长按二维码关注
腾讯安全威胁情报中心
在产业数字化的进程中,越来越多的企业在云上安家,网上点点鼠标,一台云服务器召之即来,企业可以像使用本地主机一样去配置这台云服务器。而不需要象以前那样去添置物理设备、部署网络、再自建系统。在业务增长时,可以迅速增加服务器规模,峰值回落时,关闭不需要的服务器,使得业务系统极具弹性。
企业租用云主机之后,员工、客户均可通过互联网访问企业相关业务系统,如何判断在来访者中,哪个是好人,哪个是坏人呢?企业需要一套可以鉴定善恶的安检系统,腾讯主机安全产品就是位于云上(天基)的安检系统,是云主机系统安全必备的基本防护武器。而没有配置主机安全产品的云主机,相当于完全裸奔的业务系统,暴露于互联网又处于裸奔状态的云主机被入侵破坏只是时间问题。
相对腾讯云防火墙、腾讯Web应用防火墙防御即将到达主机的前置威胁,腾讯主机安全重点是对主机本地存在的各种风险进行检测修复,因此,主机安全产品是企业整体安全防御系统的最后一道防线。
云主机面临的安全威胁
据腾讯安全发布的《2020年公有云安全报告》中,指出云主机面临以下安全风险:
-
恶意木马攻击入侵,有6.3%的云主机曾在一个月内发生恶意木马事件。从监测数据看,感染趋势仍在上升。
-
云上勒索事件,主要表现为数据库被入侵者加密锁定,导致企业云主机服务彻底瘫痪。
-
异常登录事件不断上升,企业安全运维常用的22端口全年被登录超2.5亿次,运维人员常用的默认用户名,被异常登录的次数过千万。
-
爆破攻击超高频发生,原因是,软件开发者、企业运维人员大量使用弱口令,常见的弱口令基本都被黑客收集。
-
云上组件安全漏洞持续增加,以拒绝服务、远程代码执行、任意文件读写最为严重。
-
安全基线风险突出,83%的云上业务存在隐患,安全基线风险属于较普遍的服务器配置不当,一些系统或组件的默认配置为黑客入侵大开方便之门。
-
高危命令审计结果表明,企业安全运维人员过于频繁执行高危命令,可能存在权限管控不够等风险。
上述普遍存在的安全风险,对企业会造成严重后果,包括:黑客入侵导致企业关键业务数据被窃取、主机业务系统被破坏导致系统瘫痪或中断、云主机资源被黑客控制挖矿,导致系统正常服务性能极差。最终会导致企业客户流失,经济利益受损。严重的信息泄露,还会导致企业品牌受损、还可能承担国家网络安全法规定的法律责任。
腾讯主机安全(云镜)实战案例
在重保客户应用场景,攻击者手握大量漏洞武器,其中不乏0day漏洞。其中,由于安全防护软件本身具有较高的权限、相对集中的部署节点,对入侵者来说具有特殊价值,攻击方会针对各安全产品存在的安全漏洞进行重点突破。
腾讯安全专家服务团队针对上述这些高危漏洞进行应急响应,第一时间升级数百个漏洞应急检测规则,增强各云主机的漏洞检测能力。将腾讯安全威胁情报获得的攻击者IP数据与腾讯天幕(NIPS)联动,实时阻断攻击行动。
2020年12月,腾讯主机安全(云镜)检测到Sysrv-hello僵尸网络团伙对企业云主机的攻击,该团伙拥有十来个漏洞攻击武器,在攻陷一台云主机之后,还会继续下载更多弱口令爆破工具,Weblogic远程代码执行漏洞等攻击工具,在企业云主机之间横向扩散,该团伙的攻击目标覆盖Windows和Linux双平台。
仅仅一周之后,腾讯主机安全(云镜)再次检测发现该团伙又升级了14个漏洞武器,这些新漏洞武器覆盖面较广,影响范围达数万台云主机,该团伙的最终目标,是控制所有失陷系统组成挖矿僵尸网络。
Sysrv-hello僵尸网络利用的漏洞武器部分列表
腾讯主机安全(云镜)的硬核实力
腾讯主机安全(云镜)每天帮助腾讯云用户抵御超过1500万次爆破攻击,每天检测恶意病毒木马文件超过10万个,每天从恶意行为库中识别出恶意IP超过50万个。基于AI的WebShell检测引擎,可有效对抗各种加密变形恶意脚本。
腾讯安全漏洞响应团队支持24小时内对高危漏洞进行评估响应,提供检测修复方案。团队监测的漏洞影响范围覆盖操作系统、应用软件组件和Web服务组件。
腾讯云原生的主机安全防护产品安装部署十分简洁,轻量化的主机客户端资源占用率极低。对主机异常行为(异地登录、密码破解、恶意文件创建)进行实时告警,对资产变动,漏洞威胁情报等风险及时预警。管理界面基于web可视化,支持控制台集中管理。
网络攻击防御功能,可实时监控网络攻击行为,支持自动拦截。目前已支持的威胁类型包括:webshell探测、struts漏洞利用、代码注入攻击、命令注入攻击、批量主机控制等。
腾讯主机安全(云镜)内置Nginx安全基线、国际标准基线、等保二级、等保三级等主流基线策略,只须对企业主机资产一键检测,安全运维人员按照检测清单逐项修改默认配置,即可轻松达到国家等保合规标准。
点击阅读原文,了解腾讯主机安全(云镜)的更多信息。
参考链接:
腾讯安全防守队武器库系列(一):雷达篇
腾讯安全防守队武器库系列(二):陆基导弹防御系统篇
腾讯安全防守队武器库系列(三):入侵检测网篇
腾讯安全防守队武器库系列(四):指挥中枢篇
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
本文始发于微信公众号(腾讯安全威胁情报中心):腾讯安全防守队武器库系列(六):云上安检系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论