日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
淺談G行基于主機(jī)安全能力框架的安全運(yùn)營(yíng)實(shí)踐

01 引言

隨著信息技術(shù)的發(fā)展,特別是云計(jì)算時(shí)代各類算力資源池交付變得越來越靈活和開放,相應(yīng)的網(wǎng)絡(luò)區(qū)域和安全邊界變得越來越模糊,單獨(dú)依托網(wǎng)絡(luò)安全域邊界安全防護(hù)已難以完全滿足日益嚴(yán)峻的安全威脅。網(wǎng)絡(luò)攻擊也向著分布化、規(guī)?;?fù)雜化的趨勢(shì)發(fā)展,APT高級(jí)攻擊威脅層出不窮、木馬病毒持續(xù)泛濫、0DAY漏洞精準(zhǔn)突襲。主機(jī)作為攻擊者最后的著陸點(diǎn),是攻擊鏈中無法繞過的環(huán)節(jié),主機(jī)安全在縱深安全防御體系中起到了尤為關(guān)鍵的作用。為此,G行開展了基于主機(jī)安全能力框架的安全建設(shè)和運(yùn)營(yíng),旨在打造具備持續(xù)監(jiān)控分析、安全協(xié)同聯(lián)動(dòng)的主機(jī)安全能力,保障企業(yè)安全的最后一公里。

讓胡路網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)建站,讓胡路網(wǎng)站設(shè)計(jì)制作,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為讓胡路超過千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站制作要多少錢,請(qǐng)找那個(gè)售后服務(wù)好的讓胡路做網(wǎng)站的公司定做!

02 主機(jī)安全能力框架介紹

主流的主機(jī)安全能力框架是基于Gartner在2016年提出的主機(jī)安全能力塔模型,即云工作負(fù)載保護(hù)平臺(tái)(Cloud Workload Protection Platform),主要為現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)中工作負(fù)載提供保護(hù)策略,并提供對(duì)所有服務(wù)器工作負(fù)載持續(xù)地可視化監(jiān)控。

圖1 主機(jī)安全能力模型

以上為Gartner最新的主機(jī)安全能力金字塔模型,各層措施對(duì)應(yīng)的技術(shù)點(diǎn)如下:

圖片

表1 CWPP控制措施及技術(shù)點(diǎn)

G行基于主機(jī)安全能力模型,結(jié)合國(guó)內(nèi)安全現(xiàn)狀和實(shí)際需求情況,以“先基礎(chǔ)落地、后擴(kuò)展增強(qiáng)”的原則,梳理出如下建設(shè)路徑:

圖片

表2 CWPP建設(shè)路徑規(guī)劃

目前G行第一階段建設(shè)相關(guān)內(nèi)容已完成實(shí)施落地,第二階段建設(shè)正在積極調(diào)研試點(diǎn)中。

03 G行主機(jī)安全能力建設(shè)實(shí)踐

3.1主機(jī)安全平臺(tái)建設(shè)

(1)平臺(tái)架構(gòu)

主機(jī)安全平臺(tái)核心架構(gòu)主要由Agent主機(jī)探針、Server安全引擎和Web控制中心三部分構(gòu)成,提供基礎(chǔ)、靈活、穩(wěn)固的主機(jī)安全能力支持。平臺(tái)主要功能包含資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)、入侵檢測(cè)等。

Agent主機(jī)探針:適配各種物理機(jī)、虛擬機(jī)和云環(huán)境主機(jī),能夠持續(xù)收集主機(jī)進(jìn)程、端口、賬號(hào)、應(yīng)用配置等信息,并實(shí)時(shí)監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為,與Server端通信,執(zhí)行其下發(fā)的任務(wù),主動(dòng)發(fā)現(xiàn)主機(jī)側(cè)安全問題。

Server安全引擎:Server安全引擎作為核心平臺(tái)的信息處理中樞,實(shí)現(xiàn)人機(jī)交互的主機(jī)安全態(tài)勢(shì)實(shí)時(shí)監(jiān)控、風(fēng)險(xiǎn)分析和平臺(tái)配置管理,通過Agent主機(jī)探針管理和數(shù)據(jù)交互,持續(xù)進(jìn)行數(shù)據(jù)分析檢測(cè),從各維度信息中發(fā)現(xiàn)漏洞、弱口令等安全風(fēng)險(xiǎn)和后門程序、暴力破解、動(dòng)態(tài)蜜罐訪問、Web命令執(zhí)行等異常行為,對(duì)入侵行為進(jìn)行實(shí)時(shí)預(yù)警。

Web控制中心:平臺(tái)管理界面以Web控制臺(tái)的形式進(jìn)行交互,展示各項(xiàng)安全檢測(cè)和分析結(jié)果,對(duì)重大威脅進(jìn)行實(shí)時(shí)預(yù)警,提供集中管理的安全工具,便于運(yùn)維安全管理員進(jìn)行系統(tǒng)配置和管理、安全響應(yīng)等相關(guān)操作。

圖2 主機(jī)安全平臺(tái)核心架構(gòu)

(2)部署覆蓋情況

G行主機(jī)安全平臺(tái)已覆蓋包括總行、分行、子公司及信用卡中心生產(chǎn)辦公、開發(fā)測(cè)試等環(huán)境的物理機(jī)、虛擬機(jī)和云主機(jī),通過系統(tǒng)鏡像母帶安裝、定期差量對(duì)比推送等方式確保各類主機(jī)全覆蓋部署,實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)每日清點(diǎn)、安全風(fēng)險(xiǎn)掃描檢測(cè)、威脅行為實(shí)時(shí)監(jiān)測(cè)的主機(jī)安全防護(hù)體系。

3.2 主機(jī)安全資產(chǎn)管理

NIST發(fā)布的《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》中提到IPDRR模型,其中的I(identify識(shí)別),強(qiáng)調(diào)了首先要對(duì)資產(chǎn)進(jìn)行識(shí)別和管理。GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》中,對(duì)資產(chǎn)識(shí)別的要求如下:

圖3 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)資產(chǎn)識(shí)別要求

可見全量的資產(chǎn)識(shí)別是開展安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等活動(dòng)的基礎(chǔ),是安全工作的前提。對(duì)于主機(jī)安全的認(rèn)知基礎(chǔ)來源于對(duì)主機(jī)資產(chǎn)的了解程度,資產(chǎn)要求“看得全、理得清、查得到”。

傳統(tǒng)資產(chǎn)主要是系統(tǒng)名稱、管理員、IP地址、操作系統(tǒng)類型等維度的運(yùn)維資產(chǎn),攻擊者關(guān)心的資產(chǎn)往往是主機(jī)上運(yùn)行的進(jìn)程、應(yīng)用、數(shù)據(jù)庫(kù)、Web站點(diǎn)框架等業(yè)務(wù)資產(chǎn),攻防信息的不對(duì)稱將導(dǎo)致安全防護(hù)工作不夠聚焦,資產(chǎn)風(fēng)險(xiǎn)未能提前識(shí)別。主機(jī)安全平臺(tái)資產(chǎn)管理功能從安全角度出發(fā),自動(dòng)化構(gòu)建細(xì)粒度資產(chǎn)信息,通過對(duì)主機(jī)、系統(tǒng)、應(yīng)用、Web等資產(chǎn)的精準(zhǔn)識(shí)別和動(dòng)態(tài)感知,讓保護(hù)對(duì)象清晰可見。

圖片

表3 資產(chǎn)管理識(shí)別內(nèi)容

(1)資產(chǎn)信息自動(dòng)構(gòu)建

通過安裝云主機(jī)Agent,可從正在運(yùn)行的主機(jī)環(huán)境中反向自動(dòng)化構(gòu)建主機(jī)業(yè)務(wù)資產(chǎn)結(jié)構(gòu),對(duì) Web服務(wù)、Web站點(diǎn)、Web框架、數(shù)據(jù)庫(kù)等業(yè)務(wù)型資產(chǎn)進(jìn)行資產(chǎn)建模,與CMDB等行內(nèi)系統(tǒng)信息形成互補(bǔ)。資產(chǎn)信息上報(bào)至Web控制中心,實(shí)現(xiàn)集中統(tǒng)?管理,確保安全覆蓋無死角。

(2)資產(chǎn)變化實(shí)時(shí)通知

在清點(diǎn)資產(chǎn)后,保持對(duì)資產(chǎn)的持續(xù)監(jiān)控,在主機(jī)賬號(hào)、進(jìn)程、端口、數(shù)據(jù)庫(kù)、Web站點(diǎn)等資產(chǎn)發(fā)生變化時(shí),平臺(tái)能夠及時(shí)進(jìn)行更新,確保監(jiān)控?cái)?shù)據(jù)與實(shí)際業(yè)務(wù)數(shù)據(jù)?致,實(shí)現(xiàn)資產(chǎn)動(dòng)態(tài)保護(hù)。

(3)資產(chǎn)信息快速定位

結(jié)合通用安全檢查規(guī)范與安全事件的數(shù)據(jù)查詢需求,形成細(xì)粒度資產(chǎn)清點(diǎn)體系;通過主機(jī)視角、資產(chǎn)視角、概覽視圖、分級(jí)視圖等多維度視圖和多角度搜索工具,實(shí)現(xiàn)關(guān)鍵資產(chǎn)信息快速定位。

通過資產(chǎn)管理,自動(dòng)化采集主機(jī)、系統(tǒng)、應(yīng)用、Web等資產(chǎn)相關(guān)信息,實(shí)現(xiàn)資產(chǎn)全量識(shí)別納管;同時(shí)通過Kafka接口與安全態(tài)勢(shì)感知平臺(tái)對(duì)接,實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)的統(tǒng)一分析。通過持續(xù)對(duì)不合規(guī)資產(chǎn)、脆弱性資產(chǎn)、可疑資產(chǎn)等進(jìn)行及時(shí)排查和跟蹤,對(duì)高危中間件、Web框架、Jar包等進(jìn)行提前梳理,實(shí)現(xiàn)對(duì)于0day漏洞風(fēng)險(xiǎn)資產(chǎn)的快速排查定位。

3.3 主機(jī)安全風(fēng)險(xiǎn)識(shí)別能力

據(jù)數(shù)據(jù)顯示,90%的攻擊事件都是由漏洞利用產(chǎn)生,隨著攻擊手段的不斷變化及安全漏洞的層出不窮,網(wǎng)絡(luò)安全狀況變得日益嚴(yán)峻。同時(shí)傳統(tǒng)的漏掃設(shè)備多為按季度或按年的周期性掃描,在未進(jìn)行漏掃檢測(cè)期間,新的漏洞存在識(shí)別空窗期,易被黑客利用。主機(jī)安全平臺(tái)通過持續(xù)性的監(jiān)測(cè)分析,化被動(dòng)為主動(dòng),及時(shí)發(fā)現(xiàn)系統(tǒng)未安裝的重要補(bǔ)丁、檢測(cè)真實(shí)可利用的系統(tǒng)漏洞、識(shí)別配置缺陷導(dǎo)致的安全風(fēng)險(xiǎn),深入發(fā)現(xiàn)主機(jī)系統(tǒng)脆弱性,持續(xù)有效地對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)及預(yù)警。

圖4 風(fēng)險(xiǎn)識(shí)別檢測(cè)內(nèi)容

(1)提高攻擊門檻

在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上,平臺(tái)能夠持續(xù)、全面地發(fā)現(xiàn)潛在漏洞風(fēng)險(xiǎn)及安全薄弱點(diǎn),同時(shí)根據(jù)多維度風(fēng)險(xiǎn)分析及處理建議,提示管理員及時(shí)處理修復(fù)重要風(fēng)險(xiǎn),從而提高系統(tǒng)的攻擊門檻。

(2)風(fēng)險(xiǎn)內(nèi)容可視

持續(xù)性監(jiān)測(cè)所有主機(jī)安全狀況,圖形化展現(xiàn)安全指標(biāo)變化、安全走勢(shì)分析、風(fēng)險(xiǎn)分析結(jié)果和風(fēng)險(xiǎn)處理進(jìn)度等風(fēng)險(xiǎn)場(chǎng)景,提供可視化風(fēng)險(xiǎn)分析報(bào)告,使主機(jī)安全狀況的處置進(jìn)展清晰可衡量。

(3)持續(xù)監(jiān)測(cè)分析

主動(dòng)持續(xù)性地監(jiān)控所有主機(jī)上的軟件漏洞、弱口令、應(yīng)用風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)等,并根據(jù)漏洞威脅等級(jí)進(jìn)行風(fēng)險(xiǎn)分析,定位急需處理的風(fēng)險(xiǎn),快速解決潛在威脅。持續(xù)更新漏洞特征及漏洞利用方法,不斷提升漏洞檢測(cè)能力。

通過風(fēng)險(xiǎn)識(shí)別,在主機(jī)內(nèi)部以白盒視角進(jìn)行漏洞和弱口令掃描發(fā)現(xiàn),有效提高掃描覆蓋效率和準(zhǔn)確率。設(shè)置每日凌晨自動(dòng)進(jìn)行漏洞風(fēng)險(xiǎn)和弱口令檢測(cè),并對(duì)已修復(fù)情況進(jìn)行統(tǒng)計(jì)更新,便于后續(xù)分析及跟進(jìn)修復(fù)進(jìn)展。

3.4 主機(jī)安全入侵檢測(cè)

當(dāng)前的攻擊手段千變?nèi)f化,但是攻擊者一旦攻擊成功后要做的后續(xù)操作基本一致,攻擊者不管使用多么高級(jí)的攻擊手法,無論是0day、Nday、還是內(nèi)存馬,只要攻擊產(chǎn)生,就會(huì)在主機(jī)上觸發(fā)對(duì)應(yīng)進(jìn)程、命令操作、文件、內(nèi)存、網(wǎng)絡(luò)連接等相關(guān)數(shù)據(jù)指標(biāo)的變化。主機(jī)安全平臺(tái)通過對(duì)主機(jī)的暴力破解、反彈shell、系統(tǒng)提權(quán)、Webshell、內(nèi)存后門等入侵行為進(jìn)行實(shí)時(shí)監(jiān)控,對(duì)黑客行為進(jìn)行多維度監(jiān)測(cè),能夠快速發(fā)現(xiàn)入侵行為。通過設(shè)立特征錨點(diǎn)、分析行為模式、建立關(guān)系模型等手段,對(duì)黑客在內(nèi)網(wǎng)的入侵攻擊鏈進(jìn)行多層次監(jiān)測(cè),實(shí)時(shí)感知入侵事件,發(fā)現(xiàn)失陷主機(jī)。

圖片

圖5 攻擊鏈多瞄點(diǎn)監(jiān)測(cè)

(1)實(shí)時(shí)發(fā)現(xiàn)失陷主機(jī)

通過多維度的感知疊加能力,對(duì)攻擊路徑的各個(gè)節(jié)點(diǎn)進(jìn)行深入監(jiān)控,具備全方位、高實(shí)時(shí)的攻擊監(jiān)控能力,對(duì)進(jìn)程變化、文件變化、異常登錄等事件洞若觀火,能夠?qū)崟r(shí)發(fā)現(xiàn)失陷主機(jī),對(duì)入侵行為進(jìn)行預(yù)警。

(2)檢測(cè)未知惡意攻擊

結(jié)合專家經(jīng)驗(yàn)、威脅情報(bào)、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法,通過對(duì)主機(jī)運(yùn)行環(huán)境的實(shí)時(shí)監(jiān)控,能夠發(fā)現(xiàn)包括“0Day”在內(nèi)的未知異常行為,彌補(bǔ)基于攻擊特征的檢測(cè)能力不足,應(yīng)對(duì)突發(fā)的新型漏洞和未知的攻擊手段。

(3)業(yè)務(wù)系統(tǒng)“零”影響

Agent以輕量高效的特性運(yùn)行,實(shí)時(shí)感知主機(jī)性能負(fù)載,動(dòng)態(tài)調(diào)整運(yùn)行狀態(tài),在保證對(duì)主機(jī)安全監(jiān)控的前提下,不會(huì)對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行產(chǎn)生影響,為主機(jī)安全提供高效持續(xù)的保護(hù)。

(4)主機(jī)蜜罐大作用

在具體運(yùn)維安全建設(shè)實(shí)踐中,結(jié)合網(wǎng)絡(luò)、完全和系統(tǒng)層面技術(shù)規(guī)范配置,建立主機(jī)蜜罐,擴(kuò)大異常檢測(cè)范圍,快速定位攻擊源頭。通過主機(jī)入侵檢測(cè)能力,建立基于攻擊打點(diǎn)、執(zhí)行、持久化、橫向滲透等黑客攻擊路徑上的多瞄點(diǎn)追蹤技術(shù),實(shí)現(xiàn)對(duì)于可疑命令執(zhí)行、Web后門等互聯(lián)網(wǎng)打點(diǎn)攻擊實(shí)時(shí)監(jiān)測(cè),應(yīng)對(duì)代理穿透、遠(yuǎn)控木馬、文件篡改等主機(jī)持久化攻擊操作;同時(shí)通過主機(jī)高危端口蜜罐、暴力破解、異常登錄監(jiān)控等識(shí)別橫向滲透攻擊。

04 總結(jié)與展望

在“打造一流財(cái)富管理銀行”戰(zhàn)略愿景和“123+N”數(shù)字銀行發(fā)展體系的指導(dǎo)下,G行互聯(lián)網(wǎng)線上化業(yè)務(wù)越來越多,攻擊暴露面也隨之變大,運(yùn)維安全工作的重心也由單一邊界堡壘式防御轉(zhuǎn)向基于對(duì)互聯(lián)網(wǎng)資產(chǎn)全面梳理后的各類威脅檢測(cè)、云主機(jī)入侵檢測(cè)識(shí)別分析和溯源響應(yīng)等維度。本文從主機(jī)安全能力金字塔模型角度介紹了G行主機(jī)安全運(yùn)營(yíng)建設(shè)實(shí)踐,后續(xù)將結(jié)合科技運(yùn)營(yíng)維護(hù)工作實(shí)際,持續(xù)調(diào)研和創(chuàng)新,不斷優(yōu)化和完善縱深安全防御體系,護(hù)航業(yè)務(wù)系統(tǒng)高質(zhì)量發(fā)展。


分享題目:淺談G行基于主機(jī)安全能力框架的安全運(yùn)營(yíng)實(shí)踐
URL鏈接:http://www.dlmjj.cn/article/coicpdc.html