之前我们讲到可以用“疫情防控思路来解决网络安全问题”,提到针对网络攻击的“攻击源、传播途径、易感系统”等三个环节,分别采取相应措施,可最终解决安全风险。对网络威胁发现越早,处置越快,防控效果也就越好。相反,如果速度不够快,势必造成威胁扩散。这一节,就来讲讲腾讯主机安全(云镜)通过集成云原生预警系统,是如何做到又快又准发现、检测、响应、处置威胁的。
安全成为制约云上业务的天花板
随着越来越多的企业将业务上云,企业体验到业务上云带来的灵活性和低运营成本等等好处,但日常面临的安全威胁也让企业安全运维团队深感困扰。云上安全威胁有日益严重的趋势,对安全风险的担忧成为制约企业云上业务发展的天花板。云上业务系统组件,天然具有互联网产品快速升级迭代的特点,因组件繁多,安全漏洞也会层出不穷。 从安全运营的现状看,部分企业云资产的基线配置存在风险,业务弱口令和默认配置较为常见。即使已经部署安全防护软件,但因缺乏专业管理,存在风险处置不够及时,漏洞风险处置缓慢等等问题。如何解决现有企业客户在专业安全人力不足、安全威胁处置能力不强的情况下,有效提升企业安全运营能力,提高威胁自动化处置能力,成为安全厂商和企业需要迫切解决的问题。
云原生预警系统的工作流程
腾讯安全技术中心深知企业客户面临的上述痛点,通过日常安全运营实践,推出云原生预警系统,帮助客户更快更准确实现威胁检测、威胁响应和威胁预防。 腾讯主机安全云原生预警系统,首先通过在公有云网络中部署大量流量和行为探针、蜜罐系统,引诱捕捉攻击者对其进行扫描探测、入侵渗透、感染破坏等攻击活动,从而可以完全掌握攻击者的技战术特点。 研究人员再根据网络黑产的攻击特点去精确判断全网受影响的情况,去判断黑客的攻击活动造成哪些设备被攻陷,还有哪些设备存在隐患,有可能被攻陷。针对这两种情况采取相应步骤去处置,系统可以生成一套清晰完整的操作手册。由腾讯云主机安全(云镜)对所有受影响的主机进行精确告警触达,指导受影响的客户采取最有效措施进行系统加固和威胁处置。
腾讯主机安全云原生预警系统的工作原理如同专业医师通过各种现代医学科技详细检查病情,可以查明患者身体器官的工作状况,准确分析病因,再由专家级医师根据病人情况提供最符合个案特点的治疗方案,从而达到药到病除、妙手回春的效果。
该系统的目标是检测威胁->触达客户->指导处置的全自动化实现,在降低客户安全运营成本的同时,大幅提升安全运营的及时性、准确性和有效性。
腾讯主机安全云原生预警系统的核心为腾讯安全自研的威胁数据和恶意样本分析引擎:Cyber-Holmes引擎,寓意为“网络空间威胁神探”,该系统针对海量威胁告警数据进行关联分析,可以将碎片化的威胁片断复原拼接还原出完整攻击过程。Cyber-Holmes引擎是腾讯安全中台的基石,其能力已集成到腾讯主机安全(云镜)中,推动云原生预警系统的诞生,腾讯主机安全(云镜)的威胁检测、响应、处置能力及效率随之大幅提升。
云原生预警系统克服了以往安全厂商发布威胁通告信息时速度不够快,不具有针对性,所提供威胁资讯过于模糊的弱点。企业通过各种渠道会获得较多安全通告资讯,当这些资讯与企业业务关联性不够强时,安全运维团队的感受是:“总是狼来了狼来了,狼到底在哪儿呢,跟我有关系吗?” 当安全通告信息过载时,非常容易被安全运维人员忽略。腾讯安全云原生预警系统,可准确针对受事件影响的客户量身定制“威胁处置用户手册”,由腾讯云主机安全(云镜)对所有受影响的主机进行精确告警触达,对企业客户运维团队起到类似安全专家面对面的指导作用。
腾讯主机安全(云镜)支持对攻击过程中产生的木马落地文件进行自动检测。客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离。安全运维人员可通过腾讯主机安全(云镜)的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。
腾讯主机安全云原生预警系统的应用实例
腾讯主机安全云原生预警系统,是腾讯安全综合中台系统之一,该系统在今年7月捕获YAPI远程代码执行0day漏洞在野利用事件中小试牛刀。
受YAPI远程代码执行0day漏洞影响,从7月第1周开始,未部署任何安全防护系统的失陷云主机快速增长。腾讯安全云原生预警系统捕捉到该0day漏洞利用事件后,在官方尚无补丁的情况下,精确预警通知所有受影响的客户迅速采取风险缓解措施。自动化输出事件报告,为客户最终控制0day漏洞威胁扩散提供了有力工具。
在最近一次黑产团伙利用Gitlab ExifTool RCE漏洞(CVE-2021-22205)大量攻击云主机的事件中(https://mp.weixin.qq.com/s/WQtx1ujwfN-Vybl7DJgBuw),腾讯主机安全云原生预警系统再次领先友商发现威胁。
重磅推荐
腾讯主机安全旗舰版发布会将于2022年1月初召开,更多应用实例和技术解读,敬请关注腾讯安全威胁情报中心公众号更新!