前言

國內云計算技術目前已經較為成熟,進入了高速增長的階段,利用云計算技術進行信息化建設已成為常態。目前國內多數用戶還處于“混合云”場景下,即傳統主機環境+內部私有云環境+公有云環境+容器環境(根據業務情況)。這種混合云場景衍生出了安全運營需求升級、所有權和控制權轉變等問題,形成了管理機制的變化并引出安全責任共擔機制等挑戰。

近年來,隨著網絡攻防向攻擊方傾斜,各類高危漏洞(0day、1day、Nday)快速武器化,APT定向攻擊泛濫,勒索和挖礦(變種、難于檢測發現)病毒肆虐猖獗,還能躲避基于規則式安全設備(軟件)檢測的新攻擊技術手段,以及針對東西向的流量攻擊等新增威脅,依靠防病毒手段實現的傳統環境下主機安全解決方案已然無法有效應對云環境下面臨的新安全挑戰和安全威脅。如何進行有效的安全管理成為這些行業用戶普遍關注的重要問題,并且在國內大規模攻防實戰演練的推動下,這部分的安全需求顯得尤為迫切。

面對這樣的安全場景需求,我們年度安全報告用“云工作負載安全”來替代“主機安全”的范疇,以符合目前大部分行業用戶進入混合云泛主機形態的IT場景。我們對“云工作負載安全”這類技術定義如下:

云工作負載:云計算場景下用來承載計算的工作節點,包括了傳統服務器主機系統、虛擬機、私有云計算節點、公有云主機、Docker容器節點以及微服務等。

云工作負載安全:針對云工作負載的安全解決方案,能夠在漏洞風險、入侵威脅監測、主動防御、快速響應以及安全管理等方面為云工作負載提供全面的保護。

在本年度安全報告中,我們通過“云工作負載2019年安全技術新特點”、“云工作負載2019年安全威脅分析”、“云工作負載安全產品在大型攻防演練中的價值”、“云工作負載未來技術發展趨勢”4個章節來進行詳細闡述。

一、云工作負載安全(泛主機安全)2019年技術新特點

CWPP(云工作負載安全平臺)自Gartner2017年提出以后,每年都有不小的變化,在2019年,Gartner對工作負載(workload)進行了新的詮釋,根據抽象度的不同分為物理機、虛擬機、容器和Serverless,安全能力圖也從原來的11個能力刪減到8個能力,并且將最底層的“運維習慣”與“加固、配置與漏洞管理”進行了整合,同時刪掉了“蜜罐”能力,此外,由于數據的靜態加密大部分情況下都有云廠商提供,因此“靜態加密laas數據”這個能力也從能力金字塔中刪掉了。值得注意的是,能力圖加強了對威脅檢測和響應的要求,也就是更加凸顯了Server EDR能力的重要性。

通過參考Gartner最新更新的CWPP(云工作負載安全平臺)中的技術要求,以及結合眾多大型客戶場景化和應用實踐方案,總結了2019年以下技術新特點:

·SERVER EDR的技術產品應用

·主動防御技術在工作負載中的應用

·基于輕量Agent的微隔離技術應用

·漏洞主動發現及安全配置管理

·主機安全大數據分析能力

二、云工作負載安全(泛主機安全)2019安全威脅分析

1、云工作負載安全漏洞和補丁修復趨勢

2019年,大量操作系統、虛擬化平臺、容器等各種云工作負載的安全漏洞被披露,相關問題應該引起重視。

根據安全狗海青實驗室對2019年公開的各類漏洞數據的整理結果顯示,2019年全年共發布主機操作系統漏洞數量1086個,主流虛擬化平臺(VMWare、Xen、VirtualBox、Hyper-V、QEMU)漏洞166個,容器( Docker)漏洞13個。

2、入侵威脅趨勢

·暴破攻擊事件數量居高不下

在黑客入侵手法中,暴力破解是技術成本低,成功率高,性價比較高的一種攻擊手法。只需要有高質量的用戶名和密碼字典庫即可借助暴破工具輕易實施攻擊,且一旦暴破成功后就能獲得極大的權限,倍受各類網絡攻擊者的喜愛。

·挖礦與勒索病毒熱度不減

臭名昭著的網絡安全威脅加密挖礦與勒索軟件在今年依然保持活躍。勒索軟件的攻擊目標從“遍地撒網”演變成了“重點撈魚”,高價值目標成了網絡罪犯眼中的香餑餑,越來越多的定向攻擊出現,特別是針對企事業單位。挖礦病毒攻擊則更偏向于與僵尸網絡結合,部分挖礦病毒攜帶傳播模塊,核心目的在于感染更多的用戶電腦,盡可能將利益最大化。

·Webshell威脅形勢依舊嚴峻

網站Webshell的檢測和防護是一個老生常談的問題了。2019年全年,我們不僅在Web防護端發現大量掃描Webshell和上傳Webshell的行為,在主機內部也掃描出不少Webshell木馬。據統計,安全狗全年共掃描出Webshell文件2,275,350個,通過云御(網站安全狗)攔截到的Webshell上傳行為共24,424,837次,攔截針對Webshell的掃描行為14,545,681次。

·工作負載間的橫向滲透攻擊手段層出不窮

攻擊者一旦進入到目標網絡后,下一步就是在內網中進行橫向移動,然后再獲取數據。近年隨著容器的大量使用,攻擊者在云主機橫向移動的基礎上,增加了容器間橫向移動的攻擊形態。

·工作負載越權控制訪問威脅種類繁多

越權控制訪問也是攻擊者進行內網橫向移動中關鍵的一環,在新的網絡環境下,存在主機層面提權、云主機虛擬化逃逸、容器到宿主機層的提權。

三、云工作負載安全(主機安全)在大型攻防演練中的價值

在近年興起的紅藍對抗演練中,云工作負載安全保護平臺起著相當大的作用。

紅方視角

從外到內:從外部對藍隊暴露的攻擊面發起實戰化攻擊。

從內到內:攻擊者已突破到內部,進行內網平移和漫游。在內網中各個區域(如:業務區、辦公區、生產區)尋找有價值的資產,對其進行攻擊。

從內到外:屬于后滲透階段。該階段指的是紅方在拿下藍方的內網主機權限后,對該機器權限的維持和滲透的”成果化”。此時紅隊一般會使用反彈shell、隱蔽隧道等方式回連自己的服務器地址。

藍方視角

在上述攻防演練紅方視角中,紅方利用實際漏洞、風險隱患達到權限獲取目的。針對于外到內、內到內、內到外三個對抗節點云工作負載安全起著重大的作用,主要從四個維度解決云工作負載安全防護問題。包含:

檢測:僵木蠕病毒、風險缺陷檢測、進程賬號文件等行為

防護:系統層、網絡層、應用層、數據層的安全保護

運營:補丁漏洞管理、資產配置管理、通訊流量可視化、合規基線核查

響應:全網分析溯源、危急事件處置

四、云工作負載安全(主機安全)技術發展趨勢

1、容器安全

毫無疑問,容器是當前云計算的主流技術之一。Docker是當下容器技術的主流選擇(2019年的市場占比達79%)。它與DevOps理念不謀而合,受到了企業推崇。然而,在“Docker容器的全生命周期”中存在諸多安全問題,下面對其中的重要管控點及相應的管控方法進行介紹。

2、微服務安全

隨著互聯網飛速發展,傳統的“單體架構”在面對持續改進、快速部署等需求時顯得力不從心,而“微服務架構”作為一種系統解決思路應運而生,方興未艾。

單體架構與微服務架構的部分區別如下表所示。可推知,后者在解決一些復雜問題時放大了攻擊面,引入了一些安全隱患。

為規避這些安全隱患,須從“安全開發”和“安全運維”兩方面著手。

微服務架構伴隨著軟件架構的需求應運而生。這類Web應用所面對的安全問題也與傳統單體應用有著異同點,對甲方的安全開發和安全運維以及乙方的安全產品研發和落地提出了新的要求和挑戰。

3、ATT&CK在Server EDR中的應用

ATT&CK模型由MITRE公司在2013年提出, 并于2015年發布了第一款框架。其目的在于了解攻擊和劃分攻擊類別,以確定對手如何運作,以及如何對主動攻擊做出響應和攻擊后的恢復。

·威脅狩獵

MITER ATT&CK是基于真實環境觀察攻方戰術和技術的知識庫,ATT&CK框架可以應用于提高EDR產品的威脅捕獲檢測能力和處置能力。

·產品能力評估

使用MITER ATT&CK框架評估終端安全產品的能力,量化安全產品對于威脅的檢測率以成為新一代的潮流。目前國外的部份廠商已經支持對ATT&CK框架中的部份TTP進行檢測和發現。

對主機安全廠商而言,由于ATT&CK是以開源社區的方式運作,其攻擊工具庫會持續更新擴充,可以針對ATT&CK工具集中的相應工具進行測試并提升安全產品的檢測能力。對于甲方而言,可以根據其ATT&CK情報集擴充自身的情報庫數據以提升對攻擊組織的發現能力與對安全產品的檢測評估。2020年ATT&CK將成為所有安全專家用來了解和抵御攻擊者發起攻擊的必要工具。

報告全文可關注安全狗 微信公眾號，通過歷史文章查閱下載。