当前位置:首页 >  IDC >  云计算 >  正文

安全狗发布云工作负载安全(泛主机安全)2019年度安全报告

 2020-01-21 15:22  来源:互联网  我来投稿   瓜霸霸的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

前言

国内云计算技术目前已经较为成熟,进入了高速增长的阶段,利用云计算技术进行信息化建设已成为常态。目前国内多数用户还处于“混合云”场景下,即传统主机环境+内部私有云环境+公有云环境+容器环境(根据业务情况)。这种混合云场景衍生出了安全运营需求升级、所有权和控制权转变等问题,形成了管理机制的变化并引出安全责任共担机制等挑战。

近年来,随着网络攻防向攻击方倾斜,各类高危漏洞(0day、1day、Nday)快速武器化,APT定向攻击泛滥,勒索和挖矿(变种、难于检测发现)病毒肆虐猖獗,还能躲避基于规则式安全设备(软件)检测的新攻击技术手段,以及针对东西向的流量攻击等新增威胁,依靠防病毒手段实现的传统环境下主机安全解决方案已然无法有效应对云环境下面临的新安全挑战和安全威胁。如何进行有效的安全管理成为这些行业用户普遍关注的重要问题,并且在国内大规模攻防实战演练的推动下,这部分的安全需求显得尤为迫切。

面对这样的安全场景需求,我们年度安全报告用“云工作负载安全”来替代“主机安全”的范畴,以符合目前大部分行业用户进入混合云泛主机形态的IT场景。我们对“云工作负载安全”这类技术定义如下:

云工作负载:云计算场景下用来承载计算的工作节点,包括了传统服务器主机系统、虚拟机、私有云计算节点、公有云主机、Docker容器节点以及微服务等。

云工作负载安全:针对云工作负载的安全解决方案,能够在漏洞风险、入侵威胁监测、主动防御、快速响应以及安全管理等方面为云工作负载提供全面的保护。

在本年度安全报告中,我们通过“云工作负载2019年安全技术新特点”、“云工作负载2019年安全威胁分析”、“云工作负载安全产品在大型攻防演练中的价值”、“云工作负载未来技术发展趋势”4个章节来进行详细阐述。

一、云工作负载安全(泛主机安全)2019年技术新特点

CWPP(云工作负载安全平台)自Gartner2017年提出以后,每年都有不小的变化,在2019年,Gartner对工作负载(workload)进行了新的诠释,根据抽象度的不同分为物理机、虚拟机、容器和Serverless,安全能力图也从原来的11个能力删减到8个能力,并且将最底层的“运维习惯”与“加固、配置与漏洞管理”进行了整合,同时删掉了“蜜罐”能力,此外,由于数据的静态加密大部分情况下都有云厂商提供,因此“静态加密laas数据”这个能力也从能力金字塔中删掉了。值得注意的是,能力图加强了对威胁检测和响应的要求,也就是更加凸显了Server EDR能力的重要性。

通过参考Gartner最新更新的CWPP(云工作负载安全平台)中的技术要求,以及结合众多大型客户场景化和应用实践方案,总结了2019年以下技术新特点:

·SERVER EDR的技术产品应用

·主动防御技术在工作负载中的应用

·基于轻量Agent的微隔离技术应用

·漏洞主动发现及安全配置管理

·主机安全大数据分析能力

二、云工作负载安全(泛主机安全)2019安全威胁分析

1、云工作负载安全漏洞和补丁修复趋势

2019年,大量操作系统、虚拟化平台、容器等各种云工作负载的安全漏洞被披露,相关问题应该引起重视。

根据安全狗海青实验室对2019年公开的各类漏洞数据的整理结果显示,2019年全年共发布主机操作系统漏洞数量1086个,主流虚拟化平台(VMWare、Xen、VirtualBox、Hyper-V、QEMU)漏洞166个,容器( Docker)漏洞13个。

2、入侵威胁趋势

·暴破攻击事件数量居高不下

在黑客入侵手法中,暴力破解是技术成本低,成功率高,性价比较高的一种攻击手法。只需要有高质量的用户名和密码字典库即可借助暴破工具轻易实施攻击,且一旦暴破成功后就能获得极大的权限,倍受各类网络攻击者的喜爱。

·挖矿与勒索病毒热度不减

臭名昭著的网络安全威胁加密挖矿与勒索软件在今年依然保持活跃。勒索软件的攻击目标从“遍地撒网”演变成了“重点捞鱼”,高价值目标成了网络罪犯眼中的香饽饽,越来越多的定向攻击出现,特别是针对企事业单位。挖矿病毒攻击则更偏向于与僵尸网络结合,部分挖矿病毒携带传播模块,核心目的在于感染更多的用户电脑,尽可能将利益最大化。

·Webshell威胁形势依旧严峻

网站Webshell的检测和防护是一个老生常谈的问题了。2019年全年,我们不仅在Web防护端发现大量扫描Webshell和上传Webshell的行为,在主机内部也扫描出不少Webshell木马。据统计,安全狗全年共扫描出Webshell文件2,275,350个,通过云御(网站安全狗)拦截到的Webshell上传行为共24,424,837次,拦截针对Webshell的扫描行为14,545,681次。

·工作负载间的横向渗透攻击手段层出不穷

攻击者一旦进入到目标网络后,下一步就是在内网中进行横向移动,然后再获取数据。近年随着容器的大量使用,攻击者在云主机横向移动的基础上,增加了容器间横向移动的攻击形态。

·工作负载越权控制访问威胁种类繁多

越权控制访问也是攻击者进行内网横向移动中关键的一环,在新的网络环境下,存在主机层面提权、云主机虚拟化逃逸、容器到宿主机层的提权。

三、云工作负载安全(主机安全)在大型攻防演练中的价值

在近年兴起的红蓝对抗演练中,云工作负载安全保护平台起着相当大的作用。

红方视角

从外到内:从外部对蓝队暴露的攻击面发起实战化攻击。

从内到内:攻击者已突破到内部,进行内网平移和漫游。在内网中各个区域(如:业务区、办公区、生产区)寻找有价值的资产,对其进行攻击。

从内到外:属于后渗透阶段。该阶段指的是红方在拿下蓝方的内网主机权限后,对该机器权限的维持和渗透的"成果化"。此时红队一般会使用反弹shell、隐蔽隧道等方式回连自己的服务器地址。

蓝方视角

在上述攻防演练红方视角中,红方利用实际漏洞、风险隐患达到权限获取目的。针对于外到内、内到内、内到外三个对抗节点云工作负载安全起着重大的作用,主要从四个维度解决云工作负载安全防护问题。包含:

检测:僵木蠕病毒、风险缺陷检测、进程账号文件等行为

防护:系统层、网络层、应用层、数据层的安全保护

运营:补丁漏洞管理、资产配置管理、通讯流量可视化、合规基线核查

响应:全网分析溯源、危急事件处置

四、云工作负载安全(主机安全)技术发展趋势

1、容器安全

毫无疑问,容器是当前云计算的主流技术之一。Docker是当下容器技术的主流选择(2019年的市场占比达79%)。它与DevOps理念不谋而合,受到了企业推崇。然而,在“Docker容器的全生命周期”中存在诸多安全问题,下面对其中的重要管控点及相应的管控方法进行介绍。

2、微服务安全

随着互联网飞速发展,传统的“单体架构”在面对持续改进、快速部署等需求时显得力不从心,而“微服务架构”作为一种系统解决思路应运而生,方兴未艾。

单体架构与微服务架构的部分区别如下表所示。可推知,后者在解决一些复杂问题时放大了攻击面,引入了一些安全隐患。

为规避这些安全隐患,须从“安全开发”和“安全运维”两方面着手。

微服务架构伴随着软件架构的需求应运而生。这类Web应用所面对的安全问题也与传统单体应用有着异同点,对甲方的安全开发和安全运维以及乙方的安全产品研发和落地提出了新的要求和挑战。

3、ATT&CK在Server EDR中的应用

ATT&CK模型由MITRE公司在2013年提出, 并于2015年发布了第一款框架。其目的在于了解攻击和划分攻击类别,以确定对手如何运作,以及如何对主动攻击做出响应和攻击后的恢复。

·威胁狩猎

MITER ATT&CK是基于真实环境观察攻方战术和技术的知识库,ATT&CK框架可以应用于提高EDR产品的威胁捕获检测能力和处置能力。

·产品能力评估

使用MITER ATT&CK框架评估终端安全产品的能力,量化安全产品对于威胁的检测率以成为新一代的潮流。目前国外的部份厂商已经支持对ATT&CK框架中的部份TTP进行检测和发现。

对主机安全厂商而言,由于ATT&CK是以开源社区的方式运作,其攻击工具库会持续更新扩充,可以针对ATT&CK工具集中的相应工具进行测试并提升安全产品的检测能力。对于甲方而言,可以根据其ATT&CK情报集扩充自身的情报库数据以提升对攻击组织的发现能力与对安全产品的检测评估。2020年ATT&CK将成为所有安全专家用来了解和抵御攻击者发起攻击的必要工具。

报告全文可关注安全狗 微信公众号,通过历史文章查阅下载。

作者: 瓜霸霸    /    文章:2354篇

相关标签
安全狗

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • KubeSphere云原生开箱即用 属于社区而非青云

    近期微信新表情攻陷朋友圈,网络上各类《XXX刷屏了!XXXX微信新增表情包XXX,XXX为啥你没有?》的攻略型文章纷纷来蹭热度。值得关注的是,在这些文章中均提到了"为啥,你的微信表情里就没有呢?",同时还给出了众多的解决办法,但微信作为社交软件领域的领军者,为何只为一部分人进行了

  • 2019年度政务云20强企业发布 金山云等位居前列

    当前中国云计算发展如火如荼,政务云作为云业务的重要分支,在全面实现数字化建设方面发挥重要支撑作用,近日,一份由互联网周刊和eNet联合发布的《2019年度中国政务云企业解决方案提供商前20强》

  • 梦网云通信,远程助力宅家办公不打烊

    2020年注定是不平凡的一年,受外部大环境影响,国家延长了春节假期,各地也相继出台了复工时间表,复工时间的推迟对于企业而言无疑是一个重大挑战。为了将损失降到最低,同时保障特殊时期社会各环节的正常运转,远程办公模式成为了不少企业的优先选择。

  • 号外!天翼云位列2019年政务云解决方案提供商TOP 1

    随着国家大力推动“互联网+政务系统”,云计算在政务领域的覆盖不断加深,政务云正在成为关乎国计民生的信息基础设施。政府通过政务系统上云,能够有效提升基础设施利用率、降低行政成本,同时有效整合政务信息系统,实现互联互通,提升效率。

  • 远程办公背后的云计算博弈

    根据教育部此前规划,“国家中小学网络云平台”将会自2月17日起开通。2月13日,工业和信息化部对“国家中小学网络云课堂”保障工作作出部署,要求中国电信、中国移动、中国联通、阿里、百度、华为、网宿等企业建立专项工作组,按照目标需求,抓好工作落实,确保稳定运行。

  • 热干面加油!ZStack社区邀你通关ZCCT在线认证

    一场突如其来的新型冠状病毒肺炎席卷全国,从最美的逆行者奔赴疫情防控一线,到捐医疗物资捐蔬菜捐款的社会各界爱心人士;从免费提供IT基础设施支持防疫工作的科技企业,再到躺在家里就是给国家做贡献的网友们...

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯