“用云的方式保護云”：

如何利用云原生SOC進行云端檢測與響應

傳統(tǒng)企業(yè)安全中，部署了EDR（Endpoint Detection and Response）及NDR（Network Detection and Response）產(chǎn)品的企業(yè)，可及時定位失陷資產(chǎn)，響應終端威脅，減少攻擊產(chǎn)生的危害。EDR和NDR在傳統(tǒng)企業(yè)安全中為企業(yè)起到了保駕護航的重要作用。但隨著云計算的到來，越來越多的企業(yè)將自己的業(yè)務上云，云原生安全越來越受到企業(yè)的關注與重視，隨之云端檢測與響應（Cloud Detection and Response，CDR）的理念也應運而生。下面我們將圍繞騰訊云安全運營中心這款產(chǎn)品的部分功能，來給大家介紹一下，如何依托云的優(yōu)勢，進行及時的風險檢測與響應處置，最終保護用戶的云上安全。

事前安全預防

云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》（如何讓云比你自己的數(shù)據(jù)中心更安全）報告中指出，大多數(shù)成功的云攻擊都是由錯誤引起的。例如配置錯誤、缺少修補程序或基礎架構的憑據(jù)管理不當?shù)取６ㄟ^明顯利用IaaS計算和網(wǎng)絡結構的內(nèi)置安全能力和高度自動化，企業(yè)實際上是可以減少配置、管理不當?shù)儒e誤的機會。這樣做既能減少攻擊面，也有利于改善企業(yè)云安全態(tài)勢。

云安全運營中心在事前預防階段的主要任務就是對云上資產(chǎn)進行定期自動化風險評估，查缺補漏，及時發(fā)現(xiàn)風險點并進行修復和處置。安全運營中心可以幫租戶梳理資產(chǎn)的漏洞詳情，探測對外開放的高危端口，識別資產(chǎn)類型，檢查云安全配置項目等。自動化的幫助租戶全面評估云上資產(chǎn)的風險。下面簡單介紹一下云安全配置管理（CSPM），讓大家更直觀的感受到如何進行事前的安全預防。

上圖就是安全運營中心的云安全配置管理頁面。借助騰訊云各個產(chǎn)品提供的接口，安全運營中心對8類資產(chǎn)，近20個檢查項進行了檢查和可視化展示。可以看到頁面上列出了檢查項的總數(shù)，未通過檢查項總數(shù)，檢查總資產(chǎn)數(shù)，配置風險資產(chǎn)數(shù)。另外下方列出了詳細的檢測項，包括了：云平臺-云審計配置檢查，SSL證書-有效期檢查，CLB-高危端口暴露，云鏡-主機安全防護狀態(tài)，COS-文件權限設置，CVM-密鑰對登陸等。

以CVM-密鑰對登錄檢查項為例，這個檢查項主要是檢測CVM是否利用SSH密鑰進行登錄。因為傳統(tǒng)的賬號+密碼的登錄方式，存在被暴力破解的可能性。如果暴力破解成功，那資產(chǎn)有可能會淪陷為黑客的肉雞，成為進一步內(nèi)網(wǎng)橫向滲透的跳板。所以針對此風險進行事前防御的檢查，能夠規(guī)避很大一部分的安全事件。

合規(guī)管理

等保2.0提出了“一個中心，三重防護”，其中“一個中心”指的便是安全管理中心，即針對安全管理中心和計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡安全的安全合規(guī)進行方案設計，建立以計算環(huán)境安全為基礎，以區(qū)域邊界安全、通信網(wǎng)絡安全為保障，以安全管理中心為核心的信息安全整體保障體系。安全運營中心在提供滿足等保2.0合規(guī)要求的日志審計、內(nèi)到外威脅感知及其他安全管理中心要求功能的基礎上，為用戶提供針對部分等保2.0要求的自動化評估功能，實現(xiàn)持續(xù)動態(tài)的自動化合規(guī)評估和管理。可根據(jù)等級保護等合規(guī)標準要求，對云上的合規(guī)風險進行評估，并提供相應的風險處置建議。

事中監(jiān)測與檢測

網(wǎng)絡安全-互聯(lián)網(wǎng)流量威脅感知

當云上安全事件發(fā)生時，能夠及時地發(fā)現(xiàn)并進行告警，幫助租戶對癥下藥，對于租戶進行資產(chǎn)排查和處置也尤為重要。下圖展示的是安全運營中心網(wǎng)絡安全頁面。

網(wǎng)絡安全主要是針對租戶資產(chǎn)的網(wǎng)絡南北向流量進行的安全檢測。借助騰訊云平臺安全能力，實時監(jiān)測租戶資產(chǎn)互聯(lián)網(wǎng)流量中的異常，并向租戶進行告警與提醒。目前網(wǎng)絡安全的檢測能力覆蓋了45類的網(wǎng)絡攻擊類型。下面列舉出9類高風險的威脅類型：

1，SQL注入攻擊；2，敏感文件探測；3，命令注入攻擊；4，認證暴力猜解；5，惡意文件上傳；6，XSS攻擊；7，webshell探測；8，各類漏洞利用（包括心臟滴血，struts，weblogic漏洞等比較重要的組件）9，反彈shell行為等 10，主機挖礦

告警包括源ip，目的ip，受害者資產(chǎn)，次數(shù)，類型，威脅等級以及時間等。通過點擊詳情可以看到更豐富的詳細信息。

除五元組的信息外，也展示了攻擊載荷的詳細數(shù)據(jù)，可以清晰的看到payload內(nèi)容，攻擊載荷有時也能了解到黑客的攻擊意圖，可以幫助安全團隊更有針對性地進行排查。以上圖的攻擊為例，可以看到攻擊載荷是存在于http頭中

/public/index.php？s=/index/ hinkapp/invokefunction&function=call_user_func_array&vars［0］=system&vars［1］［］=echo ^《？php $action = $_GET［‘xcmd’］;system（$action）;？^》》hydra.php

通過載荷數(shù)據(jù)看到，黑客是利用ThinkPHP 5.x遠程命令執(zhí)行漏洞來攻擊客戶資產(chǎn)的。該漏洞的產(chǎn)生是由于程序未對控制器進行過濾，導致攻擊者可以通過引入‘’符號來調(diào)用任意類方法執(zhí)行命令。而黑客想要執(zhí)行的命令是：

echo ^《？php $action = $_GET［‘xcmd’］;system（$action）;？^》》hydra.php

如果漏洞利用成功，此條命令會釋放一個webshell一句話木馬到服務器，并命名為hydra.php，黑客可以借助webshell小馬，上傳大馬，從而進行更多的內(nèi)網(wǎng)滲透工作，對內(nèi)網(wǎng)造成更嚴重的危害。

安全運維人員可以根據(jù)詳情頁中的處置建議進行一些排查和處置。例如通過ACL策略封禁源IP，阻斷其進一步的攻擊。同時可以在安全事件頁中查看該資產(chǎn)是否存在該漏洞，以及webshell木馬是否已經(jīng)落地。及時有效的安全排查，可以很大程度上降低安全事件的危害。

網(wǎng)絡安全事件同時提供了攻擊者畫像與受害者畫像。基于歷史的數(shù)據(jù)，對攻擊者近期發(fā)起的網(wǎng)絡威脅進行匯總，關聯(lián)是否還有其他的攻擊手段。幫助客戶更全方位的了解攻擊者。下圖展示的就是攻擊者畫像。

下圖則是受害者畫像，流量威脅TOP5，展示的是受害資產(chǎn)近期遭受的攻擊類型次數(shù)排名，可以幫助客戶更有針對性的對資產(chǎn)進行合理的處置。流量威脅趨勢，可以更直觀的了解到資產(chǎn)近期的安全現(xiàn)狀。

泄漏檢測

數(shù)據(jù)泄露指受保護或機密數(shù)據(jù)可能被未經(jīng)授權的人查看、偷竊或使用。由于企業(yè)業(yè)務性質、開發(fā)制度等原因，互聯(lián)網(wǎng)公司一般會涉及較多的版本變更，且大部分互聯(lián)網(wǎng)企業(yè)內(nèi)部崇尚開源文化，開放的同時，也為數(shù)據(jù)泄露事件埋下隱患。近幾年從泄漏渠道上來看主要有以下幾個分類：GitHub代碼類，網(wǎng)站入侵類，網(wǎng)絡黑市交易類，合作商接口調(diào)用類等。

安全運營中心在GitHub和網(wǎng)絡黑市這兩個渠道進行了數(shù)據(jù)泄露的監(jiān)控。

通過安全運營中心的統(tǒng)一監(jiān)控和處理，可以解放企業(yè)運維安全人員更多的時間，將更多精力集中在規(guī)則運營上。同時也能與云平臺能夠更好的整合開發(fā)、運維，將事件處理集中在一處，提高處理效率。在誤報規(guī)則的運營處理方面，SaaS 化的平臺比開源系統(tǒng)運營更持久，基于云上用戶的體驗集中優(yōu)化，目前由云鼎實驗室團隊進行后臺策略維護支持，誤報問題相對較少，告警的質量相對較高。

上圖就是泄漏檢測的頁面。安全運維人員進行配置后，即可監(jiān)控自己所關注的敏感信息是否在上面兩個源中有泄漏。當騰訊云的SecretId由于各種原因，出現(xiàn)在GitHub上時，安全運維人員可以及時的發(fā)現(xiàn)，盡快進行處置，避免發(fā)生更大的安全事故。

事后響應處置

安全事件發(fā)生后，云安全運營中心借助調(diào)查中心和響應中心分別提供了溯源調(diào)查以及自動化響應的能力。下面分別介紹一下這兩個部分。

調(diào)查中心

調(diào)查中心，目前接入了七類日志，有資產(chǎn)日志，指紋信息，漏洞詳情，安全事件，用戶行為分析，云審計以及負載均衡。日志調(diào)查中心提供的查詢語法類似于kibana的查詢語法，可以根據(jù)自己的需求組合出多種搜索語句。在后面的篇幅中，結合安全溯源，也會有所介紹

資產(chǎn)類型，展示的是客戶部署在騰訊云上的各類資產(chǎn)的詳細信息。圖中能看到有cvm，cos存儲，負載均衡，數(shù)據(jù)庫等資產(chǎn)類型

在日志調(diào)查搜索框中，可以通過多個條件組的組合，完成一些資產(chǎn)數(shù)據(jù)的統(tǒng)計。例如統(tǒng)計cvm上遭受攻擊次數(shù)大于100小于1000的機器。

資產(chǎn)指紋

包含了進程，端口，組件，賬戶等信息。

下表列出比較關鍵的字段信息，更多的字段可以在日志調(diào)查中查看

漏洞信息

列舉機器上的漏洞名稱，漏洞描述，漏洞等級，漏洞類型，cve號，修復方案，參考鏈接，處理狀態(tài)，影響的機器數(shù)等。這些信息也可以在資產(chǎn)中心-》漏洞管理中進行查看。

事件信息

事件包含了waf，ddos，云鏡等產(chǎn)品發(fā)現(xiàn)的安全事件，比較重要的有密碼破解，異地登錄，web攻擊，以及木馬。這些信息也可以在安全事件頁中進行查看

用戶行為分析

UBA日志存放的是用戶行為分析日志，該模塊主要基于騰訊云用戶在控制臺的相關操作記錄以及使用云api進行自動化操作的相關記錄進行賬號安全性分析，并及時提示運維人員進行相關風險處理。目前UBA模塊已有的風險場景有以下四種：用戶權限提升、資產(chǎn)高風險權限修改、用戶權限遍歷、新用戶高危操作。

CLB

CLB存放的是騰訊云負載均衡產(chǎn)品的訪問日志數(shù)據(jù)，負載均衡（Cloud Load Balancer）是對多臺云服務器進行流量分發(fā)的服務。負載均衡可以通過流量分發(fā)擴展應用系統(tǒng)對外的服務能力，通過消除單點故障提升應用系統(tǒng)的可用性。

響應中心

響應中心是在安全事件發(fā)生后，通過內(nèi)置的安全編排響應劇本，聯(lián)動云上各類安全措施和產(chǎn)品對安全事件進行自動化響應處置并提供響應報告詳情，可以及時阻斷風險，配置加固資產(chǎn)，將安全事件的風險最大程度的降到最低。目前內(nèi)置的劇本有SSH口令爆破類事件、RDP口令爆破類事件、Linux主機挖礦木馬類事件及Windows主機挖礦木馬類事件等云上常見的安全事件。

以SSH口令爆破事件為例，來看一下當安全事件發(fā)生后，響應中心如何快速的進行處置，將風險盡快排除。

上圖可以看到，當SSH口令爆破事件發(fā)生后，劇本提供了四個步驟來處置，依次是：排查攻擊源，排查被攻擊資產(chǎn)，基線檢測，木馬檢測。

1，排查攻擊源

如果攻擊發(fā)生在外網(wǎng)，那么就聯(lián)動安全組封禁外網(wǎng)的攻擊IP。如果是發(fā)生在內(nèi)網(wǎng)，就及時隔離內(nèi)網(wǎng)攻擊資產(chǎn)的網(wǎng)絡，同時檢測攻擊源資產(chǎn)是否安裝了云鏡專業(yè)版，因為內(nèi)網(wǎng)主機發(fā)起橫向爆破攻擊，極有可能是在之前已經(jīng)失陷。

2，排查被攻擊自查

如果被攻擊資產(chǎn)爆破成功，那么首先要及時修改賬戶密碼，同時要盡快隔離被攻擊資產(chǎn)的網(wǎng)絡，防止黑客借助此機器作為跳板發(fā)起進一步的內(nèi)網(wǎng)滲透攻擊。同時檢測這個資產(chǎn)是否安裝了云鏡專業(yè)版進行主機側的防御。

3，基線檢測

調(diào)用云鏡接口對資產(chǎn)進行基線檢測，及時發(fā)現(xiàn)風險并修復。

4，木馬檢測

對資產(chǎn)進行木馬查殺，防止黑客落地惡意文件。

通過劇本的以上四個步驟，可以及時高效地處置SSH口令爆破事件，降低安全事件所帶來的風險。

“云上打馬”：如何利用云原生SOC實踐CDR

最后借助一個挖礦木馬的場景，看一下企業(yè)的安全運維人員，如何借助上文提到的安全運營中心的功能，來處理安全事件。

云安全配置管理：

安全運維人員，可以在云安全配置管理頁面檢查CVM是否啟用了密鑰對，主機安全防護狀態(tài)是否正常。通過CVM配置風險的自動化檢查，降低云上資產(chǎn)的安全風險。

攻擊面測繪：

通過攻擊面測繪識別主機的攻擊面，及時收斂不必要的暴露面。

網(wǎng)絡安全：

網(wǎng)絡安全中，通過告警的詳情頁，獲取挖礦告警更詳細的信息。下圖展示的是挖礦告警的詳情。

詳情頁可以獲取到源端口，受影響資產(chǎn)等信息，這些信息可以用到日志調(diào)查中進行溯源查詢。同時通過傳輸數(shù)據(jù)的內(nèi)容可以看出木馬正在進行門羅幣的挖礦。

響應中心：

當發(fā)現(xiàn)挖礦木馬告警后，可以借助響應中心，完成響應處置。

首先進行礦池連接的阻斷，阻止失陷資產(chǎn)與礦池的數(shù)據(jù)流量傳輸。隨后進行木馬檢測，借助云鏡的主機安全能力，定位挖礦木馬并進行木馬隔離。在文件層面進行處置后，對正在運行的挖礦進程也要進行定位。劇本提供了四項處置方式，可以根據(jù)響應時詳細的提示進行排查，確定挖礦進程并清除。最后進行基線的檢測，對弱密碼和漏洞進行檢測，提高資產(chǎn)的安全基線，加固資產(chǎn)的安全，及時的將風險降到最低。

調(diào)查中心：

借助網(wǎng)絡安全提供的端口，資產(chǎn)等信息，可以在調(diào)查中心中對挖礦木馬的落地進行溯源分析。

調(diào)查中心的安全事件日志（event）中，查看挖礦主機是否有木馬告警（SsaCvmInstanceId：受影響資產(chǎn)）

如果有木馬告警，根據(jù)安全事件日志中記錄的木馬路徑在資產(chǎn)指紋日志（assets_finger）中，尋找相關的木馬進程（fullpath： 木馬路徑），進程的pid，以及用戶信息

根據(jù)機器信息，在安全事件日志（event）中搜索是否有異地登錄和密碼暴力破解成功相關的告警。進行溯源查找

同時也可以查看網(wǎng)絡安全中，是否存在相關機器的惡意文件上傳以及漏洞攻擊的告警，進一步排查木馬落地的原因。

面對云上安全的新挑戰(zhàn)，騰訊安全極為重視企業(yè)安全的“云原生”思維價值，并結合自身安全運營經(jīng)驗及廣泛的云上客戶調(diào)研，總結出云原生的CDR體系（Cloud Detection and Response），包含事前安全預防體系、事中統(tǒng)一監(jiān)測及威脅檢測體系和事后響應處置體系，并建立全程的安全可視體系，以提升公有云上安全運營的靈敏度及效率，目前這套理念已依托騰訊云安全運營中心持續(xù)實踐，幫助多個企業(yè)用戶解決云上安全問題。

作為騰訊云的能力支持，騰訊安全已經(jīng)實現(xiàn)了為騰訊云客戶提供云原生的安全能力，提升企業(yè)信息安全“免疫力”，配合騰訊云及其認證的生態(tài)合作伙伴，打造內(nèi)在的安全韌性，構建彈性擴展、操作性強的安全架構，滿足動態(tài)的安全需求。