Ⅰ 雲安全兩大新能力:攻擊回溯與容器安全
青藤雲安全是主打 「自適應安全」 理念,專注在 「主機安全」 的安全初創公司。2014年成立至今,青藤雲安全分別在2015年和2018年拿下了6000萬的A輪以及2億元的B輪融資,並連續三年(2017~2019)作為唯一中國廠商入選Gartner雲工作負載保護平台市場指南。
2018年對於青藤雲安全而言是關鍵的一年。除了B輪融資到位外,青藤雲安全在9月還正式發布了其首個重量級平台產品—— 青藤萬相·主機自適應安全平台 。萬相以承載業務的工作負載流為核心,對主機上的資產、狀態、關鍵活動等進行感知,並生成安全指標,用於持續分析和風險發現,且適配物理機、虛擬機和雲環境。11月,青藤雲安全還和騰訊安全正式達成戰略合作,作為可選安全組件(天眼雲鏡)出現在騰訊雲的私有雲標准方案中。
更多認可:以主機agent的形式來做安全
青藤雲安全雖然是安全初創企業,但也有了4年多的 歷史 。讓張福引以為傲,也最讓他放心不下的,是青藤雲安全選擇的這條技術路線,即不以流量分析為主,而是通過在物理主機安裝輕量級agent的形式,選擇這樣一個位置來做安全。
青藤萬相核心架構
自適應安全架構的四個能力象限,預測-檢測-防禦-響應,青藤雲安全看準的 「檢測」 能力。但和目前主流的檢測思路不同,紮根於 「攻防理念」 的思路因缺乏足夠深度和全面的可見性,對自身和攻擊的理解都不足。如果要足夠清晰、准確的認識自身、攻擊及其帶來的影響,張福認為,需要足夠扎實的感知能力作為支撐。而實現此的技術方式,就是在物理主機上安裝agent,以此為 「據點」 收集信息。己方的、敵方的,以及攻擊者試圖抹除的。
但從客戶的角度,擔憂也很明顯。主機agent的形式,雖然安全離威脅近了,但安全離業務也近了。如果安全產品成熟度不夠,出現了問題,導致了業務系統受到負面影響甚至服務中斷,那麼客戶的安全或IT負責人,必不可少要承擔更多的責任。
可以看到,安全工作中的平衡,體現在方方面面。
2018年,客戶的反饋,以及業界對基於主機的產品形態的跟進,張福坦言,讓他輕鬆了許多。
先說客戶。客戶對這種形式的顧慮,從2018年大量的反饋來看,張福認為已經開始減少。這個轉變,得益於數字化轉型的趨勢,讓客戶越來越認識到雲化後安全對於業務的重要性。
「
之前更多是合規市場,滿足基線即可。同時,因為業務系統的開放性相對較弱,所以給對手留下的攻擊面也小很多。但上雲後,一切都不一樣了。安全對業務的支撐和影響變得更加重要,對更好的安全能力,而不只是部署了哪些產品的需求,更加強烈。
無疑,從主機這個離(業務)數據、威脅都更近的的位置來做安全,效果會比純粹的流量檢測更好。這也滿足了客戶的需求。而青藤雲安全對產品成熟度的追求,以及產品部署後持續維護、改進的大量投入,則最大程度減少了客戶對 「可能給業務系統造成負面影響」 的憂慮。
而這兩點,也是張福認為,除了技術思路外,自身產品能力重要的優勢所在。
這兩個重要優勢,張福認為也得益於另一個點,就是青藤雲安全的產品打磨思路。據張福介紹,青藤雲安全的產品從研發到銷售,不是傳統廠商等產品足夠成熟後再尋找客戶的思路,而是在初具雛形時就會在國內尋找願意嘗試新的技術思路、有一定程度容錯能力的客戶,通過產品在客戶的真實IT環境中,不斷進行產品成熟度的打磨。例如招商銀行、平安 科技 ,據張福介紹,都是自身安全實踐和理解都走在比較靠前的兩個青藤雲安全的重要客戶。
再談談業界。
眾所周知,青藤雲安全連續多年在Gartner的雲工作負載保護平台市場指南榜上有名,對業內的技術趨勢青藤雲安全也一直跟的很緊。對青藤而言,業界的主流產品形態的改變,意味著對青藤雲安全的技術路線選擇的一種印證。
張福表示,近兩年的行業會議,RSA、ISC等,EDR的崛起,特別是如CrowdStrike等廠商,依託主機側輕量級代理的的形式實現的入侵檢測和響應能力,正逐漸成為業界廠商的主流思路。
「
從產品角度,主機安全不應是一系列產品,而是一個核心做安全的位置。就像網路安全這四個字,有一層重要含義,就是在網路層來做安全。主機安全,業界目前的主流思路和我們一致,就是要通過在主機上安裝agent來做。而且,可以看到,安全能力正在從傳統的網路側移向主機側,通過 『位置』 的改變,實現能力的跨越式提升。這個趨勢已經可以明顯的感受到。這會是整個產業的一個大升級。
2018年,青藤雲安全發布了其重要的平台級產品 「萬相」,在產品成熟度、客戶和業界的接受度上,張福認為已經達到了預期;2019年,張福表示,首先,要基於「萬相」這個平台,在產品能力上有所提升,真正解決客戶問題。比如說弱口令的發現,這個需求看似很簡單,而且有多家掃描器支持,但是實際情況是因為伺服器對口令嘗試頻率的限制,效果並不好。但是如果通過主機agent做類似「白盒」的底層解析,不僅效率高,而且能夠查出之前大量的漏報。
之後,就是新產品的方向。
青藤雲安全不是銷售導向的公司,所以張福始終認為做產品要「克制」,要謹慎,並且多年持續投入打造產品的准備。
上一個系列,青藤雲安全的產品能力傾向感知或者說威脅發現;下一個,張福目前有兩個計劃,一是補足感知之後的分析能力,二是基於主機agent技術的積累,擴充一個安全場景。
新能力:攻擊回溯與容器安全
先介紹要補充的分析能力。
青藤雲安全最新發布的 青藤星池·大數據分析平台 ,定位在攻擊場景的回溯分析,是青藤雲安全威脅感知能力的延伸。
青藤雲安全之前在威脅感知有多年的積累,其萬相平台的 「資產清點、漏洞發現、入侵檢測等「 能力是典型代表。有了這些積累,下一步,張福認為,要補充分析能力。用張福的話說,是根據這些感知能力提供的線索,把整個攻擊的過程回溯出來。
「
一旦發生安全事件,客戶高層第一時間關心的並不會是誰攻擊了我,或是他怎麼進來的,而是我損失了什麼。因為視損失的內容,後續的處置,包括問責、懲罰等,都可大可小。更嚴重的是,攻擊者是否已經窺探、甚至拿到了一些高敏感數據。這些問題,之前大量的安全產品都是回答不了的,因為缺乏視野。主機上的agent,我認為是必備基礎。
簡單理解,和攻擊溯源的目的不同,「星池」是利用大數據分析的相關技術,還原整個攻擊鏈,特別是從客戶資產的角度,記錄攻擊者的行為軌跡,明確客戶的損失。
「
不僅要能快速、准確的發現攻擊,也要高效地搞清來龍去脈,從感知到分析,對於青藤這是重要的能力延展。未來,我們還會融入處置響應的能力。實現安全閉環,才能更好的幫助客戶提升安全能力。當然,這個閉環青藤不一定都要自己做,我們是非常開放而且看重合作的。青藤只做我們認為客戶缺失的(能力),是要讓客戶的安全能力達到應有的高度,而不是搶市場,重復解決問題,甚至劣幣驅逐良幣。
容器安全是另一個新場景。
張福認為,容器是雲計算的未來。國內很多互聯網、金融行業的客戶,都在快速擁抱容器。可以預見,容器將會很快成為主流的基礎設施形態。
容器是一個新技術,而且使用便捷,但不代表安全問題就會少。張福表示,從雲主機到容器,安全問題反而是有增無減,因為目前開發者更多還是在容器功能性上的完善。比如容器鏡像的後門問題,幾乎沒有有效可靠的檢測方法。反觀業界,專注容器安全的廠商並不多;同時,思路幾乎都是基於容器間的流量分析來做,像是傳統的IPS放在容器這個形態下。但只是這樣,張福認為能力深度並不夠。
「
青藤做容器安全是很天然的,因為我們四年多的積累都在主機側,80%以上的技術經過對容器的重新適配後都可以復用。
據了解,青藤雲安全的 容器安全產品「蜂巢」 ,只需要在承載容器的物理機上安裝agent,就可以將安全能力做到容器內進程行為的深度;同時在管理上,「蜂巢」可以在萬相平台上進行統一管理,方便客戶將安全能力和策略隨著業務在各形態間遷移。
張福表示,客戶在使用容器的時候就已經在考慮安全問題了,這是之前做安全不具備的條件。青藤雲安全的核心是保證工作負載(workload)的安全,無論它的形態是怎樣。主機agent的形式,張福認為在容器這個場景下也是有足夠優勢和獨特競爭力的。後續,也會把容器間的流量分析作為補充能力加入,成為一個綜合性產品。
不可否認,目前,容器安全在中國還是早期市場。所以,對於「蜂巢」,青藤雲安全的思路更多還是進行開放行的測試,為後續產品化的過程做鋪墊。
「
首先,『蜂巢』 會支持應用較為廣泛的開源容器,比如docker、國內的靈雀雲,並開放給在容器的應用走在前面,有大量應用場景而且願意和我們合作的客戶,幫助我們不斷的改進,一起成長。這也是產品化過程所必須要有的投入,我們的目標是在3-4年後,成為容器安全領域的領先者。
等保2.0:雲安全合規解讀
此外,作為國內的安全企業,青藤雲安全也必須要足夠重視合規的市場需求,特別是在5月13日正式發布等級保護2.0一系列標准後。
雲計算系統網路架構是扁平化的,業務應用系統與硬體平台松耦合。所以,首先,在雲計算系統邊界劃分上,存在兩個典型場景:一是業務應用不獨占硬體物理資源的情況,定級系統的邊界應劃在虛擬邊界處;二是業務應用對應的系統模塊存在相對獨立的底層服務和硬體資源,系統邊界劃分到硬體物理設備上。
其次是在安全責任及定級方面。程度認為,要綜合考慮被測系統是雲計算平台還是業務應用系統,以及被測系統的服務模式,來判斷不同的安全責任。
此外,在定級過程中還需注意下面4點:
1. 雲計算平台安全保護等級,原則上不低於其承載的業務系統的安全保護等級。
2. 國家關鍵信息基礎設施(重要雲計算平台)的安全保護等級應不低於第三極。
3. 在雲計算環境中,應將雲資源平台作為單獨定級對象,雲租戶側的等級保護對象也應作為單獨的定級對象定級。
4. 對於大型雲計算平台,應將雲計算基礎設施和有關輔助服務系統劃分為不同的定級對象。
在建設整改方面,雲等保中增加了虛擬化、雲管理平台、鏡像文件等雲計算獨有內容,並強調安全能力在雲平台建設中的集成。在平台內部,強調通訊加密與認證、動態監測預警、快速應急響應能力建設、安全產品合規等能力要求。
據了解,青藤雲安全已經推出針對雲等保2.0中安全計算環境部分的解決方案,覆蓋通用要求中身份鑒別、訪問控制、安全審計、入侵防範、惡意代碼防範,以及資源控制六個部分。
相關閱讀
這家初創公司做自適應安全
騰訊安全與青藤雲安全:高安全能力與創新安全公司的結合
Ⅱ 14年全球有哪些網路被攻擊的案例
事件一、1•21中國互聯網DNS大劫難
2014年1月21日下午3點10分左右,國內通用頂級域的根伺服器忽然出現異常,導致眾多知名網站出現DNS解析故障,用戶無法正常訪問。雖然國內訪問根伺服器很快恢復,但由於DNS緩存問題,部分地區用戶「斷網」現象仍持續了數個小時,至少有2/3的國內網站受到影響。微博調查顯示,「1•21全國DNS大劫難」影響空前。事故發生期間,超過85%的用戶遭遇了DNS故障,引發網速變慢和打不開網站的情況。
事件二、比特幣交易站受攻擊破產
2014年2月,全球最大的比特幣交易平台Mt.Gox由於交易系統出現漏洞,75萬個比特幣以及Mt.Gox自身賬號中約10萬個比特幣被竊,損失估計達到4.67億美元,被迫宣布破產。這一事件凸顯了互聯網金融在網路安全威脅面前的脆弱性。
事件三、攜程漏洞事件
2014年3月22日,有安全研究人員在第三方漏洞收集平台上報了一個題目為「攜程安全支付日誌可遍歷下載導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)」的漏洞。上報材料指出攜程安全支付日誌可遍歷下載,導致大量用戶銀行卡信息泄露,並稱已將細節通知廠商並且等待廠商處理中。一石激起千層浪,該漏洞立即引發了關於「電商網站存儲用戶信用卡等敏感信息,並存在泄漏風險」等問題的熱議。
事件四、XP系統停止服務
微軟公司在2014年4月8日後對XP系統停止更新維護的服務。但XP仍然是當今世界被廣泛使用的操作系統之一。特別是在中國,仍有63.7%的用戶,也就是大約3億左右的用戶還在使用XP系統。因此「後XP時代」的信息安全一直備受關注,但國內安全廠商推出的防護軟體究竟效果如何,面對市場上如此多的安全防護軟體,選哪個又是一個疑問,所以xp挑戰賽應運而生。在2014年4月5日的XP挑戰賽中,騰訊、金山落敗360堅守成功。
事件五、OpenSSL心臟出血漏洞
2014年4月爆出了Heartbleed漏洞,該漏洞是近年來影響范圍最廣的高危漏洞,涉及各大網銀、門戶網站等。該漏洞可被用於竊取伺服器敏感信息,實時抓取用戶的賬號密碼。從該漏洞被公開到漏洞被修復的這段時間內,已經有黑客利用OpenSSL漏洞發動了大量攻擊,有些網站用戶信息或許已經被黑客非法獲取。未來一段時間內,黑客可能會利用獲取到的這些用戶信息,在互聯網上再次進行其他形式的惡意攻擊,針對用戶的「次生危害」(如網路詐騙等)會大量集中顯現。即使是在今後十年中,預計仍會在成千上萬台伺服器上發現這一漏洞,甚至包括一些非常重要的伺服器。
事件六、中國快遞1400萬信息泄露
2014年4月,國內某黑客對國內兩個大型物流公司的內部系統發起網路攻擊,非法獲取快遞用戶個人信息1400多萬條,並出售給不法分子。而有趣的是,該黑客販賣這些信息僅獲利1000元。根據媒體報道,該黑客僅是一名22歲的大學生,正在某大學計算機專業讀大學二年級。
事件七、eBay數據的大泄漏
2014年5月22日,eBay要求近1.28億活躍用戶全部重新設置密碼,此前這家零售網站透露黑客能從該網站獲取密碼、電話號碼、地址及其他個人數據。該公司表示,黑客網路攻擊得手的eBay資料庫不包含客戶任何財務信息——比如信用卡號碼之類的信息。eBay表示該公司會就重設密碼一事聯系用戶以解決這次危機。這次泄密事件發生在今年2月底和3月初,eBay是在5月初才發現這一泄密事件,並未說明有多少用戶受到此次事件的影響。
事件八、BadUSB漏洞
2014年8月,在美國黑帽大會上,JakobLell和KarstenNohl公布了BadUSB漏洞。攻擊者利用該漏洞將惡意代碼存放在USB設備控制器的固件存儲區,而不是存放在其它可以通過USB介面進行讀取的存儲區域。這樣,殺毒軟體或者普通的格式化操作是清除不掉該代碼的,從而使USB設備在接入PC等設備時,可以欺騙PC的操作系統,從而達到某些目的。
事件九、Shellshock漏洞
2014年9月25日,US-CERT公布了一個嚴重的Bash安全漏洞(CVE-2014 -6271) 。由於Bash是Linux用戶廣泛使用的一款用於控制命令提示符工具,從而導致該漏洞影響范圍甚廣。安全專家表示,由於並非所有運行Bash的電腦都存在漏洞,所以受影響的系統數量或許不及「心臟流血」。不過,Shellshock本身的破壞力卻更大,因為黑客可以藉此完全控制被感染的機器,不僅能破壞數據,甚至會關閉網路,或對網站發起攻擊。
事件十、500萬谷歌賬戶信息被泄露
2014年9月,大約有500萬谷歌的賬戶和密碼的資料庫被泄露給一家俄羅斯互聯網網路安全論壇。這些用戶大多使用了Gmail郵件服務和美國互聯網巨頭的其他產品。據俄羅斯一個受歡迎的IT新聞網站CNews報道,論壇用戶tvskit聲稱60%的密碼是有效的,一些用戶也確認在資料庫里發現他們的數據。
事件十一、颶風熊貓本地提權工具
2014年10月,CrowdStrike發現颶風熊貓這個本地提權工具,颶風熊貓是主要針對基礎設施公司的先進攻擊者。國外專業人士還表示,該攻擊代碼寫的非常好,成功率為100%。我們知道颶風熊貓使用的是「ChinaChopper」Webshell,而一旦上傳這一Webshell,操作者就可試圖提升許可權,然後通過各種密碼破解工具獲得目標訪問的合法憑證。該本地提權工具影響了所有的Windows版本,包括Windows7和WindowsServer 2008 R2 及以下版本。
事件十二、賽門鐵克揭秘間諜工具regin
2014年11月24日,賽門鐵克發布的一份報告稱,該公司發現了一款名為「regin」的先進隱形惡意軟體。這是一款先進的間諜軟體,被稱為史上最為復雜的後門木馬惡意軟體。該軟體被用於監視政府機關、基礎設施運營商、企業、研究機構甚至針對個人的間諜活動中。
事件十三、索尼影業公司被黑客攻擊
2014年12月,索尼影業公司被黑客攻擊。黑客對索尼影業公司發動的這次攻擊影響令人感到震驚:攝制計劃、明星隱私、未發表的劇本等敏感數據都被黑客竊取,並逐步公布在網路上,甚至包括到索尼影業員工的個人信息。預計索尼影業損失高達1億美元,僅次於2011年被黑客攻擊的損失。
事件十四、12306用戶數據泄露含身份證及密碼信息
2014年12月25日,烏雲漏洞報告平台報告稱,大量12306用戶數據在互聯網瘋傳,內容包括用戶帳號、明文密碼、身份證號碼、手機號碼和電子郵箱等。這次事件是黑客首先通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名和密碼信息,然後通過撞庫的方式利用12306的安全機制的缺欠來獲取了這13萬多條用戶數據。同時360互聯網安全中心就此呼籲,12306用戶盡快修改密碼,避免已經訂到的火車票被惡意退票。另外如果有其他重要帳號使用了和12306相同的注冊郵箱和密碼,也應盡快修改密碼,以免遭遇盜號風險。
Ⅲ 青藤XDR深度檢測服務有了解的嗎
XDR是一個統一的安全事件檢測和響應平台,可以自動化地從多個安全軟體收集數據並進行關聯分析,XDR通過將多個安全產品整合到一個統一的安全事件檢測和響應平台,從而為用戶提供更高價值。青藤提供的XDR威脅檢測分析服務是由安全專家協助客戶遠程或現場通過主機結合流量設備的方式分析產品,結合最新威脅情報和業務應用情況,發現客戶環境內的失陷主機、異常主機、違規操作等威脅行為活動,確認攻擊屬性、受影響范圍,進行溯源分析,並給出專業的處置解決建議。