站長資訊網(wǎng)前言
國內(nèi)云計(jì)算技術(shù)目前已經(jīng)較為成熟,進(jìn)入了高速增長的階段,利用云計(jì)算技術(shù)進(jìn)行信息化建設(shè)已成為常態(tài)。目前國內(nèi)多數(shù)用戶還處于“混合云”場景下,即傳統(tǒng)主機(jī)環(huán)境+內(nèi)部私有云環(huán)境+公有云環(huán)境+容器環(huán)境(根據(jù)業(yè)務(wù)情況)。這種混合云場景衍生出了安全運(yùn)營需求升級、所有權(quán)和控制權(quán)轉(zhuǎn)變等問題,形成了管理機(jī)制的變化并引出安全責(zé)任共擔(dān)機(jī)制等挑戰(zhàn)。
近年來,隨著網(wǎng)絡(luò)攻防向攻擊方傾斜,各類高危漏洞(0day、1day、Nday)快速武器化,APT定向攻擊泛濫,勒索和挖礦(變種、難于檢測發(fā)現(xiàn))病毒肆虐猖獗,還能躲避基于規(guī)則式安全設(shè)備(軟件)檢測的新攻擊技術(shù)手段,以及針對東西向的流量攻擊等新增威脅,依靠防病毒手段實(shí)現(xiàn)的傳統(tǒng)環(huán)境下主機(jī)安全解決方案已然無法有效應(yīng)對云環(huán)境下面臨的新安全挑戰(zhàn)和安全威脅。如何進(jìn)行有效的安全管理成為這些行業(yè)用戶普遍關(guān)注的重要問題,并且在國內(nèi)大規(guī)模攻防實(shí)戰(zhàn)演練的推動(dòng)下,這部分的安全需求顯得尤為迫切。
面對這樣的安全場景需求,我們年度安全報(bào)告用“云工作負(fù)載安全”來替代“主機(jī)安全”的范疇,以符合目前大部分行業(yè)用戶進(jìn)入混合云泛主機(jī)形態(tài)的IT場景。我們對“云工作負(fù)載安全”這類技術(shù)定義如下:
云工作負(fù)載:云計(jì)算場景下用來承載計(jì)算的工作節(jié)點(diǎn),包括了傳統(tǒng)服務(wù)器主機(jī)系統(tǒng)、虛擬機(jī)、私有云計(jì)算節(jié)點(diǎn)、公有云主機(jī)、Docker容器節(jié)點(diǎn)以及微服務(wù)等。
云工作負(fù)載安全:針對云工作負(fù)載的安全解決方案,能夠在漏洞風(fēng)險(xiǎn)、入侵威脅監(jiān)測、主動(dòng)防御、快速響應(yīng)以及安全管理等方面為云工作負(fù)載提供全面的保護(hù)。
在本年度安全報(bào)告中,我們通過“云工作負(fù)載2019年安全技術(shù)新特點(diǎn)”、“云工作負(fù)載2019年安全威脅分析”、“云工作負(fù)載安全產(chǎn)品在大型攻防演練中的價(jià)值”、“云工作負(fù)載未來技術(shù)發(fā)展趨勢”4個(gè)章節(jié)來進(jìn)行詳細(xì)闡述。
一、云工作負(fù)載安全(泛主機(jī)安全)2019年技術(shù)新特點(diǎn)
CWPP(云工作負(fù)載安全平臺(tái))自Gartner2017年提出以后,每年都有不小的變化,在2019年,Gartner對工作負(fù)載(workload)進(jìn)行了新的詮釋,根據(jù)抽象度的不同分為物理機(jī)、虛擬機(jī)、容器和Serverless,安全能力圖也從原來的11個(gè)能力刪減到8個(gè)能力,并且將最底層的“運(yùn)維習(xí)慣”與“加固、配置與漏洞管理”進(jìn)行了整合,同時(shí)刪掉了“蜜罐”能力,此外,由于數(shù)據(jù)的靜態(tài)加密大部分情況下都有云廠商提供,因此“靜態(tài)加密laas數(shù)據(jù)”這個(gè)能力也從能力金字塔中刪掉了。值得注意的是,能力圖加強(qiáng)了對威脅檢測和響應(yīng)的要求,也就是更加凸顯了Server EDR能力的重要性。
通過參考Gartner最新更新的CWPP(云工作負(fù)載安全平臺(tái))中的技術(shù)要求,以及結(jié)合眾多大型客戶場景化和應(yīng)用實(shí)踐方案,總結(jié)了2019年以下技術(shù)新特點(diǎn):
·SERVER EDR的技術(shù)產(chǎn)品應(yīng)用
·主動(dòng)防御技術(shù)在工作負(fù)載中的應(yīng)用
·基于輕量Agent的微隔離技術(shù)應(yīng)用
·漏洞主動(dòng)發(fā)現(xiàn)及安全配置管理
·主機(jī)安全大數(shù)據(jù)分析能力
二、云工作負(fù)載安全(泛主機(jī)安全)2019安全威脅分析
1、云工作負(fù)載安全漏洞和補(bǔ)丁修復(fù)趨勢
2019年,大量操作系統(tǒng)、虛擬化平臺(tái)、容器等各種云工作負(fù)載的安全漏洞被披露,相關(guān)問題應(yīng)該引起重視。
根據(jù)安全狗海青實(shí)驗(yàn)室對2019年公開的各類漏洞數(shù)據(jù)的整理結(jié)果顯示,2019年全年共發(fā)布主機(jī)操作系統(tǒng)漏洞數(shù)量1086個(gè),主流虛擬化平臺(tái)(VMWare、Xen、VirtualBox、Hyper-V、QEMU)漏洞166個(gè),容器( Docker)漏洞13個(gè)。
2、入侵威脅趨勢
·暴破攻擊事件數(shù)量居高不下
在黑客入侵手法中,暴力破解是技術(shù)成本低,成功率高,性價(jià)比較高的一種攻擊手法。只需要有高質(zhì)量的用戶名和密碼字典庫即可借助暴破工具輕易實(shí)施攻擊,且一旦暴破成功后就能獲得極大的權(quán)限,倍受各類網(wǎng)絡(luò)攻擊者的喜愛。
·挖礦與勒索病毒熱度不減
臭名昭著的網(wǎng)絡(luò)安全威脅加密挖礦與勒索軟件在今年依然保持活躍。勒索軟件的攻擊目標(biāo)從“遍地撒網(wǎng)”演變成了“重點(diǎn)撈魚”,高價(jià)值目標(biāo)成了網(wǎng)絡(luò)罪犯眼中的香餑餑,越來越多的定向攻擊出現(xiàn),特別是針對企事業(yè)單位。挖礦病毒攻擊則更偏向于與僵尸網(wǎng)絡(luò)結(jié)合,部分挖礦病毒攜帶傳播模塊,核心目的在于感染更多的用戶電腦,盡可能將利益最大化。
·Webshell威脅形勢依舊嚴(yán)峻
網(wǎng)站W(wǎng)ebshell的檢測和防護(hù)是一個(gè)老生常談的問題了。2019年全年,我們不僅在Web防護(hù)端發(fā)現(xiàn)大量掃描Webshell和上傳Webshell的行為,在主機(jī)內(nèi)部也掃描出不少Webshell木馬。據(jù)統(tǒng)計(jì),安全狗全年共掃描出Webshell文件2,275,350個(gè),通過云御(網(wǎng)站安全狗)攔截到的Webshell上傳行為共24,424,837次,攔截針對Webshell的掃描行為14,545,681次。
·工作負(fù)載間的橫向滲透攻擊手段層出不窮
攻擊者一旦進(jìn)入到目標(biāo)網(wǎng)絡(luò)后,下一步就是在內(nèi)網(wǎng)中進(jìn)行橫向移動(dòng),然后再獲取數(shù)據(jù)。近年隨著容器的大量使用,攻擊者在云主機(jī)橫向移動(dòng)的基礎(chǔ)上,增加了容器間橫向移動(dòng)的攻擊形態(tài)。
·工作負(fù)載越權(quán)控制訪問威脅種類繁多
越權(quán)控制訪問也是攻擊者進(jìn)行內(nèi)網(wǎng)橫向移動(dòng)中關(guān)鍵的一環(huán),在新的網(wǎng)絡(luò)環(huán)境下,存在主機(jī)層面提權(quán)、云主機(jī)虛擬化逃逸、容器到宿主機(jī)層的提權(quán)。
三、云工作負(fù)載安全(主機(jī)安全)在大型攻防演練中的價(jià)值
在近年興起的紅藍(lán)對抗演練中,云工作負(fù)載安全保護(hù)平臺(tái)起著相當(dāng)大的作用。
紅方視角
從外到內(nèi):從外部對藍(lán)隊(duì)暴露的攻擊面發(fā)起實(shí)戰(zhàn)化攻擊。
從內(nèi)到內(nèi):攻擊者已突破到內(nèi)部,進(jìn)行內(nèi)網(wǎng)平移和漫游。在內(nèi)網(wǎng)中各個(gè)區(qū)域(如:業(yè)務(wù)區(qū)、辦公區(qū)、生產(chǎn)區(qū))尋找有價(jià)值的資產(chǎn),對其進(jìn)行攻擊。
從內(nèi)到外:屬于后滲透階段。該階段指的是紅方在拿下藍(lán)方的內(nèi)網(wǎng)主機(jī)權(quán)限后,對該機(jī)器權(quán)限的維持和滲透的”成果化”。此時(shí)紅隊(duì)一般會(huì)使用反彈shell、隱蔽隧道等方式回連自己的服務(wù)器地址。
藍(lán)方視角
在上述攻防演練紅方視角中,紅方利用實(shí)際漏洞、風(fēng)險(xiǎn)隱患達(dá)到權(quán)限獲取目的。針對于外到內(nèi)、內(nèi)到內(nèi)、內(nèi)到外三個(gè)對抗節(jié)點(diǎn)云工作負(fù)載安全起著重大的作用,主要從四個(gè)維度解決云工作負(fù)載安全防護(hù)問題。包含:
檢測:僵木蠕病毒、風(fēng)險(xiǎn)缺陷檢測、進(jìn)程賬號文件等行為
防護(hù):系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層的安全保護(hù)
運(yùn)營:補(bǔ)丁漏洞管理、資產(chǎn)配置管理、通訊流量可視化、合規(guī)基線核查
響應(yīng):全網(wǎng)分析溯源、危急事件處置
四、云工作負(fù)載安全(主機(jī)安全)技術(shù)發(fā)展趨勢
1、容器安全
毫無疑問,容器是當(dāng)前云計(jì)算的主流技術(shù)之一。Docker是當(dāng)下容器技術(shù)的主流選擇(2019年的市場占比達(dá)79%)。它與DevOps理念不謀而合,受到了企業(yè)推崇。然而,在“Docker容器的全生命周期”中存在諸多安全問題,下面對其中的重要管控點(diǎn)及相應(yīng)的管控方法進(jìn)行介紹。
2、微服務(wù)安全
隨著互聯(lián)網(wǎng)飛速發(fā)展,傳統(tǒng)的“單體架構(gòu)”在面對持續(xù)改進(jìn)、快速部署等需求時(shí)顯得力不從心,而“微服務(wù)架構(gòu)”作為一種系統(tǒng)解決思路應(yīng)運(yùn)而生,方興未艾。
單體架構(gòu)與微服務(wù)架構(gòu)的部分區(qū)別如下表所示。可推知,后者在解決一些復(fù)雜問題時(shí)放大了攻擊面,引入了一些安全隱患。
為規(guī)避這些安全隱患,須從“安全開發(fā)”和“安全運(yùn)維”兩方面著手。
微服務(wù)架構(gòu)伴隨著軟件架構(gòu)的需求應(yīng)運(yùn)而生。這類Web應(yīng)用所面對的安全問題也與傳統(tǒng)單體應(yīng)用有著異同點(diǎn),對甲方的安全開發(fā)和安全運(yùn)維以及乙方的安全產(chǎn)品研發(fā)和落地提出了新的要求和挑戰(zhàn)。
3、ATT&CK在Server EDR中的應(yīng)用
ATT&CK模型由MITRE公司在2013年提出, 并于2015年發(fā)布了第一款框架。其目的在于了解攻擊和劃分攻擊類別,以確定對手如何運(yùn)作,以及如何對主動(dòng)攻擊做出響應(yīng)和攻擊后的恢復(fù)。
·威脅狩獵
MITER ATT&CK是基于真實(shí)環(huán)境觀察攻方戰(zhàn)術(shù)和技術(shù)的知識(shí)庫,ATT&CK框架可以應(yīng)用于提高EDR產(chǎn)品的威脅捕獲檢測能力和處置能力。
·產(chǎn)品能力評估
使用MITER ATT&CK框架評估終端安全產(chǎn)品的能力,量化安全產(chǎn)品對于威脅的檢測率以成為新一代的潮流。目前國外的部份廠商已經(jīng)支持對ATT&CK框架中的部份TTP進(jìn)行檢測和發(fā)現(xiàn)。
對主機(jī)安全廠商而言,由于ATT&CK是以開源社區(qū)的方式運(yùn)作,其攻擊工具庫會(huì)持續(xù)更新擴(kuò)充,可以針對ATT&CK工具集中的相應(yīng)工具進(jìn)行測試并提升安全產(chǎn)品的檢測能力。對于甲方而言,可以根據(jù)其ATT&CK情報(bào)集擴(kuò)充自身的情報(bào)庫數(shù)據(jù)以提升對攻擊組織的發(fā)現(xiàn)能力與對安全產(chǎn)品的檢測評估。2020年ATT&CK將成為所有安全專家用來了解和抵御攻擊者發(fā)起攻擊的必要工具。
報(bào)告全文可關(guān)注安全狗微信公眾號,通過歷史文章查閱下載。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系我們,本站將會(huì)在24小時(shí)內(nèi)處理完畢。
