首页 > 传媒 > 关键词 > 云原生SOC最新资讯 > 正文

“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

2020-03-30 14:33 · 稿源:站长之家用户投稿

传统企业安全中,部署了EDR(Endpoint Detection and Response)及NDR(Network Detection and Response)产品的企业,可及时定位失陷资产,响应终端威胁,减少攻击产生的危害。EDR和NDR在传统企业安全中为企业起到了保驾护航的重要作用。

但随着云计算的到来,越来越多的企业将自己的业务上云,云原生安全越来越受到企业的关注与重视,随之云端检测与响应(Cloud Detection and Response,CDR)的理念也应运而生。

下面我们将围绕腾讯云安全运营中心(详情戳:https://cloud.tencent.com/product/soc)这款产品的部分功能,来给大家介绍一下,如何依托云的优势,进行及时的风险检测与响应处置,最终保护客户的云上安全。

事前安全预防

● 云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》(如何让云比你自己的数据中心更安全)报告中指出,大多数成功的云攻击都是由错误引起的。例如配置错误、缺少修补程序或基础架构的凭据管理不当等。而通过明显利用IaaS计算和网络结构的内置安全能力和高度自动化,企业实际上是可以减少配置、管理不当等错误的机会。这样做既能减少攻击面,也有利于改善企业云安全态势。

云安全运营中心在事前预防阶段的主要任务就是对云上资产进行定期自动化风险评估,查缺补漏,及时发现风险点并进行修复和处置。安全运营中心可以帮租户梳理资产的漏洞详情,探测对外开放的高危端口,识别资产类型,检查云安全配置项目等,自动化的帮助租户全面评估云上资产的风险。下面简单介绍一下云安全配置管理(CSPM),让大家更直观的感受到如何进行事前的安全预防。

上图就是安全运营中心的云安全配置管理页面。借助腾讯云各个产品提供的接口,安全运营中心对 8 类资产,近 20 个检查项进行了检查和可视化展示。可以看到页面上列出了检查项的总数、未通过检查项总数、检查总资产数、配置风险资产数。另外下方列出了详细的检测项,包括了:云平台-云审计配置检查、SSL证书-有效期检查、CLB-高危端口暴露、云镜-主机安全防护状态、COS-文件权限设置、CVM-密钥对登录等。

以CVM-密钥对登录检查项为例,这个检查项主要是检测CVM是否利用SSH密钥进行登录。因为传统的“账号+密码”的登录方式,存在被暴力破解的可能性。如果暴力破解成功,那资产有可能会沦陷为黑客的肉鸡,成为进一步内网横向渗透的跳板。所以针对此风险进行事前防御的检查,能够规避很大一部分的安全事件。

● 合规管理

等保2. 0 提出了“一个中心,三重防护”,其中“一个中心”指的便是安全管理中心,即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。安全运营中心在提供满足等保2. 0 合规要求的日志审计、内到外威胁感知及其他安全管理中心要求功能的基础上,为客户提供针对部分等保2. 0 要求的自动化评估功能,实现持续动态的自动化合规评估和管理。可根据等级保护等合规标准要求,对云上的合规风险进行评估,并提供相应的风险处置建议。

事中监测与检测

● 网络安全-互联网流量威胁感知

当云上安全事件发生时,能够及时地发现并进行告警,帮助客户对症下药,对于客户进行资产排查和处置也尤为重要。下图展示的是安全运营中心网络安全页面。

网络安全主要是针对租户资产的网络南北向流量进行的安全检测。借助腾讯云平台安全能力,实时监测租户资产互联网流量中的异常,并向租户进行告警与提醒。目前网络安全的检测能力覆盖了 45 类的网络攻击类型。下面列举出 10 类高风险的威胁类型:

1.SQL注入攻击;2.敏感文件探测;3.命令注入攻击;4.认证暴力猜解;5.恶意文件上传;6.XSS攻击;7.webshell探测;8.各类漏洞利用(包括心脏滴血,struts,weblogic漏洞等比较重要的组件);9.反弹shell行为等; 10.主机挖矿。

告警包括源IP、目的IP、受害者资产、次数、类型、威胁等级以及时间等,通过点击详情可以看到更丰富的详细信息。

除五元组的信息外,也展示了攻击载荷的详细数据,可以清晰的看到payload内容,攻击载荷有时也能了解到黑客的攻击意图,可以帮助安全团队更有针对性地进行排查。以上图的攻击为例,可以看到攻击载荷是存在于http头中:

/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

通过载荷数据看到,黑客是利用ThinkPHP 5.x远程命令执行漏洞来攻击客户资产的。该漏洞的产生是由于程序未对控制器进行过滤,导致攻击者可以通过引入‘\’符号来调用任意类方法执行命令。而黑客想要执行的命令是:

echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

如果漏洞利用成功,此条命令会释放一个webshell一句话木马到服务器,并命名为hydra.php,黑客可以借助webshell小马,上传大马,从而进行更多的内网渗透工作,对内网造成更严重的危害。

安全运维人员可以根据详情页中的处置建议进行一些排查和处置。例如通过ACL策略封禁源IP,阻断其进一步的攻击。同时可以在安全事件页中查看该资产是否存在该漏洞,以及webshell木马是否已经落地。及时有效的安全排查,可以很大程度上降低安全事件的危害。

网络安全事件同时提供了攻击者画像与受害者画像。基于历史的数据,对攻击者近期发起的网络威胁进行汇总,关联是否还有其他的攻击手段,帮助客户更全方位的了解攻击者。下图展示的就是攻击者画像。

下图则是受害者画像,流量威胁TOP5,展示的是受害资产近期遭受的攻击类型次数排名,可以帮助客户更有针对性的对资产进行合理的处置。流量威胁趋势,可以更直观的了解到资产近期的安全现状。

● 泄漏检测

数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用。由于企业业务性质、开发制度等原因,互联网公司一般会涉及较多的版本变更,且大部分互联网企业内部崇尚开源文化,开放的同时,也为数据泄露事件埋下隐患。近几年从泄漏渠道上来看主要有以下几个分类:GitHub代码类,网站入侵类,网络黑市交易类,合作商接口调用类等。

安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控。通过安全运营中心的统一监控和处理,可以解放企业运维安全人员更多的时间,将更多精力集中在规则运营上。同时也能与云平台能够更好的整合开发、运维,将事件处理集中在一处,提高处理效率。在误报规则的运营处理方面,SaaS 化的平台比开源系统运营更持久,基于云上用户的体验集中优化,目前由云鼎实验室团队进行后台策略维护支持,误报问题相对较少,告警的质量相对较高。

上图就是泄漏检测的页面。安全运维人员进行配置后,即可监控自己所关注的敏感信息是否在上面两个源中有泄漏。当腾讯云的SecretId由于各种原因,出现在GitHub上时,安全运维人员可以及时的发现,尽快进行处置,避免发生更大的安全事故。

事后响应处置

安全事件发生后,云安全运营中心借助调查中心和响应中心分别提供了溯源调查以及自动化响应的能力。下面分别介绍一下这两个部分。

● 调查中心

调查中心目前接入了七类日志,有资产日志、指纹信息、漏洞详情、安全事件、用户行为分析、云审计以及负载均衡。日志调查中心提供的查询语法类似于kibana的查询语法,可以根据自己的需求组合出多种搜索语句。在后面的篇幅中,结合安全溯源,也会有所介绍。

- 资产类型

展示的是客户部署在腾讯云上的各类资产的详细信息。图中能看到有CVM、COS存储、负载均衡、数据库等资产类型。

在日志调查搜索框中,可以通过多个条件组的组合,完成一些资产数据的统计。例如统计CVM上遭受攻击次数大于 100 小于 1000 的机器。

- 资产指纹

包含了进程、端口、组件、账户等信息。下表列出比较关键的字段信息,更多的字段可以在日志调查中查看。

漏洞信息

列举机器上的漏洞名称、漏洞描述、漏洞等级、漏洞类型、CVE号、修复方案、参考链接、处理状态、影响的机器数等。这些信息也可以在资产中心->漏洞管理中进行查看。

- 事件信息

事件包含了WAF、DDoS,云镜等产品发现的安全事件,比较重要的有密码破解,异地登录,WEB攻击,以及木马。这些信息也可以在安全事件页中进行查看。

- 用户行为分析

UBA日志存放的是用户行为分析日志,该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云API进行自动化操作的相关记录进行账号安全性分析,并及时提示运维人员进行相关风险处理。目前UBA模块已有的风险场景有以下四种:用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作。

- CLB日志

CLB存放的是腾讯云负载均衡产品的访问日志数据,负载均衡(Cloud Load Balancer)是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

● 响应中心

响应中心是在安全事件发生后,通过内置的安全编排响应剧本,联动云上各类安全措施和产品对安全事件进行自动化响应处置并提供响应报告详情,可以及时阻断风险,配置加固资产,将安全事件的风险最大程度的降到最低。目前内置的剧本有SSH口令爆破类事件、RDP口令爆破类事件、Linux主机挖矿木马类事件及Windows主机挖矿木马类事件等云上常见的安全事件。

以SSH口令爆破事件为例,来看一下当安全事件发生后,响应中心如何快速的进行处置,将风险尽快排除。

上图可以看到,当SSH口令爆破事件发生后,剧本提供了四个步骤来处置,依次是:排查攻击源、排查被攻击资产、基线检测、木马检测。

1. 排查攻击源

如果攻击发生在外网,那么就联动安全组封禁外网的攻击IP。如果是发生在内网,就及时隔离内网攻击资产的网络,同时检测攻击源资产是否安装了云镜专业版,因为内网主机发起横向爆破攻击,极有可能是在之前已经失陷。

2. 排查被攻击资产

如果被攻击资产爆破成功,那么首先要及时修改账户密码,同时要尽快隔离被攻击资产的网络,防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

3. 基线检测

调用云镜接口对资产进行基线检测,及时发现风险并修复。

4. 木马检测

对资产进行木马查杀,防止黑客落地恶意文件。通过剧本的以上四个步骤,可以及时高效地处置SSH口令爆破事件,降低安全事件所带来的风险。

“云上打马”:如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景,看一下企业的安全运维人员,如何借助上文提到的安全运营中心的功能,来处理安全事件。

- 云安全配置管理

安全运维人员,可以在云安全配置管理页面检查CVM是否启用了密钥对,主机安全防护状态是否正常。通过CVM配置风险的自动化检查,降低云上资产的安全风险。

- 攻击面测绘

通过攻击面测绘识别主机的攻击面,及时收敛不必要的暴露面。

- 网络安全

网络安全中,通过告警的详情页,获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

详情页可以获取到源端口,受影响资产等信息,这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

- 响应中心

当发现挖矿木马告警后,可以借助响应中心,完成响应处置。首先进行矿池连接的阻断,阻止失陷资产与矿池的数据流量传输。随后进行木马检测,借助云镜的主机安全能力,定位挖矿木马并进行木马隔离。在文件层面进行处置后,对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式,可以根据响应时详细的提示进行排查,确定挖矿进程并清除。最后进行基线的检测,对弱密码和漏洞进行检测,提高资产的安全基线,加固资产的安全,及时的将风险降到最低。

- 调查中心

借助网络安全提供的端口、资产等信息,可以在调查中心中对挖矿木马的落地进行溯源分析。1)调查中心的安全事件日志(event)中,查看挖矿主机是否有木马告警(SsaCvmInstanceId:受影响资产)

2)如果有木马告警,根据安全事件日志中记录的木马路径在资产指纹日志(assets_finger)中,寻找相关的木马进程(fullpath: 木马路径),进程的pid,以及用户信息

3)根据机器信息,在安全事件日志(event)中搜索是否有异地登录和密码暴力破解成功相关的告警。进行溯源查找

4)同时也可以查看网络安全中,是否存在相关机器的恶意文件上传以及漏洞攻击的告警,进一步排查木马落地的原因。面对云上安全的新挑战,腾讯安全极为重视企业安全的“云原生”思维价值,并结合自身安全运营经验及广泛的云上客户调研,总结出云原生的CDR体系(Cloud Detection and Response),包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系,并建立全程的安全可视体系,以提升公有云上安全运营的灵敏度及效率。目前这套理念已依托腾讯云安全运营中心持续实践,帮助多个企业客户解决云上安全问题。

作为腾讯云的能力支持,腾讯安全已经实现了为腾讯云客户提供云原生的安全能力,提升企业信息安全“免疫力”,配合腾讯云及其认证的生态合作伙伴,打造内在的安全韧性,构建弹性扩展、操作性强的安全架构,满足动态的安全需求。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 让安全运营简单高效,腾讯云获首批可信云SOC行业标准认证

    6 月 17 日,由中国信息通信研究院指导,云计算标准和开源推进委员会承办,云计算开源产业联盟支持的“构建云时代下的安全运营中心在线分享会”正式召开,会上重磅发布了首批可信云安全运营中心(SOC)能力评估结果 ,腾讯云成为首批通过认证的四家企业之一。据了解,可信云服务认证是由数据中心联盟、云计算发展与政策论坛与中国信息通信研究院联合组织的我国唯一针对云服务可信性的权威认证体系。可信云自 2013 年推出以来,评估范

  • 戴尔科技云原生平台:创新交付新模式,实现从“容”上云

    作者:申耀 公司:戴尔科技集团 如果评选过去一年整个科技圈最热门的词汇,那么云原生一定首当其冲。 确实如此,今天以Kubernetes为代表的云原生技术和理念正“大行其道”,特别是随着众多头部企业的积极参与,不仅打通了Kubernetes在企业生产环境中大规模落地的“最后一公里”,更让Kubernetes正在成为关键业务场景中不可或缺的技术主角。 IDC近期发布的《 2020 年中国云计算市场十大预测》就指出,到 2022 年,50%的企业将部署统

  • CloudGuard 云原生安全方案:可为任何云和工作负载提供全面保护

    Check Point 软件公司推出了 CloudGuard 云原生安全方案,可为任何云和工作负载提供全面保护。 业内最全面的平台统一了云安全状态管理、无服务器和容器保护及威胁情报,可帮助组织充分利用云速度和可扩展性。 2020 年 6 月 -- 全球领先的网络安全解决方案提供商 Check Point? 软件技术有限公司 (纳斯达克股票代码:CHKP) 推出了 CloudGuard 云原生安全 方案。该全自动云平台支持客户无缝保护其所有云部署和工作负载,并一站式管

  • Aruba发布业界首款服务智能边缘的云原生平台Aruba ESP

    【TechWeb】6月18日消息,慧与公司旗下的Aruba今日推出业内首款 AI 驱动的云原生平台Aruba ESP( 边缘服务平台),该平台建立在 AIOps、零信任网络安全和统一架构基础上,提供跨网域数据的持续性分析、跟踪 SLA,识别异常情况并进行自动优化的平台,同时监控网络上的未知设备以确保设备安全。Aruba ESP旨在为网络边缘提供云体验,可作为云服务或本地服务使用,也可由Aruba合作伙伴提供托管服务,抑或通过HPE GreenLake获取相应服?

  • 金融级安全“零失分”,腾讯云IT管理水平获新加坡OSPAR认证

    近日,新加坡银行业协会公布了新一批的金融行业外包服务审计报告(Outsourced Service Provider Audit Report ,简称OSPAR)。腾讯云多项服务和新加坡站点以“ 0 观察项”的优异成绩正式通过了OSPAR,这意味着腾讯云的IT控制水平已经达到了国际先进水平,安全管理能力受到国际认可,并具备了在新加坡乃至东南亚地区提供金融领域服务的资质。(Aceville Pte. Ltd. 为腾讯云新加坡分公司名称)腾讯云“ 0 观察项”通过新加坡OSPAR认?

  • 腾讯云与深圳市口腔医院达成战略合作一部手机搞定“无感医院”

    6 月 19 日,腾讯云与深圳市口腔医院签署战略合作协议,整合云计算、人工智能、大数据等能力以及在医疗健康领域的解决方案,共同推进口腔专科医疗服务、医学教育、医学研究等板块的数字化平台建设,构建“产学研”三位一体的口腔专科医疗健康生态链,全方位打造高效、便捷、智能、创新的运营服务模式,为患者提供更优质的智慧医疗服务。深圳市口腔医院院长张强与腾讯智慧医疗总经理代表双方签署合作协议。深圳市口腔医院院长张强(

  • 腾讯云发起“优才计划”,携手中软协构建数字化人才培养新生态

    6 月 6 日,由腾讯云举办的“优才计划发布会”在北京市海淀区腾讯大厦举行,腾讯云宣布发起“优才计划”,并率先与中国软件行业协会达成合作,携手打造“人才培养”到“人才输出”闭环新模式,构建数字化人才培养新生态,为新基建下的产业互联网发展提供人才支撑。中国软件行业协会副理事长陈钟,中国软件行业协会副秘书长付晓宇,腾讯云平台总经理周军,CIE中国IT教育论坛大会主席、《计算机教育》杂志主编奚春雁,深圳大学计算机

  • 腾讯安全推战略新品,SaaS化云防火墙打造云上第一道防线

    伴随企业核心业务大量上云,在云端混合环境、移动访问及在线应用程序迅速发展的趋势下,上云企业亟需更具细粒度的安全技术来替代传统防火墙。 6 月 16 日,腾讯安全举办线上新品发布会,宣布推出战略级新品——新一代SaaS化云防火墙,即开即用,助力企业解决云上业务隔离、统一访问管控等基础安全问题,为企业打造上云的第一道安全防线。企业上云后,面临四大基础网络安全挑战企业上云后,应用程序和数据可以在云端和混合环境中处?

  • iOS14原生五笔输入法好用吗

    北京时间 6 月 23 日凌晨,苹果在一年一度的WWDC全球开发者大会上正式发布了iOS14 系统。苹果在iOS14 上添加原生五笔输入法。五笔是目前中国以及一些东南亚国家如新加坡、马来西亚等国的最常用的汉字输入法之一。五笔相对于拼音输入法具有重码率低的特点,熟练后可快速输入汉字。同样在iPadOS14 上也增加了五笔输入法。据悉,这次iOS14 支持五笔 86 版、五笔 98 版与新世纪五笔。那么iOS14 原生五笔输入法好用吗?以下是关于iOS14

  • 高通6系首款5G Soc!骁龙690发布:8nm制程 GPU提升60%

    6月17日消息,高通6系列第一款5G Soc骁龙690登场。据悉,骁龙690基于8nm工艺制程打造,是高通骁龙675的继任者,它内置骁龙X51 5G调制解调器,支持SA、NSA及全球5G频段,不支持mmWave。它采用

  • 腾讯专有云首次落地消费金融 中原消费金融发力自主金融科技能力提升

    在2020年“两会”上,多位全国人大代表都围绕数字经济和金融科技发展建言献策,金融科技再次受到关注。从产业来看,科技和互联网的发展正在给消费市场带来新的变化,同时也对金融服务提出了新的要求。5G、人工智能、大数据中心、物联网等技术在金融领域的应用,为传统金融服务数字化转型创造了条件。实际上,科技变革正在深刻地影响着消费金融公司,也让消费金融公司开始更加注重自主研发实力与自主金融科技能力的修炼与提升。以中

  • DNF云上长安战未央入场条件 云上长安战未央怎么入场

    ​DNF在6月18日开启了最新的副本云上长安战未央,很多玩家还不知道云上长安战未央到底怎么入场,下面就来为大家分享一下云上长安战未央入场的条件。

    dnf
  • 小米首次采用联发科天玑1000+:业界首款双5G旗舰Soc

    一年一度的618购物狂欢节过后,又一波新机潮即将来袭。除了官宣的Redmi 9之外,小米系的中高端旗舰也将陆续到来。6月21日晚间,博主@数码闲聊站爆料,搭载联发科天玑1000+的小米新机即将登场

  • 雀巢Garden of Life倡导自然原生力,引领健康生活新主张

    膳食营养补充剂作为 2020 年这个特殊年份,消费者选择的热点,其背后反应的是消费者对于健康的极大关注。据天猫国际数据显示, 1 到 5 月份,其整体海外膳食补充剂大盘较去年增长约20%;而个别营养补充剂品类增长甚至达到50%到100%之间;例如市场上大热的VC和益生菌。 面对琳琅满目的膳食补充剂品牌,其实人们的需求也越来越多样化、个性化。而消费倾向和选择的升级,也反馈在膳食补充剂其产业升级和创新升级消费者,特别是自媒体时

  • 大搜车宣布并购云漾科技

    今日,大搜车宣布完成对北京云漾信息科技有限公司的并购。大搜车称,此次并购,将闭环汽车流通领域全场景数字化能力,为汽车厂商搭建从厂商端、店端到用户端“三端合一”用户全旅程数字化管理系统能力,进一步推动汽车产业迈向数字文明。

  • 王腾暗示Redmi要用联发科天玑1000+:首款A77集成式5G旗舰Soc

    6月16日消息,Redmi产品总监王腾暗示Redmi要用联发科天玑1000+芯片。天玑1000+是联发科2020年推出的5G旗舰Soc,它基于7nm工艺制程打造,采用Cortex A77大核+Cortex A55能效核心组成,安兔兔跑

  • 业界首款A77集成式5G旗舰Soc 小米要用联发科天玑1000+

    6月15日消息,博主@数码闲聊站爆料,小米或Redmi要用联发科天玑1000+芯片,号称是中端杀手。目前联发科天玑1000+已经量产商用,首发机型是iQOO Z1,618期间到手价为1998元,在2000元档位极具竞

  • 苹果终于满足用户需求:iOS/iPad OS 14原生支持五笔输入

    抛开那些大的功能不谈,在iOS 14上,这次苹果也是提升了一些细节,比如输入法的支持上。据一些已经升级至iOS 14开发版的用户反馈,苹果已经在iOS 14上,原生支持了五笔输入法,同时iPadOS 14上

  • 老干妈回应腾讯起诉:没有与腾讯合作 腾讯可能被骗了

    今天下午,针对“腾讯的起诉”老干妈公司相关负责人回应称,并没有与腾讯有任何的合作,关于此事老干妈公司认为,腾讯公司被骗了!老干妈公司已经向警方报案,稍晚会发布声明。

  • 苹果iOS14与iPadOS14系统原生输入法将内置五笔输入

    昨日凌晨,苹果全球开发者大会WWDC2020 首次在线上举办,在本次大会上,苹果更新了iOS14、iPadOS14、watchOS7、macOS Big Sur等OS系统。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天