安全狗趣味解读：如果阿汤哥再爬一次迪拜塔

　　还记得《碟中谍4》的这个镜头吗?

　　在片中,迪拜塔的数据中心位于137层,由于网络防火墙是军用级别口令和硬件网关,极难破解,因此阿汤哥只能只身近乎徒手爬进去,用字面意义上的“绕过”方式绕过了防护设备,最终黑掉了数据中心。

　　毫无疑问,就片中呈现的效果来看,迪拜塔的数据中心使用了强有力的网关设备和难以破解的复杂密码,不过数据中心被入侵后居然没有警报,大约还是主角光环太过耀眼了吧~

　　在实际的(云)主机安全运维中,我们能从哪些方面发现入侵的迹象呢?入侵是一种异常状态,因此必然会让系统在某些方面呈现与平常不同的特征,比如:

　　·服务器运行缓慢

　　·系统用户增加

　　·应用使用异常

　　·出现可疑进程、文件

　　·数据被篡改

　　·网站被植入广告

　　等等等等

　　...

　　至于被入侵的原因就多了,利用系统和程序的漏洞和后门是很常见的入侵方式,主机配置有问题暴露了不应该开放的端口也并不鲜见,甚至仅仅只是因为密码设得过于简单被暴力破解都可能导致被入侵。

　　如何防止主机安全问题?

　　说简单也简单,能够提出问题就能解决一半的问题。

　　·密码登录保护措施

　　设置复杂、难以破解的密码,堵死入侵的第一条道路

　　·建立漏洞修补机制

　　及时打补丁、及时更新系统,尽快修复曝光的漏洞

　　·部署安全防护设备

　　这条不用多说,在安全防护方面“裸奔”,无疑是作死的行为,虽然并不那么绝对,但绝大多数情况下,部署了合理主机安全防护系统和设备的网络系统,一方面可以促进相关漏洞和不安全配置的修复,另一方面在发生入侵时可以尽快发现并发出警报。

　　……

　　说不简单,也是真的不简单,云计算等新兴技术持续发展改变行业生态,入侵攻击的技术水平也“与时俱进”,旧的安全防护针对新的入侵攻击手段是比较无力的。

　　为了应对新型(云)主机安全威胁,安全狗的云主机安全防护平台——云眼吸收了尖端的云安全技术和设计思路,采用了EDR(端点检测与响应)、自适应安全等多种安全技术,可以为用户解决公有云、私有云和混合云环境中遇到的安全及管理问题。

　　什么是EDR呢?EDR解决方案具备四大基本功能:安全事件检测、安全事件调查、遏制安全事件,以及将端点修复至感染前的状态。EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应。

　　我们在事前、事中、事后三个阶段,从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题,通过主机EDR能力的增强,反哺SIEM或SOC平台,最终达到全网自动响应 已知威胁的能力以及对未知定向攻击的检测告警能力。

　　云眼在技术上很多突出的优势。

　　未知威胁防护

　　采用了EDR的安全产品能够“点亮”主机环境,让未知威胁看得见,防得住:记录多个端点和网络事件,并将这些信息本地存储在主机、服务器或集中式数据库。政府和企业可通过机器学习、行为分析和攻击指标数据库来整合关联分析,在攻击产生危害前提前发现和预警,并对攻击做出响应。

　　虚拟机安全

　　弥补了虚拟化环境安全产品的空白:基于应用程序对操作系统调用行为进行分析,不依赖于传统静态特征防护机制,能实现未知威胁的秒级检测与响应。云眼超轻量化安全探针,使系统资源消耗量与同类产品相比可降低90%;而从安装到运行,轻盈稳定高效。云眼还可混合云跨平台统一部署管理,兼容Windows/Linux主机系统所有版本,针对虚拟化环境优化任务和资源调度,管理运维更简单省心,大幅降低“安全TCO”。

　　Web网站实时监测与防护

　　为Web网站持续监控和实时干预提供了必要手段:把检测和响应探针推到Web网站服务器,部署系统级的防护。通过“人眼识别”的技术对网站进行实时拍照比对,一旦发现问题便即时“熔断”,保证恶意行为不扩散。同时,通过5分钟访问流量缓存采集数据,获取黑客的攻击路径,第一时间找到漏洞以便网站快速恢复重新上线。

　　威胁猎捕

　　威胁猎捕是威胁情报和大数据分析相结合的产物,是综合EDR解决方案的关键组成部分。云眼不依赖已知的威胁签名,而是通过搜索大量数据以发现威胁行为者或新型攻击的迹象。结合我们的威胁情报和大数据技术能力,可以对文件及进程的hash值、C&C域名、黑IP等类型的威胁进行猎捕。

　　新技术广泛应用是大势所趋,而安全则是制约相关技术和应用发展的重要因素。安全如逆水行舟不进则退,云安全解决方案需要与时俱进,通过吸收新技术、新思维,深入安全对抗的前沿,可以让我们在应对新型的网络安全威胁时更加游刃有余。

　　最后不如想象一番,片中的迪拜塔数据中心在经过合理的安全改造后,即使被如此硬核的方式入侵,也会在第一时间发出警报,想必阿汤哥这趟楼也是白爬的~