安全狗发布云工作负载安全

安全狗发布云工作负载安全(泛主机安全)2019年度安全报告

序言

目前，中国的大数据技术已经比较完善，进入了提速的环节。利用大数据技术进行信息化规划已经成为常态。目前国内大部分客户还处于“IT混合云”场景，即传统服务器自然环境、内部私有云存储自然环境、云计算平台自然环境、容器自然环境(根据业务流程)。这种IT混合云场景导致安全运营需求升级、使用权和决策权变更、管理模式变更、安全管理共享体系挑战等问题。

近年来，随着网络的攻防向攻击者倾斜，各种高危系统漏洞(0day、1day、Nday)迅速武器化，APT定项攻击猖獗，敲诈和挖币(突变、难检测)病毒横行，传统的病毒防护方法可以规避，基于标准安全防护设备(手机软件)测试的新攻击方式及其对东方总流量攻击威胁的增加。如何进行合理的安全工作已经成为这个制造业客户广泛关注的关键问题，而随着我国大规模国防实战演练的推进，这些安全要求显得尤为迫切。

针对此类安全场景的要求，今年的安全报告将“服务器安全”的级别替换为“云工作负载安全”，符合制造业大部分客户进入IT混合云和泛服务器形态的IT场景。人们对“云工作负载安全性”等技术的定义如下:

云工作负载:云计算技术场景下用于承载测量的工作连接点，包括传统服务器系统软件、vm虚拟机、私有云存储测量连接点、公有云服务器、Docker容器连接点及其微服务等。

云工作负载安全:针对云工作负载的安全解决方案，可以在系统漏洞风险、入侵威胁检测、病毒防护、快速响应、安全工作等方面为云工作负载提供全方位的维护。

在年度安全报告中，人们按照今年云工作负载安全生产技术的新特点、今年云工作负载安全威胁分析、云工作负载网络安全产品在大中型国防应急演练中的使用价值、未来云工作负载的技术发展趋势四个章节进行了详细的论述。

一、今年云工作负载安全(泛服务器安全)的新技术特性

CWPP(CloudworkloadSecurityPlatform)从17年Gartner明确提出以来，每年都有很大的变化。今年Gartner对工作负载进行了新的解读，按照抽象程度分为物理机、vm虚拟机、容器和无服务器。安全能力地图也从最初的11项能力削减到8项能力。而且整合了底层的“运维管理习惯”和“结构加固、设备和漏洞管理”，删除了“蜜獾”能力。除此之外，“用静态数据加密laas数据信息”的能力也被从能力金字塔中删除，因为数据信息的静态数据加密在大多数情况下往往是由云厂商呈现的。特别是，功能图提高了威胁检测和响应的要求，突出了服务器EDR功能的必要性。

根据Gartner最新在线CWPP(云工作负载安全平台)的技术标准，以及其整合众多大中型客户场景和实践活动的计划，本文总结了今年的以下新技术特性:

服务器的技术商品应用

病毒防护技术在工作负载中的应用

基于轻量级代理的微隔离技术的应用

主动发现系统漏洞和安全配置管理

服务器安全数据分析能力

二。云工作负载安全(泛服务器安全)2019安全威胁分析

1.云工作负载网络安全问题及补丁下载和补丁发展趋势

今年，各种云工作负载的许多网络安全问题，如计算机 *** 作系统、虚拟化技术服务平台、容器等。，已经公布，以及应注意的相关问题。

根据海清实验室今年公布的各类系统漏洞数据的排序数据，今年共公布了1086个服务器计算机 *** 作系统系统漏洞，其中主流产品虚拟化技术服务平台(VMWare、Xen、VirtualBox、Hyper-V、QEMU)系统漏洞166个，Docker系统漏洞13个。

2.入侵威胁发展趋势

暴力袭击的总数继续上升。

在黑客技术中，暴力破解密码是一种技术成本低、成功率高、性价比高的攻击技术。只有高质量的登录名和密码字典，才可以借助专门的破解工具随便实施攻击，而且一旦破解成功，就可以获得巨大的管理权限，受到各类互联网攻击者的喜爱。

挖财和勒索软件不理会。

已经绝迹的网络信息安全威胁，数据加密，挖币，勒索软件在2020年依然活跃。勒索软件攻击的整体目标从“满地撒网钓鱼”变成了“以捕鱼为重”。高使用价值的整体目标成为互联网犯罪分子眼中的抢手货，越来越多的固定攻击出现，尤其是针对政府机关和事业单位。挖矿病毒攻击更侧重于与拒绝服务攻击的结合，部分挖矿病毒是用控制模块分发的。关键目的在于感知大量客户的电脑，以实现利润最大化。

Webshell威胁称，情况依然不容乐观。

Webshell的检查和安全防护是一个老难题。今年，人们不仅在Web安全防护端发现了很多扫描Webshell和提交Webshell的个人行为，还在服务器内部扫描出了很多Webshell木马病毒。调查显示，全年安全狗扫描了2275350个Webshell文档，根据余云(网络安全狗)屏蔽的Webshell提交了24424837个个人行为，屏蔽了14545681个Webshell扫描器的个人行为。

工作负载之间的横向渗透攻击有多种方式。

一旦攻击者进入整体目标互联网，下一步就是在内网中横向移动，然后读取数据。近年来，随着容器的大量应用，攻击者在云服务器中横向移动，基本改善了容器横向移动的攻击形态。

工作负载滥用、权力 *** 纵、浏览威胁，各种类型

滥用权力 *** 纵浏览也是攻击者横向移动内网的重要一环。在新的network空下，有服务器权限，云服务器虚拟化技术打了就跑，容器权限到主机层。

三。云工作负载安全(服务器安全)在大中型国防应急演练中的使用价值

近年来流行的红蓝对抗应急演练，云工作量安全维护服务平台发挥了非常重要的作用。

红色方形角

从外到内:从外，对蓝队暴露的攻击面进行实战演练。

Inside-in:攻击者已经晋升到内部，在内网进行翻译转换和数据漫游。在网络的每一个区域(如业务流程区、办公区、生产区)寻找有价值的财产，并对其进行攻击。

从内到外:属于后渗透环节。这个环节指的是红方在获得蓝方内网服务器管理权限后，对设备管理权限的维护和渗透的“有效性”。这时候红队一般会用反d壳、隐蔽工程隧道建设等方法来连接自己的服务器地址。

方形角

防御应急演练中红方的视角，红方利用特定的系统漏洞和有风险的安全隐患，达到获取管理权限的目的。对于云工作负载在外到内、内到内、内到外三个阻力连接点的安全，关键是从四个方面来处理云工作负载的安全问题。包括:

检查:个人行为，如感染爬虫病毒、风险缺陷检测、过程账户文档等。

安全:系统软件层、传输层、网络层、数据信息层的安全维护。

业务:补丁下载漏洞管理、财务规划管理方法、总通信流量数据可视化、合规管理基线审核。

应对:各大网站分析追查，处理危险恶性事件。

四。云工作负载安全(服务器安全)的技术发展趋势

1.集装箱安全

毫无疑问，容器是云计算技术的主流产品技术之一。Docker是目前容器技术的主流产品选择(今年销售市场占比79%)。与DevOps的核心理念相同，得到了公司的青睐。众所周知，“Docker集装箱项目生命周期”存在诸多安全隐患。这里详细介绍了监理要点和相关的监理方法。

2.微服务安全

随着互联网技术的快速发展，传统的“单一架构”似乎已经无法应对持续改进和快速部署的要求，而作为系统软件处理理念的“分布式架构”应运而生，这是大势所趋。

下表说明了单一体系结构和部分分布式体系结构之间的区别。可以推断，后者在处理一些复杂问题时，扩大了攻击面，引入了一些安全隐患。

为了避免这种安全风险，必须从安全开发设计和安全运维两个方面入手。

分布式体系结构是随着软件体系结构的需求而产生的。这种Web应用具有不同于传统单一应用的安全风险，对招标人的安全开发设计和承包商的安全新产品开发落地的安全运维明确提出了新的规定和挑战。

3、ATT&；CK在服务器EDR中的应用

ATT&；CK实体模型由MITREEnterprise于2014年明确提出，第一个架构于2016年发布。其目的取决于掌握攻击类型和分区攻击，从而知道敌人如何 *** 作，如何应对主动攻击以及攻击后如何修复。

威胁狩猎

米特尔ATT&；CK是一个知识库系统，根据真实的自然环境检查攻击者的策略和技术，ATT&CK架构可用于提高EDR产品的威胁检测和处理能力。

商品能力评估

使用密特朗&CK框架评估网络安全审计商品的能力，量化网络安全产品抵御威胁的检查率成为一种新的时尚趋势。目前，一些海外制造商已经申请到ATT&CKTTP的部分建筑进行测试和发掘。

对于服务器安全厂商来说，由于ATT&CK运行在开源社区，其ATT&工具库会不断升级扩充，可用于ATT&:相对于专用工具，CK集中式工具进行测试，提高网络安全产品的测试能力。就招标方而言，根据其att&CKspyset扩充自己的信息数据库，提高对攻击组织的检测能力和对网络安全产品的检测评估。Att&CK将成为所有安全权威专家掌握和抵御攻击者攻击的必备专用工具。

整篇文章报安全狗微信公众平台，根据历史时间文章内容查看免费下载。