“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应

传统企业安全中，部署了EDR（Endpoint Detection and Response）及NDR（Network Detection and Response）产品的企业，可及时定位失陷资产，响应终端威胁，减少攻击产生的危害。EDR和NDR在传统企业安全中为企业起到了保驾护航的重要作用。

但随着云计算的到来，越来越多的企业将自己的业务上云，云原生安全越来越受到企业的关注与重视，随之云端检测与响应（Cloud Detection and Response，CDR）的理念也应运而生。

下面我们将围绕腾讯云安全运营中心（详情戳：https://cloud.tencent.com/product/soc）这款产品的部分功能，来给大家介绍一下，如何依托云的优势，进行及时的风险检测与响应处置，最终保护客户的云上安全。

事前安全预防

● 云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》（如何让云比你自己的数据中心更安全）报告中指出，大多数成功的云攻击都是由错误引起的。例如配置错误、缺少修补程序或基础架构的凭据管理不当等。而通过明显利用IaaS计算和网络结构的内置安全能力和高度自动化，企业实际上是可以减少配置、管理不当等错误的机会。这样做既能减少攻击面，也有利于改善企业云安全态势。

云安全运营中心在事前预防阶段的主要任务就是对云上资产进行定期自动化风险评估，查缺补漏，及时发现风险点并进行修复和处置。安全运营中心可以帮租户梳理资产的漏洞详情，探测对外开放的高危端口，识别资产类型，检查云安全配置项目等，自动化的帮助租户全面评估云上资产的风险。下面简单介绍一下云安全配置管理（CSPM），让大家更直观的感受到如何进行事前的安全预防。

上图就是安全运营中心的云安全配置管理页面。借助腾讯云各个产品提供的接口，安全运营中心对8类资产，近20个检查项进行了检查和可视化展示。可以看到页面上列出了检查项的总数、未通过检查项总数、检查总资产数、配置风险资产数。另外下方列出了详细的检测项，包括了：云平台-云审计配置检查、SSL证书-有效期检查、CLB-高危端口暴露、云镜-主机安全防护状态、COS-文件权限设置、CVM-密钥对登录等。

以CVM-密钥对登录检查项为例，这个检查项主要是检测CVM是否利用SSH密钥进行登录。因为传统的“账号+密码”的登录方式，存在被暴力破解的可能性。如果暴力破解成功，那资产有可能会沦陷为黑客的肉鸡，成为进一步内网横向渗透的跳板。所以针对此风险进行事前防御的检查，能够规避很大一部分的安全事件。

● 合规管理

等保2.0提出了“一个中心，三重防护”，其中“一个中心”指的便是安全管理中心，即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。安全运营中心在提供满足等保2.0合规要求的日志审计、内到外威胁感知及其他安全管理中心要求功能的基础上，为客户提供针对部分等保2.0要求的自动化评估功能，实现持续动态的自动化合规评估和管理。可根据等级保护等合规标准要求，对云上的合规风险进行评估，并提供相应的风险处置建议。

事中监测与检测

● 网络安全-互联网流量威胁感知

当云上安全事件发生时，能够及时地发现并进行告警，帮助客户对症下药，对于客户进行资产排查和处置也尤为重要。下图展示的是安全运营中心网络安全页面。

网络安全主要是针对租户资产的网络南北向流量进行的安全检测。借助腾讯云平台安全能力，实时监测租户资产互联网流量中的异常，并向租户进行告警与提醒。目前网络安全的检测能力覆盖了45类的网络攻击类型。下面列举出10类高风险的威胁类型：

1.SQL注入攻击；2.敏感文件探测；3.命令注入攻击；4.认证暴力猜解；5.恶意文件上传；6.XSS攻击；7.webshell探测；8.各类漏洞利用（包括心脏滴血，struts，weblogic漏洞等比较重要的组件）;9.反弹shell行为等; 10.主机挖矿。

告警包括源IP、目的IP、受害者资产、次数、类型、威胁等级以及时间等，通过点击详情可以看到更丰富的详细信息。

除五元组的信息外，也展示了攻击载荷的详细数据，可以清晰的看到payload内容，攻击载荷有时也能了解到黑客的攻击意图，可以帮助安全团队更有针对性地进行排查。以上图的攻击为例，可以看到攻击载荷是存在于http头中：

/public/index.php?s=/index/thinkApp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

通过载荷数据看到，黑客是利用ThinkPHP 5.x远程命令执行漏洞来攻击客户资产的。该漏洞的产生是由于程序未对控制器进行过滤，导致攻击者可以通过引入‘’符号来调用任意类方法执行命令。而黑客想要执行的命令是：

echo ^<?php $action = $_GET['xcmd'];system($action);?^>>hydra.php

如果漏洞利用成功，此条命令会释放一个webshell一句话木马到服务器，并命名为hydra.php，黑客可以借助webshell小马，上传大马，从而进行更多的内网渗透工作，对内网造成更严重的危害。

安全运维人员可以根据详情页中的处置建议进行一些排查和处置。例如通过ACL策略封禁源IP，阻断其进一步的攻击。同时可以在安全事件页中查看该资产是否存在该漏洞，以及webshell木马是否已经落地。及时有效的安全排查，可以很大程度上降低安全事件的危害。

网络安全事件同时提供了攻击者画像与受害者画像。基于历史的数据，对攻击者近期发起的网络威胁进行汇总，关联是否还有其他的攻击手段，帮助客户更全方位的了解攻击者。下图展示的就是攻击者画像。

下图则是受害者画像，流量威胁TOP5，展示的是受害资产近期遭受的攻击类型次数排名，可以帮助客户更有针对性的对资产进行合理的处置。流量威胁趋势，可以更直观的了解到资产近期的安全现状。

● 泄漏检测

数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用。由于企业业务性质、开发制度等原因，互联网公司一般会涉及较多的版本变更，且大部分互联网企业内部崇尚开源文化，开放的同时，也为数据泄露事件埋下隐患。近几年从泄漏渠道上来看主要有以下几个分类：GitHub代码类，网站入侵类，网络黑市交易类，合作商接口调用类等。

安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控。通过安全运营中心的统一监控和处理，可以解放企业运维安全人员更多的时间，将更多精力集中在规则运营上。同时也能与云平台能够更好的整合开发、运维，将事件处理集中在一处，提高处理效率。在误报规则的运营处理方面，SaaS 化的平台比开源系统运营更持久，基于云上用户的体验集中优化，目前由云鼎实验室团队进行后台策略维护支持，误报问题相对较少，告警的质量相对较高。

上图就是泄漏检测的页面。安全运维人员进行配置后，即可监控自己所关注的敏感信息是否在上面两个源中有泄漏。当腾讯云的SecretId由于各种原因，出现在GitHub上时，安全运维人员可以及时的发现，尽快进行处置，避免发生更大的安全事故。

事后响应处置

安全事件发生后，云安全运营中心借助调查中心和响应中心分别提供了溯源调查以及自动化响应的能力。下面分别介绍一下这两个部分。

● 调查中心

调查中心目前接入了七类日志，有资产日志、指纹信息、漏洞详情、安全事件、用户行为分析、云审计以及负载均衡。日志调查中心提供的查询语法类似于kibana的查询语法，可以根据自己的需求组合出多种搜索语句。在后面的篇幅中，结合安全溯源，也会有所介绍。

-资产类型

展示的是客户部署在腾讯云上的各类资产的详细信息。图中能看到有CVM、COS存储、负载均衡、数据库等资产类型。

在日志调查搜索框中，可以通过多个条件组的组合，完成一些资产数据的统计。例如统计CVM上遭受攻击次数大于100小于1000的机器。

-资产指纹

包含了进程、端口、组件、账户等信息。下表列出比较关键的字段信息，更多的字段可以在日志调查中查看。

- 漏洞信息

列举机器上的漏洞名称、漏洞描述、漏洞等级、漏洞类型、CVE号、修复方案、参考链接、处理状态、影响的机器数等。这些信息也可以在资产中心->漏洞管理中进行查看。

-事件信息

事件包含了WAF、DDoS，云镜等产品发现的安全事件，比较重要的有密码破解，异地登录，WEB攻击，以及木马。这些信息也可以在安全事件页中进行查看。

-用户行为分析

UBA日志存放的是用户行为分析日志，该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云API进行自动化操作的相关记录进行账号安全性分析，并及时提示运维人员进行相关风险处理。目前UBA模块已有的风险场景有以下四种：用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作。

- CLB日志

CLB存放的是腾讯云负载均衡产品的访问日志数据，负载均衡（Cloud Load Balancer）是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

● 响应中心

响应中心是在安全事件发生后，通过内置的安全编排响应剧本，联动云上各类安全措施和产品对安全事件进行自动化响应处置并提供响应报告详情，可以及时阻断风险，配置加固资产，将安全事件的风险最大程度的降到最低。目前内置的剧本有SSH口令爆破类事件、RDP口令爆破类事件、linux主机挖矿木马类事件及windows主机挖矿木马类事件等云上常见的安全事件。

以SSH口令爆破事件为例，来看一下当安全事件发生后，响应中心如何快速的进行处置，将风险尽快排除。

上图可以看到，当SSH口令爆破事件发生后，剧本提供了四个步骤来处置，依次是：排查攻击源、排查被攻击资产、基线检测、木马检测。

1. 排查攻击源

如果攻击发生在外网，那么就联动安全组封禁外网的攻击IP。如果是发生在内网，就及时隔离内网攻击资产的网络，同时检测攻击源资产是否安装了云镜专业版，因为内网主机发起横向爆破攻击，极有可能是在之前已经失陷。

2. 排查被攻击资产

如果被攻击资产爆破成功，那么首先要及时修改账户密码，同时要尽快隔离被攻击资产的网络，防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

3. 基线检测

调用云镜接口对资产进行基线检测，及时发现风险并修复。

4. 木马检测

对资产进行木马查杀，防止黑客落地恶意文件。通过剧本的以上四个步骤，可以及时高效地处置SSH口令爆破事件，降低安全事件所带来的风险。

“云上打马”：如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景，看一下企业的安全运维人员，如何借助上文提到的安全运营中心的功能，来处理安全事件。

- 云安全配置管理

安全运维人员，可以在云安全配置管理页面检查CVM是否启用了密钥对，主机安全防护状态是否正常。通过CVM配置风险的自动化检查，降低云上资产的安全风险。

- 攻击面测绘

通过攻击面测绘识别主机的攻击面，及时收敛不必要的暴露面。

-网络安全

网络安全中，通过告警的详情页，获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

详情页可以获取到源端口，受影响资产等信息，这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

- 响应中心

当发现挖矿木马告警后，可以借助响应中心，完成响应处置。首先进行矿池连接的阻断，阻止失陷资产与矿池的数据流量传输。随后进行木马检测，借助云镜的主机安全能力，定位挖矿木马并进行木马隔离。在文件层面进行处置后，对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式，可以根据响应时详细的提示进行排查，确定挖矿进程并清除。最后进行基线的检测，对弱密码和漏洞进行检测，提高资产的安全基线，加固资产的安全，及时的将风险降到最低。

- 调查中心

借助网络安全提供的端口、资产等信息，可以在调查中心中对挖矿木马的落地进行溯源分析。1）调查中心的安全事件日志（event）中，查看挖矿主机是否有木马告警（SsaCvmInstanceId：受影响资产）

2）如果有木马告警，根据安全事件日志中记录的木马路径在资产指纹日志（assets_finger）中，寻找相关的木马进程（fullpath: 木马路径），进程的pid，以及用户信息

3）根据机器信息，在安全事件日志（event）中搜索是否有异地登录和密码暴力破解成功相关的告警。进行溯源查找

4）同时也可以查看网络安全中，是否存在相关机器的恶意文件上传以及漏洞攻击的告警，进一步排查木马落地的原因。面对云上安全的新挑战，腾讯安全极为重视企业安全的“云原生”思维价值，并结合自身安全运营经验及广泛的云上客户调研，总结出云原生的CDR体系（Cloud Detection and Response）,包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系，并建立全程的安全可视体系，以提升公有云上安全运营的灵敏度及效率。目前这套理念已依托腾讯云安全运营中心持续实践，帮助多个企业客户解决云上安全问题。

作为腾讯云的能力支持，腾讯安全已经实现了为腾讯云客户提供云原生的安全能力，提升企业信息安全“免疫力”，配合腾讯云及其认证的生态合作伙伴，打造内在的安全韧性，构建弹性扩展、操作性强的安全架构，满足动态的安全需求。