完整版的《2022年中國云主機安全市場報告》可進入青藤云安全官網(wǎng)或者進入“青藤智庫”小程序進行下載�����。
《2022年中國云主機安全市場報告》采用了Frost MESP Model模型,該模型圓環(huán)按“Weak”至“Leader”的邏輯對應(yīng)由低至高的評分����,競爭力由“市場能力”、“產(chǎn)品能力”�、“生態(tài)能力”、以及“服務(wù)能力”得出���。從下圖中紅線所處位置�,可以看到青藤萬相在四個能力領(lǐng)域均處于“Leader”位置,是云主機安全領(lǐng)域當之無愧的領(lǐng)跑者����!
不斷增強的業(yè)務(wù)場景適用性
隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進�����,業(yè)務(wù)變得更加開放和靈活���,安全挑戰(zhàn)也日益復雜��,利用安全邊界保障主機的方式存在瓶頸�����,企業(yè)安全對抗和管理核心逐漸從邊界轉(zhuǎn)移至主機系統(tǒng)內(nèi)���。為此,能夠及時檢測�、保護主機工作負載安全的“主機安全平臺”成為企業(yè)安全架構(gòu)的重要組成。
面對企業(yè)用戶的新安全場景需求�����,青藤不斷增強業(yè)務(wù)場景的適用性,提供更加豐富的工作負載安全閉環(huán)管理方案�,針對勒索、挖礦�����、內(nèi)存馬攻擊���、漏洞定位�、弱密碼管理�����、自定義基線等場景提供更具針對性的防護方案��。下面是我們總結(jié)的有關(guān)主機安全的10個典型場景��,以及青藤萬相的相應(yīng)解決方案�����。
場景1:勒索病毒日益猖獗��,如何保證主機免受勒索病毒的困擾��?
青藤解決方案:青藤防勒索方案通過深入的分析勒索病毒威脅的規(guī)律,旨在強調(diào)注重嚴密性����、可落地性,遵循“網(wǎng)絡(luò)控制�����、風險梳理����、入侵檢測�����、威脅溯源”這四條原則�����,先隔離被攻擊主機的網(wǎng)絡(luò)�,分析勒索病毒的橫向滲透路徑。確定勒索攻擊手法和利用的漏洞之后�,開啟主機上安裝的青藤萬相Agent,通過微蜜罐的端口訪問請求����,確定問題機器的范圍��,并對風險進行加固�。與此同時���,梳理出病毒的特點��,加入規(guī)則庫���,通過特征值匹配的方式檢測哪臺機器還存在這類風險�����。最后撰寫溯源報告,完整地呈現(xiàn)勒索攻擊的戰(zhàn)術(shù)���、技術(shù)和路徑����。
場景2:挖礦會大量損耗計算機資源���,如何快速檢測并清理挖礦進程���?
青藤解決方案:青藤萬相的入侵檢測功能,通過集成包括小紅傘����、ClamAV 等國內(nèi)外多個主流的病毒查殺引擎�,并利用青藤自研發(fā)的大數(shù)據(jù)分析、機器學習和模式行為識別等多種檢測模型���,為用戶提供全面和實時的挖礦病毒檢測和防護能力�����。
此外���,青藤還能夠提供自動化響應(yīng)級別的沙箱��,把任何樣本丟到沙箱內(nèi)部會自動輸出一個處置規(guī)則��,只需將這個處置規(guī)則導入系統(tǒng)就可以清理干凈挖礦病毒���。因此,被挖礦后想做應(yīng)急響應(yīng)�����,只需一個樣本就能夠自動生成處置規(guī)則���,全自動化清理處置掉���。
場景3:作為最熱門的攻擊手段之一�����,內(nèi)存馬攻擊如何有效防御�����?
青藤解決方案:作為網(wǎng)絡(luò)攻擊界的“當紅炸子雞”��,內(nèi)存馬攻擊在這幾年的攻防演練中已然成為攻擊者最常用的手段之一�。它一般通過向內(nèi)存中注入攻擊程序,隱藏在進程的內(nèi)存中執(zhí)行�,本地沒有文件產(chǎn)生,隱秘性強,難以發(fā)現(xiàn)�����。因此青藤萬相采用了主流的Java Agent插樁技術(shù)�����,利用Instrumentation API從內(nèi)存中dump出class��,然后將class反編譯為Java文件���,進而檢測Java源碼文件�,持續(xù)動態(tài)監(jiān)控注入內(nèi)存中的攻擊行為�����,一旦發(fā)現(xiàn)Webshell或惡意代碼,立即上報告警��。
場景4:對已發(fā)生的攻擊����,如何實現(xiàn)清理入侵殘留�,如Webshell����、木馬等?
青藤解決方案:通過青藤萬相檢查歷史入侵檢測告警����,結(jié)合其他功能及樣本分析研判還原攻擊流程及影響范圍�����,掃描以往文件��,清理入侵殘留���。然后檢查入侵檢測白名單,排查是否存在風險白名單。最后�����,重構(gòu)白名單,降低漏報風險,根據(jù)告警分析的結(jié)果清理攻擊者留下的Webshell��、木馬后門等入侵殘留��,防止被攻擊者二次利用及持久控制�。
場景5:如何解決主機資產(chǎn)不清和家底不明的難點���,避免設(shè)備混亂的情況��?
青藤解決方案:資產(chǎn)清點是青藤萬相的基礎(chǔ)功能之一���,可自動化清點進程���、端口、賬號�、中間件��、數(shù)據(jù)庫�、大數(shù)據(jù)組件��、Web 應(yīng)用���、Web 框架����、Web 站點等10余類安全資產(chǎn)���,覆蓋通用資產(chǎn)��。它對用戶來說�����,具備以下三大核心價值:
(1)全自動化的資產(chǎn)梳理��。可從正在運行的機器上反向生成CMDB�����,實時同步最新資產(chǎn)���,減輕安全人員復雜的管理操作����。
(2)讓保護對象清晰可見��。通過超細粒度識別����,大到操作系統(tǒng),中到應(yīng)用框架���,小到代碼組件都能精準發(fā)現(xiàn)�����。
(3)安全不再落后于運維����。部署青藤萬相之后���,安全部門手里的資產(chǎn)信息是整個公司最全和最準確的��。
場景6:對安全資產(chǎn)本身存在的脆弱性����,如何實現(xiàn)有效管理����?
青藤解決方案:青藤萬相的風險發(fā)現(xiàn)功能模塊在資產(chǎn)細粒度清點的基礎(chǔ)上,可通過強大的漏洞庫匹配以及持續(xù)、全面�����、透徹的風險監(jiān)測和分析能力發(fā)現(xiàn)潛在風險及安全薄弱點�����,包括安全補丁檢查、漏洞檢測���、弱密碼發(fā)現(xiàn)���、應(yīng)用風險發(fā)現(xiàn)、系統(tǒng)風險發(fā)現(xiàn)��、賬號風險發(fā)現(xiàn)等9個維度����,并給出專業(yè)具體的修復建議����。
場景7:新高危漏洞出現(xiàn)時,如何快速進行應(yīng)急檢測和處理����?
青藤解決方案:針對利用0Day漏洞進行的攻擊,通過萬相的風險發(fā)現(xiàn)功能可以快速進行響應(yīng)����,絕大部分漏洞都可通過資產(chǎn)識別直接定位��,對于無法識別的漏洞可以通過編寫檢測腳本將其配置到檢測系統(tǒng)中即可��。
當一個漏洞被精準定位后�,萬相風險發(fā)現(xiàn)能夠關(guān)聯(lián)分析這個漏洞相關(guān)的補丁,不僅提供詳細補丁情況�,還能夠檢測補丁修復后是否會影響其它業(yè)務(wù)。青藤通過識別應(yīng)用�����,加載SO和進程本身確認是否被其它業(yè)務(wù)組件調(diào)用,來判斷補丁修復是否會影響其它業(yè)務(wù)���。因此��,在高危漏洞爆發(fā)后�����,萬相能快速幫助客戶進行補丁識別和關(guān)聯(lián)�����,并確認打補丁后是否存在風險�。
場景8:如何快速�����、深度地清理弱密碼����,并從已經(jīng)泄露的密碼中反向定位影響范圍?
青藤解決方案:青藤萬相基于Agent的方式進行本地的弱密碼檢測�����,無需進行遠程登錄嘗試,通過對各種應(yīng)用進行剖析����,直接從文件中去解析哈希,再對哈希做檢測���,不僅速度快也無死角���。而當某臺機器真正被攻擊,但是安全人員無法確認密碼是否已泄露的時候����。通過青藤萬相,只需將這個密碼配到系統(tǒng)里����,通過檢測哪些機器有同樣密碼就可以判斷哪些機器是有風險的���。青藤提供了一系列定位的工具��,安全和運維人員可以清晰知道哪些機器密碼是需要修改的�����。
場景9:如何應(yīng)對等保合規(guī)檢查�����,落實企業(yè)基線要求�����?
青藤解決方案:通過青藤萬相合規(guī)基線功能�����,能夠在半小時之內(nèi)把數(shù)萬臺機器的基線分析清楚��,對于不符合要求的檢測項����,提供代碼級的修復建議����。
(1)結(jié)合資產(chǎn)清點��,自動識別服務(wù)器需檢查的基線
在資產(chǎn)細粒度清點的基礎(chǔ)上�,根據(jù)所選服務(wù)器的操作系統(tǒng)�����、軟件應(yīng)用等信息���,自動篩選出該服務(wù)器上需要檢查的系統(tǒng)�、應(yīng)用基線���。同時支持一鍵批量創(chuàng)建基線任務(wù),操作簡單易用��。
(2)一鍵任務(wù)化檢測�����,基線檢查結(jié)果可視化呈現(xiàn)
合規(guī)基線功能設(shè)計了靈活可配置的任務(wù)式的掃描機制�,用戶可快捷創(chuàng)建基線掃描任務(wù)���。根據(jù)檢測需要����,自行選擇需要掃描的主機和基線��。檢查結(jié)果以“檢查項視圖”和“主機視圖”兩種方式可視化呈現(xiàn)�����,針對每一條不合規(guī)的Checklist提供精確到命令行的修復建議�����。
(3)不斷豐富完善的Checklist知識庫
支持1500+的Checklist知識庫���,安全研究人員持續(xù)關(guān)注國內(nèi)外基線標準�,不斷豐富基線配置檢查系統(tǒng)Checklist知識庫�。同時可根據(jù)不同行業(yè)相關(guān)基線規(guī)范,對知識庫實現(xiàn)定制管理�����,匹配各行業(yè)安全配置需求�。
(4)支持定時檢查,支持自定義基線�����,滿足個性化定制
自動適配操作系統(tǒng)環(huán)境、只會顯示當前環(huán)境存在的基線���,基線支持等保二級和三級、CIS level 1和level 2 基線��,支持操作系統(tǒng)��、數(shù)據(jù)庫�、中間件分布式掃描,5秒鐘左右就能完成檢測�。
場景10:針對東西向流量,如何識別內(nèi)網(wǎng)橫向滲透和內(nèi)部蠕蟲傳播���?
青藤解決方案:萬相可以根據(jù)用戶的實際需求�����,在原有功能的基礎(chǔ)上進行擴展����,比如青藤蜜罐,它是復用了Agent的能力來形成的微蜜罐�����。在每個Agent上設(shè)置一些端口��,這些端口正常情況下不會被自己員工訪問���。在主機內(nèi)只需覆蓋15%的微蜜罐范圍,幾乎就能100%發(fā)現(xiàn)內(nèi)網(wǎng)橫向滲透所有攻擊����。因為黑客每做一次內(nèi)網(wǎng)探測就有15%的概率被發(fā)現(xiàn),徹底解決了傳統(tǒng)蜜罐覆蓋問題����。發(fā)現(xiàn)橫向移動行為之后,萬相還可以通過微隔離功能模塊先隔離失陷主機��,將風險范圍最小化�,然后利用微蜜罐定位內(nèi)網(wǎng)的蠕蟲并將其清除干凈。
依托深厚技術(shù)積淀���,全力推動行業(yè)穩(wěn)健發(fā)展
作為中國主機安全領(lǐng)域的先行者����,青藤多年來始終堅持“技術(shù)創(chuàng)新,科技報國”的初心���,注重前沿技術(shù)的探索與積淀���,通過豐富的一線經(jīng)驗積累,逐步構(gòu)建了“產(chǎn)品+服務(wù)”的實戰(zhàn)化安全體系��,承擔多項重大安全任務(wù)���,為安全行業(yè)的健康穩(wěn)健發(fā)展貢獻自己的力量�。
依托豐富實踐��,積累前沿技術(shù)成果超百余項
在技術(shù)創(chuàng)新方面�,青藤輸出百余項技術(shù)創(chuàng)新孵化成果,打造“三位一體”科技創(chuàng)新孵化機制���。一方面���,聯(lián)合境外外頂級產(chǎn)業(yè)研究組織,開展廣泛科研合作���;另一方面�,成立三大安全實驗室,圍繞安全攻防實戰(zhàn)�����,加快創(chuàng)新技術(shù)成果應(yīng)用�。青藤全面參與行業(yè)頂層設(shè)計���,參與6項國標����、20余項行業(yè)標準編寫工作���,獲得50余項發(fā)明專利���、80余項軟件著作。同時����,青藤在10余家中文核心期刊,發(fā)表了30余項安全研究論文�����,并編寫出版多本網(wǎng)安專著,包括全球首部ATT&CK專著《ATT&CK框架實踐指南》���,以及云原生安全專著《云原生安全技術(shù)實
踐指南》�����。
構(gòu)筑“產(chǎn)品+服務(wù)”的實戰(zhàn)化安全體系
2022年�,青藤聚合產(chǎn)品能力��,豐富安全服務(wù)體系�,面向云安全、數(shù)據(jù)安全�、流量安全、供應(yīng)鏈安全等不同場景網(wǎng)絡(luò)安全關(guān)鍵問題����,輸出針對性解決方案,包括全棧云安全解決方案�����、流量側(cè)精準防護解決方案���、應(yīng)用級數(shù)據(jù)安全解決方案等����。通過安全產(chǎn)品與安全服務(wù)配合,形成“產(chǎn)品+服務(wù)”安全體系����。此外,青藤參與100+國家級���、省部級、行業(yè)級重?��;顒?���,憑借實戰(zhàn)化安全服務(wù)能力��,最大化保障客戶安全零事故�。
承擔多項部委重大安全任務(wù),推動產(chǎn)業(yè)整體發(fā)展
青藤與國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心�����、信通院、公安三所�����、中國電子技術(shù)標準化研究院等機構(gòu)展開廣泛合作�����,承擔部委�、行業(yè)重大安全任務(wù)。同時����,青藤與三大運營商、騰訊���、中國平安��、政務(wù)云等產(chǎn)業(yè)主體開展生態(tài)合作���,推動產(chǎn)業(yè)創(chuàng)新實踐發(fā)展。在信創(chuàng)安全領(lǐng)域��,青藤協(xié)同主流國產(chǎn)操作系統(tǒng)廠商開展產(chǎn)品兼容性測試��,落地信創(chuàng)安全防護建設(shè)。
持續(xù)保有并取得權(quán)威認可及資質(zhì)認證
2022年青藤總計獲得2項國家級榮譽�、30余項省部級榮譽。在應(yīng)用側(cè)����,青藤安全能力受到用戶廣泛認可,獲得百余封客戶感謝信�。在產(chǎn)品能力方面,青藤獲得多項國際及國家級安全能力資質(zhì)認證�����,如獲取CMMI 3級國際認證�����、通過網(wǎng)絡(luò)安全卓越驗證示范中心&泰爾實驗室雙認證��,通過云原生安全成熟度評估等����。
未來����,青藤將在黨的二十大精神指引下�����,繼續(xù)加大安全技術(shù)創(chuàng)新投入����,為數(shù)字中國���、網(wǎng)絡(luò)強國事業(yè)發(fā)展做出更多的貢獻����。
如果您想獲取完整版的《2022年中國云主機安全市場報告》或更多其他主機安全報告��,可進入青藤云安全官網(wǎng)或進入“青藤智庫”小程序進行下載��。
