隨著云計算的普及,云主機因強勁的性能、較低的成本成為大量傳統(tǒng)企業(yè)上云和新興業(yè)務快速擴張過程中的主流選擇。
隨著云計算的普及,云主機因強勁的性能、較低的成本成為大量傳統(tǒng)企業(yè)上云和新興業(yè)務快速擴張過程中的主流選擇。
企業(yè)上云的范圍非常廣泛,既包括IT資源、安全防護、辦公協(xié)同等基礎系統(tǒng)上云,也包括管理、業(yè)務上云等復雜的步驟。云主機相當于一個建立在云上的“作戰(zhàn)指揮室”,保障云主機安全對于企業(yè)業(yè)務的穩(wěn)定至關重要。
如今,云主機安全防護已經(jīng)可以達到什么水平?企業(yè)上云是否真的能保障云主機安全?未來,AI 是否會在云主機安全上發(fā)揮更重要的作用?云主機安全防護會有哪些發(fā)展趨勢?
我們邀請到騰訊安全云基礎安全總監(jiān)吳昊,與大家分享云主機安全防護過程的實戰(zhàn)經(jīng)驗。
作為早在2007年就加入騰訊的老兵,吳昊在終端攻防、業(yè)務安全、數(shù)據(jù)安全及云基礎安全方面都有非常深厚的積淀,尤其在主機安全領域,積極推動云平臺保障與租戶安全需求的結合。
下面讓我們跟隨吳昊老師來一場主機安全的干貨問答:
能否回顧一下2019年云主機安全的趨勢,以及在這一年里安全防護的主流技術升級?
主機安全作為企業(yè)安全最后也是最重要的一道防線,一款優(yōu)秀的主機安全產(chǎn)品,可以幫助企業(yè)及時發(fā)現(xiàn)和抵御黑客入侵風險。騰訊云主機安全對2019年全年云主機安全趨勢監(jiān)控,抽樣百萬主機,分析發(fā)現(xiàn)目前主機面臨的風險主要集中在“密碼暴力破解、高危漏洞利用、惡意木馬病毒入侵”。
全年趨勢:
1、 密碼暴力破解:月均檢測到億級爆破攻擊,攻擊來源于約100萬個惡意IP地址,發(fā)起暴力破解攻擊的服務器國內與國外各占一半。
2、 漏洞和基線風險:月均檢測漏洞&安全基線數(shù)量十萬級,其中安全基線占比60%,系統(tǒng)組件漏洞占比21%,Web應用漏洞占比19%。
3、 木馬病毒:月均新增惡意文件數(shù)超十萬,惡意文件攻擊的用戶行業(yè)分布,個人用戶占比最大,其次是電商行業(yè)、游戲行業(yè)、工業(yè)云。
針對這三類重要問題,騰訊主機安全產(chǎn)品規(guī)劃升級為云負載保護平臺(CWPP),通過“數(shù)據(jù)驅動+攻防驅動+運營驅動”幫助企業(yè)從多維度進行自動檢測和防御,確保企業(yè)核心資產(chǎn)安全。
云負載保護平臺(CWPP)架構圖:
是否大部分企業(yè)終端存在未修復的高危漏洞?這種普遍現(xiàn)象為何存在,對企業(yè)造成哪些傷害?
目前大部分企業(yè)的確存在高危漏洞不修復的情況,一個原因在技術層面:如漏洞修復導致系統(tǒng)不穩(wěn)定或者業(yè)務不正常;另一個原因在意識層面:如對高危漏洞并沒有直觀的認知或者簡單的認為網(wǎng)絡隔離即可防御漏洞。
其實高危漏洞對于終端安全的危害特別大,往往很快就可以在網(wǎng)上找到開源(泄露)的攻擊代碼,黑客利用開源的攻擊代碼即可開發(fā)出嚴重影響(破壞)終端的惡意程序(Wannacry即是典型的例子)。
所以,利用漏洞入侵是攻擊者最喜歡使用的攻擊手段之一,攻擊者使用漏洞利用代碼,短時間內即可獲得服務器較高的權限,甚至是完全的控制權。對于企業(yè)危害巨大,一旦服務器被入侵,可能會產(chǎn)生以下影響:
1、 業(yè)務中斷:數(shù)據(jù)庫、文件被篡改或刪除,導致服務無法訪問或系統(tǒng)癱瘓。
2、 數(shù)據(jù)竊?。汉诳透`取企業(yè)數(shù)據(jù)后公開售賣,客戶隱私數(shù)據(jù)被泄漏,導致企業(yè)品牌受損、用戶流失。
3、 加密勒索:黑客入侵服務器后通過植入不可逆的加密勒索軟件對數(shù)據(jù)進行加密,對企業(yè)進行金錢勒索。
4、 服務不穩(wěn)定:黑客在服務器中運行挖礦程序、DDoS 木馬程序,消耗大量系統(tǒng)資源,導致服務器不能提供正常服務。
目前攻擊的手法主要有哪些?是否有新出現(xiàn)的、攻擊性更強的攻擊手法?
常見的云上攻擊方式主要有:
目前黑產(chǎn)的攻擊手法主要有漏洞利用、暴力破解、DDoS,挖礦、勒索等。大多攻擊者只是在攻擊的技術手段上有一些更新,比如無文件挖礦,較之前挖礦樣本更具隱蔽性。另外windows成熟的攻擊技術也越來越多的應用到了Linux系統(tǒng)環(huán)境,針對Linux樣本檢測,騰訊云主機安全已研發(fā)了最新Webshell引擎和AI云查殺引擎,可以高效查殺流行的木馬、病毒樣本。
主機安全問題發(fā)生的主要行業(yè)有哪些?大、中、小企業(yè)發(fā)生問題的形態(tài)有何區(qū)別,又應當如何避免?
攻擊的用戶行業(yè)分布,個人用戶占比最大(47%),其次是電商行業(yè)(21%)、游戲行業(yè)(9%)、工業(yè)云(6%)。個人用戶相對企業(yè)用戶在處理安全風險時,響應速度相對較慢,安全意識還需要加強。
面對黑客入侵的各種攻擊方式,建議用戶日常需要加強安全意識,提前安裝主機安全類產(chǎn)品,做好相應防御措施,有效規(guī)避潛在風險。
一是關注重要安全公告,及時修復披露的漏洞;對于包含“遠程代碼執(zhí)行”、“未授權訪問”關鍵字的漏洞尤其需要關注,此類漏洞相當于將服務器大門敞開給攻擊者;同時請一定按照官方修復建議進行修復。
二是至少安裝一套安全類軟件,通過安全軟件可以了解服務器安全情況,及時了解漏洞信息,同時可以查殺惡意文件;騰訊云用戶建議安裝“T-sec主機安全”產(chǎn)品。
三是加強安全意識,設置密碼要達到安全要求,不隨意下載運行非官方的程序,尤其是二進制程序,不隨意點擊來歷不明的郵件;對于披露出來的漏洞要加強關注,尤其涉及到個人負責的組件,不能由于“怕麻煩”而放棄或延緩安全修復措施。
四是建立安全評審機制,可定期對服務器進行安全機制評審;如果成本允許,可做安全滲透測試。
企業(yè)上云是否能夠有效的抵御主機安全問題?其背后的核心原理是什么?
可以。主機安全其實屬于云安全的關鍵組成部分,在云計算環(huán)境下,不再拘泥于原有物理服務器邊界,面臨更為復雜和嚴峻的安全風險。傳統(tǒng)反病毒和入侵檢測等安全手段顯得捉襟見肘,將主機安全升級為云工作負載保護平臺(CWPP),成為云安全的關鍵環(huán)節(jié),核心理念是:縮小攻擊面,事前做好漏洞管理、基線合規(guī)、權限管理等安全運維工作,事中、事后提供應用管理、EDR、行為實時監(jiān)控、防火墻等防御阻斷能力。在這個理念的指導下,無論是騰訊云安全,還是其它云安全服務廠商,都投入了更多資源,增強檢測云負載配置的弱項以及系統(tǒng)漏洞,將網(wǎng)絡攻擊抵御在“事前”。云服務廠商構筑的云安全“高墻”將逐漸消滅水桶效應,為云負載上提供統(tǒng)一的最佳安全實踐。
如果對于安全性非常敏感的企業(yè),應當如何選擇足夠安全的云服務商?
建議主要從3個維度考慮,選擇適合自身企業(yè)情況的云服務商。
產(chǎn)品體系:云服務商是否具備完善的云安全體系,從網(wǎng)絡側到云負載,從公有云到私有云等場景,是否具有相關安全產(chǎn)品覆蓋全面,并且能形成整體解決方案。
技術儲備:需要評估云服務商的安全資質、技術積累以及功能創(chuàng)新。
服務及響應:例如專家服務、安全托管、應急響應等,是否具備全面的安全能力。
AI技術是否應用在主機安全防護當中?其應用的形式是什么,能夠起到什么作用?
目前騰訊云主機安全在AI方面做了初步的探索與應用,并且部分應用已達到了商業(yè)化標準,突破了傳統(tǒng)主機安全產(chǎn)品的技術瓶頸。
以如下AI技術應用場景為例:
AI查殺引擎:通過機器學習,對海量樣本提取特征,讓AI引擎持續(xù)跟進病毒的演進,達到能對未知木馬、病毒做精準識別。
AI應用控制(白名單):通過AI識別用戶常用正常軟件,持續(xù)自學習,實現(xiàn)自適應的應用控制。
AI日志分析:通過收集海量云負載日志,運用機器學習技術識別日志中的“異常”行為,靈活的對各種安全數(shù)據(jù)源進行關聯(lián)分析,最終達到安全事件及時預警能力。
面對不斷變化的惡意攻擊行為,騰訊云主機安全團隊正在不斷探索新的技術,并將先進的安全技術運用到產(chǎn)品中,努力為我們的用戶提供云負載安全最佳實踐方案。
免責聲明:本文內容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權,也不承認相關法律責任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內容,請發(fā)送郵件至:operations@xinnet.com進行舉報,并提供相關證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權內容。