統(tǒng)一工作負(fù)載防護(hù) - 智甲云主機(jī)安全的運(yùn)營閉環(huán)實(shí)踐

天云安全事業(yè)部擴(kuò)散、復(fù)雜、新挑戰(zhàn)，云上的安全威脅支撐運(yùn)營體系，實(shí)現(xiàn)完整閉環(huán)擴(kuò)散、復(fù)雜、新挑戰(zhàn)云上的安全威脅VirtualizationVirtualBoxVirtualizationVirtualBox隨著云計(jì)算的不斷發(fā)展普及，云上風(fēng)險(xiǎn)開始進(jìn)一步擴(kuò)散，同時(shí)也帶來了更多的攻擊面：系統(tǒng)、虛擬化組件、編排平臺(tái)、容器、運(yùn)行時(shí)環(huán)境、中間件等多個(gè)方面的風(fēng)險(xiǎn)不斷增加，給個(gè)人、企業(yè)及相關(guān)監(jiān)管部門帶來了更大的挑戰(zhàn)2016JavaApplicationSePage4Page5WindowsWindowsApacheTomcat…?CVE每年新增漏洞數(shù)量巨大，其中2021年創(chuàng)歷史新高達(dá)到20141個(gè)?Windows主機(jī)系統(tǒng)，新增漏洞年復(fù)合增長(zhǎng)率為10.5%；Linux主機(jī)系統(tǒng)，漏洞年復(fù)合增長(zhǎng)率為3.7%；云原生系統(tǒng)和應(yīng)用漏洞，年復(fù)合增長(zhǎng)率為8.9%?需要注意，近兩年云原生系統(tǒng)和應(yīng)用漏洞增速已超出Win/Linux主機(jī)操作系統(tǒng)Win主機(jī)系統(tǒng)、LinuxWin主機(jī)系統(tǒng)、Linux主機(jī)系統(tǒng)、及云原生系統(tǒng)和應(yīng)用子項(xiàng)說明Page6?開源環(huán)境和生產(chǎn)開發(fā)環(huán)境存在大量安全配置錯(cuò)誤?云環(huán)境巨大而復(fù)雜，這為重大錯(cuò)誤創(chuàng)造了條件，也給云運(yùn)維者和安全團(tuán)隊(duì)帶來挑戰(zhàn)編排模塊的錯(cuò)誤配置的數(shù)量(左);錯(cuò)誤配置的類型及其百分比(右)Gartner到2025年，超過99%的云泄露將被追溯到可預(yù)防的配置錯(cuò)誤或終端用戶的錯(cuò)誤。Page7MobileEnterpriseOtherOtherCloudCloud234MobileEnterpriseOtherOtherCloudCloud234云上威脅，攻擊技戰(zhàn)術(shù)21年增長(zhǎng)顯著一年間，Enterprise技戰(zhàn)術(shù)項(xiàng)增幅5%，而其中Cloud相關(guān)項(xiàng)增幅51%，為主要增幅。MobileMobileEnterprise1ATT&CK-V8ATT&CK-V10Page8ATT&CKATT&CK尚未做到攻擊技戰(zhàn)術(shù)的全面覆蓋利用Kubernetes特性，將惡意容器動(dòng)態(tài)注入到集群Page9“共存”成為IT場(chǎng)景的新常態(tài)敏態(tài)業(yè)務(wù)、穩(wěn)態(tài)業(yè)務(wù)共存云原生技術(shù)上，虛擬化主機(jī)和容器、容器云共存企業(yè)中計(jì)算機(jī)數(shù)量增長(zhǎng),表明更多的用戶進(jìn)入生態(tài),用戶正在添加更多內(nèi)容企業(yè)內(nèi)運(yùn)行容器數(shù)量也在增加,使用超過5000個(gè)公有云,私有云,混合云,多云環(huán)境云混雜使用,生技術(shù)在私用云中保持增長(zhǎng)周多次進(jìn)行發(fā)布,表明敏態(tài)業(yè)務(wù)正在逐步增加。數(shù)據(jù)來源數(shù)據(jù)來源:CNCF，調(diào)查受訪者中有三分之二來自員工人數(shù)超過100人的組織，30%來自員工人數(shù)超過5000人的組織。受訪者(56%)來自軟件組織。其他行業(yè)包括金融(9%)、咨詢(6%)和運(yùn)營商(5%)項(xiàng)項(xiàng)運(yùn)維習(xí)慣限制任意代碼管理員權(quán)限管理變更管日志管理禁止用WEB/郵件客戶端理漏洞利用防護(hù)/內(nèi)存防護(hù)加固，配置和漏洞管理網(wǎng)絡(luò)防火墻，微隔離與流可視化項(xiàng)項(xiàng)運(yùn)維習(xí)慣限制任意代碼管理員權(quán)限管理變更管日志管理禁止用WEB/郵件客戶端理漏洞利用防護(hù)/內(nèi)存防護(hù)加固，配置和漏洞管理網(wǎng)絡(luò)防火墻，微隔離與流可視化1、云上面臨風(fēng)險(xiǎn)、對(duì)抗攻擊技戰(zhàn)術(shù)、及應(yīng)用整塊應(yīng)用整塊應(yīng)用物理服務(wù)器作為云單位使用壽命以年紀(jì)硬件虛擬化VMs作為云單位使用壽命從幾個(gè)月到幾年硬件虛擬化VMS作為云單位使用壽命從幾個(gè)虛擬應(yīng)用運(yùn)行位使用壽命從秒防病毒防病毒主機(jī)IPS行為監(jiān)控EDREDR/威脅檢測(cè)與響應(yīng)應(yīng)用控制應(yīng)用控制/白名單系統(tǒng)完整性監(jiān)控系統(tǒng)完整性監(jiān)控/管理受限的無力及邏輯訪問邊界HFishHFishLKRG地理環(huán)境區(qū)域群組權(quán)限用戶憑證類攻擊漏洞利用攻擊…應(yīng)用應(yīng)用層工作負(fù)載裸金屬）漏洞不安全配置威脅事件授權(quán)已損壞不足授權(quán)損壞地理環(huán)境區(qū)域群組權(quán)限用戶憑證類攻擊漏洞利用攻擊…應(yīng)用應(yīng)用層工作負(fù)載裸金屬）漏洞不安全配置威脅事件授權(quán)已損壞不足授權(quán)損壞來源：Gartner《APISecurity:ProtectyourAPIsfromAttacksandDataBreaches》精細(xì)分段精細(xì)分段端口/協(xié)議、容器、進(jìn)程端口/協(xié)議、容器、進(jìn)程統(tǒng)一工作負(fù)載防護(hù)安天的解決方案運(yùn)營過程運(yùn)營過程API安全關(guān)鍵能力0低業(yè)務(wù)影響低算力和資源消耗｜低0低業(yè)務(wù)影響低算力和資源消耗｜低基線核查｜漏洞掃描基線核查｜漏洞掃描安全體系建設(shè)對(duì)抗能力重塑統(tǒng)一工作負(fù)載防護(hù)—安天的解決方案提供統(tǒng)一的工作負(fù)載防護(hù)產(chǎn)品1.資產(chǎn)清點(diǎn)2.風(fēng)險(xiǎn)評(píng)估3.合規(guī)基線4.防病毒5.入侵檢測(cè)6.微隔離7.容器安全8.事件告警9.威脅獵殺10.威脅情報(bào)安全評(píng)估|安全運(yùn)維等保咨詢|威脅獵殺應(yīng)急響應(yīng)資產(chǎn)識(shí)別?支持Windows、Linux各發(fā)行版本下的基礎(chǔ)軟、硬件環(huán)境信息及變化情況識(shí)別?支持賬號(hào)、進(jìn)程、開放端口以及各類主流應(yīng)用信息等9大類38小類200余種工作角色標(biāo)簽的自動(dòng)化采集?所有邏輯關(guān)聯(lián)可實(shí)現(xiàn)跨環(huán)境集中可視化細(xì)粒度資產(chǎn)清點(diǎn)2：容器資產(chǎn)識(shí)別細(xì)粒度資產(chǎn)清點(diǎn)2：容器資產(chǎn)識(shí)別容器資產(chǎn)信息采集、識(shí)別?支持自動(dòng)獲取所有與容器相關(guān)信息，如：容器運(yùn)行狀態(tài)、連接情況、關(guān)聯(lián)鏡像等?支持容器內(nèi)資產(chǎn)的分層、分類集中可視化，幫助用戶從整體安全角度細(xì)粒度觀察容器類資產(chǎn)運(yùn)行狀況漏洞檢測(cè)對(duì)資產(chǎn)內(nèi)部系統(tǒng)、應(yīng)用進(jìn)行漏洞檢測(cè)，有效防范由系統(tǒng)、應(yīng)用自身漏洞引發(fā)的安全事件弱密碼檢測(cè)對(duì)系統(tǒng)、應(yīng)用中存在的各種弱密碼問題精準(zhǔn)識(shí)別，有效防范由弱密碼問題引發(fā)的安全事件配置風(fēng)險(xiǎn)檢測(cè)基于合規(guī)基線項(xiàng)對(duì)系統(tǒng)、應(yīng)用、賬號(hào)進(jìn)行配置檢測(cè)，給出合規(guī)差距和整改建議容器集群風(fēng)險(xiǎn)檢測(cè)對(duì)容器平臺(tái)配置文件進(jìn)行檢測(cè)，有效防范容器平臺(tái)自身安全配置問題引發(fā)的安全事件情報(bào)驅(qū)動(dòng)的威脅檢測(cè)情報(bào)驅(qū)動(dòng)的威脅檢測(cè)為全球近百家合作伙伴所選用，為超過100萬臺(tái)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備提供威脅檢測(cè)能力，覆蓋全球29億部手機(jī)設(shè)備和全國半數(shù)以上防火墻節(jié)點(diǎn)，具有對(duì)威脅和異常風(fēng)險(xiǎn)的及時(shí)感知和發(fā)現(xiàn)能力。?靜態(tài)分析可提取超過1200項(xiàng)向量?動(dòng)態(tài)分析可輸出400種動(dòng)態(tài)行為標(biāo)簽?精準(zhǔn)識(shí)別50,000+病毒家族，1,40威脅情報(bào)引擎囊獲了域名信譽(yù)、郵箱信譽(yù)、URL信譽(yù)、漏洞知識(shí)庫等種類繁多的情報(bào)類型。并且收錄了近5年全球熱點(diǎn)威脅事件，全球超過300個(gè)攻擊組織，幫助用戶實(shí)現(xiàn)精準(zhǔn)的威脅分析和攻擊溯源擁有來自全球100+個(gè)優(yōu)質(zhì)威脅情報(bào)源的海量數(shù)據(jù)支撐支持40余種特征維度的關(guān)聯(lián)拓線分析和13種樣本的同源性分析多場(chǎng)景應(yīng)用級(jí)微隔離1：基于Agent—應(yīng)用身份認(rèn)證技術(shù)基于Agent—應(yīng)用身份認(rèn)證技術(shù)的微隔離方案，對(duì)于快速變化的云上業(yè)務(wù)場(chǎng)景，能夠更好的跟隨自適應(yīng)，還廣泛的支持物理機(jī)、私有云、公有云、混合云、容器等多種應(yīng)用環(huán)境，并進(jìn)一步做到了應(yīng)用級(jí)細(xì)粒度網(wǎng)絡(luò)隔離。Page20多場(chǎng)景應(yīng)用級(jí)微隔離2：全場(chǎng)景的業(yè)務(wù)流量可視化多層次業(yè)務(wù)視角網(wǎng)絡(luò)空間地圖：1.業(yè)務(wù)全局視圖：用戶在多云、混合云場(chǎng)景下業(yè)務(wù)分布情況。3.業(yè)務(wù)聚焦視圖：業(yè)務(wù)內(nèi)部各層級(jí)不同類型工作負(fù)載間的流量互訪Page21可視化的專項(xiàng)分析?策略應(yīng)用看板、流量關(guān)系看板、流量阻斷看板、容器業(yè)務(wù)看板?爆破行為、端口掃描等橫向潛伏滲透的前期嗅探行為發(fā)現(xiàn)智能化的的策略構(gòu)建?無策略、未執(zhí)行策略、網(wǎng)絡(luò)風(fēng)暴配置問題，自動(dòng)化發(fā)現(xiàn)Page22APP容器sidecarAPP容器APP容器sidecar容器容器PaaS云APPAPP容器1APPAPP容器1Agent操作系統(tǒng)主機(jī)集群APPAPP容器sidecarAPP容器APP容器sidecar容器容器PaaS云APPAPP容器1APPAPP容器1Agent操作系統(tǒng)主機(jī)集群APP?支持本地鏡像以及鏡像倉庫的掃描，對(duì)鏡像內(nèi)容進(jìn)行細(xì)粒度的識(shí)?具備節(jié)點(diǎn)漏洞、組件漏洞、應(yīng)用軟件漏洞的檢測(cè)能力?參照CIS基線標(biāo)準(zhǔn)，內(nèi)置了約100余項(xiàng)基線檢測(cè)出廠規(guī)則，并支持?容器黑白名單、特權(quán)容器防護(hù)、特權(quán)端口映射防護(hù)、敏感文件映?容器內(nèi)非法進(jìn)程、反彈shell、容器逃逸、惡意行為的動(dòng)態(tài)行為監(jiān)控?基于容器行為識(shí)別模型的異常行為檢測(cè)和黑名單容器的容器運(yùn)行?支持基于K8sNetworkdeamonsetAPPAPPAPPAPP容器容器deamondeamonsetAPPAPPAPPAPP容器容器WorkWorknode1WorkWorknode2K8S容器集群可見性和自動(dòng)化云上的安全治理閉環(huán)Page24WinApp虛擬化WindowsWindowsWindowsWindowsDebainUbuntuSUSEWinApp虛擬化WindowsWindowsWindowsWindowsDebainUbuntuSUSE應(yīng)對(duì)云上的各種安全威脅，面向用戶業(yè)務(wù)架構(gòu)愈發(fā)復(fù)雜，海量、異構(gòu)資產(chǎn)并存的現(xiàn)狀可見性與自動(dòng)化，使云安全治理“化繁為簡(jiǎn)”組織結(jié)構(gòu)、管理模式等組織結(jié)構(gòu)、管理模式等因素導(dǎo)致的信息不對(duì)稱Page25云上業(yè)務(wù)Log4j漏洞自動(dòng)化響應(yīng)實(shí)踐0：Log4j簡(jiǎn)介ApacheLog4j某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。Log4j漏洞爆發(fā)初始階段的7條ATT&CK技戰(zhàn)術(shù)棧，之后被惡意組織Conti利用進(jìn)行勒索，涉及的綜合技戰(zhàn)術(shù)棧。Page26云上業(yè)務(wù)Log4j漏洞自動(dòng)化響應(yīng)實(shí)踐1：風(fēng)險(xiǎn)排查云場(chǎng)景中，當(dāng)海量工作負(fù)載遭遇嚴(yán)重漏洞，安運(yùn)維人員需要更加自動(dòng)化、智能化的漏洞修復(fù)緩解措施。智甲云主機(jī)安全系3、通過資產(chǎn)基線核查的功能，詳細(xì)理出存2、通過漏洞掃描，自動(dòng)統(tǒng)計(jì)出暴漏出云資產(chǎn)中的含L4、容器云環(huán)境下，對(duì)本地鏡像和鏡像倉庫進(jìn)行漏洞止含風(fēng)險(xiǎn)鏡像啟動(dòng)；對(duì)運(yùn)行中的容器進(jìn)行風(fēng)險(xiǎn)掃描，確認(rèn)線上容器Page27云上業(yè)務(wù)Log4j漏洞自動(dòng)化響應(yīng)實(shí)踐2：加固|緩解基于JVM的Attach機(jī)制注入的主機(jī)熱補(bǔ)原理基于遠(yuǎn)程注入基于遠(yuǎn)程注入Page28云上業(yè)務(wù)Log4j漏洞自動(dòng)化響應(yīng)實(shí)踐3云上業(yè)務(wù)Log4j漏洞自動(dòng)化響應(yīng)實(shí)踐3：長(zhǎng)效防御度網(wǎng)絡(luò)訪問策略，是避免遭受此類0day攻擊的一個(gè)如今微隔離技術(shù)已成為保護(hù)企業(yè)業(yè)務(wù)免受破壞的最佳實(shí)踐之一，其主要的價(jià)值在于迫使攻擊者（和惡在最好的情況下，微隔離可以消除威脅。在最壞的情況下，所有額外的活動(dòng)都會(huì)增加防御者發(fā)現(xiàn)的機(jī)以及智能化的映射工作負(fù)載、應(yīng)用攻擊者（通過RCE等方式）在訪問額外的網(wǎng)絡(luò)資Page29?進(jìn)程、軟件包、Web應(yīng)用等資產(chǎn)的細(xì)粒度識(shí)別是安全治理的基礎(chǔ)?洞察上述云原生和應(yīng)用風(fēng)險(xiǎn)，方可合理實(shí)施風(fēng)?進(jìn)程、軟件包、Web應(yīng)用等資產(chǎn)的細(xì)粒度識(shí)別是安全治理的基礎(chǔ)?洞察上述云原生和應(yīng)用風(fēng)險(xiǎn)，方可合理實(shí)施風(fēng)險(xiǎn)加固?支持多種基礎(chǔ)設(shè)施共存場(chǎng)景，尤其是容器內(nèi)資產(chǎn)識(shí)別，才能精準(zhǔn)建立防御邊界以某證券公司為例，做全部主機(jī)資產(chǎn)與容器資產(chǎn)對(duì)比（總占比）：2多層次和自動(dòng)化檢測(cè)響應(yīng)的運(yùn)營閉環(huán)Page31跨機(jī)自動(dòng)關(guān)聯(lián)跨機(jī)自動(dòng)關(guān)聯(lián)實(shí)現(xiàn)運(yùn)營閉環(huán)的基礎(chǔ)保障本機(jī)自動(dòng)關(guān)聯(lián)注：虛線，將在后續(xù)版本實(shí)現(xiàn)自動(dòng)化分析|||Page32在統(tǒng)一工作負(fù)載防護(hù)平