域名預(yù)訂/競價，好“米”不錯過

前言

國內(nèi)云計算技術(shù)目前已經(jīng)較為成熟,進入了高速增長的階段,利用云計算技術(shù)進行信息化建設(shè)已成為常態(tài)。目前國內(nèi)多數(shù)用戶還處于“混合云”場景下,即傳統(tǒng)主機環(huán)境+內(nèi)部私有云環(huán)境+公有云環(huán)境+容器環(huán)境(根據(jù)業(yè)務(wù)情況)。這種混合云場景衍生出了安全運營需求升級、所有權(quán)和控制權(quán)轉(zhuǎn)變等問題,形成了管理機制的變化并引出安全責(zé)任共擔(dān)機制等挑戰(zhàn)。

近年來,隨著網(wǎng)絡(luò)攻防向攻擊方傾斜,各類高危漏洞(0day、1day、Nday)快速武器化,APT定向攻擊泛濫,勒索和挖礦(變種、難于檢測發(fā)現(xiàn))病毒肆虐猖獗,還能躲避基于規(guī)則式安全設(shè)備(軟件)檢測的新攻擊技術(shù)手段,以及針對東西向的流量攻擊等新增威脅,依靠防病毒手段實現(xiàn)的傳統(tǒng)環(huán)境下主機安全解決方案已然無法有效應(yīng)對云環(huán)境下面臨的新安全挑戰(zhàn)和安全威脅。如何進行有效的安全管理成為這些行業(yè)用戶普遍關(guān)注的重要問題,并且在國內(nèi)大規(guī)模攻防實戰(zhàn)演練的推動下,這部分的安全需求顯得尤為迫切。

面對這樣的安全場景需求,我們年度安全報告用“云工作負(fù)載安全”來替代“主機安全”的范疇,以符合目前大部分行業(yè)用戶進入混合云泛主機形態(tài)的IT場景。我們對“云工作負(fù)載安全”這類技術(shù)定義如下:

云工作負(fù)載:云計算場景下用來承載計算的工作節(jié)點,包括了傳統(tǒng)服務(wù)器主機系統(tǒng)、虛擬機、私有云計算節(jié)點、公有云主機、Docker容器節(jié)點以及微服務(wù)等。

云工作負(fù)載安全:針對云工作負(fù)載的安全解決方案,能夠在漏洞風(fēng)險、入侵威脅監(jiān)測、主動防御、快速響應(yīng)以及安全管理等方面為云工作負(fù)載提供全面的保護。

在本年度安全報告中,我們通過“云工作負(fù)載2019年安全技術(shù)新特點”、“云工作負(fù)載2019年安全威脅分析”、“云工作負(fù)載安全產(chǎn)品在大型攻防演練中的價值”、“云工作負(fù)載未來技術(shù)發(fā)展趨勢”4個章節(jié)來進行詳細闡述。

一、云工作負(fù)載安全(泛主機安全)2019年技術(shù)新特點

CWPP(云工作負(fù)載安全平臺)自Gartner2017年提出以后,每年都有不小的變化,在2019年,Gartner對工作負(fù)載(workload)進行了新的詮釋,根據(jù)抽象度的不同分為物理機、虛擬機、容器和Serverless,安全能力圖也從原來的11個能力刪減到8個能力,并且將最底層的“運維習(xí)慣”與“加固、配置與漏洞管理”進行了整合,同時刪掉了“蜜罐”能力,此外,由于數(shù)據(jù)的靜態(tài)加密大部分情況下都有云廠商提供,因此“靜態(tài)加密laas數(shù)據(jù)”這個能力也從能力金字塔中刪掉了。值得注意的是,能力圖加強了對威脅檢測和響應(yīng)的要求,也就是更加凸顯了Server EDR能力的重要性。

通過參考Gartner最新更新的CWPP(云工作負(fù)載安全平臺)中的技術(shù)要求,以及結(jié)合眾多大型客戶場景化和應(yīng)用實踐方案,總結(jié)了2019年以下技術(shù)新特點:

·SERVER EDR的技術(shù)產(chǎn)品應(yīng)用

·主動防御技術(shù)在工作負(fù)載中的應(yīng)用

·基于輕量Agent的微隔離技術(shù)應(yīng)用

·漏洞主動發(fā)現(xiàn)及安全配置管理

·主機安全大數(shù)據(jù)分析能力

二、云工作負(fù)載安全(泛主機安全)2019安全威脅分析

1、云工作負(fù)載安全漏洞和補丁修復(fù)趨勢

2019年,大量操作系統(tǒng)、虛擬化平臺、容器等各種云工作負(fù)載的安全漏洞被披露,相關(guān)問題應(yīng)該引起重視。

根據(jù)安全狗海青實驗室對2019年公開的各類漏洞數(shù)據(jù)的整理結(jié)果顯示,2019年全年共發(fā)布主機操作系統(tǒng)漏洞數(shù)量1086個,主流虛擬化平臺(VMWare、Xen、VirtualBox、Hyper-V、QEMU)漏洞166個,容器( Docker)漏洞13個。

2、入侵威脅趨勢

·暴破攻擊事件數(shù)量居高不下

在黑客入侵手法中,暴力破解是技術(shù)成本低,成功率高,性價比較高的一種攻擊手法。只需要有高質(zhì)量的用戶名和密碼字典庫即可借助暴破工具輕易實施攻擊,且一旦暴破成功后就能獲得極大的權(quán)限,倍受各類網(wǎng)絡(luò)攻擊者的喜愛。

·挖礦與勒索病毒熱度不減

臭名昭著的網(wǎng)絡(luò)安全威脅加密挖礦與勒索軟件在今年依然保持活躍。勒索軟件的攻擊目標(biāo)從“遍地撒網(wǎng)”演變成了“重點撈魚”,高價值目標(biāo)成了網(wǎng)絡(luò)罪犯眼中的香餑餑,越來越多的定向攻擊出現(xiàn),特別是針對企事業(yè)單位。挖礦病毒攻擊則更偏向于與僵尸網(wǎng)絡(luò)結(jié)合,部分挖礦病毒攜帶傳播模塊,核心目的在于感染更多的用戶電腦,盡可能將利益最大化。

·Webshell威脅形勢依舊嚴(yán)峻

網(wǎng)站W(wǎng)ebshell的檢測和防護是一個老生常談的問題了。2019年全年,我們不僅在Web防護端發(fā)現(xiàn)大量掃描Webshell和上傳Webshell的行為,在主機內(nèi)部也掃描出不少Webshell木馬。據(jù)統(tǒng)計,安全狗全年共掃描出Webshell文件2,275,350個,通過云御(網(wǎng)站安全狗)攔截到的Webshell上傳行為共24,424,837次,攔截針對Webshell的掃描行為14,545,681次。

·工作負(fù)載間的橫向滲透攻擊手段層出不窮

攻擊者一旦進入到目標(biāo)網(wǎng)絡(luò)后,下一步就是在內(nèi)網(wǎng)中進行橫向移動,然后再獲取數(shù)據(jù)。近年隨著容器的大量使用,攻擊者在云主機橫向移動的基礎(chǔ)上,增加了容器間橫向移動的攻擊形態(tài)。

·工作負(fù)載越權(quán)控制訪問威脅種類繁多

越權(quán)控制訪問也是攻擊者進行內(nèi)網(wǎng)橫向移動中關(guān)鍵的一環(huán),在新的網(wǎng)絡(luò)環(huán)境下,存在主機層面提權(quán)、云主機虛擬化逃逸、容器到宿主機層的提權(quán)。

三、云工作負(fù)載安全(主機安全)在大型攻防演練中的價值

在近年興起的紅藍對抗演練中,云工作負(fù)載安全保護平臺起著相當(dāng)大的作用。

紅方視角

從外到內(nèi):從外部對藍隊暴露的攻擊面發(fā)起實戰(zhàn)化攻擊。

從內(nèi)到內(nèi):攻擊者已突破到內(nèi)部,進行內(nèi)網(wǎng)平移和漫游。在內(nèi)網(wǎng)中各個區(qū)域(如:業(yè)務(wù)區(qū)、辦公區(qū)、生產(chǎn)區(qū))尋找有價值的資產(chǎn),對其進行攻擊。

從內(nèi)到外:屬于后滲透階段。該階段指的是紅方在拿下藍方的內(nèi)網(wǎng)主機權(quán)限后,對該機器權(quán)限的維持和滲透的"成果化"。此時紅隊一般會使用反彈shell、隱蔽隧道等方式回連自己的服務(wù)器地址。

藍方視角

在上述攻防演練紅方視角中,紅方利用實際漏洞、風(fēng)險隱患達到權(quán)限獲取目的。針對于外到內(nèi)、內(nèi)到內(nèi)、內(nèi)到外三個對抗節(jié)點云工作負(fù)載安全起著重大的作用,主要從四個維度解決云工作負(fù)載安全防護問題。包含:

檢測:僵木蠕病毒、風(fēng)險缺陷檢測、進程賬號文件等行為

防護:系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層的安全保護

運營:補丁漏洞管理、資產(chǎn)配置管理、通訊流量可視化、合規(guī)基線核查

響應(yīng):全網(wǎng)分析溯源、危急事件處置

四、云工作負(fù)載安全(主機安全)技術(shù)發(fā)展趨勢

1、容器安全

毫無疑問,容器是當(dāng)前云計算的主流技術(shù)之一。Docker是當(dāng)下容器技術(shù)的主流選擇(2019年的市場占比達79%)。它與DevOps理念不謀而合,受到了企業(yè)推崇。然而,在“Docker容器的全生命周期”中存在諸多安全問題,下面對其中的重要管控點及相應(yīng)的管控方法進行介紹。

2、微服務(wù)安全

隨著互聯(lián)網(wǎng)飛速發(fā)展,傳統(tǒng)的“單體架構(gòu)”在面對持續(xù)改進、快速部署等需求時顯得力不從心,而“微服務(wù)架構(gòu)”作為一種系統(tǒng)解決思路應(yīng)運而生,方興未艾。

單體架構(gòu)與微服務(wù)架構(gòu)的部分區(qū)別如下表所示?？赏浦?后者在解決一些復(fù)雜問題時放大了攻擊面,引入了一些安全隱患。

為規(guī)避這些安全隱患,須從“安全開發(fā)”和“安全運維”兩方面著手。

微服務(wù)架構(gòu)伴隨著軟件架構(gòu)的需求應(yīng)運而生。這類Web應(yīng)用所面對的安全問題也與傳統(tǒng)單體應(yīng)用有著異同點,對甲方的安全開發(fā)和安全運維以及乙方的安全產(chǎn)品研發(fā)和落地提出了新的要求和挑戰(zhàn)。

3、ATT&CK在Server EDR中的應(yīng)用

ATT&CK模型由MITRE公司在2013年提出, 并于2015年發(fā)布了第一款框架。其目的在于了解攻擊和劃分攻擊類別,以確定對手如何運作,以及如何對主動攻擊做出響應(yīng)和攻擊后的恢復(fù)。

·威脅狩獵

MITER ATT&CK是基于真實環(huán)境觀察攻方戰(zhàn)術(shù)和技術(shù)的知識庫,ATT&CK框架可以應(yīng)用于提高EDR產(chǎn)品的威脅捕獲檢測能力和處置能力。

·產(chǎn)品能力評估

使用MITER ATT&CK框架評估終端安全產(chǎn)品的能力,量化安全產(chǎn)品對于威脅的檢測率以成為新一代的潮流。目前國外的部份廠商已經(jīng)支持對ATT&CK框架中的部份TTP進行檢測和發(fā)現(xiàn)。

對主機安全廠商而言,由于ATT&CK是以開源社區(qū)的方式運作,其攻擊工具庫會持續(xù)更新擴充,可以針對ATT&CK工具集中的相應(yīng)工具進行測試并提升安全產(chǎn)品的檢測能力。對于甲方而言,可以根據(jù)其ATT&CK情報集擴充自身的情報庫數(shù)據(jù)以提升對攻擊組織的發(fā)現(xiàn)能力與對安全產(chǎn)品的檢測評估。2020年ATT&CK將成為所有安全專家用來了解和抵御攻擊者發(fā)起攻擊的必要工具。

報告全文可關(guān)注安全狗 微信公眾號，通過歷史文章查閱下載。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！