红蓝对抗之蓝队防守:ATT&CK框架的应用

红蓝对抗之蓝队防守:ATT&CK框架的应用,第1张

文章来 源: HACK之道

企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。

ATT&CK框架在2019年的Gartner Security &Risk Management Summit会上,被F-Secure评为十大关注热点。ATT&CK是一套描述攻击者战术、技术和执行过程的共享知识库,能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATT&CK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容,并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATT&CK分为三个部分,分别是PRE-ATT&CK,ATT&CK for Enterprise和ATT&CK for Mobile。其中,PRE-ATT&CK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATT&CK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗,目前已在多个领域得到较好的应用。

在红蓝对抗中,防守方都可以按照事前、事中、事后三个阶段进行应对,在ATT&CK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板,包括但不限于:对外提供业务的Web系统、邮件系统、VPN系统,对内提供服务的OA系统、运维系统、开发环境,员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的,在企业内进行攻击面评估属于信息收集和脆弱性识别的过程,能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性,在红蓝对抗中防守方往往处于弱势,攻击方只需要单点突破即可,而防守方需要建立覆盖所有攻击面的纵深防御体系,很难做到万无一失。但在 信息收集阶段,是为数不多的防守方占优的阶段,主要原因包括:

1. 攻击方只能通过互联网公开信息(Google、社交网站、Github)或传统社工方式获取部分企业信息,而防守方能够获得完整的企业内部信息,包括网络架构、业务系统、资产信息、员工信息等等,掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节,还能够结合诱骗或欺诈技术(Deception,如蜜罐),在攻击者能够获取到的信息中埋点,实现类似软件“动态污染”的检测和追踪效果。

2. 攻击面评估能够在特定阶段(如重保时期)通过采取更严格的管控措施降低入侵风险, 通过有限的代价获取最大攻击者入侵难度提升 ,具有很高的投资回报率。例如,获取VPN通道,相当于突破了企业传统的防护边界,直接获取内网漫游的权限。在特定情况下,通过增强VPN防护,能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式,利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于第一种方式,关注VPN厂商漏洞披露信息、做好补丁升级管理,能够有效减少大部分威胁;对于利用0day漏洞攻击VPN获取远程访问权限的场景,通过VPN自身日志审计的方式,关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量,也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式,增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证(如绑定手机号短信验证),都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATT&CK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖,对其分解可以提取每项攻击技术适用的攻击对象,参照企业内的资产和服务,评估攻击面暴露情况和风险等级,能够帮助制定有效的攻击面缩减、消除或监控手段。例如,防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求,是否存在敏感信息,并针对这些内容设定合规性要求和强制措施,以缩减该攻击面暴露情况。

综上,ATT&CK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段,同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系,无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立,可以有效地把孤立的安全防御和安全审计手段串联起来,形成完整的企业安全态势,为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作:

1.数据源梳理: 数据是实现安全可见性的基础元素,缺少多维度和高质量的数据会严重影响监控覆盖面;同时,很多企业会为了满足网络安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此,在数据源的规划、管理上,由威胁驱动的数据源需求和由合规驱动的日志数据留存,存在匹配度低、使用率低、有效性低的诸多问题,需要防守方加以解决。

* We can’t detect what we can’t see.

在进行数据源规划时,需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如:针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险,需要采集哪些数据?首先需要考虑企业实际的邮件系统情况,比如使用自建的Exchange邮件服务,需要采集的数据包括:Exchange邮件追踪日志、IIS中间件日志、SMTP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破?还是通过邮件协议认证爆破?还是通过Webmail或客户端接口撞库?不同的企业开放的邮箱访问方式不同,暴露的攻击面和遭受的攻击方法也有所区别,需要根据实情梳理所需的数据源。

在数据源梳理上,由于涉及到的威胁类型、攻击方法众多,考虑周全很困难,可以通过参考ATT&CK框架选取企业相关的攻击技术,统计所需的数据源类型,并梳理数据源采集、接入优先级。关于数据源优先级筛选,2019年MITRE ATT&CKcon 2.0会议上Red Canary发布的议题:Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序,如下图所示:

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等,不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括网络镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划,再通过实际的检测效果增强补充。

2. 检测规则开发:大数据智能安全平台(或参考Gartner所提的Modern SIEM架构)已逐步取代传统的SIEM产品,成为企业威胁感知体系的核心大脑。传统的攻击检测方法大多是基于特征签名(Signature),采用IOC碰撞的方式执行,在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题,且在防守方看来无法做到检测效果的衡量和能力评估。因此,新的检测理念需要从行为和动机出发,针对攻击者可能执行的操作完善审计和监控机制,再采用大数据关联分析的方式去识别攻击活动。

ATT&CK框架在这里就起到了非常重要的参考作用,框架中的每项攻击技术,知识库都描述了相应的检测手段和过程,以T1110暴力破解为例,其Detection描述如下图所示。

虽然没有抽象出具体检测方法、检测规则,但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述,防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测方法和检测规则的开发、部署、测试。此外,高级持续性威胁(APT)使用了较多的白利用技术,无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼,打上技术标签,后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测方法结合,就提供了更加有效的补充手段。

综上,威胁感知体系的建立,需要通过数据源梳理和检测规则开发来完成基础准备工作,ATT&CK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则,使防守方脱离安全可见性盲区,实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前网络安全防御能力并找出薄弱点,部分企业会进行内部红蓝对抗模拟演练,ATT&CK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1.红队技术指导:ATT&CK框架包含了266种攻击技术描述,模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时,可以通过参考并复现“发现”、“收集”战术目的下的攻击技术,对内网暴露的攻击面逐一测试;在开展模拟场景演练时,可以挑选不同的战术目的制定模拟攻击流程,从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例,攻击技术链包括:钓鱼 ->hta执行 ->服务驻留 ->凭证获取 ->远程系统发现 ->管理员共享,如下图红色链路所示。

2. 蓝队效果评估:内部模拟对抗是企业防守方检查实际威胁感知能力的最佳手段,对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时,防守方也可以通过模拟演练提炼极端情况下的缓解预案,包括:临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上,内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段,作为大考前的模拟考,对防守方具有很大的查漏补缺、优化完善的作用,而ATT&CK框架在这个阶段,对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分,在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外,对于已突破边界防护进入内网漫游阶段的攻击者,基于ATT&CK框架能够有效识别资产(终端/服务器)风险,发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATT&CK主机威胁分布矩阵图,汇聚该主机上近期被检测到的所有攻击技术活动,然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型,监控主机是否失陷。异常模型从以下三个维度识别攻击:

1.攻击技术分布异常:多个战术下发生攻击、某个战术下发生多个不同攻击等。

2. 攻击技术数量异常:主机上检测到大量攻击技术,与基线对比偏差很大。

3. 特定高置信度失陷指标:主机上触发了高置信度规则检测到的高风险告警(传统的Trigger机制)。

以下图为例,主机短时间内触发一系列“发现”战术下的攻击技术,这在日常运维中是较为少见的,与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作,故该机器风险很高,判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志(包括:进程活动、注册表活动、文件活动和网络活动),可以通过唯一进程ID(GUID)进行父子进程关联操作。当发现可疑进程活动时,能够回溯该进程的进程树,向上直到系统初始调用进程,向下包含所有子进程,并且为进程树中所有可疑进程添加ATT&CK攻击技术标签,如网络请求、域名请求、文件释放等丰富化信息,帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例,发现可疑进程wscript.exe后溯源其进程树,其中标记了感叹号的子进程为命中了ATT&CK攻击技术的进程,无感叹号的子进程也属于该可疑进程树下,有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息,可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为,这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程网络连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析,通过回溯攻击者入侵植入木马的手段,进一步排查是否存在数据缺失、规则缺失导致的攻击漏报;并通过关联所有具有相似行为的终端,确认是否存在其他未知失陷资产。

以上基于ATT&CK框架建立的资产风险监控和可疑进程判定方法,能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹,并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路,更多与ATT&CK框架适配的应用方法也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段,防守方对防御效果的评估是非常重要的环节。具体包括以下内容:

安全设备漏报分析:结合攻击方提供的报告,把各个攻击类型归属到相应的安全检测设备,查看相关设备的告警与报告中的攻击过程是否匹配,分析当前安全设备检测能力,较低检出率的设备需要后续协调厂商优化、更新规则等,以加强完善。

规则误报调优:在红蓝对抗开展阶段,为了确保对攻击方攻击过程的全面覆盖检测,通常会采用限制条件较宽松的规则检测模式,以防漏报对防守方造成的失分影响。例如,对暴力破解场景,触发告警的连续登录失败请求阈值可能设定的较低;对Webshell植入场景,可能对所有尝试上传动态脚本文件的行为都做监控或拦截,以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则,在红蓝对抗过程中能够尽量减少攻击漏报,具有比较好的效果;但同时,由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中,需要对产生误报的数据和误报原因进行统计分析,完善检测规则逻辑、边界条件限制,配置适当的白名单过滤,为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析:在红蓝对抗准备和红蓝对抗开展阶段,防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作,因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择,来挖掘是否存在先前遗漏的边缘资产、未知攻击面,通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析,补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进:针对红蓝对抗中发现的薄弱环节,防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大,重点关注的核心资产、靶标也有所差别,在准备过程中可能根据优先级选择了比较关键的几个领域优先开展,而通过红蓝对抗发现的其他薄弱环节,为后续开展哪些方向的工作提供了参考。例如,重点加强生产环境安全防护的,可能忽略了员工安全意识培训,导致被攻击者钓鱼的方式突破入侵;重点关注网站安全的,可能忽略了服务器存在其他暴露在外的端口或服务,被攻击者通过探测发现,利用已知漏洞或0day漏洞控制服务器绕过。结合ATT&CK框架补充对应的数据源和攻击技术检测手段,可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程,也为后续持续优化改进提供参考。在这里ATT&CK框架起到的作用主要是统一攻防双方语言,将每一个攻击事件拆分成双方都可理解的技术和过程,为红蓝对抗走向红蓝合作提供可能。

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固

本次进行Nginx服务调优加固主要从以下几个部分:

本文档仅供内部使用,禁止外传,帮助研发人员,运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务,也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginx.org/en/docs/

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数:http://nginx.org/en/docs/configure.html

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件),减少网络传输

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离,从而提高性能。

keepalive模块

长连接对性能有很大的影响,通过减少CPU和网络开销需要开启或关闭连接

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优,主要涉及到网络和文件系统、内存等的优化,

下面是我常用的内核调优配置:

文件描述符

文件描述符是操作系统资源,用于表示连接、打开的文件,以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时,通常一个文件描述符表示客户端连接,另一个连接到代理服务器,如果开启了HTTP 保持连接,这个比例会更低(译注:为什么更低呢)。

对于有大量连接服务的系统,下面的设置可能需要调整一下:

精简模块:Nginx由于不断添加新的功能,附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别:

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能,调优的时候web应用不需要关掉但值得一提,因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如,配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题,按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行

Nginx安全配置项:

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户,采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议),配置其是为了数据传输的安全,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术,如果他们的垃圾信息链接显示在访问日志中,并且这些日志被搜索引擎扫描,则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向

Nginx支持webdav,虽然默认情况下不会编译。如果使用webdav,则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时,如"../nginx.status",stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法:nginx.conf文件中stub_status不应设置为:on

如果在浏览器中出现Nginx自动生成的错误消息,默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为:off

client_body_timeout设置请求体(request body)的读超时时间。仅当在一次readstep中,没有得到请求体,就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法:nginx.conf文件中client_body_timeout应设置为:10

client_header_timeout设置等待client发送一个请求头的超时时间(例如:GET / HTTP/1.1)。仅当在一次read中没有收到请求头,才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法:nginx.conf文件中client_header_timeout应设置为:10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法:nginx.conf文件中keepalive_timeout应设置为:55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器,而是在两次客户端读取操作之间。如果在这段时间内,客户端没有读取任何数据,Nginx就会关闭连接。

加固方法:nginx.conf文件中send_timeout应设置为:10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法:nginx.conf文件中limit_zone应设置为:slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量,即限制来自单个IP地址的连接数量。

加固方法:nginx.conf 文件中 limit_conn 应设置为: slimits 5

加固方法:

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module,然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))进行获取

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源,我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停,将会对业务或者SEO排名以及企业形象造成影响,我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问,那么非白名单中的地址访问将被阻止访问, 我们可以如下配置

常用nginx配置文件解释:

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-3.1.9/bin/httpd.sh 在不影响其他代码的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

现在很多用户上云并不只是购买云服务器就完事了,为了保障网站或者应用的响应速度和安全,往往还会使用诸如CDN、云安全中心、DDOS高仿等云产品,其中云安全中心是用户购买比较多的一个安全类云产品,下面为大家解析下云安全中心是什么?可以为我们提供哪些安全保障?

云安全中心(态势感知)是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统,通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上主机、本地服务器和容器安全,并满足监管合规要求。产品详情介绍可参考: 云安全中心-态势感知-漏洞扫描-安全-阿里云

1、【飞天会员专享】飞天会员用户享防篡改包年75折优惠, 点此进入阿里云飞天会员中心了解

2、优惠活动【ECS首购专享】首购1核2G爆款云服务器+云安全中心首年97.02元起, 点此进入阿里云服务器精选特惠活动购买

1、防病毒版

云安全中心安全专家团队通过对海量病毒样本、持久化、攻击方式的自动化分析,推出阿里云机器学习病毒查杀引擎,实现一键式病毒查杀处置能力。

2、高级版

高级版支持漏洞修复、查杀病毒木马,勒索软件,挖矿病毒。如果需要全面的威胁检测能力、基线检查和攻击自动溯源,建议启用功能更强的企业版。

3、企业版

企业版是实时识别、分析、预警安全威胁的统一安全管理平台,帮助您实现威胁检测、响应、溯源、防御的自动化安全运营闭环,有效保护云上资产和本地主机并满足监管合规。

4、旗舰版〔容器安全)

旗舰版是主机、容器环境的统一安全管控平台,提供全面的运行时威胁检测,容器网络可视化、镜像安全扫描、漏洞修复、基线检查、云平台配置检查等功能,一站式解决安全威胁。

1、安全预防

1、等保合规场景

对于等保2.0二级和三级中针对服务器主机安全的入侵防范、身份鉴别、安全审计等方面的要求,云安全中心(态势感知)可应答其中15+等保标准的要求项。

可提供的安全服务为:

2、混合云主机安全场景

云安全中心(态势感知)支持阿里云、线下IDC、其他云厂商等多种环境下的服务器主机,通过云安全中心控制台实现对云上、云外服务器的统一防护及运维,包括病毒查杀、漏洞扫描、防勒索等安全防护,降低安全管理成本。

可提供的安全服务为:

3、容器安全场景

基于阿里云容器安全ATT&CK攻防矩阵,云安全中心(态势感知)重点关注容器构建、容器部署和容器运行三大生命周期阶段,通过云原生方式,多维立体构建容器安全能力,为企业云上容器化进程提供全方位安全保障。

可提供的安全服务为:

1、稳定性

百万级服务器主机装机量,资源占用低CPU使用率低于10%,不影响客户正常业务。

2、统一安全管理

支持对全网服务器主机、容器、云产品的威胁管控,可以部署在线下IDC及其他云平台,统一管控。

3、安全闭环能力

主动拦截主流病毒木马,全面漏洞扫描,可一键修复漏洞/基线不满足项等,降低用户运维成本。

4、全面攻击检测

收集3大类型14类服务器主机日志,250+威胁检测模型提供全链路的威胁检测能力。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/305678.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-27
下一篇2023-04-27

发表评论

登录后才能评论

评论列表(0条)

    保存