從聯(lián)動防御到持續(xù)監(jiān)控的云安全方案

1、從聯(lián)動防御到持續(xù)監(jiān)控的云安全方案Agenda云與數(shù)據中心的演進云安全的趨勢和挑戰(zhàn)聯(lián)動防御到持續(xù)監(jiān)控攜手共贏2公有云虛擬桌面虛擬化物理服務器無服務容器vmware Lambda Azure FunctionsGoogle Functions32019年，全球云計算市場規(guī)模達到1883億美元，增速20.86%未來幾年市場平均增長率在18%左右，2023年將達到3500億美元348439546670812971282349430524629749928109512771464187720.86%19.65%17.98%16.85%166515.81%0%5%10%15%20%25%050010001

2、50020002500300035004000201820192020E2021E2022E2023EIAAS (億美元)SAAS (億美元)PAAS (億美元)增長率數(shù)據來源：Gartner，2020年1月6Agenda云與數(shù)據中心的演進云安全的趨勢和挑戰(zhàn)聯(lián)動防御到持續(xù)監(jiān)控攜手共贏Branch Office用戶行為病毒風險社交工程欺騙第三方開源漏洞網絡漏洞應用程序漏洞老舊操作系統(tǒng)APT攻擊錯誤的配置跨多個環(huán)境的 風險和漏洞7Agenda8云與數(shù)據中心的演進云安全的趨勢和挑戰(zhàn)聯(lián)動防御到持續(xù)監(jiān)控攜手共贏10云工作負載聯(lián)合防御資產管理、漏洞管理、資源監(jiān)控、合規(guī)基線同時支持私有云、公有云、混合云安

3、全統(tǒng)一安全管理平臺統(tǒng)一安全框架下，插件化按需組合， 實現(xiàn)投資與回報的最佳實踐聯(lián)合防御能力實現(xiàn)對風險的可攔截與 防護合規(guī)基線對資產風險持續(xù)監(jiān)控，實現(xiàn) 對等保二級、三級檢查能力提供完整的API接口與態(tài)勢、SIEM對接資產管理插件EDR插件漏洞管理插件系統(tǒng)監(jiān)控插件云安全防護能力擴展框架合規(guī)基線插件防火墻、入侵防護、虛擬補丁、 病毒防護、XDR聯(lián)動云工作負載持續(xù)監(jiān)控Deep Security云XDR精密編排的快速恢復補救CTDI (EDR)主機取證安全運營 事件管理UAP SIEM SOAR高級威脅分析威脅情報平臺 沙箱模擬分析Deep Security威脅發(fā)現(xiàn)檢測阻斷響應防病毒引擎入侵檢測引擎帳號風

4、險漏洞風險資產監(jiān)控防病毒策略防火墻策略漏洞防護策略入侵防護策略系統(tǒng)日志風險傳播途徑webshell完整性監(jiān)控 進程行為監(jiān)控 日志審計系統(tǒng)資源監(jiān)控 性能監(jiān)控操作審計反彈shell識別處理 異常賬號識別處理 端口掃描檢測日志刪除、登錄/進程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理等保二級、三級基線 運營商行業(yè)基線基線加固及防護金融行業(yè)基線 安全防護剣幊響應處置安全事件調查取證和響應資產采集內外網IP、對內對外端口、進程、域名、賬 號、主機信息、web容器、第三方組件、數(shù) 據庫、安全與業(yè)務分組信息安全監(jiān)控登錄監(jiān)控漏洞風險檢測系統(tǒng)漏洞補丁識別、管理及修復 系統(tǒng)漏洞發(fā)現(xiàn)、識別、管理及修復 弱口令漏洞識別及

5、修復建議高危賬號識別及管理應用配置缺陷風險識別及管理猙剣餏鲿威脅情報入侵威脅檢測 氻嫫 HIPS 怩峯剪餏鲿 EDR 遤港 胇唬崵 怩峯欽/ 欽 / 涯 侮港 緸絞摳,錠猌, 縨怩峯盜椚 瀦犜欽 Web / 齱鵘絶暵盜勉椚盜劌椚傈盜椚畮涸暟椚鶴鰳霄鴝歲風險持續(xù)監(jiān)控威脅可防御12配置、漏洞管理系統(tǒng)、應用漏洞檢查系統(tǒng)監(jiān)控資產管理基線檢查網絡防火墻DDOS檢測端口掃描微隔離端口控制IP地址協(xié)議控制內存保護應用程序控制應用程序白名單系統(tǒng)完整性Windows注冊表關鍵文件其他關鍵系統(tǒng)區(qū)域其它關鍵應用程序日志審查地址空間隨機化能力可視化框架風險概覽病毒風險入侵風險資產風險日志風險病毒防護病毒木馬蠕蟲灰軟可

6、疑文件入侵防護系統(tǒng)漏洞應用漏洞補丁防護零日漏洞防護EDR行為網絡通信啟動進程文件打開應用行為w暴e力bs破he解ll1315事中防御攻擊1、從黑客攻擊的各個階段進行 防御；2、通過日志分析與安全能力，判斷下一步攻擊行為。事前檢測及加固1、從安全運營角度對資產進行清 點和發(fā)現(xiàn)，實現(xiàn)檢測異常、風險 評估及關聯(lián)分析；2、以符合業(yè)務運營的視角對資產 安全狀態(tài)進行管理，共同維護資產信息的完整性和準確性。事后調查取證1、梳理入侵分析、應急響應處 置環(huán)節(jié)思路，假設已經被攻陷， 并獲取了系統(tǒng)和設備權限，控制了內網多個主要目標； 2、被黑處理及追蹤溯源持續(xù)改進1、持續(xù)對資產采集、系統(tǒng) 安全監(jiān)控、漏洞風險檢測、

7、入侵威脅檢測2、形成安全處置閉環(huán)，增強 應急響應與安全聯(lián)動事前監(jiān)控持續(xù)監(jiān)控攻擊中21攻擊后34混合云安全防護能力擴展框架16進入network, email, USB磁盤執(zhí)行C&C, 橫向攻擊, 滲透進入點:防 火 墻 , 入侵防御,Web信譽評估準備運行: 機器學習, 完整性監(jiān)控, 程序控制, 文件信譽,運行時:行為分析,完整性監(jiān)控，程序控制, 漏洞防護,勒索軟件防護感染擴展:C&C, IPS降噪: 相似度 白名單虛擬機數(shù)據中心容器云2HeartbleedWannaCryErebusrunC16漏洞披露或可被利用虛擬補丁發(fā)布補丁發(fā)布測試開始部署完成Time亞信安全在2017-3月就發(fā)布了永

8、恒之藍對應虛擬補丁，并在5月份 病毒爆發(fā)時對于虛擬補丁進行了 增強持續(xù)防護中降低緊急和正在進行的補丁的 運營成本保護不提供補丁的系統(tǒng)服務器系統(tǒng)和應用程序級漏洞1710101010101010101010101010VMVMVM1010101010101VMVMVM傳統(tǒng)部署1010101010防病毒補丁Web 應用防護負載入侵檢測防火墻完整性監(jiān)控虛擬性能和投資回報率最大化010101010安全 虛擬機VMVMVMVMVM無代理虛擬機負載傳統(tǒng)部署亞信安全 Deep Security使用安全虛擬機部署無代理安全安全組 = 隔離成員 = 標記 = ANTI_VIRUS.VirusFound安全組 =

9、標準策略定義標準策略防病毒 掃描隔離策略防火墻 阻止安全工具之外的所有工具防病毒 掃描和修復發(fā)現(xiàn)異常持續(xù)更新安全指標監(jiān)測云主機網站開放端口WEB容器數(shù)據庫第三方組件摸清底數(shù)統(tǒng)計決策排除盲區(qū)從安全運維角度出發(fā)，做好資產聚合、元數(shù)據收集、變更分析，打通安全運維與業(yè)務運營流程，構建全面、完善的安全 CMDB，提高繁雜重復的資產管理工作效率，降低配置信息維護更新不及時，全憑運維人員的責任心和容易產生的管理措 施失效風險。資產發(fā)現(xiàn)資產清點變更分析系統(tǒng)漏洞補丁識別與修復系統(tǒng)帳號風險識別與修復WEB容器漏洞識別與修復第三方組件漏洞識別與修復CMS漏洞識別與修復應用配置風險識別與修復中間件配置風險數(shù)據庫權限配

10、置常見主機軟件配置風險類型說明系統(tǒng)漏洞漏洞支持Windows、Linux；Linux包括rootkit漏洞、Linux核心庫漏洞、Linux CVE漏洞等； 支持自動掃描云主機操作系統(tǒng)的系統(tǒng)漏洞，并提供補丁下載； 支持安全建議、漏洞介紹、影響版本、CVE、漏洞描述及修復；弱口令支持ssh、RDP、MySQL、FTP、Redis、MongoDB、Memcached、ElasticSearch、PostgreSQL、Samba、VSFTP、ProFTP的弱口令檢測高危賬號可對系統(tǒng)中的影子賬號、空密碼賬號、可疑高權限帳號、是否限制su成root帳號檢測和告警，支持sudo賬號的檢測WEB容器支持ng

11、inx、apache、weblogic、tomcat、Jboss配置風險監(jiān)測組件漏洞MySQL、Redis、Dubbo、ElasticSearch、Kafka、MemcachedNginx 、 PHP 、 Hadoop 、 Jboss 、 Struts2 、 PostgresSQL 、Jenkins、Weblogic、zabbix、fastJSON、git、svn、IIS、jettyCMS漏洞支持Wordpress、Discuz、phpmyadmin、DedeCMS漏洞檢測 及修復文件完整性監(jiān)控和日志檢查識別并報告重要的安全事件監(jiān)視文件，庫和服務中的更改 創(chuàng)建安全的配置基準從海量威脅中突出顯示可疑事件，而不對日志進行排序 自定義用戶檢測日志和規(guī)則22自動化的實時和計劃的法規(guī)遵從性工作負載-等級保護合規(guī)檢查檢查高風險違規(guī)行為可即時檢測并自動更正800-53等級保護2.023支持客戶側各類操作系統(tǒng)， 不給防護留下死角26云工作負載聯(lián)合防御資產管理、漏洞管理、資源監(jiān)控、合規(guī)基線同時支持私有云、公有云、混合云安 全統(tǒng)一安全管理平