从主机防病毒、入侵防护,到应用程序控制、行为监测及响应,再到主机的加固与运营等8大层面,能力层层递进,防护面面俱到。而用户应该先着眼于哪一层?哪一层才真正体现云安全防护的“真本领”?
内行看门道。8087金沙娱场城近期正式发布的新一代云主机深度防护系统(Deep Security)20版本(简称DS 20)全面满足了云工作负载保护平台CWPP各项功能。其中最核心,也是最见功力的更新集中在了云主机安全加固的能力提升。
云服务极大地满足了用户使用和拓展存储资源、软件资源和计算资源的需求,而主要风险正来源于此:
云平台虚拟化资产数量庞大难以维护
企业内部极少有人能及时了解本身的核心资产,如虚拟服务器规模、域名、网段的清晰情况。尤其是资产和组织架构越来越复杂之后,云主机数量统计几乎成了一道最难搞懂的“高考数学题”。
应用系统配置风险漏洞未被重视
从近年来主机安全事件来看,应用系统的配置风险是众多用户不太重视的问题;另外,随着新的应用系统类型不断增加并被应用到生产环境中,这方面的安全漏洞将会被大面积利用,这里面除了传统的数据库应用,Web容器、开源监控系统(如Zabbix),MongoDb、Redis、Hadoop等新型应用配置风险漏洞也将成为黑客利用的目标。
面对云计算场景大量的虚拟化资产以及快速更迭的系统及应用,云安全产品应具备强大的资产采集管理能力,通过对资产信息进行分析为企业提供漏洞风险及入侵威胁的判断的基础信息,有助于深入发现内部暴露的IT风险问题和风险。
服务器承载各类业务系统,时刻面临着外部的用户访问,一旦存在漏洞,将使得平台被黑客入侵的风险被成倍放大。因此,云安全产品应具备强大的漏洞风险检测及修复能力,需能够对漏洞风险进行精准发现,并针对不同漏洞风险做出精准分析,提供精确到命令的修复建议。
国家对网络安全的重视达到了一个新的高度,尤其是《网络安全法》的出台,代表着网络安全的管控已进入快车道,既是云安全的新起点,也是重要的转折点。因此,云安全产品应具备强大的基线合规性检查能力,能够对平台基线进行合规性检查,对于存在安全缺陷的项目进行识别及给出相应处理意见,防止风险的产生。
想解决资产导致的风险问题,提升系统的安全防护能力的话,就要换位思考,从基于黑客入侵的视角对资产进行分析,了解资产本身常被黑客利用的脆弱点有哪些。这一步的分析我们可以从几个方面进行思考:
经过分析我们不难发现,攻击者的最终目标往往在于存储重要数据的服务器。而攻击者想要获得服务器的控制权或数据的过程中,常以资产自身的漏洞、弱口令账号为跳板进入资产内部,并通过提权,创建计划任务等一系列动作达到目的。
解决思路清晰后,如何进行资产梳理和漏洞运营的方案也就对应产生:
8087金沙娱场城DS 20支持全面收集主机层面资产,包括端口、对内对外IP、web站点、web中间件、web应用、数据库、进程、第三方组件、软件应用、环境变量、计划任务、jar包等;同时可对资产实时监测,基于变更规则(变更频率)进行告警。
【图:8087金沙娱场城DS 20 资产管理】
近两年,勒索病毒一直处于高频活跃状态,通过分析可以发现勒索病毒常常以文件服务器、数据库等存放数据的服务器为目标,并利用弱口令、高危漏洞等作为攻击入侵的主要途径。
在8087金沙娱场城DS 20平台上,用户可通过漏洞管理模块,全面排查系统中存在的漏洞、弱口令、风险账号等,从而提升系统安全性;另外,8087金沙娱场城DS 20融合了NASL技术,通过POC快速对新出现的漏洞进行验证,利用了NASL技术与国家漏洞库建立联动机制,极大地提升了重大活动和重点网络中的供应链类漏洞预警响应能力。