冬训营丨统一工作负载防护——智甲云主机安全的运营闭环实践

近年来数字化转型带来了IT的飞速发展，新业务新需求不断增长，服务、应用增速部署，高速发展的同时也暴露出更多的安全问题。而随着云计算的不断发展普及，云上风险开始进一步扩散，也带来了更多的攻击面。系统、虚拟化组件、编排平台、容器、运行时环境、中间件等多个方面的风险也在不断增加，给个人、企业及相关监管部门带来了更大的挑战。

近五年漏洞增长趋势图   数据来源：cvedetails.com

Windows主机系统、Linux主机系统、及云原生系统和应用统计子项说明表

国外的专家团队通过对4千多个编排模板和3.8万多个编排文件进行了分析，其中63%的模板包含一个或多个不安全配置，近50%包含至少一个关键或高度不安全的配置。这些模板、文件分别是来自CSP，供应商和开源开发者在对300名云专业人士，包括：云工程师、云安全工程师、DevOps和云架构师的调研中发现，云的错误配置是一个由许多原因引起的，但所有这些原因都可以归结为这样或那样的人为错误。

企业云环境是巨大而复杂的，这为重大错误创造了许多机会。也给云运维者和安全团队带来巨大的挑战。Gartner 预测：到2025年，超过99%的云泄露，将被追溯到可预防的配置错误或终端用户的错误。

从另一个角度看，ATT&CK 近一年间，云相关的攻击技战术共增加了24个大项、33个子项，增幅近60%，可见与云相关的攻击方法演变之快。而操作系统方面增幅为12%，从整体占比来看，云场景占比持续走高，云安全威胁显著增长。

ATT&CK 框架新增攻击技战术分布图

近一年战术变化比例图   数据来源：mitre.org

实际上ATT&CK某种程度上也不是完美的，黑客利用 Kubernetes 特性，将恶意容器注入到集群kube-system命名空间已有的DaemonSet中，实现对每个集群动态注入恶意容器，从而进一步控制整个容器集群的案例中，这样的攻击方法在ATT&CK中是未完全覆盖的。

通过一系列的数据表明，云原生的市场应用，增长加速、占比持续提升，在相关技术的发展同时，已逐步被市场广泛的接受，但在客户场景中，“共存”成为了IT的新常态：在基础设施方面，云和传统IT共存；业务上，敏态业务、稳态业务共存；云原生技术上，虚拟化主机和容器、容器云是共存的。

根据Gartner的分析，cwpp的防护体系需要具备反病毒、入侵防护、漏洞防护、应用监控、主机防火墙等等诸多安全能力。并且云上通常面临海量的资产、异构的资产、分布式的资产，同时又必须解决算力消耗低、业务中断风险低等诸多问题，更需要多种融合技术才能实现。

以主流的开源/免费安全工具为例：

1. 多个开源或免费的工具堆叠后，难免会功能冗余和彼此干扰，导致功能失效或缺失；

2. 不同工具之间的规则库格式不通用，加大了运维难度，并会产生海量日志，且格式不统一，导致清洗、降噪、关联分析难度增大；

4. 这些工具的堆叠会生成很多进程，导致云环境下进程资源的限制难度增大；

5. 每个工具可能有一些未知的  漏洞和缺陷，部署到云环境后，会暴露了更多的攻击面。

实际上整个安全运营过程至少要包含：资产清点、风险检查、加固|缓解、安全防护、威胁检测、猎杀调查、综合决策、响应处置等几个关键步骤除此之外，实现一个完整的运营闭环支撑，还需满足低业务影响这个前置条件并可适应复杂应用场景；对异构资产做到细粒度识别；集成了多种安全能力；能满足新兴安全需求；并做到自动化和可见性的提升。

安天 安全运营模型框架图

据此模型框架，安天的统一工作负载防护产品，支持物理机、虚拟机、容器等多种工作负载，在多云、混合云场景下，满足用户统一安全防护的需要。并涵盖资产清点、风险发现、合规基线、容器安全、微隔离等5项功能以支撑安全治理闭环。以威胁检测、入侵防护、事件调查、威胁溯源等5项核心功能，并配套安全评估、安全运维、监测分析、威胁猎杀、应急响应等安全服务支撑检测响应的安全运营闭环。

安天 统一工作负载安全防护产品体系

产品具备细粒度的资产识别能力，支持Windows、Linux各发行版本下的基础软、硬件环境信息的自动识别，可对账号、进程、开放端口以及各类主流应用信息等9大类 38小类 200余种工作角色标签的自动化采集和跨环境集中可视化。并且，在容器高弹性伸缩的特性下，产品支持容器、集群、镜像、镜像仓库、节点、POD等容器云资产的自动化持续识别支持容器内资产的分层、分类集中可视化，帮助用户从整体安全角度细粒度观察容器类资产运行状况并支持微服务、及相关API的自动发现。同时，产品能够自动将大于90天未使用的镜像标记为陈旧镜像，提示管理员进行删除回收。

在风险发现与检测方面，产品内置超过10万漏洞，具备主流操作系统、数据库、中间件、大数据平台等的漏洞发现能力，并支持发现Top100常见弱口令，且支持自定义弱口令等风险配置发现，以及容器集群风险的检测。

产品部分截图-风险发现

产品的全自主威胁检测引擎为全球近百家合作伙伴所选用，为超过100万台网络设备和网络安全设备提供威胁检测能力，覆盖全球29亿部手机设备和全国半数以上防火墙节点。

在情报联动方面，安天威胁情报囊获了域名、邮箱、URL、漏洞知识库等种类繁多的情报类型。并且收录了近5年全球热点威胁事件，超过300个全球化攻击组织，帮助用户实现精准的威胁分析和攻击溯源，拥有来自全球超过100个优质威胁情报源的海量数据支撑。

安天基于持续身份认证技术的应用级微隔离技术方案，不仅有效的避免了单点故障隐患，在环境的适配、隔离粒度、容器支持等多个方面都是最优的方案，并能够很好的适应各类的云上业务快速变化。

为能够实现业务流量的可见性，支撑安全运营闭环，产品提供了基于用户业务层次的网络空间地图。

产品部分截图-微隔离业务地图

对于全生命周期的容器安全防护。

在容器的开发构建阶段：产品可对本地镜像以及镜像仓库进行全方位的安全扫描，并对镜像内容进行细粒度的识别，包括组件和应用等详细信息。具备节点漏洞、组件漏洞、应用软件漏洞的检测能力。参照CIS基线标准，内置了约100余项出厂基线检测规则，同时支持自定义基线检测模板。

在容器部署运行阶段：产品支持容器黑白名单、特权容器防护、特权端口映射防护、敏感文件映射防护的容器启动防护功能。支持容器内非法进程、反弹shell、容器逃逸、恶意行为等动态行为监控，并支持基于容器行为识别模型的异常行为检测，以及黑名单容器的容器运行防护。

产品容器安全部署示意图

以安天在最近爆发的Log4j漏洞自动化响应为例，通过分析 Apache Log4j某些地方存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

从最近公布出来的恶意组织Conti对Log4j漏洞利用的ATT&CK技战术覆盖分析来看，已呈明显的复杂化。