從主機防病毒、入侵防護,到應用程序控制、行為監測及響應,再到主機的加固與運營(yíng)等8大層面,能力層層遞進(jìn),防護面面俱到。而用戶(hù)應該先著(zhù)眼于哪一層?哪一層才真正體現云安全防護的“真本領(lǐng)”?
內行看門(mén)道。亞信安全近期正式發(fā)布的信艙(DS)-云主機安全20版本(簡(jiǎn)稱(chēng)DS 20)全面滿(mǎn)足了云工作負載保護平臺CWPP各項功能。其中最核心,也是最見(jiàn)功力的更新集中在了云主機安全加固的能力提升。
身處“云風(fēng)暴”,要先看清風(fēng)險
云服務(wù)極大地滿(mǎn)足了用戶(hù)使用和拓展存儲資源、軟件資源和計算資源的需求,而主要風(fēng)險正來(lái)源于此:
- 云平臺虛擬化資產(chǎn)數量龐大難以維護
企業(yè)內部極少有人能及時(shí)了解本身的核心資產(chǎn),如虛擬服務(wù)器規模、域名、網(wǎng)段的清晰情況。尤其是資產(chǎn)和組織架構越來(lái)越復雜之后,云主機數量統計幾乎成了一道最難搞懂的“高考數學(xué)題”。
- 應用系統配置風(fēng)險漏洞未被重視
從近年來(lái)主機安全事件來(lái)看,應用系統的配置風(fēng)險是眾多用戶(hù)不太重視的問(wèn)題;另外,隨著(zhù)新的應用系統類(lèi)型不斷增加并被應用到生產(chǎn)環(huán)境中,這方面的安全漏洞將會(huì )被大面積利用,這里面除了傳統的數據庫應用,Web容器、開(kāi)源監控系統(如Zabbix),MongoDb、Redis、Hadoop等新型應用配置風(fēng)險漏洞也將成為黑客利用的目標。
云主機風(fēng)險推動(dòng)“三大”安全新需求:
- 信息資產(chǎn)采集管理: 面對云計算場(chǎng)景大量的虛擬化資產(chǎn)以及快速更迭的系統及應用,云安全產(chǎn)品應具備強大的資產(chǎn)采集管理能力,通過(guò)對資產(chǎn)信息進(jìn)行分析為企業(yè)提供漏洞風(fēng)險及入侵威脅的判斷的基礎信息,有助于深入發(fā)現內部暴露的IT風(fēng)險問(wèn)題和風(fēng)險。
- 漏洞風(fēng)險檢測及修復: 服務(wù)器承載各類(lèi)業(yè)務(wù)系統,時(shí)刻面臨著(zhù)外部的用戶(hù)訪(fǎng)問(wèn),一旦存在漏洞,將使得平臺被黑客入侵的風(fēng)險被成倍放大。因此,云安全產(chǎn)品應具備強大的漏洞風(fēng)險檢測及修復能力,需能夠對漏洞風(fēng)險進(jìn)行精準發(fā)現,并針對不同漏洞風(fēng)險做出精準分析,提供精確到命令的修復建議。
- 安全合規需求: 國家對網(wǎng)絡(luò )安全的重視達到了一個(gè)新的高度,尤其是《網(wǎng)絡(luò )安全法》的出臺,代表著(zhù)網(wǎng)絡(luò )安全的管控已進(jìn)入快車(chē)道,既是云安全的新起點(diǎn),也是重要的轉折點(diǎn)。因此,云安全產(chǎn)品應具備強大的基線(xiàn)合規性檢查能力,能夠對平臺基線(xiàn)進(jìn)行合規性檢查,對于存在安全缺陷的項目進(jìn)行識別及給出相應處理意見(jiàn),防止風(fēng)險的產(chǎn)生。
打開(kāi)云端資產(chǎn)治理及漏洞管理“新思路”
想解決資產(chǎn)導致的風(fēng)險問(wèn)題,提升系統的安全防護能力的話(huà),就要換位思考,從基于黑客入侵的視角對資產(chǎn)進(jìn)行分析,了解資產(chǎn)本身常被黑客利用的脆弱點(diǎn)有哪些。這一步的分析我們可以從幾個(gè)方面進(jìn)行思考:
- 攻擊者入侵的動(dòng)機是什么?
- 攻擊者入侵的目標有哪些?
- 攻擊者入侵想要達到目的的方法或途徑有哪些?
經(jīng)過(guò)分析我們不難發(fā)現,攻擊者的最終目標往往在于存儲重要數據的服務(wù)器。而攻擊者想要獲得服務(wù)器的控制權或數據的過(guò)程中,常以資產(chǎn)自身的漏洞、弱口令賬號為跳板進(jìn)入資產(chǎn)內部,并通過(guò)提權,創(chuàng )建計劃任務(wù)等一系列動(dòng)作達到目的。
解決思路清晰后,如何進(jìn)行資產(chǎn)梳理和漏洞運營(yíng)的方案也就對應產(chǎn)生:
- 摸清家底:
亞信安全DS 20支持全面收集主機層面資產(chǎn),包括端口、對內對外IP、web站點(diǎn)、web中間件、web應用、數據庫、進(jìn)程、第三方組件、軟件應用、環(huán)境變量、計劃任務(wù)、jar包等;同時(shí)可對資產(chǎn)實(shí)時(shí)監測,基于變更規則(變更頻率)進(jìn)行告警。
【圖:亞信安全DS 20 資產(chǎn)管理】
- 漏洞可視
近兩年,勒索病毒一直處于高頻活躍狀態(tài),通過(guò)分析可以發(fā)現勒索病毒常常以文件服務(wù)器、數據庫等存放數據的服務(wù)器為目標,并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。
在亞信安全DS 20平臺上,用戶(hù)可通過(guò)漏洞管理模塊,全面排查系統中存在的漏洞、弱口令、風(fēng)險賬號等,從而提升系統安全性;另外,亞信安全DS 20融合了NASL技術(shù),通過(guò)POC快速對新出現的漏洞進(jìn)行驗證,利用了NASL技術(shù)與國家漏洞庫建立聯(lián)動(dòng)機制,極大地提升了重大活動(dòng)和重點(diǎn)網(wǎng)絡(luò )中的供應鏈類(lèi)漏洞預警響應能力。
【圖:亞信安全DS 20 實(shí)現漏洞管理可視化】
【圖:亞信安全DS 20 對系統漏洞風(fēng)險全面評估】
- 快速定位
對用戶(hù)而言,應急響應時(shí)間的長(cháng)短,直接關(guān)乎著(zhù)企業(yè)的損失。如何快速響應,控制威脅一直是安全人員及用戶(hù)關(guān)注的重點(diǎn)。對此,DS 20新增“資產(chǎn)一鍵搜”功能,可幫助用戶(hù)快速定位受威脅的資產(chǎn),為處置動(dòng)作爭取更多的時(shí)間。
通過(guò)基線(xiàn)檢測建設,實(shí)現云主機安全加固自動(dòng)化
云主機承載著(zhù)關(guān)鍵數據及核心業(yè)務(wù)系統,一旦受到攻擊,整個(gè)信息系統中最具價(jià)值的部分將面臨失竊和被破壞的風(fēng)險,為保障主機安全,因此需要構建以計算環(huán)境安全為核心的縱深防御體系,加強主動(dòng)評估風(fēng)險及主動(dòng)預警響應能力。
為此,亞信安全DS 20 提供了強大的基線(xiàn)檢查能力,能夠對大量的主機進(jìn)行統一掃描,支持檢測操作系統和服務(wù)(數據庫、服務(wù)器軟件、容器等)的弱口令、賬號權限、身份鑒別、密碼策略、訪(fǎng)問(wèn)控制、安全審計和入侵防范等安全配置,并提供檢測結果,針對存在的風(fēng)險配置給出加固建議。
【圖:亞信安全提供了豐富的安全合規基線(xiàn)模板】
數字經(jīng)濟的快速發(fā)展和融合,給數據中心帶來(lái)了眾多挑戰,尤其是云數據中心面臨的安全風(fēng)險正在加劇。持續演化的數據中心安全威脅不會(huì )遠離,云主機安全將是我們的最后一道防線(xiàn)。這也是亞信安全在DS 20 中增加云主機資產(chǎn)梳理、漏洞掃描、基線(xiàn)核查的目的,是構建云主機安全加固新防線(xiàn)的三個(gè)核心能力。
關(guān)于亞信安全
亞信安全是中國網(wǎng)絡(luò )安全軟件領(lǐng)域的領(lǐng)跑者,作為“懂網(wǎng)、懂云”的安全公司,致力于護航產(chǎn)業(yè)互聯(lián),成為在 5G 云網(wǎng)時(shí)代,守護云、網(wǎng)、邊、端的安全智能平臺企業(yè)。以安全數字世界為愿景,以護航產(chǎn)業(yè)互聯(lián)為使命,亞信安全在云安全、身份安全、終端安全、安全管理、高級威脅治理和威脅情報等領(lǐng)域擁有核心技術(shù)。同時(shí)基于“安全定義邊界”的 發(fā)展理念,亞信安全以身份安全為基礎,以云網(wǎng)安全和端點(diǎn)安全為重心,以安全中臺為樞紐, 以威脅情報為支撐,構建“全云化、全聯(lián)動(dòng)、全智能”的產(chǎn)品技術(shù)戰略,賦能企業(yè)在 5G 時(shí)代 的數字化安全運營(yíng)能力。
