「用雲的方式保護雲」： 如何利用雲原生SOC進行雲端檢測與響應

傳統企業安全中，部署了EDR（Endpoint Detection and Response）及NDR（Network Detection and Response）產品的企業，可及時定位失陷資產，響應終端威脅，減小攻擊產生的危害。EDR和NDR在傳統企業安全中爲企業起到了保駕護航的重要做用。

但隨着雲計算的到來，愈來愈多的企業將本身的業務上雲，雲原生安全愈來愈受到企業的關注與重視，隨之雲端檢測與響應（Cloud Detection and Response，CDR）的理念也應運而生。

下面咱們將圍繞騰訊雲安全運營中心（_點擊文末「閱讀原文」瞭解產品詳情_）這款產品的部分功能，來給你們介紹一下，如何依託雲的優點，進行及時的風險檢測與響應處置，最終保護客戶的雲上安全。

事前安全預防

• 雲安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》（如何讓雲比你本身的數據中心更安全）報告中指出，大多數成功的雲攻擊都是由錯誤引發的。例如配置錯誤、缺乏修補程序或基礎架構的憑據管理不當等。而經過明顯利用IaaS計算和網絡結構的內置安全能力和高度自動化，企業其實是能夠減小配置、管理不當等錯誤的機會。這樣作既能減小攻擊面，也有利於改善企業雲安全態勢。

雲安全運營中心在事前預防階段的主要任務就是對雲上資產進行按期自動化風險評估，查缺補漏，及時發現風險點並進行修復和處置。安全運營中心能夠幫租戶梳理資產的漏洞詳情，探測對外開放的高危端口，識別資產類型，檢查雲安全配置項目等，自動化的幫助租戶全面評估雲上資產的風險。下面簡單介紹一下雲安全配置管理（CSPM），讓你們更直觀的感覺到如何進行事前的安全預防。

上圖就是安全運營中心的雲安全配置管理頁面。藉助騰訊雲各個產品提供的接口，安全運營中心對8類資產，近20個檢查項進行了檢查和可視化展現。能夠看到頁面上列出了檢查項的總數、未經過檢查項總數、檢查總資產數、配置風險資產數。

另外下方列出了詳細的檢測項，包括了：雲平臺-雲審計配置檢查、SSL證書-有效期檢查、CLB-高危端口暴露、雲鏡-主機安全防禦狀態、COS-文件權限設置、CVM-密鑰對登陸等。

以CVM-密鑰對登陸檢查項爲例，這個檢查項主要是檢測CVM是否利用SSH密鑰進行登陸。由於傳統的「帳號+密碼」的登陸方式，存在被暴力破解的可能性。若是暴力破解成功，那資產有可能會淪陷爲黑客的肉雞，成爲進一步內網橫向滲透的跳板。因此針對此風險進行事前防護的檢查，可以規避很大一部分的安全事件。

• 合規管理

等保2.0提出了「一箇中心，三重防禦」，其中「一箇中心」指的即是安全管理中心，即針對安全管理中心和計算環境安全、區域邊界安全、通訊網絡安全的安全合規進行方案設計，創建以計算環境安全爲基礎，以區域邊界安全、通訊網絡安全爲保障，以安全管理中心爲核心的信息安全總體保障體系。

安全運營中心在提供知足等保2.0合規要求的日誌審計、內到外威脅感知及其餘安全管理中心要求功能的基礎上，爲客戶提供針對部分等保2.0要求的自動化評估功能，實現持續動態的自動化合規評估和管理。可根據等級保護等合規標準要求，對雲上的合規風險進行評估，並提供相應的風險處置建議。

事中監測與檢測

• 網絡安全-互聯網流量威脅感知

當雲上安全事件發生時，可以及時地發現並進行告警，幫助客戶對症下藥，對於客戶進行資產排查和處置也尤其重要。下圖展現的是安全運營中心網絡安全頁面。

網絡安全主要是針對租戶資產的網絡南北向流量進行的安全檢測。藉助騰訊雲平臺安全能力，實時監測租戶資產互聯網流量中的異常，並向租戶進行告警與提醒。目前網絡安全的檢測能力覆蓋了45類的網絡攻擊類型。下面列舉出10類高風險的威脅類型：

1.SQL注入攻擊；2.敏感文件探測；3.命令注入攻擊；4.認證暴力猜解；5.惡意文件上傳；6.XSS攻擊；7.webshell探測；8.各種漏洞利用（包括心臟滴血，struts，weblogic漏洞等比較重要的組件）;9.反彈shell行爲等; 10.主機挖礦。

告警包括源IP、目的IP、受害者資產、次數、類型、威脅等級以及時間等，經過點擊詳情能夠看到更豐富的詳細信息。

除五元組的信息外，也展現了攻擊載荷的詳細數據，能夠清晰的看到payload內容，攻擊載荷有時也能瞭解到黑客的攻擊意圖，能夠幫助安全團隊更有針對性地進行排查。以上圖的攻擊爲例，能夠看到攻擊載荷是存在於http頭中：

/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

經過載荷數據看到，黑客是利用ThinkPHP 5.x遠程命令執行漏洞來攻擊客戶資產的。該漏洞的產生是因爲程序未對控制器進行過濾，致使攻擊者能夠經過引入‘\’符號來調用任意類方法執行命令。而黑客想要執行的命令是：

echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

若是漏洞利用成功，此條命令會釋放一個webshell一句話木馬到服務器，並命名爲hydra.php，黑客能夠藉助webshell小馬，上傳大馬，從而進行更多的內網滲透工做，對內網形成更嚴重的危害。

安全運維人員能夠根據詳情頁中的處置建議進行一些排查和處置。例如經過ACL策略封禁源IP，阻斷其進一步的攻擊。同時能夠在安全事件頁中查看該資產是否存在該漏洞，以及webshell木馬是否已經落地。及時有效的安全排查，能夠很大程度上下降安全事件的危害。

網絡安全事件同時提供了攻擊者畫像與受害者畫像。基於歷史的數據，對攻擊者近期發起的網絡威脅進行彙總，關聯是否還有其餘的攻擊手段，幫助客戶更全方位的瞭解攻擊者。下圖展現的就是攻擊者畫像。

下圖則是受害者畫像，流量威脅TOP5，展現的是受害資產近期遭受的攻擊類型次數排名，能夠幫助客戶更有針對性的對資產進行合理的處置。流量威脅趨勢，能夠更直觀的瞭解到資產近期的安全現狀。

• 泄漏檢測

數據泄露指受保護或機密數據可能被未經受權的人查看、偷竊或使用。因爲企業業務性質、開發制度等緣由，互聯網公司通常會涉及較多的版本變動，且大部分互聯網企業內部崇尚開源文化，開放的同時，也爲數據泄露事件埋下隱患。近幾年從泄漏渠道上來看主要有如下幾個分類：GitHub代碼類，網站入侵類，網絡黑市交易類，合做商接口調用類等。

安全運營中心在GitHub和網絡黑市這兩個渠道進行了數據泄露的監控。

經過安全運營中心的統一監控和處理，能夠解放企業運維安全人員更多的時間，將更多精力集中在規則運營上。同時也能與雲平臺可以更好的整合開發、運維，將事件處理集中在一處，提升處理效率。在誤報規則的運營處理方面，SaaS 化的平臺比開源系統運營更持久，基於雲上用戶的體驗集中優化，目前由雲鼎實驗室團隊進行後臺策略維護支持，誤報問題相對較少，告警的質量相對較高。

上圖就是泄漏檢測的頁面。安全運維人員進行配置後，便可監控本身所關注的敏感信息是否在上面兩個源中有泄漏。當騰訊雲的SecretId因爲各類緣由，出如今GitHub上時，安全運維人員能夠及時的發現，儘快進行處置，避免發生更大的安全事故。

過後響應處置

安全事件發生後，雲安全運營中心藉助調查中心和響應中心分別提供了溯源調查以及自動化響應的能力。下面分別介紹一下這兩個部分。

• 調查中心

調查中心目前接入了七類日誌，有資產日誌、指紋信息、漏洞詳情、安全事件、用戶行爲分析、雲審計以及負載均衡。日誌調查中心提供的查詢語法相似於kibana的查詢語法，能夠根據本身的需求組合出多種搜索語句。在後面的篇幅中，結合安全溯源，也會有所介紹。

➤ 資產類型

展現的是客戶部署在騰訊雲上的各種資產的詳細信息。圖中能看到有CVM、COS存儲、負載均衡、數據庫等資產類型。

在日誌調查搜索框中，能夠經過多個條件組的組合，完成一些資產數據的統計。例如統計CVM上遭受攻擊次數大於100小於1000的機器。

➤ 資產指紋

包含了進程、端口、組件、帳戶等信息。

下表列出比較關鍵的字段信息，更多的字段能夠在日誌調查中查看。

➤ 漏洞信息

列舉機器上的漏洞名稱、漏洞描述、漏洞等級、漏洞類型、CVE號、修復方案、參考連接、處理狀態、影響的機器數等。這些信息也能夠在資產中心->漏洞管理中進行查看。

➤ 事件信息

事件包含了WAF、DDoS，雲鏡等產品發現的安全事件，比較重要的有密碼破解，異地登陸，WEB攻擊，以及木馬。這些信息也能夠在安全事件頁中進行查看。

➤ 用戶行爲分析

UBA日誌存放的是用戶行爲分析日誌，該模塊主要基於騰訊雲用戶在控制檯的相關操做記錄以及使用雲API進行自動化操做的相關記錄進行帳號安全性分析，並及時提示運維人員進行相關風險處理。目前UBA模塊已有的風險場景有如下四種：用戶權限提高、資產高風險權限修改、用戶權限遍歷、新用戶高危操做。

➤ CLB日誌

CLB存放的是騰訊雲負載均衡產品的訪問日誌數據，負載均衡（Cloud Load Balancer）是對多臺雲服務器進行流量分發的服務。負載均衡能夠經過流量分發擴展應用系統對外的服務能力，經過消除單點故障提高應用系統的可用性。

• 響應中心

響應中心是在安全事件發生後，經過內置的安全編排響應劇本，聯動雲上各種安全措施和產品對安全事件進行自動化響應處置並提供響應報告詳情，能夠及時阻斷風險，配置加固資產，將安全事件的風險最大程度的降到最低。目前內置的劇本有SSH口令爆破類事件、RDP口令爆破類事件、Linux主機挖礦木馬類事件及Windows主機挖礦木馬類事件等雲上常見的安全事件。

以SSH口令爆破事件爲例，來看一下當安全事件發生後，響應中心如何快速的進行處置，將風險儘快排除。

上圖能夠看到，當SSH口令爆破事件發生後，劇本提供了四個步驟來處置，依次是：排查攻擊源、排查被攻擊資產、基線檢測、木馬檢測。

1. 排查攻擊源

若是攻擊發生在外網，那麼就聯動安全組封禁外網的攻擊IP。若是是發生在內網，就及時隔離內網攻擊資產的網絡，同時檢測攻擊源資產是否安裝了雲鏡專業版，由於內網主機發起橫向爆破攻擊，極有多是在以前已經失陷。

2. 排查被攻擊資產

若是被攻擊資產爆破成功，那麼首先要及時修改帳戶密碼，同時要儘快隔離被攻擊資產的網絡，防止黑客藉助此機器做爲跳板發起進一步的內網滲透攻擊。同時檢測這個資產是否安裝了雲鏡專業版進行主機側的防護。

3. 基線檢測

調用雲鏡接口對資產進行基線檢測，及時發現風險並修復。

4. 木馬檢測

對資產進行木馬查殺，防止黑客落地惡意文件。

經過劇本的以上四個步驟，能夠及時高效地處置SSH口令爆破事件，下降安全事件所帶來的風險。

「雲上打馬」：

如何利用雲原生SOC實踐CDR

最後藉助一個挖礦木馬的場景，看一下企業的安全運維人員，如何藉助上文提到的安全運營中心的功能，來處理安全事件。

➤ 雲安全配置管理

安全運維人員，能夠在雲安全配置管理頁面檢查CVM是否啓用了密鑰對，主機安全防禦狀態是否正常。經過CVM配置風險的自動化檢查，下降雲上資產的安全風險。

➤ 攻擊面測繪

經過攻擊面測繪識別主機的攻擊面，及時收斂沒必要要的暴露面。

➤ 網絡安全

網絡安全中，經過告警的詳情頁，獲取挖礦告警更詳細的信息。下圖展現的是挖礦告警的詳情。

詳情頁能夠獲取到源端口，受影響資產等信息，這些信息能夠用到日誌調查中進行溯源查詢。同時經過傳輸數據的內容能夠看出木馬正在進行門羅幣的挖礦。

➤ 響應中心

當發現挖礦木馬告警後，能夠藉助響應中心，完成響應處置。

首先進行礦池鏈接的阻斷，阻止失陷資產與礦池的數據流量傳輸。隨後進行木馬檢測，藉助雲鏡的主機安全能力，定位挖礦木馬並進行木馬隔離。在文件層面進行處置後，對正在運行的挖礦進程也要進行定位。劇本提供了四項處置方式，能夠根據響應時詳細的提示進行排查，肯定挖礦進程並清除。最後進行基線的檢測，對弱密碼和漏洞進行檢測，提升資產的安全基線，加固資產的安全，及時的將風險降到最低。

➤ 調查中心

藉助網絡安全提供的端口、資產等信息，能夠在調查中心中對挖礦木馬的落地進行溯源分析。

1）調查中心的安全事件日誌（event）中，查看挖礦主機是否有木馬告警（SsaCvmInstanceId：受影響資產）

2）若是有木馬告警，根據安全事件日誌中記錄的木馬路徑在資產指紋日誌（assets_finger）中，尋找相關的木馬進程（fullpath: 木馬路徑），進程的pid，以及用戶信息

3）根據機器信息，在安全事件日誌（event）中搜索是否有異地登陸和密碼暴力破解成功相關的告警。進行溯源查找

4）同時也能夠查看網絡安全中，是否存在相關機器的惡意文件上傳以及漏洞攻擊的告警，進一步排查木馬落地的緣由。

面對雲上安全的新挑戰，騰訊安全極爲重視企業安全的「雲原生」思惟價值，並結合自身安全運營經驗及普遍的雲上客戶調研，總結出雲原生的CDR體系（Cloud Detection and Response）,包含事前安全預防體系、事中統一監測及威脅檢測體系和過後響應處置體系，並創建全程的安全可視體系，以提高公有云上安全運營的靈敏度及效率。目前這套理念已依託騰訊雲安全運營中心持續實踐，幫助多個企業客戶解決雲上安全問題。

做爲騰訊雲的能力支持，騰訊安全已經實現了爲騰訊雲客戶提供雲原生的安全能力，提高企業信息安全「免疫力」，配合騰訊雲及其認證的生態合做夥伴，打造內在的安全韌性，構建彈性擴展、操做性強的安全架構，知足動態的安全需求。