随着近年来5G、云计算、AI等技术的成熟和普及,企业上云已经成为了当下的主流趋势。年初疫情所催生的海量云复工需求,叠加云计算被正式划入“新基建”范围的利好信息,进一步加快了各行各业上云的进程。云计算的广泛应用在推动虚拟机、云主机、容器等技术相继落地的同时,也因打破虚拟现实的安全边界,而为主机带来了更加多元化的安全风险和挑战。
云上主机安全的主要隐患都有哪些?如何在云上部署主机安全服务?主机安全服务的未来发展趋势是什么?由腾讯安全联合云+社区打造的「产业安全专家谈」第十九期,邀请到了腾讯安全主机安全产品负责人谢奕智,为大家解答以上问题并分享主机安全部署和应用的实践经验。
Q1:5G、云计算、AI等新技术的应用,为主机安全带来了哪些挑战?
谢奕智:这些新兴技术的应用和普及对云的发展起到了很大的促进作用。而在云规模快速扩大的过程中,云上所负载的业务量和机器规模也在不断增长,无形中增大了主机安全的建设难度:防护一两台主机,跟防护100万、200万台主机,背后涉及的安全体系建设和理念是不一样的。所以在云时代下,作为企业承载数据资产和业务管理的基础设施,主机安全防护所面临的压力和挑战会更为巨大。
Q2:现阶段主机安全方面主要的隐患有哪些?
谢奕智:从目前的数据来看,云上主机所面临的高频威胁主要是爆破攻击、漏洞攻击、挖矿木马和勒索病毒。以爆破攻击为例,黑客所使用的扫描工具,能够轻易发现因配置不当而暴露在外网的高危端口,哪怕这个数据有口令的限制和保护,依然可能会被密码爆破或撞库的方式攻陷,进而让服务器或数据库落入黑客的掌控之中。密歇根大学的一项研究表明,一台有开放端口或漏洞的主机在连网后,23分钟内就会被攻击者扫描,56分钟内开始被漏洞探测,第一次被彻底入侵的平均时间是19小时。
特别是今年曝光的BlueKeep(CVE-2019-0708)、Windows RDS(CVE-2019-1181),均是Windows远程桌面服务的漏洞。而3389又是Windows远程桌面的默认端口,开放这个端口的Windows服务器更容易受到黑客的攻击和入侵。
此外,各种弱口令也无形中降低了黑客入侵的难度。据腾讯安全联合生态伙伴共同发布的《2019中国主机安全服务报告》中统计,主机软件弱密码主要集中在MySQL、SSH、SVN、Redis、vsftpd这五类应用上,其中MySQL和SSH弱密码问题占比分别为38%和30%,更易成为黑客的暴破目标。
此外,木马病毒也是主机中较为常见的风险来源,各行业易感染的木马类型也有所不同。其中风险木马类软件在各行业的染毒事件中占比最高,在政务、金融、医疗等行业中感染比例均在40%以上;而教育行业因文件传输较为频繁,感染型木马的感染率相对较高。
Q3: 现阶段企业客户对主机安全服务/产品有什么新的需求?
谢奕智:现在企业客户对于主机安全服务的要求比以前更高了,客户迫切需求的是具有闭环价值的安全产品,即产品不仅能够发现威胁,最好还可以提供切实可行的解决方案或解决建议。比如在检测到挖矿木马之后能否自动清理掉,在发现漏洞后能否提供修复能力,检测到暴破攻击后是否有阻断能力。
云计算规模的快速发展让云上攻击的对抗形势也愈发严峻,传统主机安全检测、响应的应急体系在云环境下显得非常滞后且有些力不从心,企业客户亟需构建集防御、检测、响应和预防于一体的全新的主机安全防护体系。
Q4:政府的相关政策对主机安全起到了什么样的作用?
谢奕智:等保这些政策出台之后,在法律层面上对企业安全提出要求和约束,对主机安全来说起到了特别好的推动作用。因为安全认知门槛比较高,很多人不清楚在安全上要做什么。哪怕清楚之后,在没有因为攻击而遭受惨重损失时,可能也没有动力付费构建相应的安全建设。现在有了合规要求后,就需要购买安全产品满足合规要求,其中就包括主机安全产品。
Q5:企业应该如何选择适合自身的主机安全服务?
谢奕智:多云、云原生等新型架构的出现,也促使正在转型的企业组织使用能充分适配这些新架构的主机安全产品。是否全面具备检测能力、响应能力、架构适配能力、满足合规要求能力,将成为企业选择主机安全产品时的核心参考指标。
企业在选择主机安全服务时,首先要看云上业务敏感情况:如果业务中有非常重要的数据,那么在主机安全方面的防御措施肯定是要升级的;如果云上所搭载业务的重要性并不高,属于被攻陷也不会造成严重后果的业务时,就可以根据实际情况对防御体系进行调整。
其次就是看云上的业务规模。企业在云上的业务规模越大,对于资产可见、可管、可控的需求就越高,这时就需要部署比较成熟的主机安全产品,实现对云上资产的管理;如果业务规模不大,企业内部也有安全运维的专业人员,一些开源的主机安全产品也能满足这类企业的安全需求。
Q6:腾讯安全在主机防护方面有哪些成功案例?
谢奕智:目前腾讯的主机安全服务已经覆盖了金融、互联网、政府、新零售、传统企业等多个领域的一万余家企业,装机服务器超过200万台并建立了百亿级的样本库,能够为各行各业的企业客户提供强有力的技术支持。
以刚才提到的漏洞攻击为例,现在云上分布着各种各样的服务,每隔一段时间就会曝出一个高危漏洞;此外,部分企业在进行安全运维时对于漏洞风险的关注度明显不足。经统计,2019年中影响最大的10个漏洞中,有很多都是前几年就已经曝出的漏洞。不断出现的新漏洞加上未能及时修复的老漏洞,让企业的安全防线时时刻刻经受多重考验。
最近saltstack曝出了一个可以远程执行命令的高危漏洞,被黑灰产用来种植挖矿木马,严重影响到了一些企业业务的正常运转。我们的主机安全产品有一个比较完整且成熟的体系,专门用来支持产品对于漏洞的检测和响应。所以这个高危漏洞曝出来没多久,就被我们的主机安全产品检测到并修复了,保证企业客户的业务都可以不受影响的正常运转。
Q7:对上云的企业有哪些安全方面的建议?
谢奕智:Gartner在上个月发布的《云工作负载保护平台市场指南》中指出,云计算市场的迅速发展让网络攻击的重心开始向云端偏斜,企业需要建立更强大的安全体系来应对愈演愈烈的恶意攻击。
那么企业上云过程中到底应怎样有效地部署主机安全?首先,是需要降低云上资产的攻击面,攻击面包括企业有哪些服务、服务里面有没有漏洞、基线有没有问题、密码是否存在弱口令等。主机安全产品在对以上攻击面进行全面识别的基础上,还会给出一些相应的处理建议,帮助企业快速了解整个资产的情况,以及互联网里面的脆弱性,协助企业收敛攻击面。但即便企业把攻击面收敛的再小,网络攻击成功的情况仍时有发生,未来我们会继续加强产品的防御和响应能力,在尽量减少客户参与的前提下解决所有安全问题。
其次,随着容器、微服务、Serverless为代表的云原生技术逐渐被应用到企业的IT架构之中,传统的主机安全防护手段显得捉襟见肘,企业需要及时升级防护思路,从关注主机安全转变为关注云工作负载的安全。这意味着企业需要将收敛攻击面作为防御前提,构建覆盖主机安全全生命周期的防护体系,在事前做好漏洞管理、基线合规、权限管理等安全运维工作,并加入事中、事后的应用管理、EDR、行为实时监控、防火墙等防御阻断能力。
Q8:腾讯安全未来将会为主机安全产品增加哪些新的功能?
谢奕智:多云、混合云的运营环境逐渐成为主流,催生了客户对于主机安全产品中增加跨云管控功能的需求。Gartner在《云工作负载保护平台市场指南》中,以多能力及多平台能力、脆弱性扫描及配置合规能力、无服务器保障能力等七大能力为标准,向企业用户推荐全球范围内具有代表性的CWPP服务提供商,腾讯云成为了中国首家获得指南推荐的全功能、多平台CWPP全球供应商。腾讯云在主机安全方面已经部署了较为全面、适配多种架构和需求的产品和服务。
但是从目前接到的客户反馈来看,很多客户都从其他云服务商那里购买了一些服务,通过专线的方式与我们的腾讯云打通,也就是说越来越多的客户将选择多云、混合云的运营环境。为了满足这类客户的需求,我们未来也会尽快在主机安全产品中增加跨云管理的功能。
作为企业云上安全的坚实防线,未来我们的主机安全产品将向“持续检测、快速响应、全面适配”方向发展,帮助企业客户构建集“事前防御、事中检测、事后阻断”于一体的全方位主机防护体系,成为企业云上安全的「必需品」。
如若转载,请注明原文地址