一個關於X證券20000臺伺服器的血淚故事

青藤雲安全發表於2022-11-21

編者按: 本文的原型是真實案例,文中的人名和企業名稱均做了加密處理,對本案例感興趣的讀者,可以掃描文末二維碼索要詳細相關資料。


如果時光能倒流,我一定早點出手,絕不會讓團隊的這幾個人天天跟著我連軸轉,不是打補丁、就處理各種告警,結果還啥都沒搞好。 ”X證券的安全負責人李同調侃著說到。

X證券公司,作為國內金融行業的頭部企業之一,業務遍佈全國各地,伺服器數量高達20000+臺。因為行業特殊,所以他們對伺服器安全的要求極高,絕不能出現任何一點紕漏。因此,李同不得不帶著人數並不多的安全團隊夜以繼日地嚴防死守,生怕被老闆拉去祭天。但即使是24小時盯著,還是有被黑的情況,好在沒發生什麼重大安全事故,不過這足夠使整個團隊的人筋疲力盡了。

為了更好地保證伺服器安全,同時減輕安全團隊的工作量,李同向企業申請一筆資金用於主機安全的建設。申請透過後,他將伺服器最常見的安全場景列了一份清單,包括勒索、挖礦、記憶體馬、0day等10項,然後根據這些場景匹配合適的主機安全產品,對比多家廠商之後,李同最終選擇了青藤雲安全的萬相·主機自適應安全平臺。

事實證明,他的選擇是對的。 部署青藤萬相之後,不論是檢查系統原有漏洞、還是防禦外來入侵,效率都得到了巨大提升,安全團隊真正做到了效率、效果兩手抓 ,因此才出現了文章開頭的那段話。

考慮到X證券的主機安全問題具有普適性,本文特意羅列了上述有關主機安全的10個典型場景,並闡述了青藤萬相相應的解決方案,希望可以幫助各個企業組織更好地做好主機安全建設。


場景一:勒索病毒日益猖獗,如何保證主機免受勒索病毒的困擾?

青藤解決方案: 青藤防勒索方案透過深入的分析勒索病毒威脅的規律,旨在強調注重嚴密性、可落地性,遵循“網路控制、風險梳理、入侵檢測、威脅溯源”這四條原則,先隔離被攻擊主機的網路,分析勒索病毒的橫向滲透路徑。確定勒索攻擊手法和利用的漏洞之後,開啟主機上安裝的青藤萬相Agent,透過微蜜罐的埠訪問請求,確定問題機器的範圍,並對風險進行加固。與此同時,梳理出病毒的特點,加入規則庫,透過特徵值匹配的方式檢測哪臺機器還存在這類風險。最後撰寫溯源報告,完整地呈現勒索攻擊的戰略、技術和路徑。

圖片


場景二:挖礦會大量損耗計算機資源,如何快速檢測並清理挖礦程式?

青藤解決方案: 青藤萬相的入侵檢測功能,透過整合包括小紅傘、ClamAV 等國內外多個主流的病毒查殺引擎,並利用青藤自研發的大資料分析、機器學習和模式行為識別等多種檢測模型,為使用者提供全面和實時的挖礦病毒檢測和防護能力。

此外,青藤還能夠提供自動化響應級別的沙箱,把任何樣本丟到沙箱內部會自動輸出一個處置規則,只需將這個處置規則匯入系統就可以清理乾淨挖礦病毒。因此,被挖礦後想做應急響應,只需一個樣本就能夠自動生成處置規則,全自動化清理處置掉。


場景三:作為最熱門的攻擊手段之一,記憶體馬攻擊如何有效防禦?

青藤解決方案: 作為網路攻擊界的“當紅炸子雞”,記憶體馬攻擊在這幾年的攻防演練中已然成為攻擊者最常用的手段之一。它一般透過向記憶體中注入攻擊程式,隱藏在程式的記憶體中執行,本地沒有檔案產生,隱秘性強,難以發現。因此青藤萬相採用了主流的Java Agent插樁技術,利用Instrumentation API從記憶體中dump出class,然後將class反編譯為Java檔案,進而檢測Java原始碼檔案,持續動態監控注入記憶體中的攻擊行為,一旦發現Webshell或惡意程式碼,立即上報告警。


場景四:對已發生的攻擊,如何實現清理入侵殘留,如Webshell、木馬等?

青藤解決方案: 透過青藤萬相檢查歷史入侵檢測告警,結合其他功能及樣本分析研判還原攻擊流程及影響範圍,掃描以往檔案,清理入侵殘留。然後檢查入侵檢測白名單,排查是否存在風險白名單。最後,重構白名單,降低漏報風險,根據告警分析的結果清理攻擊者留下的Webshell、木馬後門等入侵殘留,防止被攻擊者二次利用及持久控制。


場景五:如何解決主機資產不清和家底不明的難點,避免裝置混亂的情況?

青藤解決方案: 資產清點是青藤萬相的基礎功能之一,可自動化清點程式、埠、賬號、中介軟體、資料庫、大資料元件、Web 應用、Web 框架、Web 站點等10餘類安全資產,覆蓋通用資產。它對使用者來說,具備以下三大核心價值:

(1)全自動化的資產梳理。 可從正在執行的機器上反向生成CMDB,實時同步最新資產,減輕安全人員複雜的管理操作。

(2)讓保護物件清晰可見。 透過超細粒度識別,大到作業系統,中到應用框架,小到程式碼元件都能精準發現。

(3)安全不再落後於運維。 部署青藤萬相之後,安全部門手裡的資產資訊是整個公司最全和最準確的。


場景六:對安全資產本身存在的脆弱性,如何實現有效管理?

青藤解決方案: 青藤萬相的風險發現功能模組在資產細粒度清點的基礎上,可透過強大的漏洞庫匹配以及持續、全面、透徹的風險監測和分析能力發現潛在風險及安全薄弱點,包括安全補丁檢查、漏洞檢測、弱密碼發現、應用風險發現、系統風險發現、賬號風險發現等9個維度,並給出專業具體的修復建議。


場景七:新高危漏洞出現時,如何快速進行應急檢測和處理?

青藤解決方案: 針對利用0Day漏洞進行的攻擊,透過萬相的風險發現功能可以快速進行響應,絕大部分漏洞都可透過資產識別直接定位,對於無法識別的漏洞可以透過編寫檢測指令碼將其配置到檢測系統中即可。

當一個漏洞被精準定位後,萬相風險發現能夠關聯分析這個漏洞相關的補丁,不僅提供詳細補丁情況,還能夠檢測補丁修復後是否會影響其它業務。青藤透過識別應用,載入SO和程式本身確認是否被其它業務元件呼叫,來判斷補丁修復是否會影響其它業務。因此,在高危漏洞爆發後,萬相能快速幫助客戶進行補丁識別和關聯,並確認打補丁後是否存在風險。


場景八:如何快速、深度地清理弱密碼,並從已經洩露的密碼中反向定位影響範圍?

青藤解決方 青藤萬相基於Agent的方式進行本地的弱密碼檢測,無需進行遠端登入嘗試,透過對各種應用進行剖析,直接從檔案中去解析雜湊,再對雜湊做檢測,不僅速度快也無死角。而當某臺機器真正被攻擊,但是安全人員無法確認密碼是否已洩露的時候。透過青藤萬相,只需將這個密碼配到系統裡,透過檢測哪些機器有同樣密碼就可以判斷哪些機器是有風險的。青藤提供了一系列定位的工具,安全和運維人員可以清晰知道哪些機器密碼是需要修改的。


場景九:如何應對等保合規檢查,落實企業基線要求?

青藤解決方案: 透過青藤萬相合規基線功能,能夠在半小時之內把數萬臺機器的基線分析清楚,對於不符合要求的檢測項,提供程式碼級的修復建議。

(1)結合資產清點,自動識別伺服器需檢查的基線 

在資產細粒度清點的基礎上,根據所選伺服器的作業系統、軟體應用等資訊,自動篩選出該伺服器上需要檢查的系統、應用基線。同時支援一鍵批次建立基線任務,操作簡單易用。 

(2)一鍵任務化檢測,基線檢查結果視覺化呈現 

合規基線功能設計了靈活可配置的任務式的掃描機制,使用者可快捷建立基線掃描任務。根據檢測需要,自行選擇需要掃描的主機和基線。檢查結果以“檢查項檢視”和“主機檢視”兩種方式視覺化呈現,針對每一條不合規的Checklist提供精確到命令列的修復建議。 

(3)不斷豐富完善的Checklist知識庫

支援1500+的Checklist知識庫,安全研究人員持續關注國內外基線標準,不斷豐富基線配置檢查系統Checklist知識庫。同時可根據不同行業相關基線規範,對知識庫實現定製管理,匹配各行業安全配置需求。 

(4)支援定時檢查,支援自定義基線,滿足個性化定製 

自動適配作業系統環境、只會顯示當前環境存在的基線,基線支援等保二級和三級、CIS level 1和level 2 基線,支援作業系統、資料庫、中介軟體分散式掃描,5秒鐘左右就能完成檢測。


場景十:針對東西向流量,如何識別內網橫向滲透和內部蠕蟲傳播?

青藤解決方案: 萬相可以根據使用者的實際需求,在原有功能的基礎上進行擴充套件,比如青藤蜜罐,它是複用了Agent的能力來形成的微蜜罐。在每個Agent上設定一些埠,這些埠正常情況下不會被自己員工訪問。在主機內只需覆蓋15%的微蜜罐範圍,幾乎就能100%發現內網橫向滲透所有攻擊。因為駭客每做一次內網探測就有15%的機率被發現,徹底解決了傳統蜜罐覆蓋問題。發現橫向移動行為之後,萬相還可以透過微隔離功能模組先隔離失陷主機,將風險範圍最小化,然後利用微蜜罐定位內網的蠕蟲並將其清除乾淨。


十大主機安全場景的描述以及解決方案的總結,希望可以幫助企業組織以更寬闊的思路、更多元化的視角來審視主機安全建設工作,深入瞭解主機潛在的各種威脅,提前做好防禦準備。

作為國內首個落地自適應安全理念的產品,青藤萬相能夠實時、準確地感知入侵事件,發現失陷主機,並提供對入侵事件的響應手段,為系統新增強大的實時監控和響應能力,幫助企業有效預測風險,精準感知威脅,提升響應效率,保障企業安全的最後一公里。

在網路強國建設的道路上,青藤雲安全將持續深入瞭解企業組織的安全需求,不斷最佳化產品功能,提供針對性的場景化產品和解決方案,為企業數字化建設保駕護航。


掃描下方二維碼,可獲取案例詳細資料。

圖片


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69941982/viewspace-2924335/,如需轉載,請註明出處,否則將追究法律責任。

相關文章