隨著云計(jì)算的普及���,云主機(jī)因強(qiáng)勁的性能、較低的成本成為大量傳統(tǒng)企業(yè)上云和新興業(yè)務(wù)快速擴(kuò)張過(guò)程中的主流選擇����。
隨著云計(jì)算的普及,云主機(jī)因強(qiáng)勁的性能���、較低的成本成為大量傳統(tǒng)企業(yè)上云和新興業(yè)務(wù)快速擴(kuò)張過(guò)程中的主流選擇��。
企業(yè)上云的范圍非常廣泛�,既包括IT資源�����、安全防護(hù)、辦公協(xié)同等基礎(chǔ)系統(tǒng)上云�����,也包括管理�����、業(yè)務(wù)上云等復(fù)雜的步驟�����。云主機(jī)相當(dāng)于一個(gè)建立在云上的“作戰(zhàn)指揮室”�����,保障云主機(jī)安全對(duì)于企業(yè)業(yè)務(wù)的穩(wěn)定至關(guān)重要�。
如今,云主機(jī)安全防護(hù)已經(jīng)可以達(dá)到什么水平�?企業(yè)上云是否真的能保障云主機(jī)安全?未來(lái)����,AI 是否會(huì)在云主機(jī)安全上發(fā)揮更重要的作用�����?云主機(jī)安全防護(hù)會(huì)有哪些發(fā)展趨勢(shì)����?
我們邀請(qǐng)到騰訊安全云基礎(chǔ)安全總監(jiān)吳昊���,與大家分享云主機(jī)安全防護(hù)過(guò)程的實(shí)戰(zhàn)經(jīng)驗(yàn)。
作為早在2007年就加入騰訊的老兵��,吳昊在終端攻防����、業(yè)務(wù)安全、數(shù)據(jù)安全及云基礎(chǔ)安全方面都有非常深厚的積淀��,尤其在主機(jī)安全領(lǐng)域����,積極推動(dòng)云平臺(tái)保障與租戶安全需求的結(jié)合。
下面讓我們跟隨吳昊老師來(lái)一場(chǎng)主機(jī)安全的干貨問(wèn)答:
能否回顧一下2019年云主機(jī)安全的趨勢(shì)��,以及在這一年里安全防護(hù)的主流技術(shù)升級(jí)�?
主機(jī)安全作為企業(yè)安全最后也是最重要的一道防線,一款優(yōu)秀的主機(jī)安全產(chǎn)品,可以幫助企業(yè)及時(shí)發(fā)現(xiàn)和抵御黑客入侵風(fēng)險(xiǎn)�����。騰訊云主機(jī)安全對(duì)2019年全年云主機(jī)安全趨勢(shì)監(jiān)控�����,抽樣百萬(wàn)主機(jī)����,分析發(fā)現(xiàn)目前主機(jī)面臨的風(fēng)險(xiǎn)主要集中在“密碼暴力破解、高危漏洞利用����、惡意木馬病毒入侵”。
全年趨勢(shì):
1�、 密碼暴力破解:月均檢測(cè)到億級(jí)爆破攻擊,攻擊來(lái)源于約100萬(wàn)個(gè)惡意IP地址��,發(fā)起暴力破解攻擊的服務(wù)器國(guó)內(nèi)與國(guó)外各占一半����。
2、 漏洞和基線風(fēng)險(xiǎn):月均檢測(cè)漏洞&安全基線數(shù)量十萬(wàn)級(jí)����,其中安全基線占比60%����,系統(tǒng)組件漏洞占比21%����,Web應(yīng)用漏洞占比19%。
3�、 木馬病毒:月均新增惡意文件數(shù)超十萬(wàn),惡意文件攻擊的用戶行業(yè)分布���,個(gè)人用戶占比最大,其次是電商行業(yè)���、游戲行業(yè)���、工業(yè)云。
針對(duì)這三類重要問(wèn)題��,騰訊主機(jī)安全產(chǎn)品規(guī)劃升級(jí)為云負(fù)載保護(hù)平臺(tái)(CWPP)���,通過(guò)“數(shù)據(jù)驅(qū)動(dòng)+攻防驅(qū)動(dòng)+運(yùn)營(yíng)驅(qū)動(dòng)”幫助企業(yè)從多維度進(jìn)行自動(dòng)檢測(cè)和防御����,確保企業(yè)核心資產(chǎn)安全。
云負(fù)載保護(hù)平臺(tái)(CWPP)架構(gòu)圖:
是否大部分企業(yè)終端存在未修復(fù)的高危漏洞���?這種普遍現(xiàn)象為何存在��,對(duì)企業(yè)造成哪些傷害��?
目前大部分企業(yè)的確存在高危漏洞不修復(fù)的情況�,一個(gè)原因在技術(shù)層面:如漏洞修復(fù)導(dǎo)致系統(tǒng)不穩(wěn)定或者業(yè)務(wù)不正常��;另一個(gè)原因在意識(shí)層面:如對(duì)高危漏洞并沒(méi)有直觀的認(rèn)知或者簡(jiǎn)單的認(rèn)為網(wǎng)絡(luò)隔離即可防御漏洞���。
其實(shí)高危漏洞對(duì)于終端安全的危害特別大�,往往很快就可以在網(wǎng)上找到開(kāi)源(泄露)的攻擊代碼���,黑客利用開(kāi)源的攻擊代碼即可開(kāi)發(fā)出嚴(yán)重影響(破壞)終端的惡意程序(Wannacry即是典型的例子)����。
所以�����,利用漏洞入侵是攻擊者最喜歡使用的攻擊手段之一,攻擊者使用漏洞利用代碼���,短時(shí)間內(nèi)即可獲得服務(wù)器較高的權(quán)限�����,甚至是完全的控制權(quán)���。對(duì)于企業(yè)危害巨大,一旦服務(wù)器被入侵����,可能會(huì)產(chǎn)生以下影響:
1、 業(yè)務(wù)中斷:數(shù)據(jù)庫(kù)����、文件被篡改或刪除����,導(dǎo)致服務(wù)無(wú)法訪問(wèn)或系統(tǒng)癱瘓。
2����、 數(shù)據(jù)竊?�。汉诳透`取企業(yè)數(shù)據(jù)后公開(kāi)售賣��,客戶隱私數(shù)據(jù)被泄漏����,導(dǎo)致企業(yè)品牌受損�、用戶流失。
3�、 加密勒索:黑客入侵服務(wù)器后通過(guò)植入不可逆的加密勒索軟件對(duì)數(shù)據(jù)進(jìn)行加密,對(duì)企業(yè)進(jìn)行金錢勒索���。
4�、 服務(wù)不穩(wěn)定:黑客在服務(wù)器中運(yùn)行挖礦程序�、DDoS 木馬程序,消耗大量系統(tǒng)資源�,導(dǎo)致服務(wù)器不能提供正常服務(wù)。
目前攻擊的手法主要有哪些��?是否有新出現(xiàn)的���、攻擊性更強(qiáng)的攻擊手法��?
常見(jiàn)的云上攻擊方式主要有:
目前黑產(chǎn)的攻擊手法主要有漏洞利用���、暴力破解���、DDoS,挖礦�、勒索等。大多攻擊者只是在攻擊的技術(shù)手段上有一些更新���,比如無(wú)文件挖礦����,較之前挖礦樣本更具隱蔽性��。另外windows成熟的攻擊技術(shù)也越來(lái)越多的應(yīng)用到了Linux系統(tǒng)環(huán)境����,針對(duì)Linux樣本檢測(cè),騰訊云主機(jī)安全已研發(fā)了最新Webshell引擎和AI云查殺引擎���,可以高效查殺流行的木馬、病毒樣本����。
主機(jī)安全問(wèn)題發(fā)生的主要行業(yè)有哪些�?大�����、中���、小企業(yè)發(fā)生問(wèn)題的形態(tài)有何區(qū)別����,又應(yīng)當(dāng)如何避免����?
攻擊的用戶行業(yè)分布,個(gè)人用戶占比最大(47%)�����,其次是電商行業(yè)(21%)�、游戲行業(yè)(9%)、工業(yè)云(6%)�����。個(gè)人用戶相對(duì)企業(yè)用戶在處理安全風(fēng)險(xiǎn)時(shí),響應(yīng)速度相對(duì)較慢����,安全意識(shí)還需要加強(qiáng)。
面對(duì)黑客入侵的各種攻擊方式�����,建議用戶日常需要加強(qiáng)安全意識(shí)�,提前安裝主機(jī)安全類產(chǎn)品,做好相應(yīng)防御措施�,有效規(guī)避潛在風(fēng)險(xiǎn)。
一是關(guān)注重要安全公告����,及時(shí)修復(fù)披露的漏洞;對(duì)于包含“遠(yuǎn)程代碼執(zhí)行”��、“未授權(quán)訪問(wèn)”關(guān)鍵字的漏洞尤其需要關(guān)注��,此類漏洞相當(dāng)于將服務(wù)器大門敞開(kāi)給攻擊者���;同時(shí)請(qǐng)一定按照官方修復(fù)建議進(jìn)行修復(fù)���。
二是至少安裝一套安全類軟件����,通過(guò)安全軟件可以了解服務(wù)器安全情況����,及時(shí)了解漏洞信息�,同時(shí)可以查殺惡意文件;騰訊云用戶建議安裝“T-sec主機(jī)安全”產(chǎn)品�。
三是加強(qiáng)安全意識(shí),設(shè)置密碼要達(dá)到安全要求�,不隨意下載運(yùn)行非官方的程序,尤其是二進(jìn)制程序�,不隨意點(diǎn)擊來(lái)歷不明的郵件;對(duì)于披露出來(lái)的漏洞要加強(qiáng)關(guān)注�,尤其涉及到個(gè)人負(fù)責(zé)的組件,不能由于“怕麻煩”而放棄或延緩安全修復(fù)措施����。
四是建立安全評(píng)審機(jī)制,可定期對(duì)服務(wù)器進(jìn)行安全機(jī)制評(píng)審�����;如果成本允許�����,可做安全滲透測(cè)試。
企業(yè)上云是否能夠有效的抵御主機(jī)安全問(wèn)題��?其背后的核心原理是什么����?
可以。主機(jī)安全其實(shí)屬于云安全的關(guān)鍵組成部分�,在云計(jì)算環(huán)境下,不再拘泥于原有物理服務(wù)器邊界�,面臨更為復(fù)雜和嚴(yán)峻的安全風(fēng)險(xiǎn)。傳統(tǒng)反病毒和入侵檢測(cè)等安全手段顯得捉襟見(jiàn)肘��,將主機(jī)安全升級(jí)為云工作負(fù)載保護(hù)平臺(tái)(CWPP)�����,成為云安全的關(guān)鍵環(huán)節(jié)�,核心理念是:縮小攻擊面,事前做好漏洞管理����、基線合規(guī)、權(quán)限管理等安全運(yùn)維工作����,事中����、事后提供應(yīng)用管理��、EDR����、行為實(shí)時(shí)監(jiān)控��、防火墻等防御阻斷能力��。在這個(gè)理念的指導(dǎo)下���,無(wú)論是騰訊云安全��,還是其它云安全服務(wù)廠商�����,都投入了更多資源��,增強(qiáng)檢測(cè)云負(fù)載配置的弱項(xiàng)以及系統(tǒng)漏洞�,將網(wǎng)絡(luò)攻擊抵御在“事前”。云服務(wù)廠商構(gòu)筑的云安全“高墻”將逐漸消滅水桶效應(yīng)�����,為云負(fù)載上提供統(tǒng)一的最佳安全實(shí)踐����。
如果對(duì)于安全性非常敏感的企業(yè),應(yīng)當(dāng)如何選擇足夠安全的云服務(wù)商����?
建議主要從3個(gè)維度考慮,選擇適合自身企業(yè)情況的云服務(wù)商�����。
產(chǎn)品體系:云服務(wù)商是否具備完善的云安全體系�����,從網(wǎng)絡(luò)側(cè)到云負(fù)載�����,從公有云到私有云等場(chǎng)景�����,是否具有相關(guān)安全產(chǎn)品覆蓋全面,并且能形成整體解決方案���。
技術(shù)儲(chǔ)備:需要評(píng)估云服務(wù)商的安全資質(zhì)���、技術(shù)積累以及功能創(chuàng)新。
服務(wù)及響應(yīng):例如專家服務(wù)��、安全托管����、應(yīng)急響應(yīng)等���,是否具備全面的安全能力�����。
AI技術(shù)是否應(yīng)用在主機(jī)安全防護(hù)當(dāng)中��?其應(yīng)用的形式是什么���,能夠起到什么作用����?
目前騰訊云主機(jī)安全在AI方面做了初步的探索與應(yīng)用��,并且部分應(yīng)用已達(dá)到了商業(yè)化標(biāo)準(zhǔn)����,突破了傳統(tǒng)主機(jī)安全產(chǎn)品的技術(shù)瓶頸。
以如下AI技術(shù)應(yīng)用場(chǎng)景為例:
AI查殺引擎:通過(guò)機(jī)器學(xué)習(xí)�,對(duì)海量樣本提取特征,讓AI引擎持續(xù)跟進(jìn)病毒的演進(jìn)�����,達(dá)到能對(duì)未知木馬���、病毒做精準(zhǔn)識(shí)別����。
AI應(yīng)用控制(白名單):通過(guò)AI識(shí)別用戶常用正常軟件�����,持續(xù)自學(xué)習(xí),實(shí)現(xiàn)自適應(yīng)的應(yīng)用控制�����。
AI日志分析:通過(guò)收集海量云負(fù)載日志��,運(yùn)用機(jī)器學(xué)習(xí)技術(shù)識(shí)別日志中的“異常”行為���,靈活的對(duì)各種安全數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析����,最終達(dá)到安全事件及時(shí)預(yù)警能力�。
面對(duì)不斷變化的惡意攻擊行為,騰訊云主機(jī)安全團(tuán)隊(duì)正在不斷探索新的技術(shù)����,并將先進(jìn)的安全技術(shù)運(yùn)用到產(chǎn)品中���,努力為我們的用戶提供云負(fù)載安全最佳實(shí)踐方案��。
商品已成功加入購(gòu)物車