之前我們講到可以用“疫情防控思路來解決網路安全問題”,提到針對網路攻擊的“攻擊源、傳播途徑、易感系統”等三個環節,分別採取相應措施,可最終解決安全風險。對網路威脅發現越早,處置越快,防控效果也就越好。相反,如果速度不夠快,勢必造成威脅擴散。這一節,就來講講騰訊主機安全(雲鏡)透過整合雲原生預警系統,是如何做到又快又準發現、檢測、響應、處置威脅的。
安全成為制約雲上業務的天花板
隨著越來越多的企業將業務上雲,企業體驗到業務上雲帶來的靈活性和低運營成本等等好處,但日常面臨的安全威脅也讓企業安全運維團隊深感困擾。雲上安全威脅有日益嚴重的趨勢,對安全風險的擔憂成為制約企業雲上業務發展的天花板。雲上業務系統元件,天然具有網際網路產品快速升級迭代的特點,因元件繁多,安全漏洞也會層出不窮。
從安全運營的現狀看,部分企業雲資產的基線配置存在風險,業務弱口令和預設配置較為常見。即使已經部署安全防護軟體,但因缺乏專業管理,存在風險處置不夠及時,漏洞風險處置緩慢等等問題。如何解決現有企業客戶在專業安全人力不足、安全威脅處置能力不強的情況下,有效提升企業安全運營能力,提高威脅自動化處置能力,成為安全廠商和企業需要迫切解決的問題。
雲原生預警系統的工作流程
騰訊安全技術中心深知企業客戶面臨的上述痛點,透過日常安全運營實踐,推出雲原生預警系統,幫助客戶更快更準確實現威脅檢測、威脅響應和威脅預防。
騰訊主機安全雲原生預警系統,首先透過在公有云網路中部署大量流量和行為探針、蜜罐系統,引誘捕捉攻擊者對其進行掃描探測、入侵滲透、感染破壞等攻擊活動,從而可以完全掌握攻擊者的技戰術特點。
研究人員再根據網路黑產的攻擊特點去精確判斷全網受影響的情況,去判斷駭客的攻擊活動造成哪些裝置被攻陷,還有哪些裝置存在隱患,有可能被攻陷。針對這兩種情況採取相應步驟去處置,系統可以生成一套清晰完整的操作手冊。由騰訊雲主機安全(雲鏡)對所有受影響的主機進行精確告警觸達,指導受影響的客戶採取最有效措施進行系統加固和威脅處置。
騰訊主機安全雲原生預警系統的工作原理如同專業醫師透過各種現代醫學科技詳細檢查病情,可以查明患者身體器官的工作狀況,準確分析病因,再由專家級醫師根據病人情況提供最符合個案特點的治療方案,從而達到藥到病除、妙手回春的效果。
該系統的目標是檢測威脅->觸達客戶->指導處置的全自動化實現,在降低客戶安全運營成本的同時,大幅提升安全運營的及時性、準確性和有效性。
騰訊主機安全雲原生預警系統的核心為騰訊安全自研的威脅資料和惡意樣本分析引擎:Cyber-Holmes引擎,寓意為“網路空間威脅神探”,該系統針對海量威脅告警資料進行關聯分析,可以將碎片化的威脅片斷復原拼接還原出完整攻擊過程。Cyber-Holmes引擎是騰訊安全中臺的基石,其能力已整合到騰訊主機安全(雲鏡)中,推動雲原生預警系統的誕生,騰訊主機安全(雲鏡)的威脅檢測、響應、處置能力及效率隨之大幅提升。
雲原生預警系統克服了以往安全廠商釋出威脅通告資訊時速度不夠快,不具有針對性,所提供威脅資訊過於模糊的弱點。企業透過各種渠道會獲得較多安全通告資訊,當這些資訊與企業業務關聯性不夠強時,安全運維團隊的感受是:“總是狼來了狼來了,狼到底在哪兒呢,跟我有關係嗎?”
當安全通告資訊過載時,非常容易被安全運維人員忽略。騰訊安全雲原生預警系統,可準確針對受事件影響的客戶量身定製“威脅處置使用者手冊”,由騰訊雲主機安全(雲鏡)對所有受影響的主機進行精確告警觸達,對企業客戶運維團隊起到類似安全專家面對面的指導作用。
騰訊主機安全(雲鏡)支援對攻擊過程中產生的木馬落地檔案進行自動檢測。客戶可登入騰訊雲->主機安全控制檯,檢查病毒木馬告警資訊,將惡意木馬一鍵隔離。安全運維人員可透過騰訊主機安全(雲鏡)的漏洞管理、基線管理功能對網路資產進行安全漏洞檢測和弱口令檢測。
騰訊主機安全雲原生預警系統的應用例項
騰訊主機安全雲原生預警系統,是騰訊安全綜合中臺系統之一,該系統在今年7月捕獲YAPI遠端程式碼執行0day漏洞在野利用事件中小試牛刀。
受YAPI遠端程式碼執行0day漏洞影響,從7月第1周開始,未部署任何安全防護系統的失陷雲主機快速增長。騰訊安全雲原生預警系統捕捉到該0day漏洞利用事件後,在官方尚無補丁的情況下,精確預警通知所有受影響的客戶迅速採取風險緩解措施。自動化輸出事件報告,為客戶最終控制0day漏洞威脅擴散提供了有力工具。
在最近一次黑產團伙利用Gitlab ExifTool RCE漏洞(CVE-2021-22205)大量攻擊雲主機的事件中(https://mp.weixin.qq.com/s/WQtx1ujwfN-Vybl7DJgBuw),騰訊主機安全雲原生預警系統再次領先友商發現威脅。
重磅推薦
騰訊主機安全旗艦版釋出會將於2022年1月初召開,更多應用例項和技術解讀,敬請關注騰訊安全威脅情報中心公眾號更新!