前言

国内云计算技术目前已经较为成熟,进入了高速增长的阶段,利用云计算技术进行信息化建设已成为常态。目前国内多数用户还处于“混合云”场景下,即传统主机环境+内部私有云环境+公有云环境+容器环境(根据业务情况)。这种混合云场景衍生出了安全运营需求升级、所有权和控制权转变等问题,形成了管理机制的变化并引出安全责任共担机制等挑战。

近年来,随着网络攻防向攻击方倾斜,各类高危漏洞(0day、1day、Nday)快速武器化,APT定向攻击泛滥,勒索和挖矿(变种、难于检测发现)病毒肆虐猖獗,还能躲避基于规则式安全设备(软件)检测的新攻击技术手段,以及针对东西向的流量攻击等新增威胁,依靠防病毒手段实现的传统环境下主机安全解决方案已然无法有效应对云环境下面临的新安全挑战和安全威胁。如何进行有效的安全管理成为这些行业用户普遍关注的重要问题,并且在国内大规模攻防实战演练的推动下,这部分的安全需求显得尤为迫切。

面对这样的安全场景需求,我们年度安全报告用“云工作负载安全”来替代“主机安全”的范畴,以符合目前大部分行业用户进入混合云泛主机形态的IT场景。我们对“云工作负载安全”这类技术定义如下:

云工作负载:云计算场景下用来承载计算的工作节点,包括了传统服务器主机系统、虚拟机、私有云计算节点、公有云主机、Docker容器节点以及微服务等。

云工作负载安全:针对云工作负载的安全解决方案,能够在漏洞风险、入侵威胁监测、主动防御、快速响应以及安全管理等方面为云工作负载提供全面的保护。

在本年度安全报告中,我们通过“云工作负载2019年安全技术新特点”、“云工作负载2019年安全威胁分析”、“云工作负载安全产品在大型攻防演练中的价值”、“云工作负载未来技术发展趋势”4个章节来进行详细阐述。

一、云工作负载安全(泛主机安全)2019年技术新特点

CWPP(云工作负载安全平台)自Gartner2017年提出以后,每年都有不小的变化,在2019年,Gartner对工作负载(workload)进行了新的诠释,根据抽象度的不同分为物理机、虚拟机、容器和Serverless,安全能力图也从原来的11个能力删减到8个能力,并且将最底层的“运维习惯”与“加固、配置与漏洞管理”进行了整合,同时删掉了“蜜罐”能力,此外,由于数据的静态加密大部分情况下都有云厂商提供,因此“静态加密laas数据”这个能力也从能力金字塔中删掉了。值得注意的是,能力图加强了对威胁检测和响应的要求,也就是更加凸显了Server EDR能力的重要性。

通过参考Gartner最新更新的CWPP(云工作负载安全平台)中的技术要求,以及结合众多大型客户场景化和应用实践方案,总结了2019年以下技术新特点:

·SERVER EDR的技术产品应用

·主动防御技术在工作负载中的应用

·基于轻量Agent的微隔离技术应用

·漏洞主动发现及安全配置管理

·主机安全大数据分析能力

二、云工作负载安全(泛主机安全)2019安全威胁分析

1、云工作负载安全漏洞和补丁修复趋势

2019年,大量操作系统、虚拟化平台、容器等各种云工作负载的安全漏洞被披露,相关问题应该引起重视。

根据安全狗海青实验室对2019年公开的各类漏洞数据的整理结果显示,2019年全年共发布主机操作系统漏洞数量1086个,主流虚拟化平台(VMWare、Xen、VirtualBox、Hyper-V、QEMU)漏洞166个,容器( Docker)漏洞13个。

2、入侵威胁趋势

·暴破攻击事件数量居高不下

在黑客入侵手法中,暴力破解是技术成本低,成功率高,性价比较高的一种攻击手法。只需要有高质量的用户名和密码字典库即可借助暴破工具轻易实施攻击,且一旦暴破成功后就能获得极大的权限,倍受各类网络攻击者的喜爱。

·挖矿与勒索病毒热度不减

臭名昭著的网络安全威胁加密挖矿与勒索软件在今年依然保持活跃。勒索软件的攻击目标从“遍地撒网”演变成了“重点捞鱼”,高价值目标成了网络罪犯眼中的香饽饽,越来越多的定向攻击出现,特别是针对企事业单位。挖矿病毒攻击则更偏向于与僵尸网络结合,部分挖矿病毒携带传播模块,核心目的在于感染更多的用户电脑,尽可能将利益最大化。

·Webshell威胁形势依旧严峻

网站Webshell的检测和防护是一个老生常谈的问题了。2019年全年,我们不仅在Web防护端发现大量扫描Webshell和上传Webshell的行为,在主机内部也扫描出不少Webshell木马。据统计,安全狗全年共扫描出Webshell文件2,275,350个,通过云御(网站安全狗)拦截到的Webshell上传行为共24,424,837次,拦截针对Webshell的扫描行为14,545,681次。

·工作负载间的横向渗透攻击手段层出不穷

攻击者一旦进入到目标网络后,下一步就是在内网中进行横向移动,然后再获取数据。近年随着容器的大量使用,攻击者在云主机横向移动的基础上,增加了容器间横向移动的攻击形态。

·工作负载越权控制访问威胁种类繁多

越权控制访问也是攻击者进行内网横向移动中关键的一环,在新的网络环境下,存在主机层面提权、云主机虚拟化逃逸、容器到宿主机层的提权。

三、云工作负载安全(主机安全)在大型攻防演练中的价值

在近年兴起的红蓝对抗演练中,云工作负载安全保护平台起着相当大的作用。

红方视角

从外到内:从外部对蓝队暴露的攻击面发起实战化攻击。

从内到内:攻击者已突破到内部,进行内网平移和漫游。在内网中各个区域(如:业务区、办公区、生产区)寻找有价值的资产,对其进行攻击。

从内到外:属于后渗透阶段。该阶段指的是红方在拿下蓝方的内网主机权限后,对该机器权限的维持和渗透的"成果化"。此时红队一般会使用反弹shell、隐蔽隧道等方式回连自己的服务器地址。

蓝方视角

在上述攻防演练红方视角中,红方利用实际漏洞、风险隐患达到权限获取目的。针对于外到内、内到内、内到外三个对抗节点云工作负载安全起着重大的作用,主要从四个维度解决云工作负载安全防护问题。包含:

检测:僵木蠕病毒、风险缺陷检测、进程账号文件等行为

防护:系统层、网络层、应用层、数据层的安全保护

运营:补丁漏洞管理、资产配置管理、通讯流量可视化、合规基线核查

响应:全网分析溯源、危急事件处置

四、云工作负载安全(主机安全)技术发展趋势

1、容器安全

毫无疑问,容器是当前云计算的主流技术之一。Docker是当下容器技术的主流选择(2019年的市场占比达79%)。它与DevOps理念不谋而合,受到了企业推崇。然而,在“Docker容器的全生命周期”中存在诸多安全问题,下面对其中的重要管控点及相应的管控方法进行介绍。

2、微服务安全

随着互联网飞速发展,传统的“单体架构”在面对持续改进、快速部署等需求时显得力不从心,而“微服务架构”作为一种系统解决思路应运而生,方兴未艾。

单体架构与微服务架构的部分区别如下表所示。可推知,后者在解决一些复杂问题时放大了攻击面,引入了一些安全隐患。

为规避这些安全隐患,须从“安全开发”和“安全运维”两方面着手。

微服务架构伴随着软件架构的需求应运而生。这类Web应用所面对的安全问题也与传统单体应用有着异同点,对甲方的安全开发和安全运维以及乙方的安全产品研发和落地提出了新的要求和挑战。

3、ATT&CK在Server EDR中的应用

ATT&CK模型由MITRE公司在2013年提出, 并于2015年发布了第一款框架。其目的在于了解攻击和划分攻击类别,以确定对手如何运作,以及如何对主动攻击做出响应和攻击后的恢复。

·威胁狩猎

MITER ATT&CK是基于真实环境观察攻方战术和技术的知识库,ATT&CK框架可以应用于提高EDR产品的威胁捕获检测能力和处置能力。

·产品能力评估

使用MITER ATT&CK框架评估终端安全产品的能力,量化安全产品对于威胁的检测率以成为新一代的潮流。目前国外的部份厂商已经支持对ATT&CK框架中的部份TTP进行检测和发现。

对主机安全厂商而言,由于ATT&CK是以开源社区的方式运作,其攻击工具库会持续更新扩充,可以针对ATT&CK工具集中的相应工具进行测试并提升安全产品的检测能力。对于甲方而言,可以根据其ATT&CK情报集扩充自身的情报库数据以提升对攻击组织的发现能力与对安全产品的检测评估。2020年ATT&CK将成为所有安全专家用来了解和抵御攻击者发起攻击的必要工具。

报告全文可关注安全狗微信公众号,通过历史文章查阅下载。