綠盟一體化終端安全管理系統+CWPP理念,助力提升企業安全防護能力
近年來,CWPP(Cloud Workload Protection Platform,即云工作負載安全防護平臺)成為云安全領域的關注熱點。Gartner在2021年發布了《Market Guide for Cloud Workload Protection Platforms》(云工作負載保護平臺(CWPP)市場指南)。報告指出美國2021年CWPP市場規模將達到16.99億美元。目前中國市場規模要遠低于這個數字,國內市場還沒有徹底釋放。報告還提到了以下核心觀點:
1、云原生應用程序在開發過程中就需要考慮云原生安全,尤其是容器和無服務器PaaS要更早地加入CWPP理念。
2、76%的企業正在使用多個公共云平臺(IaaS),但仍有本地部署的工作負載需要保護,客戶業務環境處于混合、多云架構下仍是常態,使用IaaS最大的挑戰是安全風險增加。
隨著企業上云的步伐越來越緊密,以及多云的部署形式成為一種趨勢,其安全刻不容緩,它區別于傳統的網絡安全,安全一旦出現風險其影響面之廣,所以更加需要成體系的解決方案。
基于CWPP理念——綠盟一體化終端安全管理系統
基于云上的安全風險,Gartner提出的CWPP涵蓋了工作負載整個生命周期的安全需求,涉及的控制點較多。Gartner同時將CWPP的能力做了分層,明確了核心能力和附加能力。
從上圖可以看出CWPP的核心保護策略是加固和防護,包括漏洞利用防護/內存防護、應用程序控制/白名單、系統完整性保護、微隔離與流量可視化、加固配置和漏洞管理。下面以綠盟一體化終端安全管理系統為例,分析一下產品能力和CWPP契合度以及在CWPP架構中發揮的作用。
加固、配置、漏洞管理
這項能力也是CWPP最底層的核心能力,同樣是安全運營中重要工作之一,但是打補丁、修漏洞一直是業界比較頭疼的問題,綠盟一體化終端安全管理系統提供漏洞分析和攻擊誘捕能力可以有效應對。
漏洞分析:將識別到的主機信息,補丁信息,應用信息,文件信息等進行上傳管理平臺后,最后將漏洞數據上傳并進行主機脆弱性統計與分析。
攻擊誘捕:Agent會在工作負載上關鍵磁盤目錄進行創建文件和目錄,偽裝成服務,監聽可能被攻擊的端口,以用來捕獲攻擊者行為。單獨攻擊誘捕視角呈現誘捕情況,統計分析誘捕事件,協助用戶加強漏洞的管理、配置及加固。
網絡防火墻,可視性及微隔離
微隔離主要防御內網滲透,如今在內網環境下,端口訪問管理工作存在安全風險,一旦一臺工作負載淪陷,以它為跳板進行漏掃、爆破,橫向移動將輕而易舉。綠盟一體化終端安全管理系統提供的流量微隔離能力可以對流量進行精細化管理,可以有效應對東西向橫移威脅。
流量微隔離:提供針對云主機的東西向流量采集,可基于微隔離策略的細顆粒度響應進行處置,其產品擁有強大的檢測能力,其中包括:入侵檢測、Web攻擊檢測、惡意文件檢測、Webshell攻擊檢測、威脅情報、文件沙箱、異常行為等,能夠快速狙擊APT威脅。
系統信任保證
主要指工作負載中系統核心文件的防護,目前比較好的防護思路是對文件/目錄的運行狀態和完整性做監控和限制防止系統目錄的文件被惡意修改或者惡意文件執行。綠盟一體化終端安全管理系統在此項要求上提供狀態監控能力,對工作負載運行狀態進行實時監控。
狀態監控:采集行為審計日志,及相關資產指紋主要包括了進程監控與網絡連接監控,資源使用率等。環境感知包含對主機的用戶賬戶配置權限變化感知、用戶密碼修改感知、軟件安裝感知、硬件變化感知,并且用戶可自定義關鍵路徑安全審核項,提供用戶可配置多個文件目錄與注冊表路徑審核項,對關鍵信息進行全方位的實時監控。
應用程序控制白名單
工作負載中會有部分應用存在過高權限的情況,如數據庫具備創建可執行文件的權限等,容易被攻擊者利用,綠盟一體化終端安全管理系統具備應用程序控制,能夠對系統啟動項、進程、應用進行監測和防護。
反惡意軟件
反病毒作為CWPP附加安全策略其地位也是非常重要的。綠盟一體化終端安全管理系統,在此項能力要求下集成了綠盟科技自有的殺毒能力,支持通過病毒查殺策略,可選擇查殺方式、指定查殺對象以及查殺時間,其中查殺方式包括快速查殺以及全盤查殺等多種查殺方式。
客戶價值
1、提升企業安全防護能力
通過完善的弱點分析能力,包括漏洞、合規、弱口令快速分析,充分感知獲取客戶環境的脆弱性信息;布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,并通過技術和管理手段來增強實際系統的安全防護能力。
配置多種檢測防護策略覆蓋了EDR場景,主要包含黑客程序告警、危險進程告警、可疑行為告警、挖礦程序查殺等一系列基于行為的檢測,并且內置輕量病毒查殺引擎,并含有當下最熱門最易攻擊的病毒特征,方便快速查殺云工作負載關鍵位置及運行中的文件進程。
2、智能威脅建模,提高安全事件分析能力
綠盟一體化終端安全管理系統將攻擊鏈模型、ATT&CK模型、威脅知識圖融入到平臺威脅分析建模,從海量數據中聚效到攻擊者攻擊行為,對于規則命中的威脅,統一生成終端威脅事件,支持威脅事件攻擊過程、攻擊鏈、ATTCK等信息關聯分析,追溯威脅事件發生的主機、進程、文件路徑、還原事件發生過程。
3、多重閉環響應,提高響應處置能力
及時響應在終端安全場景下是必不可少的能力,綠盟一體化終端安全管理系統提供最基礎的響應能力,包含主機隔離、網絡鏈路封禁、文件隔離、進程查殺等。從網絡到端點,從運行到磁盤多個維度進行全面封鎖,應對各類響應場景。提供統一的訪問控制策略設置,基于微隔離策略,實現對主機出入棧雙向的訪問控制,從而對主機進行細粒度的響應處置。
同時通過綠盟安全運營管理平臺的聯動以及安全編排自動化響應組件聯動可以將安全工程師分析、研判、處置經驗固化,在事件發生時實現自動化編排與響應的能力,提降低MTTR處置響應時間。
4、降低運維難度、提升運維效率
綠盟一體化終端安全管理系統真正做到計算節點安全多維能力統一覆蓋,網絡安全體系下的端點統籌,工作負載安全唯一Agent、業務及技術架構統一化管理。一個Agent解決所有云工作負載安全相關難題,真正做到方便運維,提升企業整體云工作負載安全運維效率。
從目前來看,國內市場使用CWPP理念的企業越來越多,一是切實可行降低企業使用公有云、混合云帶來的安全風險;二是工作負載的載體也在快速變化從物理機、虛擬機、容器到serverless,負載的生命周期越來愈短,安全逐漸左移,CWPP將與CSPM融合,變成新的產品形態:云原生應用程序保護平臺(CNAPP)。
2022年5月,綠盟科技正式發布云化戰略——T-ONE CLOUD(inTelligent First security,智慧安全優先),以“云運營再造新安全”為目標,旨在以云的思路重構安全運營體系,為用戶提供彈性敏捷的安全閉環保障能力。未來,綠盟科技會持續投入云安全領域,為更多用戶提供“用得起,看得見,抓得全,管得住”的安全云服務。
