论坛6 | 云时代的运维与安全 孙维伯 「面向未来的自适应安全架构」



  • 时间: 2016年7月28日
    发言人: 孙维伯|青藤云安全高级安全顾问
    主题: 面向未来的自适应安全架构


    谢谢大家,非常高兴今天能在这里跟大家分享一下青藤云技术安全的架构。很多人说你们青藤云安全到底是做什么的?我介绍一下,我们做的是自适应的安全平台,我们主要帮助企业解决现在面临的网络安全问题,安全是持续投入却不见产出的部门,通常不出现任何安全事故的时候可能不会意识到安全的风险,如果一旦出现安全事故就会变得非常被动。

    任何一个企业从外表一看都非常光鲜,一旦出现安全事故被入侵,或者一些代码被泄露,或者一些客户资料被泄露就会出现非常头疼的安全问题,而且在座的各位很多业务都在云上,云上的安全和现在的安全业务已经不太匹配了,现在面临着哪些新的安全问题?我们可以看一下。

    安全问题主要是几方面,随着敏捷开发,代码迭代的非常快,实时都在变化。另外安全基础体系非常缺失,刚才跟崔勤聊的时候,就说到安全缺乏统一的体系,一个整体,如何做好整体安全很重要。另外,行业里整体安全人员非常缺失,如何在安全人员缺失的情况下做好企业安全成了最头疼的问题,而且现在黑客攻击手段越来越隐蔽,特别是一些攻击打过来之后我们如何第一时间感知到,第一时间阻截。

    我们对企业企业安全现状做了调研,我们企业安全不单单定位说是软件定义的安全,很多企业说我开发了一个软件,软件和系统做的是安全的,肯定不是这样的。企业的业务会有变化,新产品在不断增长,它的安全需求随着业务发展会不断增长。如果是购买一台传统硬件产品要不停的升级、更改、防护,如何能找到最适应的,最适合企业自身的安全,成为现在面临的一个非常头疼的问题,包括安全的高可用性架构。

    企业对云安全的需求包括支持大规模分布式服务器的安全管理以及有统一安全管理平台,很多企业头疼的问题是如何有安全的管理人员进行统一安全管理,如何掌握所有安全资产进行联动,我们企业可能买了很多品牌,不同厂商的安全产品,采购了互联网的安全服务模式,如何在统一平台上进行呈现,也是安全管理人员面临的很头疼的一个问题。

    现在新的安全问题层出不穷,很多功能是非常精细的,精细到业务层次的单元化。一旦出现漏洞如何第一时间感知到,哪些主机存在了漏洞。肯定要先从外部扫,我们可以在服务端下一个命令,只需要30秒钟进行精确感知。

    我们与传统安全有哪些不同?

    传统安全大多进行的是边界防护,我们由内到外的安全防护,多层视角的防护。传统安全投入没有办法量化,我们的安全可以做到效果清晰可衡量。为什么呢?我们始终认为做一个安全管理人员或者一个安全部门,如何向我的领导、上级证明部门存在的价值和意义,如何做到清晰可衡量的标准?这一个最头疼的问题,接下来会给大家讲我们是如何做到的。

    最重要的一个事情就是响应这块,我们知道安全平时是趋于稳定的状态,一旦出现新的安全事故,有安全漏洞爆发的时候,如何进行急速反映很重要。我扫描过程中看到人员上下线了,或者有一台业务在快速变更,扫完之后可能上线了,如何第一时间发现和攻破,这是很重要的安全问题。最重要的一个点在于自适应安全平台,我们是基于资产和业务的安全架构,我们能实时感知到当前您所有部署在主机的资产业务情况,这种资产和业务的安全架构是做一切安全的基础。比如说哪些主机上有什么,是哪些版本,有没有问题,您当前网站业务上传点在哪儿。我们知道一个网站如果被黑了,最严重的问题就是日用文件上传被篡改了,我如何发现问题,这是资产感知的问题。就像是云递进的过程一样,云安全最重要的需要做到自适应的落地,我们如何落地?接下来看一下自适应安全架构,我们认为自适应安全架构是持续的过程。

    0_1470894465595_upload-2ee3e6f0-8f97-4ee3-a045-905c2b7ac2ab

    大家记住安全永远是一个状态,可能有人会汇报领导我们现在处于非常安全的状态,只是表明这时候没有问题。我们做架构的时候从四个重点进行了防护:威胁联动、攻击防御、回溯分析、入侵检测。

    0_1470894478563_upload-4b95ec0a-86db-487e-9d5a-1ef8f7ab29e3

    具体实施的架构是这样的,我们有三个Agnet,它们会和我们的云端进行联动,这边是三种Agnet探针,代表我们看待安全问题的三种角度。比如说从流量上进行分析,还会有主机层次应用级别的监控,比如说Agnet装在主机里可以监控到主机里所谓的应用行为。除此之外还有传统外部的检查器,通过里外配合方式可以第一时间感知到当前的状况,及时把相关信息传回到云端进行联动,除了要提供前场中心还有后场API功能,还有对外威胁情报联动。比如我们发现可疑的文件,我们可以及时通过外面的威胁联动反馈回来信息,前场、后场做到了安全闭合的环节。

    给大家举个例子,外部检查器和内部检查器是如何配合的。我们知道做企业安全管理最头疼的问题,你可能不知道什么时候安全业务人员会上线一台主机,或者在主机上开一个应用。尤其测试、开发人员你很难做统一管理,我们内部检查器如果可以及时把主机状况传回云端,通过外部检查器进行联动,这样内外结合,第一时间感知到端口情况,感知主机上开放了哪些端口,我们从黑盒、白盒两个角度来确定,不是黑盒盲目的目标扫描,我们可以做到安全的清晰可衡量,可以做到度量安全。

    我们重点看一下三个架构在实际应用中的三个体现。

    1. Analyzer

    Analyzer,是风险分析模块,了解企业自身的安全状态,根据我们的系统可以判断所有部署主机的整体安全指数是什么样的,什么情况下会降低安全指数。比如说突发了一个安全漏洞,有一个弱口令,不知明主机上线(没有装Agnet的主机也可以感知到),我们始终认为安全要做到全网监控,这样任何一种维度都降低现在的安全指数,包括可以投入的安全方向,最终我们实现了清晰可衡量的标准,下图长期安全建设对比图。

    0_1470894518345_upload-e0d029c6-49de-4812-9b66-b3f3a6e3a38a

    大家可以通过上图看到安全是持续的过程,在部署我们风险分析模块(Analyzer)之后,整体的安全风险指数是逐渐下降的。因为我们的产品逐渐与它的业务相结合,它业务当中如果发现了新的安全风险、问题,可以通过风险感知模块分析,与当前指数进行联动。如何考核一个团队的安全管理能力就体现在了这里,企业安全始终处于一个平稳的曲线水平,比如说我们这个系统,可以及时感知到企业每天安全资产状况和安全指数的状况,一旦出现突发事件,这是考验安全团队能力的状况。如何在最短时间内将指数控制回来?这就是我们团队应急能力的体现。

    比如说通过安全分析模块,感知到系统当中相关漏洞,迅速把有问题主机进行排查,进行相关分析,这样对我们当前的安全资产分析模块就进行了联动,最后形成了安全的分析指数。

    这是我们第一个模块,也是为其他两个模块提供了相关的基础,除了对风险分析还有对资产的感知。

    2. Builder

    Builder,管理架构模块。这个模块我们始终认为安全是按需选择的产品,只有接近业务需求的产品才是最适合你的。而不是搞一堆IDS过来就安全了,可能您当年业务有一台网站业务,需要一个WAF,这时候您只需要部署我们的WAF模块,或者可以直接提供一个OTP功能,不需要了就可以去掉。自身加入模块也带基线的功能,我们对互联网基线进行了调研,可以通过基线实时感知安全状态。

    更重要的是出了问题我们如何修复,这也是很头疼的问题。比如说我们很多时候都遇到过一些漏洞,发现方式是基于POC的,也叫原理扫描的方式。另外是基于版本号判断,基于版本号就形成了很大的误判,比如,Linux进行了重新打包升级,通过应用版本号没办法准确定位到系统中安全的情况。还有青藤云这款产品,在Agnet主机中通过前面资产感知功能,感知到您当前主机应用的发行版本号,精确匹配到相关漏洞。发现漏洞之后,第一这个漏洞怎么修复?我们对这个漏洞,比如说操作系统的漏洞提供精确到命令的修复建议,这个漏洞如果修复会不会影响我其他的业务,这是所有人员最关心的问题。我们在这里把每一个漏洞的影响到系统的相关进程端口提供给用户,供用户选择分析。第三漏洞有没有POC、XP进行验证,我们都进行了相关分类。选择的时候清晰可衡量,而且是自主选择的过程,这就做到了安全加固,而且是个闭环。

    0_1470894619063_upload-5a72fbe6-1243-4bf7-b0d6-dd3938efb826

    我们看所有加固模块的分布情况,其实我们对每一个环节都提供了相关灵活的选择。比如说您需要一个WAF,我们可以通过部署产品在相关位置产生区域的WAF出来,这样就有了防御能力。您需要文件级的监控,我们可以通过监控主机里面已经存在的文件进行相关策略的制定,第二是主机方面可以做查杀。第一个是关起门来打狗的模式,可以主动下放命令,也可以在业务低峰期去执行。第二是动态感知过程,因为我们已经感觉到了当前网站目录详细情况,有文件发生变更也可以及时分析,可以进行查杀。

    好多企业也需要对主机操作进行审计,但是传统堡垒机有主机支持的问题和价格成本的问题,如果用Agnet可以用相关的主机审计模块,我们可以记录黑客或者恶意攻击者,或者是管理员操作不当,对所有操作进行监控。这不是基于文件日志级的,日志擦除了我们也可以清晰准确的知道。除此之外我们还有两个外部的Agnet,就是外部扫描器,它会模拟黑客攻击的行为。比如说黑客会有相关的攻击EXP,站在黑客视角,看外部端口相关应用进行全面的检查。另外我们还有一个流量分析系统,对保护的主机要进行流量分析我们也可以监控到。

    3. 入侵监控模块

    0_1470894638594_upload-554c1cd1-48de-4eb7-8082-98648097e58c

    这个是入侵监控模块,我们主要是做到了三个级别的监控。程序级别,我们可以对系统相关文件进程程序进行相关的监控,一旦文件进程发生恶意行为的时候,我们可以在第一时间进行感知。机器级别,主机之间互相的访问关系进行了监控,Agnet可以在所有部署主机当中感受到主机之间的拓扑结构,自动进行划分。如果一旦出现其他区域的主机连接,我们就会进行实时业务报警。另外可以自定义白名单策略,发生在策略之外的系统,比如说外部访问数据库,有另外一台主机也访问你数据库,我们就可以进行报警。最后业务网络流量的分析,您对特定主机的流量提取出来之后,到流量分析的这台Agnet可以进行分析。整个入侵监控模块从三个视角角度,多维视角角度做到了机器级别、业务网络级别和程序级别的响应。

    我们希望给企业提供一个整体的安全响应方案,三个模块可以实时进行联动,最后一个模块是资产感知功能。我们知道下一代安全一定来自于感知,我们把Agnet部署在主机内部,我们是从白盒视角看待所有主机的行为和问题,这就是最精确的感知。这种感知除了内部感知还有外部检查器,配合外部常规的一些扫描方式进行感知,通过感知到的资产进行全面漏洞的响应、发现、处理、加固,并且对入侵模块进行风险监控、分析,把整个安全建立成一个整体。同时在整个功能中如果你有什么安全需求,比如说有些主机业务系统,可能就需要做一套外部监控系统,外部主机进行相关敏感的连接分析,相关上传点的分析,这些分析我们都是基于流量部署的方式进行分析的,是非常精确的,我们不是暴力的盲扫,有人攻击你,而且攻击成功我们才会记录下来。假如说主机中有上传点,发生上传行为的时候我们可以精确监控到上传点的位置,安全人员只需要分析这个上传点是不是有什么漏洞就可以了。

    我们日常当中系统是面向第三方应用开发的,或者面向代理商的产品开发,这时就会有很多系统弱口令,会威胁到用户的信息。我们如何第一时间感知,发现弱口令呢?从策略上盲目的扫描、破解的话会非常耗费系统资源,我们可以实时感知主机当前弱口令的信息,全部罗列出来,可以第一时间发现安全威胁。

    另外我们始终认为任何一台主机放在网络上,有人攻击你是正常的行为,你还能发现,发现不了才是最可怕的。我们只记录对您攻击成功的行为,比如说您主机放在互联网上,有相关的弱口令。黑客可能尝试了十次,前面几次来说对他是尝试,第十一次成功了,我们就记录了攻击者的行为,第一时间通知您响应。您可以选择阻断这种攻击行为进行分析,同时我们看到前面几个模块,机器级别之间的行为访问,我们可以灵活定义黑白名单的策略,在主机响应范围之内进行响应,或者不在您黑白名单策略的可以进行灵活定义,进行全面感应。所以我们始终认为安全是自适应的过程,而且安全永远是一个状态,如何维护好企业安全的状态?我们就是要解决这样安全的事情,希望我们的产品可以给企业提供更多的安全应用,而且是一个持续可量化的安全过程,最好用的安全平台。

    我们的产品现在支持私有化部署,也支持SaaS模式的部署,非常灵活,您不用担心用了我们产品之后我们会看到您的安全事件,您可以用私有化部署模式,有任何想法都可以联系我们。

    0_1470894670793_upload-538bf976-20e1-45c1-8856-dee6720d0c6a

    这是入侵监控的三个模块的特点,关系模式、行为模式、特征锚点。比如说我们在相关位置下的蜜罐做相关的联动分析,而且这种分析是非常精确的,误报率非常低。因为我们准确记录黑客成功攻击的过程,进行整体联动。今天就讲到这里,谢谢大家!


登录后回复
 

与 青云QingCloud 社区 的连接断开,我们正在尝试重连,请耐心等待