隨著企業加速上雲,主機作為承載重要資料和業務的核心,保障其安全、穩健執行的重要性日益凸顯。
3月25日,騰訊安全聯合Frost & Sullivan、青藤雲,舉行“主機嚴把關 安全零距離”主題直播,圍繞主機安全市場的發展趨勢與前沿技術等焦點問題展開探討。騰訊雲主機安全產品負責人謝奕智在直播中表示,隨著雲上環境日益複雜、業務規模持續增長和攻防對抗強度升級,企業面臨的安全風險不斷增加,而安全建設的投入是有上限的,這意味著行業亟需找到新的安全建設方法和思路。
雲上安全建設面臨的最大問題是安全閉環
雲技術給企業帶來成本和效率優勢的同時,也引入了新的安全風險。雲上的高頻威脅主要包含四類:
第一類是爆破攻擊。騰訊安全的統計資料顯示,雲上每天都有上億級別的爆破攻擊發生。
第二類是漏洞攻擊。高危漏洞在雲上出現的頻率非常高,容易被黑灰產所利用。
第三類是挖礦木馬和勒索病毒。挖礦木馬和勒索病毒在雲上也比較氾濫,這類威脅最大的特點是會對業務造成嚴重影響。以挖礦木馬為例,它會大量佔用CPU資源,導致業務中斷。
第四類是配置不當。很多企業上雲後,因為配置不當,敏感業務暴露在外網,無形中擴大了攻擊面。
謝奕智認為,複雜的雲上安全環境下,安全建設的最大挑戰是安全閉環。過去安全廠商做主機安全相關產品,主要把精力放在增強檢測能力上。系統檢測到問題後,告警給企業的安全團隊,由他們自行解決。但云上客戶的安全水平參差不齊,有些客戶甚至沒有專業的安全團隊,無法處理安全告警,或者響應速度難以滿足需求。這種情況下,客戶需要的不再僅僅是檢測型的安全產品,它還要能修復漏洞、攔截木馬和阻斷攻擊。
規模化導致風險加倍,而安全建設投入有限
在雲上,光是單個主機就面臨著多個層面的威脅,包括暴露在外網的SSH、FTP、 REDIS等服務,容器化之後引入的映象、叢集,以及應用層面的業務程式碼、程式語言和第三方元件等。
謝奕智表示,隨著業務規模增長、主機數量增加,企業面臨的安全風險和治理難度也會相應成倍數增加。但企業的安全建設投入不可能無限制增長,這就要求企業在安全建設上找到新的方法和思路。
規模化帶來的安全治理挑戰,主要體現在告警風暴和響應效率間的矛盾。隨著主機數量增加,安全系統的告警也會成倍增長;當告警達到一定數量級,客戶根本處理不過來,告警也就沒有意義了。
特徵檢測類主機安全產品對高階威脅不奏效
高頻威脅一般是無明確目標的自動化攻擊,攻擊手段主要有爆破攻擊和漏洞攻擊,對抗性不強。相比之下,高階威脅目標更加明確,攻擊手段更加複雜多變,防禦難度也更高。很多基於特徵檢測的主機類安全產品可以有效防禦高頻風險,但對高階威脅卻不奏效。
謝奕智介紹,強對抗的高階威脅主要帶來了四個方面的挑戰:
一是攻防成本不對稱。攻擊者只要找到一個漏洞就可以實施攻擊,而防禦者必須面面俱到,否則將滿盤皆輸。
二是資訊不對稱。攻擊者為了繞過安全軟體檢測,會千方百計挖掘新的漏洞和攻擊手段。而防禦產品更多是基於已知漏洞設計的,具有一定的滯後性。
三是無業務區分。主機類安全產品的主要目標是保護機器,通常不太關注上面執行的業務。而攻擊者瞄準的是業務,他會不斷尋找業務中的薄弱環節發起攻擊。
四是對抗不對稱。攻擊者在暗處,產品在明處,前者可以不斷嘗試各種手段繞過安全產品。
提升安全水位的第一步是風險前置
針對雲上安全建設面臨的一系列挑戰,謝奕智建議企業從三個方面著手提升安全水位:
首先是將安全風險前置,包括安全左移和架構安全。安全左移的核心理念是從問題的根源出發,將安全防護儘可能地移到開發流程的早期,而架構安全則是對傳統安全架構的一次顛覆式革新。傳統企業安全建設是基於邊界安全架構的,這種架構在企業紛紛上雲的大環境下已經不再適用。企業必須對架構進行升級和最佳化,從邊界安全走向零信任安全,同時採用微隔離技術做好workload的訪問控制,收斂攻擊面。
其次是在安全問題發生後,依賴縱深防禦和主動防禦做好緊急響應。縱深防禦體現在兩個維度:一是時間的縱深,安全建設要貫穿事前、事中、事後;二是空間縱深,完成從單點檢測到體系聯動的由點及面的升級。主動防禦則是透過資料和線索,挖掘出更高階的安全事件,主要方法包括threat hunt、蜜罐、情報等。
最後是透過攻防演練推動產品持續進化。安全產品都是基於已知風險設計的,本身存在一定的滯後性,無法做到100%完美。因此需要透過攻防演練,把系統不足的地方暴露出來,一步步解決和進化。
面對快速增長的雲上安全需求,騰訊安全依託20多年來在安全領域的積累,已建立起強大的主機安全防護能力。去年12月,頭豹研究院聯合沙利文釋出《2020年中國雲主機安全市場報告》,騰訊雲主機安全服務Cloud Workload Protection(CWP)成功入圍雲主機安全產品領袖梯隊,並取得了綜合得分TOP1的佳績。
目前,騰訊雲主機安全服務已裝機伺服器超過200萬臺,覆蓋金融、網際網路、政府、新零售、傳統企業等多個領域超過一萬餘家客戶。未來,騰訊安全將持續發揮自身的技術、人才和生態優勢,聯合生態夥伴在更多的領域探索,協助企業建立全方位雲安全防護體系。