服务器最后的“护城河”
Posted 杨治中
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服务器最后的“护城河”相关的知识,希望对你有一定的参考价值。
服务器最后的“护城河”
“奇安信云锁”提升内生安全能力 构建服务器端防护体系
发稿时间: 2021-06-07 09:56 来源:人民邮电报
分享
今年,国际电信联盟把世界电信和信息社会日的主题确定为“在充满挑战的时代加速数字化转型”,那么,ICT产业有哪些技术创新让人耳目一新?哪些创新产品在帮助客户解决实际困难?经企业自荐、编辑推荐和评审委员会评定,2021年《人民邮电》5·17典型示范案例征集日前正式揭晓。
本次典型示范案例征集充分反映了当下ICT产业的热点和发展方向,吸引了全产业链上下游的广泛关注,激发了参与热情。本次典型示范案例征集涵盖“技术创新”“应用创新”“行业创新”三大板块,经初评、审核材料和总评三个阶段,最终确定了17个典型示范案例的推荐名单。
“奇安信网神云锁服务器安全管理系统(以下简称云锁)”被推选为网络安全行业创新典型示范案例。
近年来,计算机网络的攻击层出不穷,通信安全也面临巨大的威胁。在“棱镜门”事件后,信息安全被提升至国家战略高度。2017年,利用漏洞“永恒之蓝”的勒索攻击席卷全球,信息安全风险对关键信息基础设施、隔离网内服务器的恶劣影响,有了切实体现。
频发的勒索、挖矿攻击以及数据泄露,几乎成为近些年安全事件的代名词。攻击目标的实现,依赖于对服务器的成功入侵和提权。如果只是安全设备的堆砌,0day(未有安全补丁)漏洞几乎一击毙命。
服务器资产不清、风险不可见、对未知威胁缺乏有效防护能力、攻击溯源不精确,是当前服务器安全面临的四大核心挑战。奇安信云锁创新地通过轻量级的服务器端Agent,以加固服务器操作系统和应用、提升服务器内生安全能力为核心思想,从前期准备、攻防对抗、回溯分析三个阶段构建服务器端防护体系。
三个阶段对应三个关键能力。在前期准备阶段,能够对客户业务行为进行画像是非常关键的能力。基于机器学习,云锁可以从服务行为、应用、外联进程、登录和文件操作等角度,梳理出“白(合法)行为”,为后续的异常监测打下基础。
在攻防对抗阶段,云锁强调系统层、网络层和应用层一体化的防护思路。其中,工作于脚本语言解释器内部,能够细粒度监控应用脚本行为和函数调用上下文,进而发现对漏洞的恶意利用行为的RASP(应用运行时自防护),在高烈度的攻防场景,特别是0day满天飞的实战演习中,能够有效缩减攻防信息不对称造成的滞后时间窗,提供对未知威胁有效的、基于服务器的入侵防护。
在回溯分析阶段,强调准确、快速定位。通过对服务器上进程、文件、网络行为的全量日志监控,以及EDR行为引擎&奇安信威胁情报监测引擎的分析、匹配,云锁能从服务器角度精准定位失陷资产,监控异常外联。结合ATT&CK框架,还原黑客入侵手段和攻击阶段,可为威胁狩猎平台、大数据分析平台从服务器行为角度提供数据支撑。
奇安信云锁客户覆盖政府、银行、能源、运营商、教育、医疗等行业,大中型头部客户众多。以某大型银行客户为例,该行服务器数量超过3万台,承载官网、商城、手机银行、对公业务、企业信息、办公OA等多个重要业务系统。在前期准备阶段,云锁以该客户真实环境中业务系统七日内受到的真实攻击数据为基础,梳理出该客户最应关注的中高危攻击类型,给出了有针对性的防护策略建议。
根据前期测试运营情况,该客户选择批量开启对外提供服务环境中部署云锁的防护策略,并将全量日志以syslog形式推送到其安全运营中心(SOC),由SOC平台接收和解析与“关注事件类型”相关的日志,确认攻击及攻击源IP。对多设备日志共同记录的攻击源IP,客户决定进行一键封禁。
归纳总结,云锁的核心价值体现在:一是降本增效,实现对服务器资产的高效管理;二是实现对未知威胁的有效防护;三是缩小暴露面与精准溯源。
知己知彼,有效的工具结合全面的服务与成熟的流程,方能百战不殆。
以上是关于服务器最后的“护城河”的主要内容,如果未能解决你的问题,请参考以下文章