FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
在新基建的浪潮下,5G网络、大数据中心、人工智能等其他新技术正渗透到社会发展的各个层面。在消费互联网向工业互联网转型的过程中,新技术的应用极大地改变了各行各业在数据存储和使用、业务管理、办公流程和工作量等方面的运作模式。作为承载数据资产和业务管理的基础设施,主机是“信息安全的最后一公里”,主机安全保护的重要性日益突出。同时,虚拟机、云主机、容器等技术的落地使主机打破了虚拟与真实的安全界限,增加了资产的盲点,进一步增加了主机面临的风险和挑战。
达尔文《进化论》说进化源于突变,而包括云工作负载保护在内的整个主机安全产业面对的正是“不可预知的未来”。这些层出不穷的未知威胁成为了主机安全进化发展的外驱力。主机安全需要快速进化以应对全新的威胁,朝着“持续增强的检测、响应以及架构适配”方向前进。
安全狗云眼4.0解决方案的核心理念是精准检测,精准识别,精确防御,着眼于新攻防形势下的新威胁,从最小攻击面及最小特权方面考虑,从工作负载角度的入手,以耦合式的设计方式,以每个系统为单位,考虑其每个单元本身的非可信的假设。来设置主动监测、内部安全策略、多层机制,从而在主机层面构建纵深防御的体系,形成多层的防护和安全闭环,提出了工作负载安全解决方案。
具体来说,安全狗工作负载安全·云眼4.0全新进化4个方面的能力:
1.全新融入ATT-CK的框架
ATT-CK的框架,是国际上提出针对黑客的攻击流程系统识别的还原框架。通过模拟攻防的靶场,动作识别来进行黑客行为的识别。在云眼4.0解决方案中,安全狗把框架内积累的主机攻击流程,融入到产品里面和规则里面,提高了云眼4.0版本的整体分析能力,威胁捕获检测能力和处置能力。通过主机攻击流程+攻击行为+响应方案,形成了快速识别风险及闭环处置的能力。
2.全新结合EDR模型和自适应安全体系
云眼4.0解决方案基于原先3.0版本解决方案的的检测、响应、预测、防御的EDR及自适应的模型的基础上,进行了深度的纵深结合,从而进一步提升了持续监测、持续计算、持续预测、持续响应的能力,更加高效构建主机层面的风险响应能力。
3.全新升级CWPP安全能力
CWPP是Gartner提出的一种云上安全的技术方案,基于Agent代理技术,实现主机层面的安全问题。安全狗云眼4.0解决方案在已有架构下,更是把CWPP提及应用控制/白名单、系统信任保证等安全能力要求。云眼4.0版本进行了主动防御技术提升,实现了文件完整性监控及进程可信的设定。因此在一些安全要求较高的场景,可以通过安全狗云眼4.0版本的主动防御的技术,让主机安全变得更加省心省力。
4.全新构建动态插件式架构
云眼4.0版本解决方案,更是进一步对Agent技术进行多面立体升级,通过基于插件式的开放的创新架构,云眼4.0版本可以通过加载不同的动态插件,从而提供更多的智能化安全能力。默认情况,安全狗云眼4.0的动态插件只加载检测插件,在极低的资源消耗性下,实现了对入侵威胁、安全风险的检测。一旦进入高强度的攻防对抗,云眼4.0版本可以快速加载主机防御的插件,从而提升了主动加固、安全闭环能力。在未来更多的安全场景下,在安全狗动态插件式架构可以实现更多的能力,具有更加强大的功能。
“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”
信息安全从某种程度上就是攻击方(黑客)与防守方(企业)之间的博弈,作为防守方必须站在攻击者的角度思考,掌握攻击者的攻击思路、使用的攻击手段,才能在与攻击者的博弈过程中占得先机。在PCSA发布的《年度大型攻防实战全景:红蓝深度思考及多方联合推演》一文中,可以发现主机层防线是距离保护对象“神经中枢靶标”最近的,也是最后一道防线,攻击方从突破边界到攻陷靶标,主机安全是防御对抗最后一道防线,如何从主机层面减少资产“暴露面”,包括暴露面动态监测、常态化自评估、实时加固等,是减少攻击前提条件。安全狗云眼4.0解决方案可以协助用户通过全面资产清点、快速风险发现、实时入侵检测,让主机稳定又安全,形成防守方的最后安全防线。
1、通过上帝视角,进行资产管理,让内部资产风险无所遁形
云眼4.0解决方案,通过资产台账管理功能从安全运营角度对资产进行清点和发现,在高强度的攻防对抗下,帮助广大用户实现资产检测异常、资产风险评估及资产关联分析。
2、通过风险评估,进行风险管理,让安全先行一步
云眼4.0解决方案,通过漏洞风险管理功能从风险薄弱点的角度进行发现(弱口令、漏洞风险、应急漏洞、配置缺陷等)。在高强度的攻防对抗下,帮助广大用户快速识别风险脆弱性,避免被攻击者发现利用。
3、通过黑客角度,进行入侵检测,让入侵威胁不再有
云眼4.0解决方案,通过入侵威胁检测功能从攻击者入侵视角出发。在高强度的攻防对抗下,帮助广大用户准确识别被攻击者的动作和行为,快速进行入侵分析和应急响应。
4、通过安全运营,进行安全闭环管理,让主机更安全
云眼4.0解决方案,通过安全防护功能从安全运营及闭环响应的角度对主机层面进行防护。在高强度的攻防对抗下,帮助广大用户提升了主动防御的能力,遇到问题能进行有效的处理,提升更多的安全系数。
5、通过全面安全,进行合规体系化建设,让合规与安全得以兼顾
云眼4.0解决方案,通过产品各个方面的能力对主机层面等保2.0的要求进行体系化建设。在高强度的攻防对抗下,帮助广大用户拥有更多的安全能力,同时还能满足等保2.0主机层面合规性的要求。从等保2.0角度构建最后一道防线的建设,在攻防对抗下,既满足了政策合规性的要求,又构建有效的防护体系。
当然云眼4.0也不单单只有以上的应用场景,它可以适应于不同场景的环境,这些还需要等着用户去发现,去探索。信息安全是数字化发展的重要伴生属性。面对不断变化的风险环境,安全狗始终坚持探索前沿技术并运用到以安全狗主机安全服务为代表的安全产品之中,为用户搭建有效的全方位的纵深防护体系,帮助用户解决一切面临的问题。未来,安全狗将继续深耕主机安全,输送更多技术和研究成果,护航用户在新基建时代高速安全发展。