾讯安全、腾讯安全云鼎实验室、陕西省计算机学会联合主办的2021首届-西部云安全峰会在西安顺利召开。本次峰会以“聚焦云上安全，共育产业人才”为主题，汇聚了来自产学研200多位行业领袖、专家学者、新锐精英，围绕云安全领域的趋势洞察、前沿技术、实践应用、产业生态发展等议题展开深入探讨，为云安全稳健发展把脉，打造网络安全生态发展西部新标杆。产学研论道西部云安全发展发布“西部云安全优才计划”当前，以大数据、物联网、5G、云计算等为代表的新一代信息技术推动着新一轮科技革命和产业变革，也在改变网络空间乃至现实社会治理规则，网络安全越来越成为事关经济社会稳定运行的重大课题。西部数字经济研究院数据显示，2020年西安数字经济规模达3585亿元，同比增长17%，西安数字经济呈现加速推进、蓬勃发展的良好态势，这就更加要求要将网络安全建设工作置于战略地位，切实筑牢“产业数字化”和“数字产业化”发展的安全底座。西安的数字化发展良好，不仅需要更加坚实的安全底座支撑，也需要培育当地网络安全产业生态，而安全人才是安全建设成功的关键。腾讯安全副总裁、腾讯云鼎实验室负责人董志强在致辞中提到，目前我国网络安全人才缺口达150万之多，2027年将达到300万。人才是我们对抗黑客、守护安全的关键力量，也是腾讯安全携手多所高校在西安发起首届西部云安全峰会的初衷，希望能以此平台为纽带，以“前沿技术探索+实战攻防模拟”的培养模式，推进产学研合作，共育产业人才，为西部数字经济发展保驾护航。陕西省计算机学会网络空间安全专委会副主任黑新宏从国家安全、产业安全、顶层设计牵引三个层面分析了当前网络安全趋势正在发生的变化。他表示，当前世界处于百年未有之大变局，社会进入智能新时代，国家发展进入新阶段，陕西省虽然位居西部，但是在数字经济的浪潮中奋勇向前,尤其是和腾讯等大型科技企业的合作中，激发出本地数字经济特色。借此峰会，希望能串联更多安全力量，共同壮大网络安全生态，为西部数字经济发展保驾护航。对于网络安全建设，人才培养已然成为重中之重，聚焦西部云安全发展和人才培养需求，腾讯安全云鼎实验室、陕西省计算机学会联合西安多所高校携手发布“西部云安全优才计划”，面向西部地区高校学子，通过联合课程开发、教学资源支持、联合项目攻坚、绿色实习通道等维度推进校企合作、产教融合，计划在3年内为西部地区培养超过100名适应当下产业需求和安全趋势的云安全复合型人才，为西部地区数字经济发展积蓄广阔的人才源泉。现场，腾讯云安全总经理李滨、陕西省计算机学会网络空间安全专委会秘书长王一川、腾讯安全云鼎实验室安全总监张祖优、小佑科技创始人&CEO袁曙光、绿盟科技天元实验室研究员&M01N战队负责人高东、四叶草安全网安人才培养教育事业部总监刘伟共同就校企合力培养云安全人才进行交流探讨。云安全攻防矩阵重磅发布有效助力企业云端“知攻知防”会上，腾讯安全云鼎实验室攻防负责人李鑫披露了云端攻防最新成果——云安全攻防矩阵。该矩阵基于MITRE

本文结合OpenSSL公告、修复前后的OpenSSL代码和触发漏洞的sm2密文数据，分析CVE-2021-3711漏洞原理，并评估对腾讯自研国密算法库的影响。

背景本文翻译整理自rhino安全实验室：近些年针对kubernetes的攻击呈现愈演愈烈之势，一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器，尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit

前言近些年来，越来越多的IT产业正在向云原生的开发和部署模式转变，这些模式的转变也带来了一些全新的安全挑战。对象存储作为云原生的一项重要功能，同样面临着一些列安全挑战。但在对象存储所导致的安全问题中，绝大部分是由于用户使用此功能时错误的配置导致的。据统计，由于缺乏经验或人为错误导致的存储桶错误配置所造成的安全问题占所有云安全漏洞的16%。以2017美国国防部承包商数据泄露为例：此次数据泄露事件是由于Booz

前言Web应用托管服务是一种常见的平台即服务产品（PaaS），可以用来运行并管理Web类、移动类和API类应用程序。Web应用托管服务的出现，有效地避免了应用开发过程中繁琐的服务器搭建及运维，使开发者可以专注于业务逻辑的实现。在无需管理底层基础设施的情况下，即可简单、有效并且灵活地对应用进行部署、伸缩、调整和监控。Web应用托管服务作为一种云上服务，其中也会应用到的元数据服务进行实例元数据查询，因此不得不考虑元数据服务安全对Web应用托管服务安全性的影响。通过“浅谈云上攻防”系列文章《浅谈云上攻防——元数据服务带来的安全挑战》一文的介绍，元数据服务为云上业务带来的安全挑战想必读者们已经有一个深入的了解。Web应用托管服务中同样存在着元数据服务带来的安全挑战，本文将扩展探讨元数据服务与Web应用托管服务这一组合存在的安全隐患。Web应用托管服务中的元数据安全隐患在Web应用托管服务中的元数据安全隐患章节中，我们将以AWS

前言在针对云上业务的的攻击事件中，很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。以2019年的美国第一资本投资国际集团（CapitalOne）信息泄露事件举例，根据《ACase

自从等保2.0正式实施上云的企业都希望有这样一款产品——不用再耗费大量时间梳理合规需求不必再手动配置复杂的操作系统只要一键点击云服务器就能实现自动配置轻松通过等保2.0的要求↓

产业互联网发展步入全球化、系统化的时代，信息安全被赋予新的定义和范畴。为了协助更多云上企业构建全球化的安全体系、实现业务的降本增效，腾讯云在全球范围内推动安全合规的进程，夯实信息安全管理和安全防护的基础建设，为企业发展开辟安全合规的航线。➤推荐阅读业务出海再添保障

OA数据库配置信息泄露漏洞预警【安全预警】PHP远程代码执行漏洞风险预警（CVE-2019-11043）关注云鼎实验室，获取更多安全情报

近日，腾讯云正式通过韩国政府机构-互联网振兴院（简称“KISA”）的严格审核，顺利获得韩国信息安全保护管理体系（简称“KISMS”）认证，成为继亚马逊、微软之后的全球第三家、中国首家通过KISMS认证的云服务商。这标志着腾讯云的信息安全保护和管理能力经韩国最权威、最严格的官方认证，已全面满足韩国当地的合规要求，对于打通中国企业业务出海道路具有重大推动作用。（图：腾讯云获韩国KISMS认证证书）国内首家斩获韩国最严安全认证开辟业务出海“合规”新航道当前，全球产业的地域和业务边界不断被打破。产业发展向全球化、系统化的精进，赋予了信息安全新的定义与范畴。诸如某知名航运和电商巨头遭勒索软件攻击，波及超九成全球500强企业等全球性网络安全事件的频发，促使各国纷纷将“信息安全”作为开展国际贸易的前提。安全合规已然成为各国对国际化业务的基本要求。而对身处产业互联网时代的企业而言，凭借新兴技术应用完成业务上云的同时，快速推进海外市场的扩张也是保持企业强劲生命力和持续发展的重要策略。基于此，对企业业务安全合规要求实际上就是对承载企业业务的云平台的合规考验。云服务商的信息安全保障和全球监管合规能力因此成为各国评判业务安全合规的首要参考基线。作为中国企业业务出海的热门选择之一，韩国对网络安全和隐私保护合规要求的严格程度堪称“一道难以轻易跨越的门槛”。安全合规要求覆盖资产管理、访问限制、认证及权限管理、加密、灾后修复等多个领域，涉及包括《信息通信网法》、《个人信息保护法》、《云计算发展与用户保护法》等在内的11部以上法律。KISMS是韩国KISA以韩国信息通信网相关法律为依据制定的标准，被认为是韩国最权威、最严格的官方安全认证，重点关注审核企业组织对企业信息、个人信息等重要信息及资产管理的安全性和可靠性。目前，该认证标准分为信息保护管理过程及信息保护措施，涵盖4个阶段，12个领域，认证标准总计80项，已成为各国入韩开展业务不可绕过的安全合规认证标准。以保障腾讯云用户的业务能够安全稳定地进军韩国为出发点，腾讯云通过主动盘点韩国当地网络安全与个人隐私保护法律法规，在已有安全与合规体系的基础上，前后投入7个月的时间，对韩国当地运营的25个产品进行安全管理评估和技术能力优化，最终拿下KISMS认证。KISMS认证的顺利攻克再一次印证了腾讯云在信息安全管理和安全防护方面的实力，不仅将为用户企业进军韩国开辟了又一安全合规航线，也将有力促进腾讯云安全运营效果和安全建设体系的进一步优化和持续改善。深耕合规治理构建更安全的全栈式云安全防护安全合规建设一直以来都是腾讯云致力为客户提供更安全云服务的核心关注点之一。早在腾讯云开展海外业务之前，腾讯安全云鼎实验室就开始了对不同国家和地区安全体系、数据安全、个人信息保护、及金融、政务行业等的安全合规研究与分析，并不断建立和落实适用于世界各地的云安全合规体系。加速自身云平台国际合规性进程的同时，为云上业务出海提供了强大推动力。自2016年至今，在腾讯安全云鼎实验室合规团队的助力下，腾讯云已先后通过可信云数据安全认证、云产品信息安全认证证书（SaaS增强级）、CSA

年关将至，在各行各业准备享受假期的时候安全从业者却不敢有丝毫放松因为在节假日、大型活动等“重要时刻”网络安全的压力总是比平常大得多一旦发生安全事件带来的负面效应也是不能承受之重下拉收好这份腾讯安全重保战略秘籍实地感受“庆余年-安全篇”重要时刻从此也能更安心↓↓↓➤推荐阅读焦点访谈深谈《密码法》，腾讯李滨解密云数据加密防护之道首次公开云上攻击路径全景，腾讯安全联合GeekPwn发布《2019云安全威胁报告》一文透析腾讯云如何为企业构建「数据全生命周期保护」政务上云，如何做好数据安全保护？

在12月30日央视《焦点访谈》栏目播出的《守护安全，密码在你身边》密码法专题节目中，腾讯云安全首席架构师与业内专家一同详细解读了我国首部《密码法》的发布意义并在采访中分享了应用密码对云上数据进行加密保护的防护之道。（戳视频了解《密码法》发布意义及云上数据加密保护安全秘籍）在李滨看来，数据流转作为便捷生活应用的支撑，其安全与否直接关乎个人隐私和企业业务安全。运用密码技术对数据传输、流转、存储、使用等环节加密保护，是确保用户和企业信息安全的重要手段。而在云计算已成为国家基础设施的背景下，企业应当联动《密码法》要求，构建贯穿生命周期的国密数据保护能力。从《密码法》实施看数据加密正如李滨在采访中所说：“大众在享受扫码乘车、移动支付、电子发票等互联网便捷应用的同时，大量个人信息、金融数据、企业经营数据的流转给个人隐私和企业经营带来了巨大的风险。‘方便快捷’的背后需要密码技术的安全保护作为支撑。”在密码技术随互联网应用丰富迎来迅猛发展的背景下，我国首部《密码法》于2019年10月26日顺利通过十三届全国人大常委会第十四次会议审议，并将在2020年1月1日起正式施行。作为国家安全法律体系的重要组成部分，《密码法》的实施将对密码、数据加密带来哪些影响呢？首先，让我们先来了解下《密码法》中的“密码”是个啥？密码就是采用特性变换对信息等进行加密保护和安全认证的技术、产品和服务。简单来说，就是把明文变成密文，将原来可读的信息变成不能识别的符号序列。其主要有两个，一个是加密保护，一个是安全认证。密码的这两大特殊功能决定了密码在网络空间中，身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面具有不可替代的重要作用。其次，《密码法》给企业安全提出了哪些新要求？对于大多数非涉密企事业单位而言，《密码法》中对商用密码提出的主动进行“密码安全性评估”是对密码管理工作影响最大的部分。具体来说，即包括按照国家密码管理局有关规定，使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接。那么，面对实施在即的“密码安全性评估”，企业该如何准备？兼顾信息系统规划、建设、运行三个阶段的密码应用情况安全性评估，具体参照标准为《GM/T

云计算因低成本、高配置以及安全等配套服务等突出优势，成为越来越多企业数字化转型升级的首要选择。IDC最新预测数据显示，全球公有云收入到2021年将达到2783亿元，较之2017年同比增长87.36%。随着越来越多的企业选择上云，云上安全也成为云服务商和租户共同关注的话题。近日，腾讯安全云鼎实验室基于对云安全情报数据的统计分析和最新云安全攻防趋势的研究，联合GeekPwn发布了《2019云安全威胁报告》（以下简称《报告》），在整体把握云安全威胁形势的基础上，对基础设施、数据、身份验证和访问管理、云中安全管理、微服务及Serverless以及跨云等云上安全威胁形势进行了梳理，并提出云服务厂商和使用方的责任共担已成为新威胁形势下的应对标配。关注腾讯安全（公众号：TXAQ2019）回复云安全威胁报告获取PDF精排版云上攻击路径全景首次公开云资源攻击占比近50%云技术表现出的服务成本低、便捷性高、扩展性好等特点，在为用户提供更多层次服务的同时，也给云平台带来了更多可利用的攻击面。腾讯安全的情报数据显示，云资源作为攻击源的比例已占国内所有攻击源的45.55%。（安全攻击来源占比统计）《报告》首次对外披露了云鼎实验室基于真实云上攻防的研究，详细诠释了八条纵向和八条横向的云攻击路径。总体而言，攻击者既能在无任何授权的情况下自云外纵向进入云平台展开攻击，也能在进入云平台后通过横向迁移获取更多租户资源和数据。也是说，与传统攻击路径相比，云资源攻击表现出更为多元、复杂和脆弱的特性。（攻击方式模型全景图）伴随着云服务提供向底层资源共享方式不断延展的趋势加剧，云服务提供商和使用者对不同层次安全问题采取共同负担或分而治之的策略，是实现云上安全防护最佳实践的重要趋势。同时，对于构筑完善安全保障体系而来势在必行。（安全责任共担模型）2/3

SDK，用户只需简单的集成SDK而无需修改代码，即可快速实现基于国产密码算法的加密运算，或对业务进行密码国产化改造。对于敏感数据的保护，腾讯云同样拥有“武器”——敏感数据处理（Cloud

大数据、云计算的加持下，数字政务将迎来哪些新的安全“拦路虎”？密码技术的应用在其中起到怎样的重要作用？腾讯安全联合雷锋网、云+社区打造的「产业安全专家谈」第三期来了！本期的嘉宾是腾讯安全云鼎实验室副总监李滨。李滨不仅是中国首位获得CCSP认证的安全专家，更是一个多面手，在云安全、数据安全、操作系统内核和SOC安全、区块链、安全管理、应急响应等领域都拥有丰富的管理经验和专业技术。而他今天带来的分享就是时下产业互联网中最受关注的数字政务的安全。互联网飞速发展的今天，“上云”已经不是什么新鲜词了。然而，政府业务搭上这条上云“快车道”是着实不易。试想一下：如果你花大价钱换了辆超跑，如果要第一次将它开上高速，试问第一步应该做什么？显然，不是踩油门，而是系好安全带。其中原因用四个字概括，就是：安全第一。同理，在大数据、云计算这些“高配组件”的加持下，政府数字化升级不断深化，政务上云也让政府的办事效率更上一层楼。安全保障的等级是否跟得上亦是衡量其能否“安全行驶”的重要标准。现阶段，伴随着政府数字化转型升级、政务上云成为大趋势，各地政府对于数字政务安全的重视程度只增不减。然而，要想确实搭上这条信息“快车道”，其关键在于解决数字政务落地的安全风险。数字政务利用云计算、大数据等新型技术和手段提高信息流转的效率，打通原来各个孤立的数字孤岛，通过各个系统的数据互通以及共享，提高整个系统运行的效率，这是数字政务系统发展的趋势。那么，在大数据、云计算的加持下，数字政务在提升效率的同时又将迎来哪些新的安全“拦路虎”？密码技术的应用在其中起到怎样的重要作用？来，跟李老师一起看看都是哪些拦路虎1保障数字政务系统安全面临哪些挑战？李滨：在新的数字政务应用中，云计算等基础设施的安全变得更加重要。因为大家会广泛地使用云，可能在一个云平台上面会集中运行多个部门的不同事务处理平台，所以云基础设施的安全，会影响到在之上运行的数字政务系统的整体安全。另外像在云上面，由于大家数据互通和共享，更多的用大数据去进行的分析和处理，所以对于数据和隐私的保护会更重要。2数字政务系统的搭建和管理存在哪些问题，腾讯安全提出了怎样的解决方案？李滨：数字政务的最大安全风险在于基础设施安全、安全管理、和数据安全，针对这些关键风险面，腾讯安全提出了“一个基础底座，两个安全中台”的整体政务安全解决方案，分别从政务云基础设施安全、云平台安全管理中台和云数据安全中台三个方面解决数字政务的核心安全难题。

27701:2019认证“高危”！腾讯发现云虚拟化平台逃逸漏洞护航产业互联网，打造最安全的产业云关注云鼎实验室，获取更多安全情报

2F-大宴会厅B云安全技术与应用专场与您不见不散！➤推荐阅读密码法正式发布，企业该如何准备？腾讯安全打造真实云端攻防战

云上挑战即将登场【内有福利】真实云上攻防10.24开战，探索产业安全新边界全球首家！腾讯云隐私安全管理获ISO/IEC

10月26日，密码法正式通过十三届全国人大常委会第十四次会议表决，将自2020年1月1日起施行。从2014年12月起草至今，五年间密码法多次面向社会公开征求意见，经过反复修改和调整，终于正式发布。那么，密码法的发布将会对企事业单位带来怎样的影响呢，我们梳理了以下要点：哪些涉及密码的活动将受到法律的约束？➤密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动，适用本法。➤密码法适用于密码技术的生产方、使用方以及监督主管方。密码的分类与管理➤密码法将密码分类为核心密码、普通密码与商用密码，并明确要求对这三类密码实行分类管理。➤其中“核心密码”与“普通密码”被用来保护国家秘密信息，涉密单位应重点关注对于这两类密码的管理。对这两类密码，《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。➤而商用密码被用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用，都属于商用密码，应遵循国家密码局商用密码管理有关条例规定。密码安全性评估成为必须本次《密码法》发布对于非涉密的企事业单位来说，最大的影响就是必须要主动进行“密码安全性评估”。根据《密码法》要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。并对关键信息基础设施，应采用商用密码进行保护，并进行密码安全性评估，同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。通过密码安全性评估需要关注哪些？当前，我国密码安全性评估主要依据是《GM∕T

云上挑战即将登场【内有福利】真实云上攻防10.24开战，探索产业安全新边界全球首家！腾讯云隐私安全管理获ISO/IEC

由腾讯安全云鼎实验室联合GeekPwn发起的全球首个基于真实通用云环境的云安全挑战赛今天下午正式结束。来自紫荆花、复旦白泽、0ops、AAA、Nu1L、r3kapig

配置文件CentOS默认目录为/etc/nginx/nginx.conf确认是否存在上述风险配置，如果存在，建议您找到并删除如下配置项：fastcgi_split_path_info

比赛现场观众人数较多，为避免拥挤，请观众尽早前往上海浦东喜玛拉雅中心一层签到处进行签到，用电子票换取“无限胸卡”、赛事议程与互动手册、小纪念品等。本届大赛由腾讯云

你可能听说过给手机、电脑、智能设备、甚至智能网联汽车找漏洞，给云服务“挖”漏洞的比赛，见过吗？云计算在现实世界正在扮演者越来越重要的角色，用户衣食住行的背后都有着云计算的影子。而在云计算中，网络再无边界，云服务所共享的基础设施、平台、应用等，如果任何一个层面出现漏洞，可能波及每个用户。怎样让云更安全，成为了广大用户和互联网从业者共同关注的话题。基于此，腾讯安全云鼎实验室联合GeekPwn发起了首个模拟真实云环境的“云安全挑战赛”，比赛内容覆盖云计算“全栈”环境。经过过初期线上热身赛和开放赛的筛选后，来自全国六支顶尖安全团队将在10月24日上海喜马拉雅艺术中心的大观舞台上，开启云端对决。直拉文章底部，免费获取比赛门票参赛选手可以在主办方设置的云环境里，自由选择目标研究，挖掘未公开的漏洞。比如：攻击者远程利用应用服务漏洞，控制服务器。攻击者获得普通用户权限后，利用提权漏洞获得root权限。攻击者获得A网站后台权限后，通过攻击A和B网站公用的数据库，横向攻击B网站，并获得B网站后台权限。攻击者对KVM虚拟化层进行漏洞攻击，导致从guest层穿透到host层。攻击者对容器（例如docker）进行攻击，成功实现逃逸。攻击者对云上公共服务，镜像服务，API网关等进行攻击，控制节点后实现不同租户直接的横向移动。

近日，腾讯云又有了新的动作，顺利通过DNVGL审核，成功获得ISO/IEC27701:2019标准认证，成为全球首家通过该标准认证的云服务提供商，此次认证范围，覆盖了腾讯云全球所有可用区。那么问题来了，这个高大上的ISO/IEC

kernel官方完成漏洞测试和修复，社区及相关厂商也已相继发布安全公告和修复版本。以点带面：拿下一个漏洞，控制整个母机以往漏洞更多是存在于用户态层面，此次Blade

一年前的今天，20岁的腾讯宣布启动战略升级，成立全新的云与智慧产业事业群（CSIG），拥抱产业互联网。腾讯安全作为腾讯的“护城河”，在过去二十年里，一直在背后默默抗击威胁攻击，守护十亿级用户的网络安全。进入产业互联网时代，安全的重要性日益凸显，对于企业而言，安全已经成为制约企业发展的天花板。作为腾讯发力产业的底牌之一，腾讯安全有了新的使命——从战略视角帮助企业规划安全，为产业互联网保驾护航。将多年累积的C端能力，转化成助力客户降本增效的安全生产力，开放安全中台，为客户打造适用产业的“安全货架”，让产业安全举重若轻。腾讯拥抱产业互联网一周年一张图带你读懂腾讯安全如何为产业数字化升级加码提速！↓↓↓➤推荐阅读紧急预警丨威胁堪比永恒之蓝，微软高危RDP漏洞利用代码已被公布，请尽快修补！重磅：2019上半年云安全趋势报告发布（附下载链接）腾讯云上攻防战事（三）丨千里追凶，云上黑产虽远必诛最高五万元现金！TSRC腾讯云业务安全专项今日开战腾讯云上攻防战事（二）丨漏洞收敛，使敌不知其所攻腾讯云上攻防战事（一）|

微软于5月15日发布的远程桌面服务代码执行漏洞（CVE-2019-0708）可导致远程控制的利用代码已被Metasploit公开发布，经测试真实可用，该漏洞危害极高，风险堪比之前出现的“永恒之蓝”漏洞，可能引发蠕虫传播、木马挖矿及勒索病毒等风险，请关注到该情报的用户尽快修复！为避免您的业务受影响，云鼎实验室建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。【什么漏洞？】代号BlueKeep，即5月15日微软发布的远程桌面服务远程执行代码漏洞（CVE-2019-0708），攻击者可利用该漏洞在目标系统上执行任意代码，漏洞触发无需任何用户交互操作。【哪些系统受影响？】➤个人用户：Windows

腾讯安全与互联网安全新媒体FreeBuf联合出品《2019年上半年云安全趋势报告》。同时，报告基于腾讯安全对于国内云安全状况的分析，给出了可行的安全建议。2019年上半年，数字化转型的浪潮席卷全球，越来越多的企业开始应用云计算技术。云计算丰富的扩展性、便捷性逐步成为促进企业积极上云的驱动因素。在选择是否上云的过程中，安全是企业首要关注的问题，一方面，企业重视对自身数据在云端的安全性，另一方面，企业也担心自身业务的稳定性是否能够在云上得到保证。

互联网飞速发展为人们的生活带来了便利，但同时也给一群利欲熏心的不法分子创造了活动的空间。在虚拟的网络世界中利用技术进行犯罪，明目张胆地进行CDN劫持、招摇过市的DDoS攻击，带来的却是真金白银的收益。与巨大利益相比，网络犯罪的风险则显得极小，黑产团伙有如附骨之疽，寄生在广袤的网络空间之中，吸食着企业和用户的血液。面对黑产，一味被动的防御显然不是最佳的手段，只有修炼内功，并外化配合司法打击，才能震慑宵小之徒。在腾讯，一支由云鼎实验室和腾讯守护者计划共同组成的“云安全及黑产对抗打击联合团队”，竖起了这面与黑产对抗的大旗，在看不见的战场与黑产团伙短兵相接，守护着腾讯云和云上用户的安全与权益。神秘弹窗，吸食流量的CDN劫持相信大家在上网时都有这样的经历，点击一个正常的链接，但网页却跳转到了不堪入目的色情网站或者花花绿绿的赌博页面。而这样满屏幕的花花绿绿的“性感荷官在线发牌”，正在成为网络诈骗的入口，大量不明真相的用户一旦把持不住好奇，就会陷入黑产设下的层层圈套中无法自拔，沦为被肆意收割的“韭菜”和随意宰杀的“肥猪”。这些莫名其妙跳转出来的链接，就是典型的CDN劫持。它不仅会对个人用户带来诈骗风险造成经济损失；也对企业造成了巨大的声誉损害和用户流失，用户可能会因为产品体验受损而拒绝再次使用。2018年，腾讯云接到个别用户投诉，有云上用户发现自己部署在云上的内容产品打开后排版混乱，并且被插入了包含赌博、色情、假药等恶意信息的广告。云安全及黑产对抗打击联合团队根据丰富自己丰富的黑产对抗经验，敏锐地察觉到这些投诉背后并不简单，很有可能是黑产团伙在侵害腾讯云和云上用户的权益。面对黑产团伙的挑衅，联合团队迅速出击，利用技术手段分析黑产团伙的作案手法，并搜集不法分子的作案证据。在此过程中，联合团队与司法机关紧密配合，发现在这次案件中，黑产团伙的作案手法相比以往又有更新，并且受害者远不止腾讯一家互联网公司。（此次CDN劫持的手法分析）联合团队在认真的研究和分析后发现，黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持，这种作案手法极其隐蔽，规避了大多数互联网企业的安全策略，而这种链路劫持能够发布任意恶性信息，会对社会稳定造成极大危害。2018年10月底，经过不懈努力，腾讯云安全及黑产对抗打击联合团队协助警方，将这个通过实施流量劫持获利上千万的犯罪团伙成功打掉。而这已经不是这个联合团队第一次协助司法机关破获重大网络犯罪案件。千里追凶，“暗夜”覆灭面对国内司法机关和各大互联网公司越来越严厉的打击和愈发完善的安全策略，网络黑产团伙不得不向海外转移，把作案工具和主力人员迁移到东南亚诸国，来逃避法律的约束。2017年针对腾讯云上的客户进行DDoS攻击的行为每天都在发生，其中最大的DDoS攻击流量峰值为557Gbps，平均每月最大峰值也达到了430Gbps，其猖獗程度不言而喻。DDoS攻击，也称分布式拒绝服务攻击，简单来说就是黑客通过操纵“肉鸡”同一时间大量访问某服务器，最终导致被攻击的服务器无法正常使用。就好像一间只能容纳10人的餐厅，门口突然被人雇佣了100个流氓地痞堵门，导致餐厅无法正常营业一样。而黑产团伙以此攻击为要挟向被攻击企业勒索高额费用，甚至有的黑产团伙专门开发定制化的DDoS攻击服务，帮助无良企业打击竞争对手来牟取暴利。虽然腾讯安全具有针对各种DDoS攻击的防御能力，足以保障腾讯云和云上客户的业务正常运行，但是云安全及黑产对抗打击联合团队还是毫不松懈，对当时腾讯云上遭遇的DDoS攻击展开了深入研究，挖掘攻击数据包背后的特点。经过对攻击频率、攻击源分布、攻击spike的正态分布等进行分析后发现，虽然这段时间攻击的目标不断切换，但是攻击手法呈现出了相同的特点，种种迹象表明，一系列的DDoS行为出于同一个黑产团伙。这个黑产团伙，就是业界“大名鼎鼎”的“一哥”——“暗夜”攻击小组。“它的攻击手法非常老道，黑客针对客户的业务IP实时监测，当业务IP发生变化时，立即切换攻击IP，且会攻击此业务上的多个关联IP，甚至包括同网段的多个临近IP，以对抗DDoS安全产品的IP保护功能。并且“暗夜”使用的域名whois信息均为伪造，控制端的流量数据除了bot登录外，多为二次跳板服务器，或境外主机；联合对抗团队经过深入分析，发现“暗夜”很有可能是在境外发起的攻击。这让溯源工作又增加了一层难度，甚至停滞。但是，面对对手的疯狂挑衅和愈发猖獗的进攻，联合对抗团队从未放弃，经过几十次不同方式的深入研究、复盘，最终在一台控制端服务器上发现了一点可疑的线索。通过对多个维度进行专业的分析与推导，联合对抗团队协助公安机关锁定了“暗夜”的犯罪证据。一个长期盘踞在境外东南亚国家，对网络游戏、第三方支付、视频直播平台等多种互联网服务进行DDoS攻击，并且同时从事网络黄赌、打击同行竞品等各类违法犯罪活动的黑产组织，终于浮出水面。在摸清了暗夜小组的组织架构和大致行踪后，公安部、广东省公安厅和深圳警方兵分数路开展侦查打击，东南亚和国内多个城市都留下了警方的足迹。终于，这个拥有国内近半数的DDoS黑产份额，控制大量肉鸡和僵尸网络，可发动的DDoS攻击流量高达800G的“全国第一”黑产团伙全军覆没，至2017年9月，暗夜小组团伙核心成员14人被悉数抓获，千里追凶终获成功。不仅如此，在联合对抗团队的协助下，警方对藏身在无锡、徐州、重庆、山东等多个省市的DDoS攻击黑产团伙展开抓捕，针对购买攻击的主顾、肉鸡产业的上下游团伙进行了全链条打击。经过这波集中打击治理，2017年，仅腾讯云在9月受攻击次数比5月骤降69%，100G以上攻击次数下降63%以上。虽然腾讯云安全及黑产对抗打击联合团队已经多次在与网络黑产的对抗中胜出，但是这场看不见硝烟的战争绝不会轻易结束。作为一只主动出击的快速反应部队，只要有黑产团伙胆敢侵犯腾讯云及云上客户的的权益，联合对抗团队必当协助司法机关给予不法分子应有的惩罚。➤推荐阅读最高五万元现金！TSRC腾讯云业务安全专项今日开战腾讯云上攻防战事（二）丨漏洞收敛，使敌不知其所攻腾讯云上攻防战事（一）|

产业互联网时代，“上云”已经成为各行各业数字化转型过程中的关键一步，“云载万物”是未来世界的写照，“云安全”也因此显得更为重要。互联一切，连接未来，同样也需要所有正义的白帽子的力量。

善攻者，敌不知其所守；善守者，敌不知其所攻——《孙子兵法》网络安全圈流传着这样一句话：世界上只有两种企业，一种是知道已经被黑客入侵的企业，另一种则是被入侵却浑然不知的企业。尽管这样的说法可能言过其实，但不可否认的是，潜藏在暗中的黑客无时不刻都在伺机发动攻击，窃取企业数据资产、破坏生产系统；而看不见的交易，在暗网上每分每秒都在进行。2014年2月，在世界上最早的比特币交易平台——日本的Mt.

对于一场战争而言，情报战早在双方短兵相接之前就已经打响，谁能掌握更多、更精准的情报，往往就掌控了战场的主动权，有更大的把握赢得胜利，甚至能取得以弱胜强、以少胜多的战果。在作家麦家的小说《暗算》中，拥有独特天赋能够从纷繁复杂的信号中辨别出敌方电台、截获秘密情报的工作者，被称为“听风者”。（电影《听风者》剧照）在腾讯，也有这样一群“云上听风者”。他们通过自主研发的情报监测系统和高效的安全运营体系，为腾讯云的安全源源不断地提供全面、专业的漏洞情报，与黑客抢夺关键的时间窗口，让安全运维部门有时间做好充分准备以应对随时可能到来的攻击。聪者听于无声，明者见于无形2017年5月12日，利用永恒之蓝漏洞传播的WannaCry蠕虫勒索病毒爆发，短短几天之内，全球100多个国家和地区，数十万台电脑遭到了攻击，但是腾讯云上的几十万用户却鲜有受到感染，疫情在最短时间内得到全面控制。取得这样的战果，与腾讯“云上听风者”的努力密不可分。云鼎实验室情报团队便是腾讯“云上听风者”之一。当WannaCry蠕虫勒索病毒还未出现大规模扩散时，他们便在第一时间监测到了这个病毒的疫情，并针对这一疫情进行快速深入分析，发现该病毒有全网传播扩散趋势后，立即启动情报驱动应急预案，针对腾讯云上用户发布疫情告警，并同步开启联动封堵防护机制，阻断来自外部的蠕虫利用请求，避免了该病毒在腾讯云上传播扩散。这支团队人数不多，战斗力却极强，他们每天需要处理上千条漏洞情报，每一条都需要准确地辨别出这些情报里是否隐含危险信息，因为一旦漏掉任何一条，都有可能对腾讯云和云上的用户造成无法挽回的损失。“大部分情报机器会先过滤一遍”团队负责人phon解释说。phon说的机器，是他们开发的一套监测分析系统，目前已经覆盖了超过300多个情报源，每天会源源不断地将来自开源社区、官方通告、社交平台等渠道的漏洞信息加工后输送到情报中心，经过算法筛选后，会根据分级按顺序留下需要人工分析的目标情报。经过人工分析后，他们会根据漏洞的威胁程度输出报告，第一时间对腾讯云业务团队和腾讯云用户进行预警，并且给出合理的解决方案，通知运维团队和用户赶在黑客攻击之前修复漏洞。火线预警，守护云上安全今年5月份的一个清晨，微软发布了远程桌面服务（RDS）远程代码执行漏洞CVE-2019-0708。黑客可利用该漏洞远程获取计算机的控制权限，存在着极大的安全隐患。云鼎实验室的情报团队第一时间就收到了情报监测系统推送的漏洞预警，当时正在吃早饭的团队成员chad，立刻在工作群里拉响了警报，启动了应急预案，将情报迅速知会给相关团队。“RDP端口是一个常用端口，这个漏洞利用不需要用户交互，如果有黑客利用RDP漏洞植入恶意代码发起攻击，可能再次引发类似2017年WannaCry勒索蠕虫事件，危害甚至更大。”chad看到警情的第一时间脑海中就给出了初步的判断。想到腾讯云上数十万云主机将有可能遭受威胁，chad顾不得吃早餐，迅速赶回实验室对漏洞进行分析，编写预警文案。10点10分，漏洞预警在腾讯云官网发布，为了进一步通知所有腾讯云用户，chad他们又通过短信、邮件、站内信等方式轮番通知，务必要让腾讯云用户提高警惕。20分钟之后，腾讯云安全运营中心对外发布了详细的漏洞分析报告，并为用户提供完善的防御方案和建议。与此同时，腾讯云业务团队正在根据情报紧锣密鼓地对腾讯云自身的服务器和产品进行修复和验证，不到24小时的时间，已经确保了腾讯云上所有用户新创建机器不受漏洞影响。（腾讯云官网预警）在此期间，漏洞情报团队始终保持着高度关注，但由于腾讯云上的用户量太大，很难保证所有用户都看到预警并及时修复。phon和chad预估很快互联网上将出现恶意漏洞利用工具。几天之后，不出所料，情报监测系统在GitHub上监测到了一名匿名漏洞研究者的发言，他声称将于下周五发布能造成系统崩溃的漏洞利用工具。

安全补丁下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512486➣Windows

日，无论年龄、专业、行业的选手都进行漏洞挖掘、安全检测，通过提交研究成果在线提交报名表参赛。可个人亦可组团报名。➤入围决赛主办方评委将根据选手提交的安全研究资料信息，综合考虑漏洞类型（0day

被曝存在远程命令执行漏洞（漏洞编号：CVE-2019-12815），攻击者可利用该漏洞在没有权限的情况下拷贝FTP服务器上的任何文件。目前，互联网上数百万安装了

“我们除了做好业务转移到云上，业务的海外扩张也需要快速推进了。”某快速消费品公司负责海外业务的王总站在北京CBD办公室的投影旁边说道。这家刚刚把业务放在云上的企业，正筹备着进军欧盟市场。但面对庞大的海外市场，王总却有些苦恼。➤一是对当地法律法规不了解，不知是否能顺利通过当地的行业标准及认证；➤二是有大批订单数据存在泄露风险，这两大问题摆在王总面前，他亟需解决。而和王总一样被合规、数据保护等安全痛点困扰的出海企业不在少数。1没有安全合规，企业出海将寸步难行合规一直是信息化建设中的重要命题，特别是当下经济飞速发展，企业上云的同时，也纷纷迈开出海的步子，而当地监管会审查企业所使用的云平台是否合规，企业的安全性是否足够好等等，所使用的云平台安全合规性便成了出海企业首要考量因素。对出海企业来说，如果不符合当地的这些法律法规，在当地就不算合法经营。这些国际法律法规要求到底严格到什么程度呢？GDPR:

随着云计算技术迅猛发展，云平台的稳定性和可扩展性得到越来越多的企业认可，很多企业开始愿意把自身业务放在云上，节约成本的同时，还方便弹性扩展。然而云上的安全管理也逐渐成为大家比较关心的问题，其中漏洞应急响应则是几乎每个企业或者云用户的家常便饭了。今天邀请到云鼎实验室云安全专家chad为我们分享漏洞应急那些事，chad从事云上安全漏洞管理和应急响应相关工作6年，遇到过大量云用户爆发安全漏洞后未及时响应而中招的案例，也处理过大量漏洞入侵的case，这里主要分享一些他站在云用户角度的一些漏洞应急响应实践技巧及经验，供大家参考。01准备工作俗话说“工欲善其事，必先利其器”，这话放在安全应急响应这里再正确不过了。漏洞的爆发往往如天气般来的突然，让人措手不及，而作为一般用户，如果没有专门的情报渠道或系统，往往会处于较为被动的局面，因而提前对漏洞、对自身资产有所了解和应对，会在很多时候掌握主动权，能快速发现和收敛相关风险。在这里，总结漏洞应急响应两点准备工作：1.

2019年上半年数据泄露事件频出：➢4月，国内一大型二次元网站后台工程源代码被上传至Github；➢5月，三星手机厂商多个内部项目代码泄露，包括SmartThings敏感的源代码、证书和密钥。......近日，Verizon发布的《Verizon

RDP服务蠕虫利用风险更新预警（CVE-2019-0708）腾讯安全发布民航业信息安全解决方案，解决航空公司这四大痛点除了竞争对手在觊觎，企业泄露的数据还有谁在盯着？

那些事儿关注云鼎实验室，获取更多安全情报建议云上租户免费开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。点击“阅读原文”，即可免费开通。

今天的推送，相信经常关注云安全的粉丝们，已经搓手手期盼很久了~腾讯安全与GeekPwn联合举办的GeekPwn云安全挑战赛，作为国内首个基于真实云平台的安全挑战赛，在报名阶段就吸引了众多出类拔萃的云安全精英，摩拳擦掌，前来一展身手。经过48个小时的鏖战，和组委赛后的验证与评选，GeekPwn云安全挑战赛第一阶段线上热身赛的比赛结果出来啦~👏👏👏👏学霸选手们超燃的成绩线上热身赛优胜榜（可点击查看大图）Redbud025、长亭科技、r3kapig

备受关注的网络安全等级保护制度2.0国家标准于5月13日正式发布，并将于2019年12月1日正式实施。等保2.0中明确了五种安全等级中对信息系统最低要求，也就是基本安全要求，涵盖了基本技术要求和基本管理要求，用于指导信息系统的安全建设和监督管理。而关系国计民生的重点行业，如金融、医疗、教育等，主管部门已经下发相关文件或通知要求开展等级保护工作。标准的发布对企业等组织的信息安全包括云安全工作影响已显然可见。腾讯云公有云平台和金融云平台，自2016.12开始按照等保2.0试行版标准开展等保备案和测评工作，并最终在2017.5《网络安全法》正式实施之际，通过了公有云平台三级，金融云平台四级的测评。结合腾讯云此前已取得的成果和多年合规服务中所积累的经验，我们将从安全运营中心和加密管理的角度进行详细的解读。一、什么是等级保护？信息安全等级保护（以下简称等保）是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。二、等保2.0的重大变化以“一个中心，三重防护“为网络安全技术设计的总体思路