产业安全专家谈 | 面对恶意攻击,主机安全如何构建云端防御屏障?
吴昊,2007年加入腾讯,在终端攻防、业务安全、数据安全及云基础安全方面都有深厚积淀,专注主机安全等领域,积极推动云平台保障与租户安全需求的结合。
吴昊:主机安全作为企业安全最后也是最重要的一道防线,一款优秀的主机安全产品,可以帮助企业及时发现和抵御黑客入侵风险。腾讯云主机安全对2019年全年云主机安全趋势监控,抽样百万主机,分析发现目前主机面临的风险主要集中在“密码暴力破解、高危漏洞利用、恶意木马病毒入侵”。
全年趋势:
1、 密码暴力破解:月均检测到亿级爆破攻击,攻击来源于约100万个恶意IP地址,发起暴力破解攻击的服务器国内与国外各占一半。
2、 漏洞和基线风险:月均检测漏洞&安全基线数量十万级,其中安全基线占比60%,系统组件漏洞占比21%,Web应用漏洞占比19%。
3、 木马病毒:月均新增恶意文件数超十万,恶意文件攻击的用户行业分布,个人用户占比最大,其次是电商行业、游戏行业、工业云。
针对这三类重要问题,腾讯主机安全产品规划升级为云负载保护平台(CWPP),通过“数据驱动+攻防驱动+运营驱动”帮助企业从多维度进行自动检测和防御,确保企业核心资产安全。
云负载保护平台(CWPP)架构图
Q:目前攻击的手法主要有哪些?是否有新出现的、攻击性更强的攻击手法?
吴昊:目前黑产的攻击手法主要有漏洞利用、暴力破解、DDoS,挖矿、勒索等。大多攻击者只是在攻击的技术手段上有一些更新,比如无文件挖矿,较之前挖矿样本更具隐蔽性。另外windows成熟的攻击技术也越来越多的应用到了Linux系统环境,针对Linux样本检测,腾讯云主机安全已研发了最新Webshell引擎和AI云查杀引擎,可以高效查杀流行的木马、病毒样本。
常见的云上攻击方式
Q:主机安全问题发生的主要行业有哪些?大、中、小企业发生问题的形态有何区别,又应当如何避免?
吴昊:攻击的用户行业分布,个人用户占比最大(47%),其次是电商行业(21%)、游戏行业(9%)、工业云(6%)。个人用户相对企业用户在处理安全风险时,响应速度相对较慢,安全意识还需要加强。
Q:企业上云是否能够有效的抵御主机安全问题?其背后的核心原理是什么?
吴昊:可以。主机安全其实属于云安全的关键组成部分,在云计算环境下,不再拘泥于原有物理服务器边界,面临更为复杂和严峻的安全风险。传统反病毒和入侵检测等安全手段显得捉襟见肘,将主机安全升级为云工作负载保护平台(CWPP),成为云安全的关键环节,核心理念是:缩小攻击面,事前做好漏洞管理、基线合规、权限管理等安全运维工作,事中、事后提供应用管理、EDR、行为实时监控、防火墙等防御阻断能力。在这个理念的指导下,无论是腾讯云安全,还是其它云安全服务厂商,都投入了更多资源,增强检测云负载配置的弱项以及系统漏洞,将网络攻击抵御在“事前”。云服务厂商构筑的云安全“高墙”将逐渐消灭水桶效应,为云负载上提供统一的最佳安全实践。
Q:如果对于安全性非常敏感的企业,应当如何选择足够安全的云服务商?
吴昊:建议主要从3个维度考虑,选择适合自身企业情况的云服务商。
产品体系:云服务商是否具备完善的云安全体系,从网络侧到云负载,从公有云到私有云等场景,是否具有相关安全产品覆盖全面,并且能形成整体解决方案。
技术储备:需要评估云服务商的安全资质、技术积累以及功能创新。
服务及响应:例如专家服务、安全托管、应急响应等,是否具备全面的安全能力。
Q:AI技术是否应用在主机安全防护当中?其应用的形式是什么,能够起到什么作用?
吴昊:目前腾讯云主机安全在AI方面做了初步的探索与应用,并且部分应用已达到了商业化标准,突破了传统主机安全产品的技术瓶颈。
以如下AI技术应用场景为例:
AI查杀引擎:通过机器学习,对海量样本提取特征,让AI引擎持续跟进病毒的演进,达到能对未知木马、病毒做精准识别。
AI应用控制(白名单):通过AI识别用户常用正常软件,持续自学习,实现自适应的应用控制。
AI日志分析:通过收集海量云负载日志,运用机器学习技术识别日志中的“异常”行为,灵活的对各种安全数据源进行关联分析,最终达到安全事件及时预警能力。
面对不断变化的恶意攻击行为,腾讯云主机安全团队正在不断探索新的技术,并将先进的安全技术运用到产品中,努力为我们的用户提供云负载安全最佳实践方案。
【产业安全专家谈】往期精彩内容推荐:
- END -
腾讯安全正在护航产业安全
↓↓↓