傳統企業安全中,部署了EDR(Endpoint Detection and Response)及NDR(Network Detection and Response)產品的企業,可及時定位失陷資產,響應終端威脅,減少攻擊產生的危害。EDR和NDR在傳統企業安全中為企業起到了保駕護航的重要作用。
但隨著云計算的到來,越來越多的企業將自己的業務上云,云原生安全越來越受到企業的關注與重視,隨之云端檢測與響應(Cloud Detection and Response,CDR)的理念也應運而生。
下面我們將圍繞騰訊云安全運營中心(詳情戳:https://cloud.tencent.com/product/soc)這款產品的部分功能,來給大家介紹一下,如何依托云的優勢,進行及時的風險檢測與響應處置,最終保護客戶的云上安全。
事前安全預防
Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》(如何讓云比你自己的數據中心更安全)報告中指出,大多數成功的云攻擊都是由錯誤引起的。例如配置錯誤、缺少修補程序或基礎架構的憑據管理不當等。而通過明顯利用IaaS計算和網絡結構的內置安全能力和高度自動化,企業實際上是可以減少配置、管理不當等錯誤的機會。這樣做既能減少攻擊面,也有利于改善企業云安全態勢。
云安全運營中心在事前預防階段的主要任務就是對云上資產進行定期自動化風險評估,查缺補漏,及時發現風險點并進行修復和處置。安全運營中心可以幫租戶梳理資產的漏洞詳情,探測對外開放的高危端口,識別資產類型,檢查云安全配置項目等,自動化的幫助租戶全面評估云上資產的風險。下面簡單介紹一下云安全配置管理(CSPM),讓大家更直觀的感受到如何進行事前的安全預防。
上圖就是安全運營中心的云安全配置管理頁面。借助騰訊云各個產品提供的接口,安全運營中心對8類資產,近20個檢查項進行了檢查和可視化展示。可以看到頁面上列出了檢查項的總數、未通過檢查項總數、檢查總資產數、配置風險資產數。另外下方列出了詳細的檢測項,包括了:云平臺-云審計配置檢查、SSL證書-有效期檢查、CLB-高危端口暴露、云鏡-主機安全防護狀態、COS-文件權限設置、CVM-密鑰對登錄等。
以CVM-密鑰對登錄檢查項為例,這個檢查項主要是檢測CVM是否利用SSH密鑰進行登錄。因為傳統的“賬號+密碼”的登錄方式,存在被暴力破解的可能性。如果暴力破解成功,那資產有可能會淪陷為黑客的肉雞,成為進一步內網橫向滲透的跳板。所以針對此風險進行事前防御的檢查,能夠規避很大一部分的安全事件。
● 合規管理
等保2.0提出了“一個中心,三重防護”,其中“一個中心”指的便是安全管理中心,即針對安全管理中心和計算環境安全、區域邊界安全、通信網絡安全的安全合規進行方案設計,建立以計算環境安全為基礎,以區域邊界安全、通信網絡安全為保障,以安全管理中心為核心的信息安全整體保障體系。安全運營中心在提供滿足等保2.0合規要求的日志審計、內到外威脅感知及其他安全管理中心要求功能的基礎上,為客戶提供針對部分等保2.0要求的自動化評估功能,實現持續動態的自動化合規評估和管理。可根據等級保護等合規標準要求,對云上的合規風險進行評估,并提供相應的風險處置建議。
事中監測與檢測
● 網絡安全-互聯網流量威脅感知
當云上安全事件發生時,能夠及時地發現并進行告警,幫助客戶對癥下藥,對于客戶進行資產排查和處置也尤為重要。下圖展示的是安全運營中心網絡安全頁面。
網絡安全主要是針對租戶資產的網絡南北向流量進行的安全檢測。借助騰訊云平臺安全能力,實時監測租戶資產互聯網流量中的異常,并向租戶進行告警與提醒。目前網絡安全的檢測能力覆蓋了45類的網絡攻擊類型。下面列舉出10類高風險的威脅類型:
1.SQL注入攻擊;2.敏感文件探測;3.命令注入攻擊;4.認證暴力猜解;5.惡意文件上傳;6.XSS攻擊;7.webshell探測;8.各類漏洞利用(包括心臟滴血,struts,weblogic漏洞等比較重要的組件);9.反彈shell行為等; 10.主機挖礦。
告警包括源IP、目的IP、受害者資產、次數、類型、威脅等級以及時間等,通過點擊詳情可以看到更豐富的詳細信息。
