傳統(tǒng)安全防護(hù)手段,無法滿足云計(jì)算時(shí)代的安全防護(hù)需要,CWPP應(yīng)運(yùn)而生。從主機(jī)防病毒、入侵防護(hù),到應(yīng)用程序控制、行為監(jiān)測及響應(yīng),再到主機(jī)的加固與運(yùn)營等8大層面,能力層層遞進(jìn),防護(hù)面面俱到。而用戶應(yīng)該先著眼于哪一層?哪一層才真正體現(xiàn)云安全防護(hù)的“真本領(lǐng)”?內(nèi)行看門道。亞信安全近期正式發(fā)布的信艙(DS)—云主機(jī)安全20版本(簡稱DS 20)全面滿足了云工作負(fù)載保護(hù)平臺(tái)CWPP各項(xiàng)功能。其中最核心,也是最見功力的更新集中在了云主機(jī)安全加固的能力提升。
身處“云風(fēng)暴”,要先看清風(fēng)險(xiǎn)
云服務(wù)極大地滿足了用戶使用和拓展存儲(chǔ)資源、軟件資源和計(jì)算資源的需求,而主要風(fēng)險(xiǎn)正來源于此:
·云平臺(tái)虛擬化資產(chǎn)數(shù)量龐大難以維護(hù)企業(yè)內(nèi)部極少有人能及時(shí)了解本身的核心資產(chǎn),如虛擬服務(wù)器規(guī)模、域名、網(wǎng)段的清晰情況。尤其是資產(chǎn)和組織架構(gòu)越來越復(fù)雜之后,云主機(jī)數(shù)量統(tǒng)計(jì)幾乎成了一道最難搞懂的“高考數(shù)學(xué)題”。
·應(yīng)用系統(tǒng)配置風(fēng)險(xiǎn)漏洞未被重視從近年來主機(jī)安全事件來看,應(yīng)用系統(tǒng)的配置風(fēng)險(xiǎn)是眾多用戶不太重視的問題;另外,隨著新的應(yīng)用系統(tǒng)類型不斷增加并被應(yīng)用到生產(chǎn)環(huán)境中,這方面的安全漏洞將會(huì)被大面積利用,這里面除了傳統(tǒng)的數(shù)據(jù)庫應(yīng)用,Web容器、開源監(jiān)控系統(tǒng)(如Zabbix),MongoDb、Redis、Hadoop等新型應(yīng)用配置風(fēng)險(xiǎn)漏洞也將成為黑客利用的目標(biāo)。
云主機(jī)風(fēng)險(xiǎn)推動(dòng)“三大”安全新需求:
· 信息資產(chǎn)采集管理: 面對(duì)云計(jì)算場景大量的虛擬化資產(chǎn)以及快速更迭的系統(tǒng)及應(yīng)用,云安全產(chǎn)品應(yīng)具備強(qiáng)大的資產(chǎn)采集管理能力,通過對(duì)資產(chǎn)信息進(jìn)行分析為企業(yè)提供漏洞風(fēng)險(xiǎn)及入侵威脅的判斷的基礎(chǔ)信息,有助于深入發(fā)現(xiàn)內(nèi)部暴露的IT風(fēng)險(xiǎn)問題和風(fēng)險(xiǎn)。
· 漏洞風(fēng)險(xiǎn)檢測及修復(fù): 服務(wù)器承載各類業(yè)務(wù)系統(tǒng),時(shí)刻面臨著外部的用戶訪問,一旦存在漏洞,將使得平臺(tái)被黑客入侵的風(fēng)險(xiǎn)被成倍放大。因此,云安全產(chǎn)品應(yīng)具備強(qiáng)大的漏洞風(fēng)險(xiǎn)檢測及修復(fù)能力,需能夠?qū)β┒达L(fēng)險(xiǎn)進(jìn)行精準(zhǔn)發(fā)現(xiàn),并針對(duì)不同漏洞風(fēng)險(xiǎn)做出精準(zhǔn)分析,提供精確到命令的修復(fù)建議。
· 安全合規(guī)需求: 國家對(duì)網(wǎng)絡(luò)安全的重視達(dá)到了一個(gè)新的高度,尤其是《網(wǎng)絡(luò)安全法》的出臺(tái),代表著網(wǎng)絡(luò)安全的管控已進(jìn)入快車道,既是云安全的新起點(diǎn),也是重要的轉(zhuǎn)折點(diǎn)。
因此,云安全產(chǎn)品應(yīng)具備強(qiáng)大的基線合規(guī)性檢查能力,能夠?qū)ζ脚_(tái)基線進(jìn)行合規(guī)性檢查,對(duì)于存在安全缺陷的項(xiàng)目進(jìn)行識(shí)別及給出相應(yīng)處理意見,防止風(fēng)險(xiǎn)的產(chǎn)生。
打開云端資產(chǎn)治理及漏洞管理“新思路”
想解決資產(chǎn)導(dǎo)致的風(fēng)險(xiǎn)問題,提升系統(tǒng)的安全防護(hù)能力的話,就要換位思考,從基于黑客入侵的視角對(duì)資產(chǎn)進(jìn)行分析,了解資產(chǎn)本身常被黑客利用的脆弱點(diǎn)有哪些。
這一步的分析我們可以從幾個(gè)方面進(jìn)行思考:· 攻擊者入侵的動(dòng)機(jī)是什么?· 攻擊者入侵的目標(biāo)有哪些?· 攻擊者入侵想要達(dá)到目的的方法或途徑有哪些?
經(jīng)過分析我們不難發(fā)現(xiàn),攻擊者的最終目標(biāo)往往在于存儲(chǔ)重要數(shù)據(jù)的服務(wù)器。而攻擊者想要獲得服務(wù)器的控制權(quán)或數(shù)據(jù)的過程中,常以資產(chǎn)自身的漏洞、弱口令賬號(hào)為跳板進(jìn)入資產(chǎn)內(nèi)部,并通過提權(quán),創(chuàng)建計(jì)劃任務(wù)等一系列動(dòng)作達(dá)到目的。
解決思路清晰后,如何進(jìn)行資產(chǎn)梳理和漏洞運(yùn)營的方案也就對(duì)應(yīng)產(chǎn)生:· 摸清家底:亞信安全DS 20支持全面收集主機(jī)層面資產(chǎn),包括端口、對(duì)內(nèi)對(duì)外IP、web站點(diǎn)、web中間件、web應(yīng)用、數(shù)據(jù)庫、進(jìn)程、第三方組件、軟件應(yīng)用、環(huán)境變量、計(jì)劃任務(wù)、jar包等;同時(shí)可對(duì)資產(chǎn)實(shí)時(shí)監(jiān)測,基于變更規(guī)則(變更頻率)進(jìn)行告警。
【圖:亞信安全DS 20 資產(chǎn)管理】
· 漏洞可視
近兩年,勒索病毒一直處于高頻活躍狀態(tài),通過分析可以發(fā)現(xiàn)勒索病毒常常以文件服務(wù)器、數(shù)據(jù)庫等存放數(shù)據(jù)的服務(wù)器為目標(biāo),并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。在亞信安全DS 20平臺(tái)上,用戶可通過漏洞管理模塊,全面排查系統(tǒng)中存在的漏洞、弱口令、風(fēng)險(xiǎn)賬號(hào)等,從而提升系統(tǒng)安全性;另外,亞信安全DS 20融合了NASL技術(shù),通過POC快速對(duì)新出現(xiàn)的漏洞進(jìn)行驗(yàn)證,利用了NASL技術(shù)與國家漏洞庫建立聯(lián)動(dòng)機(jī)制,極大地提升了重大活動(dòng)和重點(diǎn)網(wǎng)絡(luò)中的供應(yīng)鏈類漏洞預(yù)警響應(yīng)能力。
【圖:亞信安全DS 20 實(shí)現(xiàn)漏洞管理可視化】
【圖:亞信安全DS 20 對(duì)系統(tǒng)漏洞風(fēng)險(xiǎn)全面評(píng)估】
· 快速定位
對(duì)用戶而言,應(yīng)急響應(yīng)時(shí)間的長短,直接關(guān)乎著企業(yè)的損失。如何快速響應(yīng),控制威脅一直是安全人員及用戶關(guān)注的重點(diǎn)。對(duì)此,DS 20新增“資產(chǎn)一鍵搜”功能,可幫助用戶快速定位受威脅的資產(chǎn),為處置動(dòng)作爭取更多的時(shí)間。
通過基線檢測建設(shè),實(shí)現(xiàn)云主機(jī)安全加固自動(dòng)化
云主機(jī)承載著關(guān)鍵數(shù)據(jù)及核心業(yè)務(wù)系統(tǒng),一旦受到攻擊,整個(gè)信息系統(tǒng)中最具價(jià)值的部分將面臨失竊和被破壞的風(fēng)險(xiǎn),為保障主機(jī)安全,因此需要構(gòu)建以計(jì)算環(huán)境安全為核心的縱深防御體系,加強(qiáng)主動(dòng)評(píng)估風(fēng)險(xiǎn)及主動(dòng)預(yù)警響應(yīng)能力。為此,亞信安全DS 20 提供了強(qiáng)大的基線檢查能力,能夠?qū)Υ罅康闹鳈C(jī)進(jìn)行統(tǒng)一掃描,支持檢測操作系統(tǒng)和服務(wù)(數(shù)據(jù)庫、服務(wù)器軟件、容器等)的弱口令、賬號(hào)權(quán)限、身份鑒別、密碼策略、訪問控制、安全審計(jì)和入侵防范等安全配置,并提供檢測結(jié)果,針對(duì)存在的風(fēng)險(xiǎn)配置給出加固建議。
【圖:亞信安全提供了豐富的安全合規(guī)基線模板】
數(shù)字經(jīng)濟(jì)的快速發(fā)展和融合,給數(shù)據(jù)中心帶來了眾多挑戰(zhàn),尤其是云數(shù)據(jù)中心面臨的安全風(fēng)險(xiǎn)正在加劇。持續(xù)演化的數(shù)據(jù)中心安全威脅不會(huì)遠(yuǎn)離,云主機(jī)安全將是我們的最后一道防線。這也是亞信安全在DS 20 中增加云主機(jī)資產(chǎn)梳理、漏洞掃描、基線核查的目的,是構(gòu)建云主機(jī)安全加固新防線的三個(gè)核心能力。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )