完整版的《2022年中國(guó)云主機(jī)安全市場(chǎng)報(bào)告》可進(jìn)入青藤云安全官網(wǎng)或者進(jìn)入“青藤智庫(kù)”小程序進(jìn)行下載�����。
《2022年中國(guó)云主機(jī)安全市場(chǎng)報(bào)告》采用了Frost MESP Model模型���,該模型圓環(huán)按“Weak”至“Leader”的邏輯對(duì)應(yīng)由低至高的評(píng)分,競(jìng)爭(zhēng)力由“市場(chǎng)能力”�、“產(chǎn)品能力”、“生態(tài)能力”����、以及“服務(wù)能力”得出�。從下圖中紅線所處位置���,可以看到青藤萬相在四個(gè)能力領(lǐng)域均處于“Leader”位置����,是云主機(jī)安全領(lǐng)域當(dāng)之無愧的領(lǐng)跑者��!
不斷增強(qiáng)的業(yè)務(wù)場(chǎng)景適用性
隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)���,業(yè)務(wù)變得更加開放和靈活�,安全挑戰(zhàn)也日益復(fù)雜����,利用安全邊界保障主機(jī)的方式存在瓶頸,企業(yè)安全對(duì)抗和管理核心逐漸從邊界轉(zhuǎn)移至主機(jī)系統(tǒng)內(nèi)���。為此��,能夠及時(shí)檢測(cè)�����、保護(hù)主機(jī)工作負(fù)載安全的“主機(jī)安全平臺(tái)”成為企業(yè)安全架構(gòu)的重要組成��。
面對(duì)企業(yè)用戶的新安全場(chǎng)景需求�����,青藤不斷增強(qiáng)業(yè)務(wù)場(chǎng)景的適用性����,提供更加豐富的工作負(fù)載安全閉環(huán)管理方案,針對(duì)勒索�����、挖礦�、內(nèi)存馬攻擊、漏洞定位�、弱密碼管理、自定義基線等場(chǎng)景提供更具針對(duì)性的防護(hù)方案��。下面是我們總結(jié)的有關(guān)主機(jī)安全的10個(gè)典型場(chǎng)景���,以及青藤萬相的相應(yīng)解決方案。
場(chǎng)景1:勒索病毒日益猖獗�,如何保證主機(jī)免受勒索病毒的困擾?
青藤解決方案:青藤防勒索方案通過深入的分析勒索病毒威脅的規(guī)律�,旨在強(qiáng)調(diào)注重嚴(yán)密性���、可落地性,遵循“網(wǎng)絡(luò)控制�����、風(fēng)險(xiǎn)梳理�、入侵檢測(cè)、威脅溯源”這四條原則��,先隔離被攻擊主機(jī)的網(wǎng)絡(luò)����,分析勒索病毒的橫向滲透路徑。確定勒索攻擊手法和利用的漏洞之后�����,開啟主機(jī)上安裝的青藤萬相Agent�,通過微蜜罐的端口訪問請(qǐng)求,確定問題機(jī)器的范圍���,并對(duì)風(fēng)險(xiǎn)進(jìn)行加固��。與此同時(shí)�,梳理出病毒的特點(diǎn),加入規(guī)則庫(kù)����,通過特征值匹配的方式檢測(cè)哪臺(tái)機(jī)器還存在這類風(fēng)險(xiǎn)。最后撰寫溯源報(bào)告�,完整地呈現(xiàn)勒索攻擊的戰(zhàn)術(shù)、技術(shù)和路徑�。
場(chǎng)景2:挖礦會(huì)大量損耗計(jì)算機(jī)資源,如何快速檢測(cè)并清理挖礦進(jìn)程����?
青藤解決方案:青藤萬相的入侵檢測(cè)功能,通過集成包括小紅傘���、ClamAV 等國(guó)內(nèi)外多個(gè)主流的病毒查殺引擎���,并利用青藤自研發(fā)的大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)和模式行為識(shí)別等多種檢測(cè)模型���,為用戶提供全面和實(shí)時(shí)的挖礦病毒檢測(cè)和防護(hù)能力�����。
此外�����,青藤還能夠提供自動(dòng)化響應(yīng)級(jí)別的沙箱���,把任何樣本丟到沙箱內(nèi)部會(huì)自動(dòng)輸出一個(gè)處置規(guī)則,只需將這個(gè)處置規(guī)則導(dǎo)入系統(tǒng)就可以清理干凈挖礦病毒�����。因此�,被挖礦后想做應(yīng)急響應(yīng),只需一個(gè)樣本就能夠自動(dòng)生成處置規(guī)則�����,全自動(dòng)化清理處置掉����。
場(chǎng)景3:作為最熱門的攻擊手段之一,內(nèi)存馬攻擊如何有效防御���?
青藤解決方案:作為網(wǎng)絡(luò)攻擊界的“當(dāng)紅炸子雞”�����,內(nèi)存馬攻擊在這幾年的攻防演練中已然成為攻擊者最常用的手段之一����。它一般通過向內(nèi)存中注入攻擊程序,隱藏在進(jìn)程的內(nèi)存中執(zhí)行�,本地沒有文件產(chǎn)生,隱秘性強(qiáng)��,難以發(fā)現(xiàn)�����。因此青藤萬相采用了主流的Java Agent插樁技術(shù)��,利用Instrumentation API從內(nèi)存中dump出class�,然后將class反編譯為Java文件,進(jìn)而檢測(cè)Java源碼文件�,持續(xù)動(dòng)態(tài)監(jiān)控注入內(nèi)存中的攻擊行為,一旦發(fā)現(xiàn)Webshell或惡意代碼��,立即上報(bào)告警��。
場(chǎng)景4:對(duì)已發(fā)生的攻擊�,如何實(shí)現(xiàn)清理入侵殘留�����,如Webshell、木馬等����?
青藤解決方案:通過青藤萬相檢查歷史入侵檢測(cè)告警,結(jié)合其他功能及樣本分析研判還原攻擊流程及影響范圍���,掃描以往文件��,清理入侵殘留����。然后檢查入侵檢測(cè)白名單��,排查是否存在風(fēng)險(xiǎn)白名單�����。最后���,重構(gòu)白名單�,降低漏報(bào)風(fēng)險(xiǎn),根據(jù)告警分析的結(jié)果清理攻擊者留下的Webshell�����、木馬后門等入侵殘留�����,防止被攻擊者二次利用及持久控制�。
場(chǎng)景5:如何解決主機(jī)資產(chǎn)不清和家底不明的難點(diǎn),避免設(shè)備混亂的情況���?
青藤解決方案:資產(chǎn)清點(diǎn)是青藤萬相的基礎(chǔ)功能之一��,可自動(dòng)化清點(diǎn)進(jìn)程、端口��、賬號(hào)�、中間件、數(shù)據(jù)庫(kù)����、大數(shù)據(jù)組件、Web 應(yīng)用�����、Web 框架、Web 站點(diǎn)等10余類安全資產(chǎn)��,覆蓋通用資產(chǎn)���。它對(duì)用戶來說,具備以下三大核心價(jià)值:
(1)全自動(dòng)化的資產(chǎn)梳理����。可從正在運(yùn)行的機(jī)器上反向生成CMDB����,實(shí)時(shí)同步最新資產(chǎn),減輕安全人員復(fù)雜的管理操作��。
(2)讓保護(hù)對(duì)象清晰可見��。通過超細(xì)粒度識(shí)別�����,大到操作系統(tǒng)�,中到應(yīng)用框架���,小到代碼組件都能精準(zhǔn)發(fā)現(xiàn)�。
(3)安全不再落后于運(yùn)維。部署青藤萬相之后�,安全部門手里的資產(chǎn)信息是整個(gè)公司最全和最準(zhǔn)確的���。
場(chǎng)景6:對(duì)安全資產(chǎn)本身存在的脆弱性,如何實(shí)現(xiàn)有效管理����?
青藤解決方案:青藤萬相的風(fēng)險(xiǎn)發(fā)現(xiàn)功能模塊在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上�,可通過強(qiáng)大的漏洞庫(kù)匹配以及持續(xù)、全面�����、透徹的風(fēng)險(xiǎn)監(jiān)測(cè)和分析能力發(fā)現(xiàn)潛在風(fēng)險(xiǎn)及安全薄弱點(diǎn)�����,包括安全補(bǔ)丁檢查��、漏洞檢測(cè)�、弱密碼發(fā)現(xiàn)、應(yīng)用風(fēng)險(xiǎn)發(fā)現(xiàn)���、系統(tǒng)風(fēng)險(xiǎn)發(fā)現(xiàn)��、賬號(hào)風(fēng)險(xiǎn)發(fā)現(xiàn)等9個(gè)維度���,并給出專業(yè)具體的修復(fù)建議����。
場(chǎng)景7:新高危漏洞出現(xiàn)時(shí),如何快速進(jìn)行應(yīng)急檢測(cè)和處理����?
青藤解決方案:針對(duì)利用0Day漏洞進(jìn)行的攻擊,通過萬相的風(fēng)險(xiǎn)發(fā)現(xiàn)功能可以快速進(jìn)行響應(yīng)���,絕大部分漏洞都可通過資產(chǎn)識(shí)別直接定位���,對(duì)于無法識(shí)別的漏洞可以通過編寫檢測(cè)腳本將其配置到檢測(cè)系統(tǒng)中即可。
當(dāng)一個(gè)漏洞被精準(zhǔn)定位后��,萬相風(fēng)險(xiǎn)發(fā)現(xiàn)能夠關(guān)聯(lián)分析這個(gè)漏洞相關(guān)的補(bǔ)丁,不僅提供詳細(xì)補(bǔ)丁情況�,還能夠檢測(cè)補(bǔ)丁修復(fù)后是否會(huì)影響其它業(yè)務(wù)。青藤通過識(shí)別應(yīng)用��,加載SO和進(jìn)程本身確認(rèn)是否被其它業(yè)務(wù)組件調(diào)用�,來判斷補(bǔ)丁修復(fù)是否會(huì)影響其它業(yè)務(wù)�����。因此�,在高危漏洞爆發(fā)后,萬相能快速幫助客戶進(jìn)行補(bǔ)丁識(shí)別和關(guān)聯(lián)�,并確認(rèn)打補(bǔ)丁后是否存在風(fēng)險(xiǎn)。
場(chǎng)景8:如何快速���、深度地清理弱密碼�,并從已經(jīng)泄露的密碼中反向定位影響范圍����?
青藤解決方案:青藤萬相基于Agent的方式進(jìn)行本地的弱密碼檢測(cè),無需進(jìn)行遠(yuǎn)程登錄嘗試�,通過對(duì)各種應(yīng)用進(jìn)行剖析,直接從文件中去解析哈希,再對(duì)哈希做檢測(cè)����,不僅速度快也無死角。而當(dāng)某臺(tái)機(jī)器真正被攻擊����,但是安全人員無法確認(rèn)密碼是否已泄露的時(shí)候。通過青藤萬相����,只需將這個(gè)密碼配到系統(tǒng)里,通過檢測(cè)哪些機(jī)器有同樣密碼就可以判斷哪些機(jī)器是有風(fēng)險(xiǎn)的�。青藤提供了一系列定位的工具,安全和運(yùn)維人員可以清晰知道哪些機(jī)器密碼是需要修改的����。
場(chǎng)景9:如何應(yīng)對(duì)等保合規(guī)檢查��,落實(shí)企業(yè)基線要求�?
青藤解決方案:通過青藤萬相合規(guī)基線功能,能夠在半小時(shí)之內(nèi)把數(shù)萬臺(tái)機(jī)器的基線分析清楚�����,對(duì)于不符合要求的檢測(cè)項(xiàng),提供代碼級(jí)的修復(fù)建議�����。
(1)結(jié)合資產(chǎn)清點(diǎn)�,自動(dòng)識(shí)別服務(wù)器需檢查的基線
在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上,根據(jù)所選服務(wù)器的操作系統(tǒng)�、軟件應(yīng)用等信息,自動(dòng)篩選出該服務(wù)器上需要檢查的系統(tǒng)����、應(yīng)用基線。同時(shí)支持一鍵批量創(chuàng)建基線任務(wù)��,操作簡(jiǎn)單易用�����。
(2)一鍵任務(wù)化檢測(cè)����,基線檢查結(jié)果可視化呈現(xiàn)
合規(guī)基線功能設(shè)計(jì)了靈活可配置的任務(wù)式的掃描機(jī)制,用戶可快捷創(chuàng)建基線掃描任務(wù)�����。根據(jù)檢測(cè)需要,自行選擇需要掃描的主機(jī)和基線�。檢查結(jié)果以“檢查項(xiàng)視圖”和“主機(jī)視圖”兩種方式可視化呈現(xiàn),針對(duì)每一條不合規(guī)的Checklist提供精確到命令行的修復(fù)建議�。
(3)不斷豐富完善的Checklist知識(shí)庫(kù)
支持1500+的Checklist知識(shí)庫(kù),安全研究人員持續(xù)關(guān)注國(guó)內(nèi)外基線標(biāo)準(zhǔn)����,不斷豐富基線配置檢查系統(tǒng)Checklist知識(shí)庫(kù)。同時(shí)可根據(jù)不同行業(yè)相關(guān)基線規(guī)范�����,對(duì)知識(shí)庫(kù)實(shí)現(xiàn)定制管理��,匹配各行業(yè)安全配置需求��。
(4)支持定時(shí)檢查��,支持自定義基線��,滿足個(gè)性化定制
自動(dòng)適配操作系統(tǒng)環(huán)境�����、只會(huì)顯示當(dāng)前環(huán)境存在的基線��,基線支持等保二級(jí)和三級(jí)����、CIS level 1和level 2 基線,支持操作系統(tǒng)��、數(shù)據(jù)庫(kù)����、中間件分布式掃描,5秒鐘左右就能完成檢測(cè)����。
場(chǎng)景10:針對(duì)東西向流量,如何識(shí)別內(nèi)網(wǎng)橫向滲透和內(nèi)部蠕蟲傳播�?
青藤解決方案:萬相可以根據(jù)用戶的實(shí)際需求,在原有功能的基礎(chǔ)上進(jìn)行擴(kuò)展����,比如青藤蜜罐,它是復(fù)用了Agent的能力來形成的微蜜罐���。在每個(gè)Agent上設(shè)置一些端口�,這些端口正常情況下不會(huì)被自己?jiǎn)T工訪問��。在主機(jī)內(nèi)只需覆蓋15%的微蜜罐范圍,幾乎就能100%發(fā)現(xiàn)內(nèi)網(wǎng)橫向滲透所有攻擊��。因?yàn)楹诳兔孔鲆淮蝺?nèi)網(wǎng)探測(cè)就有15%的概率被發(fā)現(xiàn)�,徹底解決了傳統(tǒng)蜜罐覆蓋問題。發(fā)現(xiàn)橫向移動(dòng)行為之后�����,萬相還可以通過微隔離功能模塊先隔離失陷主機(jī)��,將風(fēng)險(xiǎn)范圍最小化�,然后利用微蜜罐定位內(nèi)網(wǎng)的蠕蟲并將其清除干凈。
依托深厚技術(shù)積淀���,全力推動(dòng)行業(yè)穩(wěn)健發(fā)展
作為中國(guó)主機(jī)安全領(lǐng)域的先行者�,青藤多年來始終堅(jiān)持“技術(shù)創(chuàng)新�,科技報(bào)國(guó)”的初心,注重前沿技術(shù)的探索與積淀��,通過豐富的一線經(jīng)驗(yàn)積累����,逐步構(gòu)建了“產(chǎn)品+服務(wù)”的實(shí)戰(zhàn)化安全體系,承擔(dān)多項(xiàng)重大安全任務(wù)���,為安全行業(yè)的健康穩(wěn)健發(fā)展貢獻(xiàn)自己的力量��。
依托豐富實(shí)踐��,積累前沿技術(shù)成果超百余項(xiàng)
在技術(shù)創(chuàng)新方面����,青藤輸出百余項(xiàng)技術(shù)創(chuàng)新孵化成果��,打造“三位一體”科技創(chuàng)新孵化機(jī)制��。一方面���,聯(lián)合境外外頂級(jí)產(chǎn)業(yè)研究組織�,開展廣泛科研合作��;另一方面�,成立三大安全實(shí)驗(yàn)室,圍繞安全攻防實(shí)戰(zhàn)���,加快創(chuàng)新技術(shù)成果應(yīng)用���。青藤全面參與行業(yè)頂層設(shè)計(jì)�,參與6項(xiàng)國(guó)標(biāo)���、20余項(xiàng)行業(yè)標(biāo)準(zhǔn)編寫工作�����,獲得50余項(xiàng)發(fā)明專利�����、80余項(xiàng)軟件著作�。同時(shí)�����,青藤在10余家中文核心期刊����,發(fā)表了30余項(xiàng)安全研究論文,并編寫出版多本網(wǎng)安專著�����,包括全球首部ATT&CK專著《ATT&CK框架實(shí)踐指南》,以及云原生安全專著《云原生安全技術(shù)實(shí)
踐指南》��。
構(gòu)筑“產(chǎn)品+服務(wù)”的實(shí)戰(zhàn)化安全體系
2022年�����,青藤聚合產(chǎn)品能力����,豐富安全服務(wù)體系��,面向云安全����、數(shù)據(jù)安全、流量安全���、供應(yīng)鏈安全等不同場(chǎng)景網(wǎng)絡(luò)安全關(guān)鍵問題�����,輸出針對(duì)性解決方案�����,包括全棧云安全解決方案����、流量側(cè)精準(zhǔn)防護(hù)解決方案、應(yīng)用級(jí)數(shù)據(jù)安全解決方案等��。通過安全產(chǎn)品與安全服務(wù)配合����,形成“產(chǎn)品+服務(wù)”安全體系。此外�����,青藤參與100+國(guó)家級(jí)��、省部級(jí)�、行業(yè)級(jí)重保活動(dòng)�����,憑借實(shí)戰(zhàn)化安全服務(wù)能力�����,最大化保障客戶安全零事故。
承擔(dān)多項(xiàng)部委重大安全任務(wù)�����,推動(dòng)產(chǎn)業(yè)整體發(fā)展
青藤與國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心����、信通院、公安三所����、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等機(jī)構(gòu)展開廣泛合作��,承擔(dān)部委���、行業(yè)重大安全任務(wù)�����。同時(shí)�����,青藤與三大運(yùn)營(yíng)商�、騰訊、中國(guó)平安�����、政務(wù)云等產(chǎn)業(yè)主體開展生態(tài)合作����,推動(dòng)產(chǎn)業(yè)創(chuàng)新實(shí)踐發(fā)展。在信創(chuàng)安全領(lǐng)域�,青藤協(xié)同主流國(guó)產(chǎn)操作系統(tǒng)廠商開展產(chǎn)品兼容性測(cè)試,落地信創(chuàng)安全防護(hù)建設(shè)�����。
持續(xù)保有并取得權(quán)威認(rèn)可及資質(zhì)認(rèn)證
2022年青藤總計(jì)獲得2項(xiàng)國(guó)家級(jí)榮譽(yù)��、30余項(xiàng)省部級(jí)榮譽(yù)��。在應(yīng)用側(cè)�,青藤安全能力受到用戶廣泛認(rèn)可,獲得百余封客戶感謝信�。在產(chǎn)品能力方面,青藤獲得多項(xiàng)國(guó)際及國(guó)家級(jí)安全能力資質(zhì)認(rèn)證���,如獲取CMMI 3級(jí)國(guó)際認(rèn)證��、通過網(wǎng)絡(luò)安全卓越驗(yàn)證示范中心&泰爾實(shí)驗(yàn)室雙認(rèn)證���,通過云原生安全成熟度評(píng)估等�。
未來����,青藤將在黨的二十大精神指引下,繼續(xù)加大安全技術(shù)創(chuàng)新投入��,為數(shù)字中國(guó)��、網(wǎng)絡(luò)強(qiáng)國(guó)事業(yè)發(fā)展做出更多的貢獻(xiàn)���。
如果您想獲取完整版的《2022年中國(guó)云主機(jī)安全市場(chǎng)報(bào)告》或更多其他主機(jī)安全報(bào)告,可進(jìn)入青藤云安全官網(wǎng)或進(jìn)入“青藤智庫(kù)”小程序進(jìn)行下載����。
比.jpg)
