主機安全4大核心技術和15大應用場景大全
隨著業務數字化轉型,企業的業務變得越來越開放和靈活,面臨的安全挑戰也日益增加。在這種多變、開放的場景下,無論安全邊界怎么做,都無法阻擋黑客打破邊界進入企業內部來竊取核心資產。當下安全對抗以及安全管理的核心,正逐漸從邊界轉移到核心服務器系統上。當然,聚焦于主機安全領域的廠商,也受到了資本瘋狂追捧。例如全球市值最高的網絡安全公司CrowdStrike,年營業額約50億人民幣,當前市值卻高達4000億人民幣。這家公司背后的投資機構也同樣星光熠熠,包括CapitalG(谷歌資本)、Accel Partners、華平投資等眾多頂級創投。這也充分證明了資本市場看好主機安全企業未來巨大的潛力
安全正在經歷一場前所未有的進化
達爾文進化論中說,進化來源于突變。這句經典的評述對于信息安全行業同樣適用。那些層出不窮的未知威脅,正是進化的動力。隨著新一代主機安全產品出現,讓整體安全防御發生了巨大變化,主要體現在以下6個方面:
① 安全從邊界走向內部,形成縱深防御,從主機系統內構建安全能力。
② 安全從粗放走向精細,對于主機資產、風險漏洞、黑客攻擊等做精細化管理。
③ 安全從固化走向靈活,主機安全編排能力發展,可以迅速實現新功能擴展。
④ 安全從低效走向高效,采用由內而外的監控,讓事件響應變得更加高效。
⑤ 安全從孤立走向協同,提供主機側安全數據,讓整個體系更加完整。
⑥ 安全從運維走向運營,以業務發展為基礎,以事件核查為線索,以持續優化為根本。
據統計,在亞洲80%以上企業被黑客入侵后,需要數月時間才能發現入侵痕跡。如果想要了解黑客是怎么進來的,拿走了什么以及留下了什么,則還需要數周時間方能完成。此外,后期漏洞修復和處置也需要數天時間才能完成。
由此可知,傳統安全事件響應周期很長,想要在入侵初期就及時發現黑客攻擊更是困難。青藤云安全作為國內新一代主機安全的踐行者,通過七年多時間,上億研發投入,自主研發出了以保護“工作負載”為核心的主機自適應安全平臺,致力于提升對于事件的檢測、分析和響應的效率。
在這樣的背景下,青藤基于多年主機安全經驗,推出《主機安全能力建設等級自查Checklist》,感興趣的讀者可掃碼領取電子版方案。各行業對各主機安全能力建設的優先級不盡相同,應在人力、財力有限的條件下,優先完成最迫切需要的、與業務安全要求最匹配的能力建設。該Checklist可以幫助不同企業組織明確主機安全建設路徑,不斷提高自身的安全能力
七年匠心打造的四大核心技術
運行在產品核心平臺底層的是新一代主機安全能力引擎。該引擎擁有四大核心技術,分別是Knowledge-Base、腳本引擎、QSL語言、AI增強技術。
第一個核心技術是Knowledge-Base,簡稱KB系統。通過該技術將安全檢測目標抽象成對象,進而封裝底層復雜度,使上層安全人員工作變得更簡單。舉個簡單例子,假設Apache某個版本爆出新漏洞,安全人員需要根據版本號盡快確認受影響的資產。但是Apache自身版本以及所處的操作系統環境可能各不一樣,而且不同版本的配置文件也不一樣。因此,安全人員想要通過檢測配置文件中的版本號來確定是否存在漏洞將會變得非常困難。但是通過青藤KB系統,可快速將Apache抽象為一個對象,那么安全人員則無需關注Apache的版本號、所處操作系統環境以及配置文件的路徑。只需在編寫檢測腳本時,調用一個對象就能獲得Apache對應版本號數值,極大減小了工作量。
第二個核心技術是腳本引擎。通過C語言和Java語言構建整個系統,但是在C語言內部支持了LUA腳本,在Java這一層支持了Python腳本。腳本引擎使得青藤產品可以實現熱更新,也使產品更易擴展和發布。
第三個核心技術是QSL。這是青藤自主研發的面向安全人員的一套語法,極大提高事件分析和響應能力。
第四個核心技術是AI增強技術,基于機器學習、深度學習,從復雜的現象中提煉規律,讓安全更智能。
青藤萬相·主機自適應安全平臺核心功能包括資產清點,風險發現、入侵檢測、合規基線、病毒查殺等功能。通過底層核心引擎,實現了各功能的智能集成和協同聯動。其插件化的構建方式,不僅具備靈活的擴展能力,也能實現各功能模塊之間無縫聯動。其分布式的部署方式,能夠應對客戶大量任務下發和大型攻擊來臨的海量數據分析處理,并始終保持穩固的性能。
主機自適應安全平臺的核心功能和應用場景
01 從安全角度重新定義資產
資產是安全防護前提,安全人員只有知道自己要保護什么,才有可能把安全做好。青藤的資產清點為客戶帶去三大核心價值:
① 全自動化的資產梳理。可從正在運行的機器上反向生成CMDB,實時同步最新資產,減輕安全人員復雜的管理操作。
② 讓保護對象清晰可見。通過超細粒度識別,大到操作系統,中到應用框架,小到代碼組件都能精準發現。
③ 安全不再落后于運維。部署青藤產品之后,安全部門手里的資產信息是整個公司最全和最準確的。
應用場景:新漏洞出現時快速定位受影響的資產
當新漏洞爆發時,青藤資產清點可快速定位受影響的資產。比如當WordPress爆發出新漏洞時,可能既沒有漏洞POC也沒有漏洞編號。在這種情況下如何快速定位受影響資產呢?通過青藤資產清點可快速查找WordPress資產分布在哪些業務組件里,這些業務組件是誰負責的,就能知道這個漏洞影響范圍,也能迅速進行處置。
02 基于Agent風險發現,比快更快,比準更準
青藤風險發現致力于幫助用戶精準發現內部風險,幫助安全團隊快速定位問題并有效解決安全風險。該產品能提供詳細的資產信息、風險信息以供分析和響應,能為客戶提供以下三大核心價值:
① 準確的風險識別,白盒視角的風險發現比黑盒更準確。
基于Agent的漏洞掃描,在準確性上擁有天然優勢。傳統漏掃產品對資產覆蓋的深度和廣度不足,導致檢測準確率不高。
② 極大提升掃描效率,在復雜環境下依然能達到極高的效率。
傳統漏掃產品效率低,而基于Agent方式可快速完成全部掃描。因此,一旦出現新的漏洞可在在很短時間內完成檢測工作。
③ 自動關聯資產數據,定位相關負責人以及屬于何種業務。
在查到某機器上存在某個漏洞之后,可迅速知道誰負責這臺機器。
應用場景1:新高危漏洞的快速應急檢測
從之前攻防實戰演練來看,攻方團隊利用了Weblogic反序列化漏洞、JBOSS遠程代碼執行漏洞、Apache Axis遠程命令執行漏洞等多個0Day漏洞進行攻擊。通過青藤風險發現可以快速進行響應,絕大部分漏洞都可通過資產識別直接定位,對于無法識別的漏洞可以通過編寫檢測腳本將其配置到檢測系統中即可。
應用場景2:高危漏洞的補丁識別和關聯
當一個漏洞被精準定位后,青藤風險發現能夠關聯分析這個漏洞相關的補丁。例如,風險發現產品通過CVE編號確認所有資產中有13臺機器上存在Shellshock漏洞。青藤產品不僅提供詳細補丁情況,還能夠檢測補丁修復后是否會影響其它業務。青藤通過識別應用,加載SO和進程本身確認是否被其它業務組件調用,來判斷補丁修復是否會影響其它業務。因此,在高危漏洞爆發后,青藤產品能快速幫助客戶進行補丁識別和關聯,并確認打補丁后是否存在風險等。
應用場景3:深度清理弱密碼死角
根據權威機構調查顯示,每家企業都存在大量的弱口令。但是想要發現這些弱口令并非易事,傳統漏掃產品受限于暴力破解字典和時間限制很難全面發現弱口令。雖然很多客戶組織了大規模的弱密碼檢查和修復,在部署青藤Agent后依然發現了大量的弱口令。例如,在MySQL的弱密碼檢測中,為客戶發現了多數管理員在改密碼時,只會修改其中一個可登錄host的密碼,對其他可登錄host的密碼沒有進行修改,或者修改后也沒有flush privileges以讓新密碼生效。青藤基于Agent的方式進行本地的弱密碼檢測,無需進行遠程登錄嘗試,通過對各種應用進行剖析,直接從文件中去解析哈希,再對哈希做檢測,不僅速度快也無死角。
應用場景4:從已經泄露的密碼中反向定位影響范圍
相信很多人都遇到過類似情況,某臺機器被黑了,但是安全人員無法確認密碼是否已泄露。通過青藤產品,只需將這個密碼配到系統里,通過檢測哪些機器有同樣密碼就可以判斷哪些機器是有風險的。青藤提供了一系列定位的工具,安全和運維人員可以清晰知道哪些機器密碼是需要修改的。
03 基于行為的入侵檢測
青藤入侵檢測,重新定義了檢測引擎,通過生成很多內在指標,并且對這些指標進行持續的監控和分析,那無論黑客使用了什么漏洞、工具和方法,都會引起這些指標的變化從而被檢測出來。
① 實時發現失陷主機:檢測“成功的入侵”,抓住重點,提高效率
相比傳統IDS,青藤產品報警準確率高,能夠讓安全的人抓住重點,解決最核心的問題。
② 檢測未知手段的入侵:通過關系,行為特征透過表象抓住本質
以業務關系為例,一旦黑客入侵就會破壞這些關系,比如A到B之間從來沒有連接,但是黑客在內網可能就從A連接到B,這一點就能暴露這個黑客。
③ 快速的應急響應能力:能夠快速收集數據和實時調查,并進行有效處置
通過Agent從機器中獲取數據,然后進行持續分析處理數據,將響應時間縮短到最小。
應用場景1:利用反彈shell功能抓住Web RCE和迅速定位
如下圖所示,通過反彈shell的告警郵件來分析進程信息,由此確認對應服務和了解相關漏洞。然后通過日志的審計插件可以獲得訪問日志詳細信息,進而還原出攻擊的方法和IP。此外,青藤產品還能夠對RCE漏洞執行快速檢測。如果將這兩個功能組合在一起,幾乎可以發現所有基于0Day漏洞的RCE的攻擊。
應用場景2:挖礦進程的檢測和迅速定位
青藤入侵檢測產品,通過集成包括小紅傘、ClamAV 等國內外多個主流的病毒查殺引擎,并利用青藤自研發的大數據分析、機器學習和模式行為識別等多種檢測模型,為用戶提供全面和實時的后門檢測和防護能力。
此外,還能夠提供自動化響應級別的沙箱,把任何樣本丟到沙箱內部會自動輸出一個處置規則,只需將這個處置規則導入系統就可以清理干凈挖礦病毒。因此,被挖礦后想做應急響應,只需一個樣本就能夠自動生成處置規則,全自動化清理處置掉。
應用場景3:和威脅情報聯動,迅速定位到具體的惡意進程
青藤萬相·主機自適應安全平臺通過結合威脅情報,可以直接定位到進程。比如哪個進程向外請求了黑DNS,哪個進程連接了Hash等。因此,如果將過去24小時所有對外請求過的DNS去重后排序,選擇出top5對應的進程。如果其中存在一個惡意域名,就可以直接關聯到對應進程。
應用場景4:發現暴力破解成功后的異常登錄(機器學習)
過去想要發現黑客暴力破解密碼后異常登錄行為,則需要通過人工編寫對應規則,確定什么是異常登錄,什么是正常登錄。但是,青藤已經通過機器學習的方式取代人工服務,機器自動學習登錄行為,非常準確有效。
應用場景5:發現繞過堡壘機登錄的不合規行為
因為堡壘機可以自動生成口令,很多企業安全人員會認為部署堡壘機之后就不存在弱口令。但是部署青藤Agent之后,通過掃描發現了大量弱口令。通過檢查分析,發現很多機器沒有接入堡壘機,而是繞過堡壘機。為解決該問題,只需在青藤異常登陸的產品功能頁進行規則配置,就可以輕松發現有哪些機器沒有通過堡壘機。
應用場景6:識別內網橫向滲透和內部蠕蟲傳播
青藤蜜罐是復用了Agent的能力來形成的微蜜罐。在每個Agent上設置一些端口,這些端口正常情況下不會被自己員工訪問。在主機內只需覆蓋15%的微蜜罐范圍,幾乎就能100%發現內網橫向滲透所有攻擊。因為黑客每做一次內網探測就有15%的概率被發現,徹底解決了傳統蜜罐覆蓋問題。此外通過微蜜罐還能清除、定位內網的蠕蟲并清除干凈。
04 自定義檢查標準,滿足不同檢查基準場景
合規標準讓運維人員有了檢查默認風險的標桿,但是面對網絡中種類繁雜、數量眾多的設備和軟件,如何快速、有效地檢查設備,又如何集中收集核查的結果,以及制作風險審核報告,并且最終識別那些與安全規范不符合的項目,以達到整改合規的要求,這些是網絡安全運維人員面臨的新的難題。
應用場景:應對等保合規檢查,落實企業基線要求
通過青藤產品基線功能,能夠在半小時之內把數萬臺機器的基線分析清楚,對于不符合要求的檢測項,提供代碼級的修復建議。
05 提供高價值主機層數據
安全日志是一個大數據系統,能夠把主機上所有活動記錄下來,并且很方便的進行分析。從安全角度引導客戶對日志進行查詢與分析,發現黑客入侵的蛛絲馬跡,還原攻擊現場。該產品基于ES系統,可在5s內獲得查詢結果,同時對TB級數據進行統計分析,并保證數據至少保留180天,并可導入其他系統。
應用場景1:運維操作審計,實時審計+事后排查分析
記錄服務器的所有運維命令,進行存證以及實時審計。例如,實時審計運維人員在服務器上操作步驟,一旦發現不合規行為可以進行實時告警,也可以作為事后審計存證。
應用場景2:為態勢感知和SOC提供關鍵基礎數據
通過Agent采集主機上的事件,可以將數據信息對接給SOC、態勢感知等產品,也可以對接給編排系統。青藤安全日志可以從主機側提供非常獨特的數據,這些數據是傳統網絡設備無法獲取的。
應用場景3:Do everything in one line
這個應用場景的核心是通過一條命令實現復雜交互過程,如下所示:
上圖所示命令包含的含義是:對24小時內機器上創建的所有進程MD5去重,再把這些MD5傳給騰訊的威脅情報接口。如果發現是黑MD5,就將該進程殺死。在正常情況下,完成這一系列動作需要耗費大量時間精力。首先需要查找機器上的惡意進程,然后再跟威脅情報平臺進行匹配,最后再處理惡意進程。但通過青藤提供的獨特QSL語言,一句命令行就可以實現復雜過程,提高安全人員整體分析和處置的效率。
一個場景化真實案例
①某天快到下班點,青藤的安全駐場人員突然接到產品告警,發現反彈shell和webshell,于是迅速展開排查,確定失陷主機為公司一臺文檔服務器。
這里補充說明下,青藤新一代主機入侵檢測系統的“反彈shell”功能,可以通過對用戶進程行為進行實時監控,結合異常行為識別,可發現進程中非法 Shell 連接操作產生的反彈 Shell行為,能有效感知“0Day”漏洞等利用的行為痕跡,并提供反彈 Shell 的詳細進程樹。
② 憑借上述產品功能,青藤主機入侵檢測系統在該服務器被上傳webshell之后,發現反彈shell操作如下:
②安全人員使用安全日志、操作審計,檢查黑客操作的每一條命令,發現歷史記錄被黑客清空了,幸好有審計功能,默默地記錄下了黑客的每一條操作。
③安全人員發現黑客先利用系統漏洞進行了提權后,安裝修改了一些文件,懷疑是安裝rootkit系統后門,之后安全人員使用青藤入侵檢測產品“系統后門”功能進行檢查,發現了多個系統后門和被篡改的關鍵位置文件。
④通過分析,發現黑客的入侵路徑來源為struts2漏洞入口,黑客上傳webshell后進行提權以及安裝后門操作。安全人員通過操作審計以及黑客的webshell特征,還原了黑客對主機進行的操作。
⑤ 最后,安全人員協助客戶開啟了端口蜜罐的功能,針對目前流行的MS17010漏洞開啟了445等端口的蜜罐,并將安全人員常用的掃描器的地址加入了白名單,通過大量的部署微蜜罐,來增大內網誘捕黑客的幾率。
通過上述分析,我們還原整個安全事件,發現此次事件屬于典型的APT入侵攻擊事件。首先黑客通過Windows后門進入內網潛伏下來,并在內網漫游找到有Web站點或有漏洞的主機并上傳webshell,繼而進一步通過webshell實現反彈連接,獲取目標主機的shell控制權為下一步攻擊做好準備。
上述整個攻擊過程可以說做得滴水不漏,環環相扣。面對這種高級別攻擊,傳統基于規則策略的安全檢測產品就形同虛設,黑客可以很輕松繞過。但是青藤新一代主機入侵檢測系統可以提供多錨點的檢測能力,能夠實時、準確地感知入侵事件,發現失陷主機,并提供對入侵事件的響應手段,為系統添加強大的實時監控和響應能力,幫助企業有效預測風險,精準感知威脅,提升響應效率,保障企業安全的最后一公里。
如果您有關于主機安全方面的任何問題,歡迎致電400-188-9287轉1,或直接掃描下方二維碼,領取《主機安全能力建設等級自查Checklist》。您也可通過青藤云安全官網(www.qingteng.cn),獲取更多網絡安全報告。點擊“閱讀原文”還可免費申請試用青藤的主機安全產品~
