一个关于X证券20000台服务器的血泪故事
日期:2022年11月22日 阅:81
编者按:本文的原型是真实案例,文中的人名和企业名称均做了加密处理,对本案例感兴趣的读者,可以扫描文末二维码索要详细相关资料。
“如果时光能倒流,我一定早点出手,绝不会让团队的这几个人天天跟着我连轴转,不是打补丁、就处理各种告警,结果还啥都没搞好。”X证券的安全负责人李同调侃着说到。
X证券公司,作为国内金融行业的头部企业之一,业务遍布全国各地,服务器数量高达20000+台。因为行业特殊,所以他们对服务器安全的要求极高,绝不能出现任何一点纰漏。因此,李同不得不带着人数并不多的安全团队夜以继日地严防死守,生怕被老板拉去祭天。但即使是24小时盯着,还是有被黑的情况,好在没发生什么重大安全事故,不过这足够使整个团队的人筋疲力尽了。
为了更好地保证服务器安全,同时减轻安全团队的工作量,李同向企业申请一笔资金用于主机安全的建设。申请通过后,他将服务器最常见的安全场景列了一份清单,包括勒索、挖矿、内存马、0day等10项,然后根据这些场景匹配合适的主机安全产品,对比多家厂商之后,李同最终选择了青藤云安全的万相·主机自适应安全平台。
事实证明,他的选择是对的。部署青藤万相之后,不论是检查系统原有漏洞、还是防御外来入侵,效率都得到了巨大提升,安全团队真正做到了效率、效果两手抓,因此才出现了文章开头的那段话。
考虑到X证券的主机安全问题具有普适性,本文特意罗列了上述有关主机安全的10个典型场景,并阐述了青藤万相相应的解决方案,希望可以帮助各个企业组织更好地做好主机安全建设。
场景一:勒索病毒日益猖獗,如何保证主机免受勒索病毒的困扰?
青藤解决方案:青藤防勒索方案通过深入的分析勒索病毒威胁的规律,旨在强调注重严密性、可落地性,遵循“网络控制、风险梳理、入侵检测、威胁溯源”这四条原则,先隔离被攻击主机的网络,分析勒索病毒的横向渗透路径。确定勒索攻击手法和利用的漏洞之后,开启主机上安装的青藤万相Agent,通过微蜜罐的端口访问请求,确定问题机器的范围,并对风险进行加固。与此同时,梳理出病毒的特点,加入规则库,通过特征值匹配的方式检测哪台机器还存在这类风险。最后撰写溯源报告,完整地呈现勒索攻击的战术、技术和路径。
场景二:挖矿会大量损耗计算机资源,如何快速检测并清理挖矿进程?
青藤解决方案:青藤万相的入侵检测功能,通过集成包括小红伞、ClamAV 等国内外多个主流的病毒查杀引擎,并利用青藤自研发的大数据分析、机器学习和模式行为识别等多种检测模型,为用户提供全面和实时的挖矿病毒检测和防护能力。
此外,青藤还能够提供自动化响应级别的沙箱,把任何样本丢到沙箱内部会自动输出一个处置规则,只需将这个处置规则导入系统就可以清理干净挖矿病毒。因此,被挖矿后想做应急响应,只需一个样本就能够自动生成处置规则,全自动化清理处置掉。
场景三:作为最热门的攻击手段之一,内存马攻击如何有效防御?
青藤解决方案:作为网络攻击界的“当红炸子鸡”,内存马攻击在这几年的攻防演练中已然成为攻击者最常用的手段之一。它一般通过向内存中注入攻击程序,隐藏在进程的内存中执行,本地没有文件产生,隐秘性强,难以发现。因此青藤万相采用了主流的Java Agent插桩技术,利用Instrumentation API从内存中dump出class,然后将class反编译为Java文件,进而检测Java源码文件,持续动态监控注入内存中的攻击行为,一旦发现Webshell或恶意代码,立即上报告警。
场景四:对已发生的攻击,如何实现清理入侵残留,如Webshell、木马等?
青藤解决方案:通过青藤万相检查历史入侵检测告警,结合其他功能及样本分析研判还原攻击流程及影响范围,扫描以往文件,清理入侵残留。然后检查入侵检测白名单,排查是否存在风险白名单。最后,重构白名单,降低漏报风险,根据告警分析的结果清理攻击者留下的Webshell、木马后门等入侵残留,防止被攻击者二次利用及持久控制。
场景五:如何解决主机资产不清和家底不明的难点,避免设备混乱的情况?
青藤解决方案:资产清点是青藤万相的基础功能之一,可自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用、Web 框架、Web 站点等10余类安全资产,覆盖通用资产。它对用户来说,具备以下三大核心价值:
(1)全自动化的资产梳理。可从正在运行的机器上反向生成CMDB,实时同步最新资产,减轻安全人员复杂的管理操作。
(2)让保护对象清晰可见。通过超细粒度识别,大到操作系统,中到应用框架,小到代码组件都能精准发现。
(3)安全不再落后于运维。部署青藤万相之后,安全部门手里的资产信息是整个公司最全和最准确的。
场景六:对安全资产本身存在的脆弱性,如何实现有效管理?
青藤解决方案:青藤万相的风险发现功能模块在资产细粒度清点的基础上,可通过强大的漏洞库匹配以及持续、全面、透彻的风险监测和分析能力发现潜在风险及安全薄弱点,包括安全补丁检查、漏洞检测、弱密码发现、应用风险发现、系统风险发现、账号风险发现等9个维度,并给出专业具体的修复建议。
场景七:新高危漏洞出现时,如何快速进行应急检测和处理?
青藤解决方案:针对利用0Day漏洞进行的攻击,通过万相的风险发现功能可以快速进行响应,绝大部分漏洞都可通过资产识别直接定位,对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。
当一个漏洞被精准定位后,万相风险发现能够关联分析这个漏洞相关的补丁,不仅提供详细补丁情况,还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用,加载SO和进程本身确认是否被其它业务组件调用,来判断补丁修复是否会影响其它业务。因此,在高危漏洞爆发后,万相能快速帮助客户进行补丁识别和关联,并确认打补丁后是否存在风险。
场景八:如何快速、深度地清理弱密码,并从已经泄露的密码中反向定位影响范围?
青藤解决方案:青藤万相基于Agent的方式进行本地的弱密码检测,无需进行远程登录尝试,通过对各种应用进行剖析,直接从文件中去解析哈希,再对哈希做检测,不仅速度快也无死角。而当某台机器真正被攻击,但是安全人员无法确认密码是否已泄露的时候。通过青藤万相,只需将这个密码配到系统里,通过检测哪些机器有同样密码就可以判断哪些机器是有风险的。青藤提供了一系列定位的工具,安全和运维人员可以清晰知道哪些机器密码是需要修改的。
场景九:如何应对等保合规检查,落实企业基线要求?
青藤解决方案:通过青藤万相合规基线功能,能够在半小时之内把数万台机器的基线分析清楚,对于不符合要求的检测项,提供代码级的修复建议。
(1)结合资产清点,自动识别服务器需检查的基线
在资产细粒度清点的基础上,根据所选服务器的操作系统、软件应用等信息,自动筛选出该服务器上需要检查的系统、应用基线。同时支持一键批量创建基线任务,操作简单易用。
(2)一键任务化检测,基线检查结果可视化呈现
合规基线功能设计了灵活可配置的任务式的扫描机制,用户可快捷创建基线扫描任务。根据检测需要,自行选择需要扫描的主机和基线。检查结果以“检查项视图”和“主机视图”两种方式可视化呈现,针对每一条不合规的Checklist提供精确到命令行的修复建议。
(3)不断丰富完善的Checklist知识库
支持1500+的Checklist知识库,安全研究人员持续关注国内外基线标准,不断丰富基线配置检查系统Checklist知识库。同时可根据不同行业相关基线规范,对知识库实现定制管理,匹配各行业安全配置需求。
(4)支持定时检查,支持自定义基线,满足个性化定制
自动适配操作系统环境、只会显示当前环境存在的基线,基线支持等保二级和三级、CIS level 1和level 2 基线,支持操作系统、数据库、中间件分布式扫描,5秒钟左右就能完成检测。
场景十:针对东西向流量,如何识别内网横向渗透和内部蠕虫传播?
青藤解决方案:万相可以根据用户的实际需求,在原有功能的基础上进行扩展,比如青藤蜜罐,它是复用了Agent的能力来形成的微蜜罐。在每个Agent上设置一些端口,这些端口正常情况下不会被自己员工访问。在主机内只需覆盖15%的微蜜罐范围,几乎就能100%发现内网横向渗透所有攻击。因为黑客每做一次内网探测就有15%的概率被发现,彻底解决了传统蜜罐覆盖问题。发现横向移动行为之后,万相还可以通过微隔离功能模块先隔离失陷主机,将风险范围最小化,然后利用微蜜罐定位内网的蠕虫并将其清除干净。
十大主机安全场景的描述以及解决方案的总结,希望可以帮助企业组织以更宽阔的思路、更多元化的视角来审视主机安全建设工作,深入了解主机潜在的各种威胁,提前做好防御准备。
作为国内首个落地自适应安全理念的产品,青藤万相能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。
在网络强国建设的道路上,青藤云安全将持续深入了解企业组织的安全需求,不断优化产品功能,提供针对性的场景化产品和解决方案,为企业数字化建设保驾护航。
(扫码添加微信,免费获取案例资料)
文章来源:青藤