随着企业加速上云,主机作为承载重要数据和业务的核心,保障其安全、稳健运行的重要性日益凸显。
3月25日,腾讯安全联合Frost & Sullivan、青藤云,举行“主机严把关 安全零距离”主题直播,围绕主机安全市场的发展趋势与前沿技术等焦点问题展开探讨。腾讯云主机安全产品负责人谢奕智在直播中表示,随着云上环境日益复杂、业务规模持续增长和攻防对抗强度升级,企业面临的安全风险不断增加,而安全建设的投入是有上限的,这意味着行业亟需找到新的安全建设方法和思路。
云上安全建设面临的最大问题是安全闭环
云技术给企业带来成本和效率优势的同时,也引入了新的安全风险。云上的高频威胁主要包含四类:
第一类是爆破攻击。腾讯安全的统计数据显示,云上每天都有上亿级别的爆破攻击发生。
第二类是漏洞攻击。高危漏洞在云上出现的频率非常高,容易被黑灰产所利用。
第三类是挖矿木马和勒索病毒。挖矿木马和勒索病毒在云上也比较泛滥,这类威胁最大的特点是会对业务造成严重影响。以挖矿木马为例,它会大量占用CPU资源,导致业务中断。
第四类是配置不当。很多企业上云后,因为配置不当,敏感业务暴露在外网,无形中扩大了攻击面。
谢奕智认为,复杂的云上安全环境下,安全建设的最大挑战是安全闭环。过去安全厂商做主机安全相关产品,主要把精力放在增强检测能力上。系统检测到问题后,告警给企业的安全团队,由他们自行解决。但云上客户的安全水平参差不齐,有些客户甚至没有专业的安全团队,无法处理安全告警,或者响应速度难以满足需求。这种情况下,客户需要的不再仅仅是检测型的安全产品,它还要能修复漏洞、拦截木马和阻断攻击。
规模化导致风险加倍,而安全建设投入有限
在云上,光是单个主机就面临着多个层面的威胁,包括暴露在外网的SSH、FTP、 REDIS等服务,容器化之后引入的镜像、集群,以及应用层面的业务代码、编程语言和第三方组件等。
谢奕智表示,随着业务规模增长、主机数量增加,企业面临的安全风险和治理难度也会相应成倍数增加。但企业的安全建设投入不可能无限制增长,这就要求企业在安全建设上找到新的方法和思路。
规模化带来的安全治理挑战,主要体现在告警风暴和响应效率间的矛盾。随着主机数量增加,安全系统的告警也会成倍增长;当告警达到一定数量级,客户根本处理不过来,告警也就没有意义了。
特征检测类主机安全产品对高级威胁不奏效
高频威胁一般是无明确目标的自动化攻击,攻击手段主要有爆破攻击和漏洞攻击,对抗性不强。相比之下,高级威胁目标更加明确,攻击手段更加复杂多变,防御难度也更高。很多基于特征检测的主机类安全产品可以有效防御高频风险,但对高级威胁却不奏效。
谢奕智介绍,强对抗的高级威胁主要带来了四个方面的挑战:
一是攻防成本不对称。攻击者只要找到一个漏洞就可以实施攻击,而防御者必须面面俱到,否则将满盘皆输。
二是信息不对称。攻击者为了绕过安全软件检测,会千方百计挖掘新的漏洞和攻击手段。而防御产品更多是基于已知漏洞设计的,具有一定的滞后性。
三是无业务区分。主机类安全产品的主要目标是保护机器,通常不太关注上面运行的业务。而攻击者瞄准的是业务,他会不断寻找业务中的薄弱环节发起攻击。
四是对抗不对称。攻击者在暗处,产品在明处,前者可以不断尝试各种手段绕过安全产品。
提升安全水位的第一步是风险前置
针对云上安全建设面临的一系列挑战,谢奕智建议企业从三个方面着手提升安全水位:
首先是将安全风险前置,包括安全左移和架构安全。安全左移的核心理念是从问题的根源出发,将安全防护尽可能地移到开发流程的早期,而架构安全则是对传统安全架构的一次颠覆式革新。传统企业安全建设是基于边界安全架构的,这种架构在企业纷纷上云的大环境下已经不再适用。企业必须对架构进行升级和优化,从边界安全走向零信任安全,同时采用微隔离技术做好workload的访问控制,收敛攻击面。
其次是在安全问题发生后,依赖纵深防御和主动防御做好紧急响应。纵深防御体现在两个维度:一是时间的纵深,安全建设要贯穿事前、事中、事后;二是空间纵深,完成从单点检测到体系联动的由点及面的升级。主动防御则是通过数据和线索,挖掘出更高级的安全事件,主要方法包括threat hunt、蜜罐、情报等。
最后是通过攻防演练推动产品持续进化。安全产品都是基于已知风险设计的,本身存在一定的滞后性,无法做到100%完美。因此需要通过攻防演练,把系统不足的地方暴露出来,一步步解决和进化。
面对快速增长的云上安全需求,腾讯安全依托20多年来在安全领域的积累,已建立起强大的主机安全防护能力。去年12月,头豹研究院联合沙利文发布《2020年中国云主机安全市场报告》,腾讯云主机安全服务Cloud Workload Protection(CWP)成功入围云主机安全产品领袖梯队,并取得了综合得分TOP1的佳绩。
目前,腾讯云主机安全服务已装机服务器超过200万台,覆盖金融、互联网、政府、新零售、传统企业等多个领域超过一万余家客户。未来,腾讯安全将持续发挥自身的技术、人才和生态优势,联合生态伙伴在更多的领域探索,协助企业建立全方位云安全防护体系。