騰訊主機安全(雲鏡)兵器庫:透視安全事件的千里眼-雲原生預警系統
之前我們講到可以用“疫情防控思路來解決網路安全問題”,提到針對網路攻擊的“攻擊源、傳播途徑、易感系統”等三個環節,分別採取相應措施,可最終解決安全風險。對網路威脅發現越早,處置越快,防控效果也就越好。相反,如果速度不夠快,勢必造成威脅擴散。這一節,就來講講騰訊主機安全(雲鏡)透過整合雲原生預警系統,是如何做到又快又準發現、檢測、響應、處置威脅的。
安全成為制約雲上業務的天花板
隨著越來越多的企業將業務上雲,企業體驗到業務上雲帶來的靈活性和低運營成本等等好處,但日常面臨的安全威脅也讓企業安全運維團隊深感困擾。雲上安全威脅有日益嚴重的趨勢,對安全風險的擔憂成為制約企業雲上業務發展的天花板。雲上業務系統元件,天然具有網際網路產品快速升級迭代的特點,因元件繁多,安全漏洞也會層出不窮。
從安全運營的現狀看,部分企業雲資產的基線配置存在風險,業務弱口令和預設配置較為常見。即使已經部署安全防護軟體,但因缺乏專業管理,存在風險處置不夠及時,漏洞風險處置緩慢等等問題。如何解決現有企業客戶在專業安全人力不足、安全威脅處置能力不強的情況下,有效提升企業安全運營能力,提高威脅自動化處置能力,成為安全廠商和企業需要迫切解決的問題。
雲原生預警系統的工作流程
騰訊安全技術中心深知企業客戶面臨的上述痛點,透過日常安全運營實踐,推出雲原生預警系統,幫助客戶更快更準確實現威脅檢測、威脅響應和威脅預防。
騰訊主機安全雲原生預警系統,首先透過在公有云網路中部署大量流量和行為探針、蜜罐系統,引誘捕捉攻擊者對其進行掃描探測、入侵滲透、感染破壞等攻擊活動,從而可以完全掌握攻擊者的技戰術特點。
研究人員再根據網路黑產的攻擊特點去精確判斷全網受影響的情況,去判斷駭客的攻擊活動造成哪些裝置被攻陷,還有哪些裝置存在隱患,有可能被攻陷。針對這兩種情況採取相應步驟去處置,系統可以生成一套清晰完整的操作手冊。由騰訊雲主機安全(雲鏡)對所有受影響的主機進行精確告警觸達,指導受影響的客戶採取最有效措施進行系統加固和威脅處置。
騰訊主機安全雲原生預警系統的工作原理如同專業醫師透過各種現代醫學科技詳細檢查病情,可以查明患者身體器官的工作狀況,準確分析病因,再由專家級醫師根據病人情況提供最符合個案特點的治療方案,從而達到藥到病除、妙手回春的效果。
該系統的目標是檢測威脅->觸達客戶->指導處置的全自動化實現,在降低客戶安全運營成本的同時,大幅提升安全運營的及時性、準確性和有效性。
騰訊主機安全雲原生預警系統的核心為騰訊安全自研的威脅資料和惡意樣本分析引擎:Cyber-Holmes引擎,寓意為“網路空間威脅神探”,該系統針對海量威脅告警資料進行關聯分析,可以將碎片化的威脅片斷復原拼接還原出完整攻擊過程。Cyber-Holmes引擎是騰訊安全中臺的基石,其能力已整合到騰訊主機安全(雲鏡)中,推動雲原生預警系統的誕生,騰訊主機安全(雲鏡)的威脅檢測、響應、處置能力及效率隨之大幅提升。
雲原生預警系統克服了以往安全廠商釋出威脅通告資訊時速度不夠快,不具有針對性,所提供威脅資訊過於模糊的弱點。企業透過各種渠道會獲得較多安全通告資訊,當這些資訊與企業業務關聯性不夠強時,安全運維團隊的感受是:“總是狼來了狼來了,狼到底在哪兒呢,跟我有關係嗎?”
當安全通告資訊過載時,非常容易被安全運維人員忽略。騰訊安全雲原生預警系統,可準確針對受事件影響的客戶量身定製“威脅處置使用者手冊”,由騰訊雲主機安全(雲鏡)對所有受影響的主機進行精確告警觸達,對企業客戶運維團隊起到類似安全專家面對面的指導作用。
騰訊主機安全(雲鏡)支援對攻擊過程中產生的木馬落地檔案進行自動檢測。客戶可登入騰訊雲->主機安全控制檯,檢查病毒木馬告警資訊,將惡意木馬一鍵隔離。安全運維人員可透過騰訊主機安全(雲鏡)的漏洞管理、基線管理功能對網路資產進行安全漏洞檢測和弱口令檢測。
騰訊主機安全雲原生預警系統的應用例項
騰訊主機安全雲原生預警系統,是騰訊安全綜合中臺系統之一,該系統在今年7月捕獲YAPI遠端程式碼執行0day漏洞在野利用事件中小試牛刀。
受YAPI遠端程式碼執行0day漏洞影響,從7月第1周開始,未部署任何安全防護系統的失陷雲主機快速增長。騰訊安全雲原生預警系統捕捉到該0day漏洞利用事件後,在官方尚無補丁的情況下,精確預警通知所有受影響的客戶迅速採取風險緩解措施。自動化輸出事件報告,為客戶最終控制0day漏洞威脅擴散提供了有力工具。
在最近一次黑產團伙利用Gitlab ExifTool RCE漏洞(CVE-2021-22205)大量攻擊雲主機的事件中(https://mp.weixin.qq.com/s/WQtx1ujwfN-Vybl7DJgBuw),騰訊主機安全雲原生預警系統再次領先友商發現威脅。
重磅推薦
騰訊主機安全旗艦版釋出會將於2022年1月初召開,更多應用例項和技術解讀,敬請關注騰訊安全威脅情報中心公眾號更新!
相關文章
- 騰訊主機安全(雲鏡)兵器庫:WebShell剋星-TAV引擎Webshell
- 騰訊主機安全(雲鏡)兵器庫:威脅分析的福爾摩斯-Cyber Holmes引擎
- 騰訊主機安全(雲鏡)兵器庫:斬殺挖礦木馬的利劍-BinaryAI引擎AI
- 一圖詳解騰訊雲原生安全防護體系
- 騰訊雲原生安全體系圖譜正式釋出,打造易用可信賴的雲
- 雲安全預警,雲端計算的預防措施和風險!
- 【雲原生安全】從分散式追蹤看雲原生應用安全分散式
- 聚焦雲原生安全|從分散式追蹤看雲原生應用安全分散式
- 擁抱雲原生,騰訊釋出TCSS容器安全服務!CSS
- 擁抱雲原生,騰訊釋出TCSS容器安全服務CSS
- 喜報!騰訊雲主機安全入選Gartner CWPP全球市場指南
- 雲伺服器的貼身安全管家-企業主機安全伺服器
- 加強雲主機安全 ZStack攜手阿里雲打造一體化安全阿里
- 汽車主動安全系統讓你看懂什麼是行人提示預警
- CSS2020聚焦新基建 騰訊釋出雲原生安全體系 助力客戶備戰雲上“主戰場”CSS
- 騰訊安全姬生利:雲原生環境下的“密碼即服務”密碼
- Linux雲主機安全入侵排查步驟Linux
- Python批量給雲主機配置安全組Python
- 構築雲原生安全技術底座 | 綠盟科技釋出《雲原生安全技術報告》
- 騰訊御安全深度解析暗雲Ⅲ
- 一鍵開啟雲原生網路安全新視界
- 騰訊雲TDSQL-C雲原生資料庫技術SQL資料庫
- 雲原生時代,如何“玩轉”容器安全?
- 快速上手雲原生安全平臺 NeuVector
- 騰訊安全董志強:用雲原生安全鑄造產業網際網路時代的堅實底座產業
- 阿里雲安全肖力:雲原生安全定義下一代安全架構阿里架構
- 深入原生冰山安全體系,詳解華為雲安全服務如何構築全棧安全全棧
- 《雲安全原理與實踐》——3.2 主機虛擬化的主要安全威脅
- 騰訊雲釋出容器安全白皮書
- 最新雲安全研究成果!騰訊雲鼎實驗室釋出雲安全攻防矩陣矩陣
- 安全可信 | 首批!天翼雲透過可信雲安全雲工作負載保護平臺評估負載
- 雲時代重新定義主機安全:自動化安全閉環是核心
- linux系統雲主機修改DNSLinuxDNS
- 【新書速遞】應用上雲成必然趨勢,“安全左移”是雲原生安全的必經之路?新書
- 騰訊牽頭成立CSA雲原生安全工作組,助力標準制定和產業落地產業
- 阿里雲安全釋出2015年度態勢感知報告 預警撞庫攻擊阿里
- 實用教程 | 雲原生安全平臺 NeuVector 部署
- 雲資料庫安全管控資料庫