您当前的位置:首页 > 新闻 > 科技

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

时间:2020-03-30 19:40:28  来源:  作者:

传统企业安全中,部署了EDR(Endpoint Detection and Response)及NDR(Network Detection and Response)产品的企业,可及时定位失陷资产,响应终端威胁,减少攻击产生的危害。EDR和NDR在传统企业安全中为企业起到了保驾护航的重要作用。

但随着云计算的到来,越来越多的企业将自己的业务上云,云原生安全越来越受到企业的关注与重视,随之云端检测与响应(Cloud Detection and Response,CDR)的理念也应运而生。

下面我们将围绕腾讯云安全运营中心(详情戳:https://cloud.tencent.com/product/soc)这款产品的部分功能,来给大家介绍一下,如何依托云的优势,进行及时的风险检测与响应处置,最终保护客户的云上安全。

事前安全预防

● 云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》(如何让云比你自己的数据中心更安全)报告中指出,大多数成功的云攻击都是由错误引起的。例如配置错误、缺少修补程序或基础架构的凭据管理不当等。而通过明显利用IaaS计算和网络结构的内置安全能力和高度自动化,企业实际上是可以减少配置、管理不当等错误的机会。这样做既能减少攻击面,也有利于改善企业云安全态势。

云安全运营中心在事前预防阶段的主要任务就是对云上资产进行定期自动化风险评估,查缺补漏,及时发现风险点并进行修复和处置。安全运营中心可以帮租户梳理资产的漏洞详情,探测对外开放的高危端口,识别资产类型,检查云安全配置项目等,自动化的帮助租户全面评估云上资产的风险。下面简单介绍一下云安全配置管理(CSPM),让大家更直观的感受到如何进行事前的安全预防。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

上图就是安全运营中心的云安全配置管理页面。借助腾讯云各个产品提供的接口,安全运营中心对8类资产,近20个检查项进行了检查和可视化展示。可以看到页面上列出了检查项的总数、未通过检查项总数、检查总资产数、配置风险资产数。另外下方列出了详细的检测项,包括了:云平台-云审计配置检查、SSL证书-有效期检查、CLB-高危端口暴露、云镜-主机安全防护状态、COS-文件权限设置、CVM-密钥对登录等。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

以CVM-密钥对登录检查项为例,这个检查项主要是检测CVM是否利用SSH密钥进行登录。因为传统的“账号+密码”的登录方式,存在被暴力破解的可能性。如果暴力破解成功,那资产有可能会沦陷为黑客的肉鸡,成为进一步内网横向渗透的跳板。所以针对此风险进行事前防御的检查,能够规避很大一部分的安全事件。

● 合规管理

等保2.0提出了“一个中心,三重防护”,其中“一个中心”指的便是安全管理中心,即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。安全运营中心在提供满足等保2.0合规要求的日志审计、内到外威胁感知及其他安全管理中心要求功能的基础上,为客户提供针对部分等保2.0要求的自动化评估功能,实现持续动态的自动化合规评估和管理。可根据等级保护等合规标准要求,对云上的合规风险进行评估,并提供相应的风险处置建议。

事中监测与检测

● 网络安全-互联网流量威胁感知

当云上安全事件发生时,能够及时地发现并进行告警,帮助客户对症下药,对于客户进行资产排查和处置也尤为重要。下图展示的是安全运营中心网络安全页面。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

网络安全主要是针对租户资产的网络南北向流量进行的安全检测。借助腾讯云平台安全能力,实时监测租户资产互联网流量中的异常,并向租户进行告警与提醒。目前网络安全的检测能力覆盖了45类的网络攻击类型。下面列举出10类高风险的威胁类型:

1.SQL注入攻击;2.敏感文件探测;3.命令注入攻击;4.认证暴力猜解;5.恶意文件上传;6.XSS攻击;7.webshell探测;8.各类漏洞利用(包括心脏滴血,struts,weblogic漏洞等比较重要的组件);9.反弹shell行为等; 10.主机挖矿。

告警包括源IP、目的IP、受害者资产、次数、类型、威胁等级以及时间等,通过点击详情可以看到更丰富的详细信息。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

除五元组的信息外,也展示了攻击载荷的详细数据,可以清晰的看到payload内容,攻击载荷有时也能了解到黑客的攻击意图,可以帮助安全团队更有针对性地进行排查。以上图的攻击为例,可以看到攻击载荷是存在于http头中:

/public/index.php?s=/index/thinkApp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

通过载荷数据看到,黑客是利用ThinkPHP 5.x远程命令执行漏洞来攻击客户资产的。该漏洞的产生是由于程序未对控制器进行过滤,导致攻击者可以通过引入‘’符号来调用任意类方法执行命令。而黑客想要执行的命令是:

echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

如果漏洞利用成功,此条命令会释放一个webshell一句话木马到服务器,并命名为hydra.php,黑客可以借助webshell小马,上传大马,从而进行更多的内网渗透工作,对内网造成更严重的危害。

安全运维人员可以根据详情页中的处置建议进行一些排查和处置。例如通过ACL策略封禁源IP,阻断其进一步的攻击。同时可以在安全事件页中查看该资产是否存在该漏洞,以及webshell木马是否已经落地。及时有效的安全排查,可以很大程度上降低安全事件的危害。

网络安全事件同时提供了攻击者画像与受害者画像。基于历史的数据,对攻击者近期发起的网络威胁进行汇总,关联是否还有其他的攻击手段,帮助客户更全方位的了解攻击者。下图展示的就是攻击者画像。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

下图则是受害者画像,流量威胁TOP5,展示的是受害资产近期遭受的攻击类型次数排名,可以帮助客户更有针对性的对资产进行合理的处置。流量威胁趋势,可以更直观的了解到资产近期的安全现状。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

● 泄漏检测

数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用。由于企业业务性质、开发制度等原因,互联网公司一般会涉及较多的版本变更,且大部分互联网企业内部崇尚开源文化,开放的同时,也为数据泄露事件埋下隐患。近几年从泄漏渠道上来看主要有以下几个分类:GitHub代码类,网站入侵类,网络黑市交易类,合作商接口调用类等。

安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控。通过安全运营中心的统一监控和处理,可以解放企业运维安全人员更多的时间,将更多精力集中在规则运营上。同时也能与云平台能够更好的整合开发、运维,将事件处理集中在一处,提高处理效率。在误报规则的运营处理方面,SaaS 化的平台比开源系统运营更持久,基于云上用户的体验集中优化,目前由云鼎实验室团队进行后台策略维护支持,误报问题相对较少,告警的质量相对较高。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

上图就是泄漏检测的页面。安全运维人员进行配置后,即可监控自己所关注的敏感信息是否在上面两个源中有泄漏。当腾讯云的SecretId由于各种原因,出现在GitHub上时,安全运维人员可以及时的发现,尽快进行处置,避免发生更大的安全事故。

事后响应处置

安全事件发生后,云安全运营中心借助调查中心和响应中心分别提供了溯源调查以及自动化响应的能力。下面分别介绍一下这两个部分。

● 调查中心

调查中心目前接入了七类日志,有资产日志、指纹信息、漏洞详情、安全事件、用户行为分析、云审计以及负载均衡。日志调查中心提供的查询语法类似于kibana的查询语法,可以根据自己的需求组合出多种搜索语句。在后面的篇幅中,结合安全溯源,也会有所介绍。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

-资产类型

展示的是客户部署在腾讯云上的各类资产的详细信息。图中能看到有CVM、COS存储、负载均衡、数据库等资产类型。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

在日志调查搜索框中,可以通过多个条件组的组合,完成一些资产数据的统计。例如统计CVM上遭受攻击次数大于100小于1000的机器。

-资产指纹

包含了进程、端口、组件、账户等信息。下表列出比较关键的字段信息,更多的字段可以在日志调查中查看。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

漏洞信息

列举机器上的漏洞名称、漏洞描述、漏洞等级、漏洞类型、CVE号、修复方案、参考链接、处理状态、影响的机器数等。这些信息也可以在资产中心->漏洞管理中进行查看。

-事件信息

事件包含了WAF、DDoS,云镜等产品发现的安全事件,比较重要的有密码破解,异地登录,WEB攻击,以及木马。这些信息也可以在安全事件页中进行查看。

-用户行为分析

UBA日志存放的是用户行为分析日志,该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云API进行自动化操作的相关记录进行账号安全性分析,并及时提示运维人员进行相关风险处理。目前UBA模块已有的风险场景有以下四种:用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作。

- CLB日志

CLB存放的是腾讯云负载均衡产品的访问日志数据,负载均衡(Cloud Load Balancer)是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

● 响应中心

响应中心是在安全事件发生后,通过内置的安全编排响应剧本,联动云上各类安全措施和产品对安全事件进行自动化响应处置并提供响应报告详情,可以及时阻断风险,配置加固资产,将安全事件的风险最大程度的降到最低。目前内置的剧本有SSH口令爆破类事件、RDP口令爆破类事件、linux主机挖矿木马类事件及windows主机挖矿木马类事件等云上常见的安全事件。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

以SSH口令爆破事件为例,来看一下当安全事件发生后,响应中心如何快速的进行处置,将风险尽快排除。

上图可以看到,当SSH口令爆破事件发生后,剧本提供了四个步骤来处置,依次是:排查攻击源、排查被攻击资产、基线检测、木马检测。

1. 排查攻击源

如果攻击发生在外网,那么就联动安全组封禁外网的攻击IP。如果是发生在内网,就及时隔离内网攻击资产的网络,同时检测攻击源资产是否安装了云镜专业版,因为内网主机发起横向爆破攻击,极有可能是在之前已经失陷。

2. 排查被攻击资产

如果被攻击资产爆破成功,那么首先要及时修改账户密码,同时要尽快隔离被攻击资产的网络,防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

3. 基线检测

调用云镜接口对资产进行基线检测,及时发现风险并修复。

4. 木马检测

对资产进行木马查杀,防止黑客落地恶意文件。通过剧本的以上四个步骤,可以及时高效地处置SSH口令爆破事件,降低安全事件所带来的风险。

“云上打马”:如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景,看一下企业的安全运维人员,如何借助上文提到的安全运营中心的功能,来处理安全事件。

- 云安全配置管理

安全运维人员,可以在云安全配置管理页面检查CVM是否启用了密钥对,主机安全防护状态是否正常。通过CVM配置风险的自动化检查,降低云上资产的安全风险。

- 攻击面测绘

通过攻击面测绘识别主机的攻击面,及时收敛不必要的暴露面。

-网络安全

网络安全中,通过告警的详情页,获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

详情页可以获取到源端口,受影响资产等信息,这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

- 响应中心

当发现挖矿木马告警后,可以借助响应中心,完成响应处置。首先进行矿池连接的阻断,阻止失陷资产与矿池的数据流量传输。随后进行木马检测,借助云镜的主机安全能力,定位挖矿木马并进行木马隔离。在文件层面进行处置后,对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式,可以根据响应时详细的提示进行排查,确定挖矿进程并清除。最后进行基线的检测,对弱密码和漏洞进行检测,提高资产的安全基线,加固资产的安全,及时的将风险降到最低。

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

- 调查中心

借助网络安全提供的端口、资产等信息,可以在调查中心中对挖矿木马的落地进行溯源分析。1)调查中心的安全事件日志(event)中,查看挖矿主机是否有木马告警(SsaCvmInstanceId:受影响资产)

2)如果有木马告警,根据安全事件日志中记录的木马路径在资产指纹日志(assets_finger)中,寻找相关的木马进程(fullpath: 木马路径),进程的pid,以及用户信息

“用云的方式保护云”:如何利用云原生SOC进行云端检测与响应

3)根据机器信息,在安全事件日志(event)中搜索是否有异地登录和密码暴力破解成功相关的告警。进行溯源查找

4)同时也可以查看网络安全中,是否存在相关机器的恶意文件上传以及漏洞攻击的告警,进一步排查木马落地的原因。面对云上安全的新挑战,腾讯安全极为重视企业安全的“云原生”思维价值,并结合自身安全运营经验及广泛的云上客户调研,总结出云原生的CDR体系(Cloud Detection and Response),包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系,并建立全程的安全可视体系,以提升公有云上安全运营的灵敏度及效率。目前这套理念已依托腾讯云安全运营中心持续实践,帮助多个企业客户解决云上安全问题。

作为腾讯云的能力支持,腾讯安全已经实现了为腾讯云客户提供云原生的安全能力,提升企业信息安全“免疫力”,配合腾讯云及其认证的生态合作伙伴,打造内在的安全韧性,构建弹性扩展、操作性强的安全架构,满足动态的安全需求。



Tags:SOC   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景在日常工作中我们经常会使用到代理, 这里记录一下Proxifier和ss5的使用,这两个工具既可以单独使用,也可以配合使用。本文讲解proxifier+ss5配合使用的场景及配置。 二...【详细内容】
2021-11-05  Tags: SOC  点击:(37)  评论:(0)  加入收藏
当初写第一个网络程序的时候,就是通过搜索,找各种实例把程序拼凑出来的,并没有进行深入的理解。这个东西用了这么多年,是该来沉淀一下了,也检验一下自己对这块知识的掌握程度。可...【详细内容】
2021-10-18  Tags: SOC  点击:(57)  评论:(0)  加入收藏
最近工作中需要开发前端操作远程虚拟机的功能,简称 WebShell。基于当前的技术栈为 react+django,调研了一会发现大部分的后端实现都是 django+channels 来实现 websocket 服务。...【详细内容】
2021-09-13  Tags: SOC  点击:(52)  评论:(0)  加入收藏
socket用listen函数监听,listen从英语上理解就是一个"听"函数,实际上它也就是这个意思。我们来看unix网络编程这本书是怎样对它的解释:listen函数把一个未连接的套接字转换成一...【详细内容】
2021-08-13  Tags: SOC  点击:(75)  评论:(0)  加入收藏
TCP客户端:1.建立连接套接字,设置Ip和端口监听,socket()2.建立连接 connect3.write() 获取网络流量对象 发送数据4.read()获取网络流量对象 接收数据5.关闭套接字 TCP服务器端1...【详细内容】
2021-07-08  Tags: SOC  点击:(144)  评论:(0)  加入收藏
我是笑林新记,分享一下我使用C#的一些用法,希望对大家有帮助!欢迎关注:笑林新记Visual Studio版本:Enterprise 2015.net Framework版本:3.51Socket介绍 有粉丝私信说让讲一下局域...【详细内容】
2021-06-28  Tags: SOC  点击:(159)  评论:(0)  加入收藏
前言:作为一个刚踏入职场的实习生,我很幸运参加了某个政府项目,并且在项目中负责一个核心模块功能的开发,而不是从头到尾对数据库的crud。虽然我一直心里抱怨我的工作范围根本...【详细内容】
2021-05-24  Tags: SOC  点击:(231)  评论:(0)  加入收藏
笔者一直觉得如果能知道从应用到框架再到操作系统的每一处代码,是一件Exciting的事情。大部分高性能网络框架采用的是非阻塞模式。笔者这次就从linux源码的角度来阐述socket...【详细内容】
2021-04-29  Tags: SOC  点击:(266)  评论:(0)  加入收藏
有时候,由于业务的复杂性,在JVM中拼装一些数据,会造成资源的极大浪费。举个例子,从MySQL中查询出一个List,然后在代码里循环查询数据库,进行一些字段的填充。这种数据组装方式,除了...【详细内容】
2021-03-24  Tags: SOC  点击:(305)  评论:(0)  加入收藏
1)通知功能:保持一个长连接,当服务端游新的消息,能够实时的推送到使用方。像知乎的点赞通知、评论等,都可以使用WebSocket通信。某些使用H5的客户端,为了简化开发,也会使用WebSocke...【详细内容】
2021-03-03  Tags: SOC  点击:(157)  评论:(0)  加入收藏
▌简易百科推荐
非法购买公民信息、开发人脸认证规避技术&hellip;&hellip;今年年初,广东省公安厅网安部门侦破全国首例破解“青少年防沉迷系统”的新型网络犯罪案件,抓获犯罪嫌疑人13名,查处非...【详细内容】
2021-12-28    人民日报客户端  Tags:数据安全步   点击:(5)  评论:(0)  加入收藏
就在今天,腾讯方面宣布将在2022年1月31日下架企业QQ和营销QQ,其实这一消息的降临并不让笔者意外,因为早在今年的10月28日20点之后,企业QQ和营销QQ就被停止了续费服务。相信很多...【详细内容】
2021-12-27  科技探险家    Tags:企业QQ   点击:(22)  评论:(0)  加入收藏
日前,上海交通大学发布《全球电竞之都评价报告》,对全球15个致力于发展电竞之都的城市进行评价,上海作为中国城市电竞发展的排头兵,其拥有众多优质电竞企业及完整产业集群,因此排...【详细内容】
2021-12-27  经济日报    Tags:电竞   点击:(3)  评论:(0)  加入收藏
为优化网络氛围环境,微博又开始整顿用户信息了。本月月初,微博官方发布公告,要求昵称中带有如“二货”“SB”“瘪三”“娘炮”等明显低俗或侮辱性词汇的用户尽快修改,否则将面临...【详细内容】
2021-12-24  运了个营    Tags:微博   点击:(10)  评论:(0)  加入收藏
昨日谷歌宣布,自2022年12月19日开始停止对OnHub的软件支持,OnHub路由器仍将提供Wi-Fi信号,但用户无法用谷歌Home应用程序管理它。无法更新Wi-Fi网络设置、添加额外的Wifi设备或...【详细内容】
2021-12-22  雷峰网    Tags:Google OnHub   点击:(5)  评论:(0)  加入收藏
IT之家 12 月 20 日消息,百度网盘青春版 iOS 客户端今日晚间率先开启内测,安卓客户端将在稍后内测。使用苹果 iPhone 的IT之家小伙伴可以点此下载内测版,需要先下载 TestFlight...【详细内容】
2021-12-21  IT之家    Tags:百度网盘   点击:(10)  评论:(0)  加入收藏
对于拼车单,是接还是不接,不少网约车司机表示很矛盾。接吧,钱少事多,常常跑了个寂寞,不接吧,车多客少,挑三拣四没饭吃。 在平台大力推广拼车单之下,不少司机迫于生活压力,最终还是打...【详细内容】
2021-12-17  网约车情报分享    Tags:滴滴   点击:(9)  评论:(0)  加入收藏
蓝鲸TMT频道12月16日讯,据饿了么官方微信公众号,近日,在圆桌会上,蓝骑士与平台交流了配送安全问题。饿了么表示,线上将技术手段融入安全防护;线下将持续进行安全培训,并试点智能头...【详细内容】
2021-12-17    金融界  Tags:饿了么   点击:(24)  评论:(0)  加入收藏
开源最前线(ID:OpenSourceTop) 猿妹编译项目地址: https://github.com/restic/restic全球知名代码托管平台 GitHub 今天就重磅发布了今年的年度报告&mdash;&mdash;《2021 年度 O...【详细内容】
2021-12-17  Python部落    Tags:   点击:(9)  评论:(0)  加入收藏
新京报快讯 据中国网络视听节目服务协会网站消息,12月15日,中国网络视听节目服务协会发布了《网络短视频内容审核标准细则》(2021)。中国网络视听节目服务协会组织有关短视频平...【详细内容】
2021-12-16    新京报  Tags:短视频   点击:(11)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条