0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何利用云原生SOC进行云端检测与响应

倩倩 来源:IT168 2020-03-20 11:39 次阅读

“用云的方式保护云”:

如何利用云原生SOC进行云端检测与响应

传统企业安全中,部署了EDR(Endpoint Detection and Response)及NDR(Network Detection and Response)产品的企业,可及时定位失陷资产,响应终端威胁,减少攻击产生的危害。EDR和NDR在传统企业安全中为企业起到了保驾护航的重要作用。但随着云计算的到来,越来越多的企业将自己的业务上云,云原生安全越来越受到企业的关注与重视,随之云端检测与响应(Cloud Detection and Response,CDR)的理念也应运而生。下面我们将围绕腾讯云安全运营中心这款产品的部分功能,来给大家介绍一下,如何依托云的优势,进行及时的风险检测与响应处置,最终保护用户的云上安全。

事前安全预防

云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》(如何让云比你自己的数据中心更安全)报告中指出,大多数成功的云攻击都是由错误引起的。例如配置错误、缺少修补程序或基础架构的凭据管理不当等。而通过明显利用IaaS计算和网络结构的内置安全能力和高度自动化,企业实际上是可以减少配置、管理不当等错误的机会。这样做既能减少攻击面,也有利于改善企业云安全态势。

云安全运营中心在事前预防阶段的主要任务就是对云上资产进行定期自动化风险评估,查缺补漏,及时发现风险点并进行修复和处置。安全运营中心可以帮租户梳理资产的漏洞详情,探测对外开放的高危端口,识别资产类型,检查云安全配置项目等。自动化的帮助租户全面评估云上资产的风险。下面简单介绍一下云安全配置管理(CSPM),让大家更直观的感受到如何进行事前的安全预防。

上图就是安全运营中心的云安全配置管理页面。借助腾讯云各个产品提供的接口,安全运营中心对8类资产,近20个检查项进行了检查和可视化展示。可以看到页面上列出了检查项的总数,未通过检查项总数,检查总资产数,配置风险资产数。另外下方列出了详细的检测项,包括了:云平台-云审计配置检查,SSL证书-有效期检查,CLB-高危端口暴露,云镜-主机安全防护状态,COS-文件权限设置,CVM-密钥对登陆等。

以CVM-密钥对登录检查项为例,这个检查项主要是检测CVM是否利用SSH密钥进行登录。因为传统的账号+密码的登录方式,存在被暴力破解的可能性。如果暴力破解成功,那资产有可能会沦陷为黑客的肉鸡,成为进一步内网横向渗透的跳板。所以针对此风险进行事前防御的检查,能够规避很大一部分的安全事件。

合规管理

等保2.0提出了“一个中心,三重防护”,其中“一个中心”指的便是安全管理中心,即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。安全运营中心在提供满足等保2.0合规要求的日志审计、内到外威胁感知及其他安全管理中心要求功能的基础上,为用户提供针对部分等保2.0要求的自动化评估功能,实现持续动态的自动化合规评估和管理。可根据等级保护等合规标准要求,对云上的合规风险进行评估,并提供相应的风险处置建议。

事中监测与检测

网络安全-互联网流量威胁感知

当云上安全事件发生时,能够及时地发现并进行告警,帮助租户对症下药,对于租户进行资产排查和处置也尤为重要。下图展示的是安全运营中心网络安全页面。

网络安全主要是针对租户资产的网络南北向流量进行的安全检测。借助腾讯云平台安全能力,实时监测租户资产互联网流量中的异常,并向租户进行告警与提醒。目前网络安全的检测能力覆盖了45类的网络攻击类型。下面列举出9类高风险的威胁类型:

1,SQL注入攻击;2,敏感文件探测;3,命令注入攻击;4,认证暴力猜解;5,恶意文件上传;6,XSS攻击;7,webshell探测;8,各类漏洞利用(包括心脏滴血,struts,weblogic漏洞等比较重要的组件)9,反弹shell行为等 10,主机挖矿

告警包括源ip,目的ip,受害者资产,次数,类型,威胁等级以及时间等。通过点击详情可以看到更丰富的详细信息。

除五元组的信息外,也展示了攻击载荷的详细数据,可以清晰的看到payload内容,攻击载荷有时也能了解到黑客的攻击意图,可以帮助安全团队更有针对性地进行排查。以上图的攻击为例,可以看到攻击载荷是存在于http头中

/public/index.php?s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^《?php $action = $_GET[‘xcmd’];system($action);?^》》hydra.php

通过载荷数据看到,黑客是利用ThinkPHP 5.x远程命令执行漏洞来攻击客户资产的。该漏洞的产生是由于程序未对控制器进行过滤,导致攻击者可以通过引入‘’符号来调用任意类方法执行命令。而黑客想要执行的命令是:

echo ^《?php $action = $_GET[‘xcmd’];system($action);?^》》hydra.php

如果漏洞利用成功,此条命令会释放一个webshell一句话木马到服务器,并命名为hydra.php,黑客可以借助webshell小马,上传大马,从而进行更多的内网渗透工作,对内网造成更严重的危害。

安全运维人员可以根据详情页中的处置建议进行一些排查和处置。例如通过ACL策略封禁源IP,阻断其进一步的攻击。同时可以在安全事件页中查看该资产是否存在该漏洞,以及webshell木马是否已经落地。及时有效的安全排查,可以很大程度上降低安全事件的危害。

网络安全事件同时提供了攻击者画像与受害者画像。基于历史的数据,对攻击者近期发起的网络威胁进行汇总,关联是否还有其他的攻击手段。帮助客户更全方位的了解攻击者。下图展示的就是攻击者画像。

下图则是受害者画像,流量威胁TOP5,展示的是受害资产近期遭受的攻击类型次数排名,可以帮助客户更有针对性的对资产进行合理的处置。流量威胁趋势,可以更直观的了解到资产近期的安全现状。

泄漏检测

数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用。由于企业业务性质、开发制度等原因,互联网公司一般会涉及较多的版本变更,且大部分互联网企业内部崇尚开源文化,开放的同时,也为数据泄露事件埋下隐患。近几年从泄漏渠道上来看主要有以下几个分类:GitHub代码类,网站入侵类,网络黑市交易类,合作商接口调用类等。

安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控。

通过安全运营中心的统一监控和处理,可以解放企业运维安全人员更多的时间,将更多精力集中在规则运营上。同时也能与云平台能够更好的整合开发、运维,将事件处理集中在一处,提高处理效率。在误报规则的运营处理方面,SaaS 化的平台比开源系统运营更持久,基于云上用户的体验集中优化,目前由云鼎实验室团队进行后台策略维护支持,误报问题相对较少,告警的质量相对较高。

上图就是泄漏检测的页面。安全运维人员进行配置后,即可监控自己所关注的敏感信息是否在上面两个源中有泄漏。当腾讯云的SecretId由于各种原因,出现在GitHub上时,安全运维人员可以及时的发现,尽快进行处置,避免发生更大的安全事故。

事后响应处置

安全事件发生后,云安全运营中心借助调查中心和响应中心分别提供了溯源调查以及自动化响应的能力。下面分别介绍一下这两个部分。

调查中心

调查中心,目前接入了七类日志,有资产日志,指纹信息,漏洞详情,安全事件,用户行为分析,云审计以及负载均衡。日志调查中心提供的查询语法类似于kibana的查询语法,可以根据自己的需求组合出多种搜索语句。在后面的篇幅中,结合安全溯源,也会有所介绍

资产类型,展示的是客户部署在腾讯云上的各类资产的详细信息。图中能看到有cvm,cos存储,负载均衡,数据库等资产类型

在日志调查搜索框中,可以通过多个条件组的组合,完成一些资产数据的统计。例如统计cvm上遭受攻击次数大于100小于1000的机器。

资产指纹

包含了进程,端口,组件,账户等信息。

下表列出比较关键的字段信息,更多的字段可以在日志调查中查看

漏洞信息

列举机器上的漏洞名称,漏洞描述,漏洞等级,漏洞类型,cve号,修复方案,参考链接,处理状态,影响的机器数等。这些信息也可以在资产中心-》漏洞管理中进行查看。

事件信息

事件包含了waf,ddos,云镜等产品发现的安全事件,比较重要的有密码破解,异地登录,web攻击,以及木马。这些信息也可以在安全事件页中进行查看

用户行为分析

UBA日志存放的是用户行为分析日志,该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云api进行自动化操作的相关记录进行账号安全性分析,并及时提示运维人员进行相关风险处理。目前UBA模块已有的风险场景有以下四种:用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作。

CLB

CLB存放的是腾讯云负载均衡产品的访问日志数据,负载均衡(Cloud Load Balancer)是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

响应中心

响应中心是在安全事件发生后,通过内置的安全编排响应剧本,联动云上各类安全措施和产品对安全事件进行自动化响应处置并提供响应报告详情,可以及时阻断风险,配置加固资产,将安全事件的风险最大程度的降到最低。目前内置的剧本有SSH口令爆破类事件、RDP口令爆破类事件、Linux主机挖矿木马类事件及Windows主机挖矿木马类事件等云上常见的安全事件。

以SSH口令爆破事件为例,来看一下当安全事件发生后,响应中心如何快速的进行处置,将风险尽快排除。

上图可以看到,当SSH口令爆破事件发生后,剧本提供了四个步骤来处置,依次是:排查攻击源,排查被攻击资产,基线检测,木马检测。

1,排查攻击源

如果攻击发生在外网,那么就联动安全组封禁外网的攻击IP。如果是发生在内网,就及时隔离内网攻击资产的网络,同时检测攻击源资产是否安装了云镜专业版,因为内网主机发起横向爆破攻击,极有可能是在之前已经失陷。

2,排查被攻击自查

如果被攻击资产爆破成功,那么首先要及时修改账户密码,同时要尽快隔离被攻击资产的网络,防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

3,基线检测

调用云镜接口对资产进行基线检测,及时发现风险并修复。

4,木马检测

对资产进行木马查杀,防止黑客落地恶意文件。

通过剧本的以上四个步骤,可以及时高效地处置SSH口令爆破事件,降低安全事件所带来的风险。

“云上打马”:如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景,看一下企业的安全运维人员,如何借助上文提到的安全运营中心的功能,来处理安全事件。

云安全配置管理:

安全运维人员,可以在云安全配置管理页面检查CVM是否启用了密钥对,主机安全防护状态是否正常。通过CVM配置风险的自动化检查,降低云上资产的安全风险。

攻击面测绘:

通过攻击面测绘识别主机的攻击面,及时收敛不必要的暴露面。

网络安全:

网络安全中,通过告警的详情页,获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

详情页可以获取到源端口,受影响资产等信息,这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

响应中心:

当发现挖矿木马告警后,可以借助响应中心,完成响应处置。

首先进行矿池连接的阻断,阻止失陷资产与矿池的数据流量传输。随后进行木马检测,借助云镜的主机安全能力,定位挖矿木马并进行木马隔离。在文件层面进行处置后,对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式,可以根据响应时详细的提示进行排查,确定挖矿进程并清除。最后进行基线的检测,对弱密码和漏洞进行检测,提高资产的安全基线,加固资产的安全,及时的将风险降到最低。

调查中心:

借助网络安全提供的端口,资产等信息,可以在调查中心中对挖矿木马的落地进行溯源分析。

调查中心的安全事件日志(event)中,查看挖矿主机是否有木马告警(SsaCvmInstanceId:受影响资产)

如果有木马告警,根据安全事件日志中记录的木马路径在资产指纹日志(assets_finger)中,寻找相关的木马进程(fullpath: 木马路径),进程的pid,以及用户信息

根据机器信息,在安全事件日志(event)中搜索是否有异地登录和密码暴力破解成功相关的告警。进行溯源查找

同时也可以查看网络安全中,是否存在相关机器的恶意文件上传以及漏洞攻击的告警,进一步排查木马落地的原因。

面对云上安全的新挑战,腾讯安全极为重视企业安全的“云原生”思维价值,并结合自身安全运营经验及广泛的云上客户调研,总结出云原生的CDR体系(Cloud Detection and Response),包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系,并建立全程的安全可视体系,以提升公有云上安全运营的灵敏度及效率,目前这套理念已依托腾讯云安全运营中心持续实践,帮助多个企业用户解决云上安全问题。

作为腾讯云的能力支持,腾讯安全已经实现了为腾讯云客户提供云原生的安全能力,提升企业信息安全“免疫力”,配合腾讯云及其认证的生态合作伙伴,打造内在的安全韧性,构建弹性扩展、操作性强的安全架构,满足动态的安全需求。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 腾讯
    +关注

    关注

    7

    文章

    1640

    浏览量

    49385
  • 云安全
    +关注

    关注

    0

    文章

    101

    浏览量

    19411
收藏 人收藏

    评论

    相关推荐

    云原生和非云原生哪个好?六大区别详细对比

    云原生和非云原生各有优劣,具体选择取决于应用场景。云原生利用云计算的优势,通过微服务、容器化和自动化运维等技术,提高了应用的可扩展性、更新速度和成本效益。非云原生则可能更适合对延迟敏感
    的头像 发表于 09-13 09:53 312次阅读

    KubeCon China 2024全球大会在香港举行,京东云受邀参加探讨云原生、开源及 AI

    和数字化大潮一样,在AI化的革命下,云端也在全面拥抱AI,并在方方面面变得更安全、更高效,让全球各行各业受益。2024年8月21日,由云原生计算基金会(CNCF)和 Linux 基金会联合主办
    的头像 发表于 08-23 13:42 291次阅读

    中科驭数分析DPU在云原生网络与智算网络中的实际应用

    的探索与实践”专题论坛,业内DPU专家们将讨论焦点锁定在了DPU在云原生网络与智算网络中的实际应用,深入探讨了如何利用DPU技术解决计算系统级问题,进一步推动了DPU技术与产业应用的深度融合。
    的头像 发表于 08-02 11:21 635次阅读

    京东云原生安全产品重磅发布

    “安全产品那么多,我怎么知道防住了?”“大家都说自己是云原生的,我看都是换汤不换药”在与客户沟通云原生安全方案的时候,经常会遇到这样的吐槽。越来越的客户已经开始了云原生化的技术架构改造,也意识到
    的头像 发表于 07-26 10:36 411次阅读
    京东<b class='flag-5'>云原生</b>安全产品重磅发布

    从积木式到装配式云原生安全

    从这两个方面分别进行分析和解决。 新技术带来新的安全风险 云原生的概念定义本身就比较抽象,从诞生到现在也经历了多次变化。2018年CNCF对云原生的概念进行了重定义:
    的头像 发表于 07-26 10:35 260次阅读
    从积木式到装配式<b class='flag-5'>云原生</b>安全

    基于DPU与SmartNic的云原生SDN解决方案

    随着云计算,大数据和人工智能等技术的蓬勃发展,数据中心面临着前所未有的数据洪流和计算压力,这对SDN提出了更高的性能和效率要求。自云原生概念被提出以来,Kubernetes为云原生应用的落地提供了一
    的头像 发表于 07-22 11:44 622次阅读
    基于DPU与SmartNic的<b class='flag-5'>云原生</b>SDN解决方案

    云原生转型中从理念到实践的探索与挑战

    以“全面智能化,跃升数智生产力”为主题的华为第21届全球分析师大会近日在深圳举行。在本次大会的“5.5G Core,智能化点亮世界”云核心网分论坛上,广东移动网络云运维总监王喆发表了“云原生转型
    的头像 发表于 04-23 11:45 417次阅读

    云原生是大模型“降本增效”的解药吗?

    云原生AI正当时
    的头像 发表于 02-20 09:31 350次阅读

    米哈游大数据云原生实践

    近年来,容器、微服务、Kubernetes 等各项云原生技术的日渐成熟,越来越多的公司开始选择拥抱云原生,并开始将 AI、大数据等类型的企业应用部署运行在云原生之上。以 Spark 为例,在云上运行
    的头像 发表于 01-09 10:41 556次阅读
    米哈游大数据<b class='flag-5'>云原生</b>实践

    云原生技术前沿落地实践分论坛圆满举办

    12 月 16 日,2023 开放原子开发者大会【云原生技术前沿落地实践】分论坛在无锡成功举办。论坛将聚焦云原生的泛在化、Serverless 化以及智能化等前沿发展趋势,与一线技术专家及最终用户
    的头像 发表于 12-22 09:20 1005次阅读
    <b class='flag-5'>云原生</b>技术前沿落地实践分论坛圆满举办

    云原生数据库GaiaDB架构设计解析

    目前,云原生数据库已经被各行各业大规模投入到实际生产中,最终的目标都是「单机 + 分布式一体化」。但在演进路线上,当前主要有两个略有不同的路径。
    的头像 发表于 12-14 14:48 539次阅读
    <b class='flag-5'>云原生</b>数据库GaiaDB架构设计解析

    诚邀报名|在开发者大会,洞悉云原生技术落地最佳实践

    2023开放原子开发者大会 . OPENATOM DEVELOPERS CONFERENCE 云原生技术前沿落地实践分论坛 2023.12.16 随着云原生技术的蓬勃发展,云原生已成为企业数字化转型
    的头像 发表于 12-09 18:45 604次阅读

    Show代码硬实力!快来突破云原生的技术挑战

    的原则共同举办。  “ 算力网环境下基于全局元数据的云原生应用架构原型设计挑战赛 ”“ 云 原生平台自动化部署和自动化扩容挑战赛 ”作为本次大赛中两个聚焦云原生技术领域的赛项,共设奖金100万,面向广大程序员群体征集优
    的头像 发表于 12-07 10:25 324次阅读
    Show代码硬实力!快来突破<b class='flag-5'>云原生</b>的技术挑战

    开放原子开发者工作坊|大咖论道云原生技术发展与应用实践

    、获取前沿技术趋势。 数字化和智能化时代的来临,激发各行各业对“云”的需求,企业开始依托云原生、数字原生等核心技术进行数字化转型,寻求高效治理的“良方”。在云原生颠覆技术范式、重构数据
    的头像 发表于 11-29 20:25 1094次阅读

    IBM推出云原生SIEM,助力安全团队高效应对威胁

    近日,IBM宣布对其旗舰安全产品IBM QRadar SIEM进行重大升级,通过基于新的云原生架构进行重新设计,该产品将可更好地适应混合云上规模化、快速化和灵活化的部署。同时IBM还公布了借助其企业就绪的数据和人工智能平台wat
    的头像 发表于 11-24 09:07 758次阅读