精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

“用云的方式保護(hù)云”: 如何利用云原生SOC進(jìn)行云端檢測(cè)與響應(yīng)

責(zé)任編輯:cres

2020-03-30 17:58:11

摘自:網(wǎng)絡(luò)

“用云的方式保護(hù)云”: 如何利用云原生SOC進(jìn)行云端檢測(cè)與響應(yīng)。

傳統(tǒng)企業(yè)安全中,部署了EDR(Endpoint Detection and Response)及NDR(Network Detection and Response)產(chǎn)品的企業(yè),可及時(shí)定位失陷資產(chǎn),響應(yīng)終端威脅,減少攻擊產(chǎn)生的危害。EDR和NDR在傳統(tǒng)企業(yè)安全中為企業(yè)起到了保駕護(hù)航的重要作用。

但隨著云計(jì)算的到來,越來越多的企業(yè)將自己的業(yè)務(wù)上云,云原生安全越來越受到企業(yè)的關(guān)注與重視,隨之云端檢測(cè)與響應(yīng)(Cloud Detection and Response,CDR)的理念也應(yīng)運(yùn)而生。

下面我們將圍繞騰訊云安全運(yùn)營(yíng)中心(詳情戳:https://cloud.tencent.com/product/soc)這款產(chǎn)品的部分功能,來給大家介紹一下,如何依托云的優(yōu)勢(shì),進(jìn)行及時(shí)的風(fēng)險(xiǎn)檢測(cè)與響應(yīng)處置,最終保護(hù)客戶的云上安全。

事前安全預(yù)防

● 云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》(如何讓云比你自己的數(shù)據(jù)中心更安全)報(bào)告中指出,大多數(shù)成功的云攻擊都是由錯(cuò)誤引起的。例如配置錯(cuò)誤、缺少修補(bǔ)程序或基礎(chǔ)架構(gòu)的憑據(jù)管理不當(dāng)?shù)取6ㄟ^明顯利用IaaS計(jì)算和網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)置安全能力和高度自動(dòng)化,企業(yè)實(shí)際上是可以減少配置、管理不當(dāng)?shù)儒e(cuò)誤的機(jī)會(huì)。這樣做既能減少攻擊面,也有利于改善企業(yè)云安全態(tài)勢(shì)。

云安全運(yùn)營(yíng)中心在事前預(yù)防階段的主要任務(wù)就是對(duì)云上資產(chǎn)進(jìn)行定期自動(dòng)化風(fēng)險(xiǎn)評(píng)估,查缺補(bǔ)漏,及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn)并進(jìn)行修復(fù)和處置。安全運(yùn)營(yíng)中心可以幫租戶梳理資產(chǎn)的漏洞詳情,探測(cè)對(duì)外開放的高危端口,識(shí)別資產(chǎn)類型,檢查云安全配置項(xiàng)目等,自動(dòng)化的幫助租戶全面評(píng)估云上資產(chǎn)的風(fēng)險(xiǎn)。下面簡(jiǎn)單介紹一下云安全配置管理(CSPM),讓大家更直觀的感受到如何進(jìn)行事前的安全預(yù)防。

 

 

上圖就是安全運(yùn)營(yíng)中心的云安全配置管理頁(yè)面。借助騰訊云各個(gè)產(chǎn)品提供的接口,安全運(yùn)營(yíng)中心對(duì)8類資產(chǎn),近20個(gè)檢查項(xiàng)進(jìn)行了檢查和可視化展示。可以看到頁(yè)面上列出了檢查項(xiàng)的總數(shù)、未通過檢查項(xiàng)總數(shù)、檢查總資產(chǎn)數(shù)、配置風(fēng)險(xiǎn)資產(chǎn)數(shù)。另外下方列出了詳細(xì)的檢測(cè)項(xiàng),包括了:云平臺(tái)-云審計(jì)配置檢查、SSL證書-有效期檢查、CLB-高危端口暴露、云鏡-主機(jī)安全防護(hù)狀態(tài)、COS-文件權(quán)限設(shè)置、CVM-密鑰對(duì)登錄等。

 

以CVM-密鑰對(duì)登錄檢查項(xiàng)為例,這個(gè)檢查項(xiàng)主要是檢測(cè)CVM是否利用SSH密鑰進(jìn)行登錄。因?yàn)閭鹘y(tǒng)的“賬號(hào)+密碼”的登錄方式,存在被暴力破解的可能性。如果暴力破解成功,那資產(chǎn)有可能會(huì)淪陷為黑客的肉雞,成為進(jìn)一步內(nèi)網(wǎng)橫向滲透的跳板。所以針對(duì)此風(fēng)險(xiǎn)進(jìn)行事前防御的檢查,能夠規(guī)避很大一部分的安全事件。

 

● 合規(guī)管理

等保2.0提出了“一個(gè)中心,三重防護(hù)”,其中“一個(gè)中心”指的便是安全管理中心,即針對(duì)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全的安全合規(guī)進(jìn)行方案設(shè)計(jì),建立以計(jì)算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障體系。安全運(yùn)營(yíng)中心在提供滿足等保2.0合規(guī)要求的日志審計(jì)、內(nèi)到外威脅感知及其他安全管理中心要求功能的基礎(chǔ)上,為客戶提供針對(duì)部分等保2.0要求的自動(dòng)化評(píng)估功能,實(shí)現(xiàn)持續(xù)動(dòng)態(tài)的自動(dòng)化合規(guī)評(píng)估和管理。可根據(jù)等級(jí)保護(hù)等合規(guī)標(biāo)準(zhǔn)要求,對(duì)云上的合規(guī)風(fēng)險(xiǎn)進(jìn)行評(píng)估,并提供相應(yīng)的風(fēng)險(xiǎn)處置建議。

 

事中監(jiān)測(cè)與檢測(cè)

 

● 網(wǎng)絡(luò)安全-互聯(lián)網(wǎng)流量威脅感知

當(dāng)云上安全事件發(fā)生時(shí),能夠及時(shí)地發(fā)現(xiàn)并進(jìn)行告警,幫助客戶對(duì)癥下藥,對(duì)于客戶進(jìn)行資產(chǎn)排查和處置也尤為重要。下圖展示的是安全運(yùn)營(yíng)中心網(wǎng)絡(luò)安全頁(yè)面。

 

 

網(wǎng)絡(luò)安全主要是針對(duì)租戶資產(chǎn)的網(wǎng)絡(luò)南北向流量進(jìn)行的安全檢測(cè)。借助騰訊云平臺(tái)安全能力,實(shí)時(shí)監(jiān)測(cè)租戶資產(chǎn)互聯(lián)網(wǎng)流量中的異常,并向租戶進(jìn)行告警與提醒。目前網(wǎng)絡(luò)安全的檢測(cè)能力覆蓋了45類的網(wǎng)絡(luò)攻擊類型。下面列舉出10類高風(fēng)險(xiǎn)的威脅類型:

1.SQL注入攻擊;2.敏感文件探測(cè);3.命令注入攻擊;4.認(rèn)證暴力猜解;5.惡意文件上傳;6.XSS攻擊;7.webshell探測(cè);8.各類漏洞利用(包括心臟滴血,struts,weblogic漏洞等比較重要的組件);9.反彈shell行為等; 10.主機(jī)挖礦。

告警包括源IP、目的IP、受害者資產(chǎn)、次數(shù)、類型、威脅等級(jí)以及時(shí)間等,通過點(diǎn)擊詳情可以看到更豐富的詳細(xì)信息。

 

 

除五元組的信息外,也展示了攻擊載荷的詳細(xì)數(shù)據(jù),可以清晰的看到payload內(nèi)容,攻擊載荷有時(shí)也能了解到黑客的攻擊意圖,可以幫助安全團(tuán)隊(duì)更有針對(duì)性地進(jìn)行排查。以上圖的攻擊為例,可以看到攻擊載荷是存在于http頭中:

/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

通過載荷數(shù)據(jù)看到,黑客是利用ThinkPHP 5.x遠(yuǎn)程命令執(zhí)行漏洞來攻擊客戶資產(chǎn)的。該漏洞的產(chǎn)生是由于程序未對(duì)控制器進(jìn)行過濾,導(dǎo)致攻擊者可以通過引入‘\’符號(hào)來調(diào)用任意類方法執(zhí)行命令。而黑客想要執(zhí)行的命令是:

echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

如果漏洞利用成功,此條命令會(huì)釋放一個(gè)webshell一句話木馬到服務(wù)器,并命名為hydra.php,黑客可以借助webshell小馬,上傳大馬,從而進(jìn)行更多的內(nèi)網(wǎng)滲透工作,對(duì)內(nèi)網(wǎng)造成更嚴(yán)重的危害。

安全運(yùn)維人員可以根據(jù)詳情頁(yè)中的處置建議進(jìn)行一些排查和處置。例如通過ACL策略封禁源IP,阻斷其進(jìn)一步的攻擊。同時(shí)可以在安全事件頁(yè)中查看該資產(chǎn)是否存在該漏洞,以及webshell木馬是否已經(jīng)落地。及時(shí)有效的安全排查,可以很大程度上降低安全事件的危害。

網(wǎng)絡(luò)安全事件同時(shí)提供了攻擊者畫像與受害者畫像。基于歷史的數(shù)據(jù),對(duì)攻擊者近期發(fā)起的網(wǎng)絡(luò)威脅進(jìn)行匯總,關(guān)聯(lián)是否還有其他的攻擊手段,幫助客戶更全方位的了解攻擊者。下圖展示的就是攻擊者畫像。

 

下圖則是受害者畫像,流量威脅TOP5,展示的是受害資產(chǎn)近期遭受的攻擊類型次數(shù)排名,可以幫助客戶更有針對(duì)性的對(duì)資產(chǎn)進(jìn)行合理的處置。流量威脅趨勢(shì),可以更直觀的了解到資產(chǎn)近期的安全現(xiàn)狀。

 

 

● 泄漏檢測(cè)

數(shù)據(jù)泄露指受保護(hù)或機(jī)密數(shù)據(jù)可能被未經(jīng)授權(quán)的人查看、偷竊或使用。由于企業(yè)業(yè)務(wù)性質(zhì)、開發(fā)制度等原因,互聯(lián)網(wǎng)公司一般會(huì)涉及較多的版本變更,且大部分互聯(lián)網(wǎng)企業(yè)內(nèi)部崇尚開源文化,開放的同時(shí),也為數(shù)據(jù)泄露事件埋下隱患。近幾年從泄漏渠道上來看主要有以下幾個(gè)分類:GitHub代碼類,網(wǎng)站入侵類,網(wǎng)絡(luò)黑市交易類,合作商接口調(diào)用類等。

安全運(yùn)營(yíng)中心在GitHub和網(wǎng)絡(luò)黑市這兩個(gè)渠道進(jìn)行了數(shù)據(jù)泄露的監(jiān)控。通過安全運(yùn)營(yíng)中心的統(tǒng)一監(jiān)控和處理,可以解放企業(yè)運(yùn)維安全人員更多的時(shí)間,將更多精力集中在規(guī)則運(yùn)營(yíng)上。同時(shí)也能與云平臺(tái)能夠更好的整合開發(fā)、運(yùn)維,將事件處理集中在一處,提高處理效率。在誤報(bào)規(guī)則的運(yùn)營(yíng)處理方面,SaaS 化的平臺(tái)比開源系統(tǒng)運(yùn)營(yíng)更持久,基于云上用戶的體驗(yàn)集中優(yōu)化,目前由云鼎實(shí)驗(yàn)室團(tuán)隊(duì)進(jìn)行后臺(tái)策略維護(hù)支持,誤報(bào)問題相對(duì)較少,告警的質(zhì)量相對(duì)較高。

 

 

上圖就是泄漏檢測(cè)的頁(yè)面。安全運(yùn)維人員進(jìn)行配置后,即可監(jiān)控自己所關(guān)注的敏感信息是否在上面兩個(gè)源中有泄漏。當(dāng)騰訊云的SecretId由于各種原因,出現(xiàn)在GitHub上時(shí),安全運(yùn)維人員可以及時(shí)的發(fā)現(xiàn),盡快進(jìn)行處置,避免發(fā)生更大的安全事故。

 

事后響應(yīng)處置

安全事件發(fā)生后,云安全運(yùn)營(yíng)中心借助調(diào)查中心和響應(yīng)中心分別提供了溯源調(diào)查以及自動(dòng)化響應(yīng)的能力。下面分別介紹一下這兩個(gè)部分。

● 調(diào)查中心

調(diào)查中心目前接入了七類日志,有資產(chǎn)日志、指紋信息、漏洞詳情、安全事件、用戶行為分析、云審計(jì)以及負(fù)載均衡。日志調(diào)查中心提供的查詢語法類似于kibana的查詢語法,可以根據(jù)自己的需求組合出多種搜索語句。在后面的篇幅中,結(jié)合安全溯源,也會(huì)有所介紹。

 

 

- 資產(chǎn)類型

展示的是客戶部署在騰訊云上的各類資產(chǎn)的詳細(xì)信息。圖中能看到有CVM、COS存儲(chǔ)、負(fù)載均衡、數(shù)據(jù)庫(kù)等資產(chǎn)類型

 

 

在日志調(diào)查搜索框中,可以通過多個(gè)條件組的組合,完成一些資產(chǎn)數(shù)據(jù)的統(tǒng)計(jì)。例如統(tǒng)計(jì)CVM上遭受攻擊次數(shù)大于100小于1000的機(jī)器。

 

 

- 資產(chǎn)指紋

包含了進(jìn)程、端口、組件、賬戶等信息。下表列出比較關(guān)鍵的字段信息,更多的字段可以在日志調(diào)查中查看。

 

 

漏洞信息

列舉機(jī)器上的漏洞名稱、漏洞描述、漏洞等級(jí)、漏洞類型、CVE號(hào)、修復(fù)方案、參考鏈接、處理狀態(tài)、影響的機(jī)器數(shù)等。這些信息也可以在資產(chǎn)中心->漏洞管理中進(jìn)行查看。

- 事件信息

事件包含了WAF、DDoS,云鏡等產(chǎn)品發(fā)現(xiàn)的安全事件,比較重要的有密碼破解,異地登錄,WEB攻擊,以及木馬。這些信息也可以在安全事件頁(yè)中進(jìn)行查看。

- 用戶行為分析

UBA日志存放的是用戶行為分析日志,該模塊主要基于騰訊云用戶在控制臺(tái)的相關(guān)操作記錄以及使用云API進(jìn)行自動(dòng)化操作的相關(guān)記錄進(jìn)行賬號(hào)安全性分析,并及時(shí)提示運(yùn)維人員進(jìn)行相關(guān)風(fēng)險(xiǎn)處理。目前UBA模塊已有的風(fēng)險(xiǎn)場(chǎng)景有以下四種:用戶權(quán)限提升、資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改、用戶權(quán)限遍歷、新用戶高危操作。

- CLB日志

CLB存放的是騰訊云負(fù)載均衡產(chǎn)品的訪問日志數(shù)據(jù),負(fù)載均衡(Cloud Load Balancer)是對(duì)多臺(tái)云服務(wù)器進(jìn)行流量分發(fā)的服務(wù)。負(fù)載均衡可以通過流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力,通過消除單點(diǎn)故障提升應(yīng)用系統(tǒng)的可用性。

● 響應(yīng)中心

響應(yīng)中心是在安全事件發(fā)生后,通過內(nèi)置的安全編排響應(yīng)劇本,聯(lián)動(dòng)云上各類安全措施和產(chǎn)品對(duì)安全事件進(jìn)行自動(dòng)化響應(yīng)處置并提供響應(yīng)報(bào)告詳情,可以及時(shí)阻斷風(fēng)險(xiǎn),配置加固資產(chǎn),將安全事件的風(fēng)險(xiǎn)最大程度的降到最低。目前內(nèi)置的劇本有SSH口令爆破類事件、RDP口令爆破類事件、Linux主機(jī)挖礦木馬類事件及Windows主機(jī)挖礦木馬類事件等云上常見的安全事件。

 

 

以SSH口令爆破事件為例,來看一下當(dāng)安全事件發(fā)生后,響應(yīng)中心如何快速的進(jìn)行處置,將風(fēng)險(xiǎn)盡快排除。

 

 

上圖可以看到,當(dāng)SSH口令爆破事件發(fā)生后,劇本提供了四個(gè)步驟來處置,依次是:排查攻擊源、排查被攻擊資產(chǎn)、基線檢測(cè)、木馬檢測(cè)。

1. 排查攻擊源

如果攻擊發(fā)生在外網(wǎng),那么就聯(lián)動(dòng)安全組封禁外網(wǎng)的攻擊IP。如果是發(fā)生在內(nèi)網(wǎng),就及時(shí)隔離內(nèi)網(wǎng)攻擊資產(chǎn)的網(wǎng)絡(luò),同時(shí)檢測(cè)攻擊源資產(chǎn)是否安裝了云鏡專業(yè)版,因?yàn)閮?nèi)網(wǎng)主機(jī)發(fā)起橫向爆破攻擊,極有可能是在之前已經(jīng)失陷。

2. 排查被攻擊資產(chǎn)

如果被攻擊資產(chǎn)爆破成功,那么首先要及時(shí)修改賬戶密碼,同時(shí)要盡快隔離被攻擊資產(chǎn)的網(wǎng)絡(luò),防止黑客借助此機(jī)器作為跳板發(fā)起進(jìn)一步的內(nèi)網(wǎng)滲透攻擊。同時(shí)檢測(cè)這個(gè)資產(chǎn)是否安裝了云鏡專業(yè)版進(jìn)行主機(jī)側(cè)的防御。

3. 基線檢測(cè)

調(diào)用云鏡接口對(duì)資產(chǎn)進(jìn)行基線檢測(cè),及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并修復(fù)。

4. 木馬檢測(cè)

對(duì)資產(chǎn)進(jìn)行木馬查殺,防止黑客落地惡意文件。通過劇本的以上四個(gè)步驟,可以及時(shí)高效地處置SSH口令爆破事件,降低安全事件所帶來的風(fēng)險(xiǎn)。

“云上打馬”:如何利用云原生SOC實(shí)踐CDR

最后借助一個(gè)挖礦木馬的場(chǎng)景,看一下企業(yè)的安全運(yùn)維人員,如何借助上文提到的安全運(yùn)營(yíng)中心的功能,來處理安全事件。

- 云安全配置管理

安全運(yùn)維人員,可以在云安全配置管理頁(yè)面檢查CVM是否啟用了密鑰對(duì),主機(jī)安全防護(hù)狀態(tài)是否正常。通過CVM配置風(fēng)險(xiǎn)的自動(dòng)化檢查,降低云上資產(chǎn)的安全風(fēng)險(xiǎn)。

- 攻擊面測(cè)繪

通過攻擊面測(cè)繪識(shí)別主機(jī)的攻擊面,及時(shí)收斂不必要的暴露面。

- 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全中,通過告警的詳情頁(yè),獲取挖礦告警更詳細(xì)的信息。下圖展示的是挖礦告警的詳情。

 

 

詳情頁(yè)可以獲取到源端口,受影響資產(chǎn)等信息,這些信息可以用到日志調(diào)查中進(jìn)行溯源查詢。同時(shí)通過傳輸數(shù)據(jù)的內(nèi)容可以看出木馬正在進(jìn)行門羅幣的挖礦。

- 響應(yīng)中心

當(dāng)發(fā)現(xiàn)挖礦木馬告警后,可以借助響應(yīng)中心,完成響應(yīng)處置。首先進(jìn)行礦池連接的阻斷,阻止失陷資產(chǎn)與礦池的數(shù)據(jù)流量傳輸。隨后進(jìn)行木馬檢測(cè),借助云鏡的主機(jī)安全能力,定位挖礦木馬并進(jìn)行木馬隔離。在文件層面進(jìn)行處置后,對(duì)正在運(yùn)行的挖礦進(jìn)程也要進(jìn)行定位。劇本提供了四項(xiàng)處置方式,可以根據(jù)響應(yīng)時(shí)詳細(xì)的提示進(jìn)行排查,確定挖礦進(jìn)程并清除。最后進(jìn)行基線的檢測(cè),對(duì)弱密碼和漏洞進(jìn)行檢測(cè),提高資產(chǎn)的安全基線,加固資產(chǎn)的安全,及時(shí)的將風(fēng)險(xiǎn)降到最低。

 

 

- 調(diào)查中心

借助網(wǎng)絡(luò)安全提供的端口、資產(chǎn)等信息,可以在調(diào)查中心中對(duì)挖礦木馬的落地進(jìn)行溯源分析。1)調(diào)查中心的安全事件日志(event)中,查看挖礦主機(jī)是否有木馬告警(SsaCvmInstanceId:受影響資產(chǎn))

 

2)如果有木馬告警,根據(jù)安全事件日志中記錄的木馬路徑在資產(chǎn)指紋日志(assets_finger)中,尋找相關(guān)的木馬進(jìn)程(fullpath: 木馬路徑),進(jìn)程的pid,以及用戶信息

 

3)根據(jù)機(jī)器信息,在安全事件日志(event)中搜索是否有異地登錄和密碼暴力破解成功相關(guān)的告警。進(jìn)行溯源查找

4)同時(shí)也可以查看網(wǎng)絡(luò)安全中,是否存在相關(guān)機(jī)器的惡意文件上傳以及漏洞攻擊的告警,進(jìn)一步排查木馬落地的原因。面對(duì)云上安全的新挑戰(zhàn),騰訊安全極為重視企業(yè)安全的“云原生”思維價(jià)值,并結(jié)合自身安全運(yùn)營(yíng)經(jīng)驗(yàn)及廣泛的云上客戶調(diào)研,總結(jié)出云原生的CDR體系(Cloud Detection and Response),包含事前安全預(yù)防體系、事中統(tǒng)一監(jiān)測(cè)及威脅檢測(cè)體系和事后響應(yīng)處置體系,并建立全程的安全可視體系,以提升公有云上安全運(yùn)營(yíng)的靈敏度及效率。目前這套理念已依托騰訊云安全運(yùn)營(yíng)中心持續(xù)實(shí)踐,幫助多個(gè)企業(yè)客戶解決云上安全問題。

作為騰訊云的能力支持,騰訊安全已經(jīng)實(shí)現(xiàn)了為騰訊云客戶提供云原生的安全能力,提升企業(yè)信息安全“免疫力”,配合騰訊云及其認(rèn)證的生態(tài)合作伙伴,打造內(nèi)在的安全韌性,構(gòu)建彈性擴(kuò)展、操作性強(qiáng)的安全架構(gòu),滿足動(dòng)態(tài)的安全需求。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 阜南县| 梁河县| 德江县| 两当县| 泰顺县| 韶山市| 利川市| 广灵县| 慈溪市| 滨海县| 大连市| 乐东| 毕节市| 辽中县| 曲靖市| 乐清市| 福贡县| 大冶市| 龙南县| 盖州市| 济源市| 吉隆县| 白朗县| 贵港市| 涿鹿县| 阿勒泰市| 通渭县| 邯郸县| 葫芦岛市| 新竹市| 黔西| 镶黄旗| 满城县| 高雄县| 黑山县| 会东县| 蓬安县| 外汇| 台江县| 南平市| 普兰店市|