2019年中国主机安全服务报告~学习
看这份报告果然费劲,但极大扩展了知识面。里面提出的很多是最佳实践,如何结合公司实际,去
实践
是关键。
总结了1万多字。
作者:中国产业互联网发展联盟,腾讯标准,腾讯安全,青藤云安全
发布时间:2020年4月
腾讯高度重视标准化研究与应用的工作。
根据提供的不同服务可以分为Web服务器、电子邮件服务器、数据库服务器、基础设施管理服务器、文件服务器等。
常见的主机威胁:
攻击者利用主机软件或其底层操作系统中的漏洞来获得未经授权的访问。
针对服务器的DoS攻击,阻止有效用户使用其服务。
截获在服务器和客户端之间传输的未加密或弱加密的敏感信息。
攻击者通过失陷主机获取网络中其它未经授权的资源访问。
本报告旨在帮助各组织机构更好地保护主机安全,包括如何确保底层操作系统安全、软件配置安全、以及 通过补丁、安全测试、日志监控以及操作系统文件备份来维护安全配置。
面对日趋猖獗的黑客攻击,单纯地指望通过防御和管控策略已行不通,必须更加注重检测与响应。
主机安全最佳实践:
组织机构应当采取合适的主机管理机制,包括对主机资产的识别,以及确保信息系统资源的机密性、完整 性和可用性。
配置控制管理措施;持续进行风险评估和管理;.满足合规的要求、标准化的软件配置;加大安全意识培训;建立应急计划、业务连续性和灾难恢复计划。
组织机构应该确保主机操作系统的部署、配置和管理满足安全需求。保护主机安全性的第一步是保护底 层操作系统。如果底层服务器的操作系统配置得当,就可以避免许多安全问题。
组织机构需要确保主机上安装的应用能够满足安全要求。最重要的原则是安装最小数量的所需服务,并 通过打补丁或升级软件来消除漏洞。
打补丁或升级主机应用程序;去除不必要的服务或应用;配置主机用户权限和访问控制;配置主机资源控制;测试主机应用的安全性。
组织机构需要确保服务器的持续安全性。
经常配置、保护和分析日志文件;经常备份关键信息;建立回滚策略;. 及时测试和应用补丁;定期测试安全性。
传统网络边界已经不复存在。
在企业级主机上经常使用的都是 Windows和Linux系统。
述使用Linux操作系统的主机中,超过73%都是使用CentOS,该系统是基于Red Hat Enterprise Linux 的源代码编译而成。新版本的CentOS大约每两年发行一 次,而每个版本的 CentOS 会定期(大概每六个月)更新一次,以更好地支持新硬件。
很多黑客入侵都是从账号入手,一般用软件扫描弱口令或者暴力破解登陆账号。为了保障主机安全,一定要谨慎处理系统中特殊账号,包括UID为0、GID为0、 Root权限账号、Sudo权限账号、交互登录账号等等。
74%的主机上都存在UID为0、GID为0、Root/Administrator账号、Sudo权限 等特殊账号。
目前最主流的Web服务包括Tomcat、Apache、 Nginx 、IIS。
Linux中Top5 Web服务应用分布:Tomcat(58%),Nginx(32%),Apache(5%),Weblogic(3%),Tengine(2%)。
Windows中Top5 Web服务应用分布:IIS(47%),Tomcat(36%),Apache(8%),Nginx(7%),Webshphere(2%)。
Web 框架的作用就是隐藏处理 HTTP 请求和响应相关的基础代码。
Linux中Top10 Web应用框架类型:Spring(27%),Spring MVC(16%),Quartz,Jackson(13%),Fastjson(10%),Velocity(6%),Mybatis(4%),Jersey(3%),Freemarker(3%),Zkoss(3%)。
Windows中Top10 Web应用框架类型:Spring(19%),Jackson(14%),Spring MVC(14%),Fastjson(10%),Freemarker(9%),Quartz(8%),Velocity(8%),Hibernate(7%),Apache Axis(6%),Mybatis(5%)。
DB2曾经是数据库的领导者,但近几年发展乏力,在持续下滑。
Linux中Top5数据库应用的分布:Mysql(28%),Postgresql(28%),Redis(27%),Memcache(9%),MongoDB(6%)。
Windows中Top5数据库应用的分布,SQLServer(74%),Oracle(25%)。
CNNVD将信息安全漏洞划分为26种类型
漏洞类型:配置错误,代码问题,资料不足。
代码问题:资源管理错误,输入验证,数字错误,信息泄露,安全特征问题,竞争条件。
输入验证:缓冲区错误,注入,路径遍历,后置链接。
安全特征问题:授权问题,未充分验证数据可靠性,信任管理,权限许可和访问控制,加密问题。
注入:格式化字符串,命令注入,跨站脚本,代码注入,SQL注入。
未充分验证数据可靠性:跨站请求伪造。
权限许可和访问控制:访问控制错误。
命令注入:操作系统命令注入。
2019年影响范围最大的TOP10漏洞。
LINUX内核本地提权(脏牛)漏洞(CVE-2016-5195)
LINUX内核信息泄漏漏洞(CVE-2016-9555)
GLIBC缓冲区溢出漏洞(CVE-2017-15670)
GLIBC堆栈缓冲区溢出漏洞(CVE-2017-15804)
BASH本地命令执行漏洞(CVE-2016-7543)
LINUX内核本地拒绝服务漏洞(CVE-2018-10675)
GLIBC堆栈缓冲区溢出漏洞(CVE-2018-11236)
BIND远程拒绝服务漏洞(CVE-2018-5740)
SUDO本地权限提升漏洞(CVE-2017-1000367)
BIND远程拒绝服务漏洞(CVE-2017-3145)
高危端口是指常黑客攻击频次较高的端口。
22,21,53,1900,135,3389,7001,139,445
BlueKeep(CVE-2019-0708)、 Windows RDS(CVE-2019-1181),均是Windows远程桌面服务的漏洞并且危害巨大。
主机软件弱密码主要集中在MySQL(38%)、SSH(30%)、SVN(16%)、Redis(11%)、vsftpd(2%)这五类应用 上。
针对主机漏 洞带来的危害,安装相应的补丁是最有效、也是最经济的防范措施。
后门远控类木马有着极 高的隐蔽性,接受远程指令执行信息窃取、截屏、文件上传等操作,对金融科技等信息敏感行业可造成极 大危害。
感染型木马在教育行业感染比例相对较高,可能和该行业频繁的文件交互传输有关。
2019年,全国企业用户服务器病毒木马感染事件超百万起,其中Webshell恶意程序感染事件占73.27%;Windows恶意程序感染事件占18.05%;Linux恶意程序感染事件占8.68%。
从感染的Webshell语言类型来看,PHP类型(67%)的Webshell是最多的,其次是ASP语言,JSP(9%),VBS(2%)。
对于Webshell的检测防御,需要重视一句话木马。
攻击者利用软件对那 些暴露在公网上的RDP、SSH、Telnet、FTP等服务进行扫描,然后进行暴力破解。以存在弱口令的主机为 基本立足点,并借此攻陷整个系统。
据相关报告,端口暴露的单个 Linux系统,平均遭受超过40000次/天的网络攻击,攻击频率约5次/秒。存在弱口令的Linux系统,每月大 概有17000次被入侵成功。
盖茨病毒,该病毒在进入内网之后,会利用自身的字典对内网中的SSH服务进行暴力破解,一旦暴 破成功,便会感染暴破成功的主机。
无论Windows平台还是Linux平台,年底都是挖矿入侵事件的高发时期,这段时间需要重点关 注服务器是否出现CPU占用过高的情况。
Windows平台挖矿事件主要发生在夜晚23点以及3点到8点之间, Linux平台挖矿事件主要发生在凌晨2点到6点之间。可以看出无论是Windows平台还是Linux平台,凌晨 都是挖矿事件发生的高风险时期。
在等保2.0通用基本要求的身份验证控制项中明确要求“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换”、“应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施”。
不合规情况:
1)未设置密码尝试次数锁定
攻击者可无限次尝试登录系统,建议设置账户登录次数限制。
2)非wheel组用户使用SU切换root
建议在/etc/pam.d/su文件中增加auth required pam_wheel.so use_uid。
3)未设置密码复杂度限制
用户设置的弱口令,会让攻击者通过弱口令暴破方式获得密码。建议将存在问题的账户添加密码复杂度 限制。
4)账户目录任意读写
账户目录可被任意读写,则意味着用户的变量信息或文件均可被任意改写,因此存在系统被提权或越权, 或水坑攻击等风险。建议根据需要检查修改账户目录读写的权限。
5)账号未设置过期时间
用户账号密码应定期更换,若未设置密码过期时间,则用户可能不会有定期更换密码的意识,从而无法有 效的保障账户安全。建议将未设置过期时间的账户添加过期时间限制。
6)无密码可sudo的账号
无密码可sudo账号往往存在一定的安全风险。请删除无密码可sudo的账号或者对该类账号添加强口令。
7)应用账号可登录系统
应用账号为应用专用,大多数情况下无需登录系统,且如果设置的密码为弱口令,存在被遗忘并被攻击者 利用的风险。在不影响业务的前提下,应用账号设置为不可登录系统。
8)/etc/shadow权限检查
用chmod命令将/etc/shadow的ACL更改为400。一些系统可能需要将ACL设置为600。请参阅系统文档, 以确定所需最小的ACL。用户root用户组root/shadow 例如(可根据系统不同而不同):sudo chmod 400 /etc/shadow。
可执行如下命令进行修复:
sudo chmod 400(600) /etc/shadow
sudo chown root:root(shadow) /etc/shadow
主机应用合规分析
1)NTP服务存在反射放大DOS攻击漏洞
NTP是用UDP传输的,所以可以伪造源地址。并且,在NTP协议中有一类查询指令,用短小的指令即可令 服务器返回很长的信息。网络上一般NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽 就可以欺骗NTP服务器,给目标服务器带来成百上千Mbps的攻击流量,从而造成拒绝服务攻击。如果攻 击者同时向多台NTP服务器发送这种查询指令,则可以造成分布式拒绝服务攻击。
修复建议:将NTP版本更新到4.2.7p26以上,ntpd-4.2.7p26版本后,“monlist”功能已经被禁止,取而代之 的是“mrulist”功能,使用mode6控制报文,并且通过实现握手过程来阻止对第三方主机的放大攻击。
2)Tomcat 5xx错误页面重定向配置检查
5xx页面未配置时,攻击者可以利用一些漏洞,如struts2远程命令执行漏洞,通过报错回显的方式获取目 标的数据。配置5xx后,可以为此类攻击制造障碍,并且不易被攻击者发现和验证漏洞的存在。
检测方法:使用xml API解析tomcat配置文件,检查error-page节点下的error-code的值为5xx(可以为 500、501等)的项,对应的location的值是否配置,如果有配置并且值不为""和nil,如果有一个5xx配置,则 说明没有漏洞。
修复建议:在配置文件中添加配置500错误页面。正确配置示例:500 /noFile.htm。
3)Tomcat 404错误页面重定向配置检查
tomcat 404错误页面重定向配置检查,查看配置/conf/web.xml文件,使用xml API解析配置文件检查 error-page节点下的error-code的值为404的项,如果对应的location的值有配置,并且不为""和nil,则说 明配置没有问题。修复建议:在配置文件中配置404错误页面。正确配置示例:404 /noFile.htm。
4)nginx 是否开启同源策略和referer检测
如果Nginx没有开启同源策略防护,很可能遭受点击劫持、盗链等恶意攻击。修复建议:在配置文件中配置X-Frame-Options
如果不允许跨域访问,则删除Access-Control-Allow-Origin配置
如果允许单个域名跨域访问,则设置Access-Control-Allow-Origin值为可信域名。
如果允许多个域名跨域访问,建议使用下例方法(map中域名为可信域名。
5)SSH服务用户home目录中存在未加密私钥
默认情况下,在用户的home目录中存储着未加密私钥,一旦该服务器被入侵,则可能导致该私钥泄露。私钥是登录服务器的重要凭证,如果私钥被攻击者利用,可通过私钥进行ssh登录认证获取系统权限,带 来不可预知的高危风险。
修复建议:删除对应的私钥,若已经使用过该私钥对应的公钥进行登录,则应注意更换所有使用该公钥的 主机的密钥。
6)Tomcat运行权限检查
Tomcat以root权限运行时,应用程序(如Struts2、jsp webshell)也拥有了root权限。因此,通过该漏洞,可 以直接以root用户身份控制主机。Tomcat运行权限检查,检查tomcat运行用户的uid或gid是否为0。
修复建议:将tomcat运行账号切换至普通用户以及普通用户组。
7)Redis服务存在CONFIG命令配置未被修改
若未修改/root/redis/redis.conf中默认的rename-command CONFIG设置项,攻击者可使用CONFIG命 令对Redis的数据库文件位置进行修改和变更。通过在数据库中插入攻击者的ssh公钥信息,并执行 bgsave命令可以将带有公钥信息的数据库文件写入被攻击者使用CONFIG命令指定的磁盘位置。CONFIG 命令未做修改的情况下,攻击者可以很方便地完成这一攻击过程并最终获取操作系统权限。
修复方法:将Redis配置文件中rename-command CONFIG 配置项更改为其他内容。
主机系统合规分析
1)grub 密码设置
如果不设置 grub,攻击者可通过 grub 对系统账户的密码进行修改。检测 /etc/grub.conf 或 /etc/grub.d/40_custom 是否存在 password 字段,建议将 grub 设置密码。
2)umask 值异常
检测/etc/profile、/etc/login.defs、/root/.bashrc、/root/.bash_profile、/root/.cshrc、/root/.tcshrc、/etc/bashrc、/etc/csh.cshrc、/etc/sysconfig/init 文件的 umask 值是否正常。检测配置文件 umask 值是否为期望值。/etc/sysconfig/init 期望值至少为022,其他配置文件期望值为 077。
3) 未开启 SYN Cookie
TCP SYN洪水攻击通过建立大量的半开TCP连接耗尽主机的资源。许多Linux发行版都能防止发生TCP SYN洪水攻击,但是这项保护功能默认是被禁用的。设置 /etc/sysctl.conf 文件中的 tcp_syncookies 选项为整数 1 可以保护主机免受 TCP SYN 洪水攻击。
4)SSH 支持存在安全漏洞的 v1 版本
安全 shell(SSH)协议 v1 有许多安全问题都是由 SSH 协议 v2 解决。此外,.sshd_config 设置为 2 会强制使用 SSH V2。SSH v1 采用 DES、3DES、Blowfish 和 RC4 等对称加密算法可保护数据安全传输, 而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。手动将 Protocol 2 添加到 /etc/ssh/sshd_config 文件中。
5)/etc/gshadow 权限检查
/etc/gshadow 文件的 ACL 应当设置为 400。用户 root,用户组 root/shadow 。/etc/gshadow 文件包含组账户的隐秘信息(例如加密的组密码和组的管理员信息)。如果 /etc/gshadow 文件保护不当,可能导致服务器被恶意攻击、利用。攻击者可以使用该文件篡改 或者利用组管理员账户,或者使用字典攻击破解加密过后的密码。
可执行如下命令进行修复:
chmod 400 /etc/gshadow
chown root:root(shadow) /etc/gshadow
6) 路由转发功能开启
启用网络接口之间的数据包转发创建一个服务器的路由功能。该功能可以被滥用来发起攻击或进行进 一步攻击,并能创造威胁的高度载体。如果检查失败,路由本身没有明确要求,会把 net.ipv4.ip_forward 的值更改为 0 来明确禁用 IP 路由。服务器有面向 Internet 和内部私人的两个接口,这一点就尤其重要。下面是命令示例,你可能需要自定义您的环境:对 /etc/sysctl.conf 手动配置 net.ipv4.ip_forward=0
7)/var/spool/cron 目录所有者、组所有者读写执行权限
如果恶意用户拥有在/var/spool/cron目录创建一个文件的权限,他们可以轻松地在/var/spool/cron目 录部署持久或预定恶意软件。/var/spool/cron目录的目前权限应为700。/var/spool/cron目录拥有者应 该为root。/var/spool/cron应该具有root用户组所有权。可执行如下命令进行修复:chown root:root /var/spool/cron chmod 700 /var/spool/cron
攻击者分类:自动化,机会主义,高级
检测能力、响应能力、架构适配能力、满足合规要求能力。
没有人能够保护未知的资产,因此,制定详细的资产清单是安全防护的前提。
杀毒软件通过扫描文件来查明系统是否受到感染。扫描策略主要是静态特征扫描。这种方法对于发现已知的病毒程序非常有效,但对于发现高级或 未知病毒程序并不是非常有效。
绝大多数的机会主 义攻击针对的是最常见的软件。
网页防篡改是针对网站篡改攻击的一类产品,一般会通过文件底层驱动技术对Web站点目录提供保护。
漏洞管理是指识别、评估和修复组织信息系统和应用程序中存在的漏洞的过程。
主机终端管理方案是事件响应的主要工具。
当前的有效沙箱基本都是在专用虚拟机上执行,通过沙箱可以在与网络隔离的主机上用多种操作系统安 全地测试恶意软件。
蜜罐和蜜网就是为诱捕攻击者而专门设置的风险系统。
Gartner 将 SOAR 定义为 安全编排自动化与响应,并将其看作是安全编排与自动化 (SOA, Security Orchestration and Automation)、 安全事件响应平台(SIRP,Security Incident Response Platform)和威胁情报平台(TIP, Threat Intelligence Platform) 三种技术、工具的融合。
威胁狩猎是指采用人工分析和机器辅助的方法,针对网络和数据进行主动和反复的搜索,从而检测出逃避 现有安全防御措施的高级持续性威胁。
为所有不可修补的系统和面向互联网的主机部署应用程序控制。
使用网络级的微隔离将无法修补的主机和关键业务主机进行隔离。
使用欺骗工具来检测活跃的攻击者,包括一系列更高级的蜜罐和蜜网产品,能够基于所捕获的数据为检测 和防御提供更高的自动化程度。
云工作负载保护平台(CWPP)。
固件安全类产品主要 负责盘点、监控和修补固件和微控制器。
供应链攻击,也称价值链攻击或第三方攻击,是指攻击者以有权限访问企业系统和数据的外部合作伙伴 或者供应商为跳板,潜入企业内部系统而发生的攻击。
达尔文《进化论》说,进化来源于突变,而安全面对的正是“不可预知的未来”。
攻击者和防守者处于天然不对等的地位,传统基于报警或已存在的威胁特征的检测技术,包括防火墙、 IPS、杀毒、沙箱等被动防御手段,更是让这种不平等愈发严重。
在应对未知威胁过程中存在一些不足:
检测技术单一:基于签名检测技术无法检测未知威胁,更无法定位失陷主机。
缺乏持续检测:只能做阶段性检测,无法覆盖威胁的全生命周期。
无法进行联动:各安全检测产品独立工作,攻击告警信息割裂,无法联动。
ATT&CK有助于理解攻击者的行为、技术、战术,帮助安全人员构建检测措施,验证防御措施以及分析策 略的有效性。ATT&CK包括的战术有初始访问、执行、持久化、提权、防御绕过、凭据访问、发现、横向移动、 收集、命令和控制、数据获取、影响。
ATT&CK 框架对于安全从业者的最大价值就是增强其对检测能力的理解,按照其 ATT&CK 模型覆盖度 和检测点,找到自身安全检测能力的改进方向。
攻击者希望尽可能减少工作量,包括减少访问攻击对象的时间。
即便运维人员采取重启、更改凭据等措施后,持久化仍然可以让计算机再次感染病毒或维护其现有连 接。
如果企业在终端上发现恶意软件并将其删 除,很有可能它还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此或网络上 的其它地方建立了持久化。
所有攻击者都会对提权爱不释手。
攻击者最想要的是凭据,尤其是管理凭据。这就犹如小偷进入房子,如果能够找到钥匙开门,没人会愿意砸破窗户进入。
攻击者最喜欢的方式是窃取明文密码。
在高度动态的环 境中,确定哪些RDP属于攻击者行为绝非易事,但对于确定入侵范围将很有用。
当前安全攻防对抗日趋激烈,单纯指望通过防范和阻止的策略已行不通,必须更加注重检测与响应。
据网络安全应急响应总体策略
快速、实时、自然语言查询工具,快速发现攻击的IOC类型
根据时间严重性,以及受影响资产的业务价值,对风险进行优先排序
点击攻击链可视化工具,使调查人员可从数据中获取或钻取更多信息
可自动获取可疑文件或内存和磁盘转储
自动集成分析云或沙箱中的可疑进程/文件
提供警报管理工作流的调查工具,轻松解决安全事件
挖矿恶意软件基本上可以分为基于Web的恶意软件和基于主机的恶意软件。
基于Web的挖矿恶意软件托 管在网站上在用户浏览受感染的页面时自动激活。它通常用JavaScript编写,并作为本地计算机上的Web 应用程序执行。
基于 Web的矿工很难检测或停止,因为它们虽然没有将自身安装在本地计算机上,却出于用户自己的目的而 利用本地计算机,这是用户所不知道的。
基于主机的挖矿恶意软件是系统上本地安装的恶意应用程序,。基于主机的恶意软件可以更好地访问系统资源,包括计算机的GPU,使其对于网络犯罪分子来说可能 更有利可图。
由于该主机Redis服务的6379端口暴露于公网中且存在弱口令,导致恶意攻击者通 过暴力破解方式连接Redis服务。通过crontab反弹shell直接获取该主机root用户权限,随后该主机被用 于挖矿。
被入侵的主机通常情况下存在以下三个特点:
SSH/RDP服务存在弱口令。
Web业务存在文件上传或远程命令执行漏洞。
操作系统或服务使用存在明显漏洞的版本。
通过对入侵事件的分析发现,弱口令问题仍是导致服务器被入侵的最大原因。
常规的挖矿事件往往通过杀死挖矿进程,清理掉生成文件和部分配置后即可恢复服务器正常运 行。
一旦发现类似勒索事件,可以咨询专业安全公司尝试能否通过逆向分析或数据 恢复手段进行止损,不要听信攻击者警告或怀侥幸心理尝试给攻击者转账,遇到能恢复的情况真的非常 稀少。
现在的攻 击者常常利用目标网站的流量或权重,将包含博彩、色情、暴力的网页链接隐藏于目标网站的网页中。
企 业往往通过搜索引擎或用户反馈得知自己的域名经常和涉及博彩、色情、暴力的关键词组合出现,或用户 点击链接跳转至相关恶意页面。
对于如何挂马,攻击者常见的思路有两种:(1)直接下载相关挂马网页的压缩包,解压到Web目 录。(2)下载挂马页面生成脚本,直接运行一键生成大量挂马页面。
在网页挂马的应急事件中,通过挂马页面生成脚本方式进行挂马的情况远远超过直接下载网页压缩包的 情况。在应急响应过程中发现黑客经常登录受害主机执行以下PHP脚本自动生成大量挂马页面。
根据IPMDR体系可分为,事前安全预防、事中监测与检测、事后响应处置三个阶段:
首先,需要构建事前安全预防体系,即在安全事件发生之前提升整体安全水平,防患于未然。例如对 云上各类资产进行自动动态盘点,并对各类云产品配置风险、漏洞及互联网攻击面等进行定期识别 与加固。
其次,需要构建事中的统一监测和威胁检测体系,将云上安全产品的安全事件统一收集实现安全统 一监测和全局管理。同时,针对云上特有的新型威胁需要搭建检测机制与手段,例如用户风险操作、 异常API调用及SecretKey泄漏监测等。
同时也需要构建完善的事后响应处置体系,在发生安全事件后能够及时响应阻断与配置加固,并积 极采用自动化的手段提升事件处置效率。同时,也需要构建云上安全事件的统一调查溯源平台,将安全各类相关的数据统一采集汇聚,在发生安全事件后做到可溯源。
最后,在事前、事中及事后全程需建立全程的安全可视体系,例如仪表盘监控、大屏监控、安全报表 等,以降低安全运营管理难度,提升安全运营效率,让云上安全态势可视可感知。
容器与宿主机共享操作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响。
从安全性考虑,容器主机应遵循如最小安装化,不应当安装额外的服务和软件以 免增大安全风险,及时给操作系统打补丁等原则。
镜像 安全可以从镜像构建安全、仓库安全以及镜像分发安全三个方面加固镜像安全能力。
容器以进程的形式运行在主机上,运行的容器进程是隔离的,它拥有自己的文件系统、网络以及独立于主 机的进程树。
平行容器技术方案:利用容器的隔离性和良好的资源控制能力,在容器的宿主机中启动一个容器,该容器 通过挂载宿主机的所有文件系统,而后在容器内部对这些文件系统进行实时监控和处理响应,以实现对 容器进行防护的作用。
基于宿主机的Agent解决方案:即基于全生命周期的主机防护能力,监控宿主机上容器相关的文件、进 程、系统调用等信息,增加对于容器的清点、监控、防护能力,从而通过一种安全解决方案,即可实现宿主 机安全、容器安全两种防护效果。国内新一代主机安全厂商青藤云安全是此类方案的践行者。
云工作保护平台(Cloud Workload Protection Platform)简称CWPP。
自中华人民共和国《网络安全法》于2017年6月1日正式实施以来,我国网络安全相关法律法规及配套制度 逐步健全,逐渐形成综合法律、监管规定、行业与技术标准兼备的综合化、规范化体系。
等保2.0
身份鉴别
零分
1)存在自动登录或默认账户默认口令或默认账户无口令。
2) 对口令复杂度和更换周期均无要求,或存在空口令或弱口令(6位数字及以下)。
3)操作系统和数据库系统的用户名不具有唯一性。
满分
1)对登录操作系统和数据库系统的用户进行身份鉴别。
2)不得使用默认用户和默认口令。
3)口令由数字、大小写字母、符号混排,无规律的方式。
4)用户口令的长度至少为8位。
5)口令每季度更换一次,更新的口令至少5次内不能重复。
6)操作系统和数据库系统的用户名具有唯一性。
零分
1)无登录失败处理功能或未启用登录失败处理功能
满分
1)已启用登录失败处理功能。
2)限制非法登录尝试次数,超尝试次数后实现锁定策略。
3)设置网络连接超时自动退出。
零分
当对主机进行远程管理,鉴别信息明文传输
满分
当对主机进行远程管理,鉴别信息非明文传输。
零分
采用一种鉴别技术。
满分
采用两种或两种以上组合的鉴别技术(采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术和数字证
书方式的身份鉴别技术中的任意两个及以上的组合)
访问控制
零分
1) 未根据业务需要设置访问控制策略。
2)只配置一个管理人员。
3)存在兼任。
满分
1)制定安全策略。
2)根据安全策略控制用户对资源的访问。(对重要文件的访问权限进行限制,对系统不需要的服务、共享路径等可 能被非授权访问的客体(文件)进行限制)。
3)操作系统的特权用户与该操作系统中安装的数据库系统的特权用户权限进行分离,且权限互斥。
零分
存在无用账户或多人共享账户。
满分
1)不存在过期和无用账号。
2)做到账户和人一一对应。
零分
使用默认账号和默认口令或存在弱口令。
满分
1)合理限制默认账户的访问权限。
2)重命名默认账号。
3)修改默认口令。
零分
所有操作均使用超级权限账户进行管理。
满分
所有账户采用最小授权原则(如系统管理员只能对系统进行维护,安全管理员只能进行处理配置和安全设置, 安全审计员只能维护审计信息等)。
零分
访问控制的粒度未达到主体为用户和进程级,客体为文件、数据库表级。
满分
访问控制的粒度达到主体为用户和进程级,客体为文件、数据库表级。
零分
未根据业务需要设置访问控制策略。
满分
1)制定安全策略。
2)根据安全策略控制用户对资源的访问。(对重要文件的访问权限进行限制,对系统不需要的服务、共享路径等 可能被非授权访问的客体(文件)进行限制)。
零分
1)未设置敏感标记功能。
2)未依据安全策略实现功能控制。
满分
1)能对重要信息资源设置敏感标记。
2)对重要资源设置敏感标记,并制定了访问控制策略。
零分
1)未启用审计功能。
2)审计内容未包括重要用户行为(如用超级用户命令改变用户身份,删除系统表等)。
满分
1)启用审计功能。
2) 审计范围覆盖到主机和重要客户端上的每个用户。
3)审计策略覆盖系统内重要的安全相关事件,至少包括用户标记和鉴别、自主访问控制的所有操作记录、重要用 户行为(如用超级用户命令改变用户身份,删除系统表)、系统资源的异常使用、重要系统命令的使用等。
零分
审计记录未包括事件的时间、主体标识、客体标识和结果等。
满分
审计记录包括事件发生的日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别 事件中请求的来源、事件的结果等。
零分
审计记录只在本地存储。
满分
1)采取措施对审计记录进行保护。
2)记录至少保存半年。
零分
审计进程可被非授权中断。
满分
审计进程受到保护,无法未授权中断或未授权修改配置。
零分
存在明显能被利用的安全漏洞。
满分
1)遵循最小安装原则,仅安装需要的组件和应用程序。
2)未启动多余的服务和端口。
零分
存在明显多余系统服务、共享及高危端口。
满分
1)遵循最小安装原则,仅安装需要的组件和应用程序。
2)未启动多余的服务和端口。
3)设置升级主机实现对主机的补丁升级。
4)操作系统和数据库系统补丁为厂商新公布的补丁版本
零分
未限制终端登录。
满分
远程登录限制终端接入方式和网络地址。
零分
未采用第三方监控管理软件对系统服务水平进行监视。
满分
1)通过第三方监控管理软件进行监视。
2)第三方监控管理软件具有报警功能,且设置了报警门限值。
零分
存在明显能被利用的安全漏洞。
满分
1)设置升级主机实现对主机的补丁升级。
2)操作系统和数据库系统补丁为厂商新公布的补丁版本
零分
无法检测重要程序的完整性。
满分
1)通过第三方软件对重要程序进行完整性检测。
2)检测到完整性受到破坏后具有恢复措施。
零分
重要主机上不能检测到对重要主机的入侵行为。
满分
1)能够在重要主机上检测到入侵的行为。
2)保存有攻击源IP、攻击类型、攻击目标、攻击时间等相关入侵检测记录。3)发生入侵事件能够报警(如声音、短信、Email等)。
零分
未安装防恶意代码产品或安装防恶意代码产品未及时升级
满分
1)安装防恶意代码软件。
2)防恶意代码软件为最新版本。
3)恶意代码库定期更新,且为最新版本。
本地,IaaS,PaaS,SaaS
IaaS:基础设施服务,Infrastructure-as-a-service
PaaS:平台服务,Platform-as-a-service
SaaS:软件服务,Software-as-a-service
云计算系统保护对象
安全物理环境:机房和基础设施
安全通信网络(安全区域边界):网络结构、网络设备、安全设备、综合网管系统、虚拟化网络结构、虚拟网络设备、 虚拟安全设备、虚拟机监视器、云管理平台
安全计算环境 (设备和计算节点):主机、数据库管理系统、终端、网络设备、安全设备、虚拟网络设备、虚拟安全设备、 物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、网络策略控制器
安全计算环境 (应用和数据):应用系统、中间件、配备文件、业务数据、用户隐私、鉴别信息、云应用开发平台、 云计算服务对接口、云管理平台、镜像文件、快照、数据存储设备、数据库服务器
在2018年底的中央经济工作会议上,首次提出新型基础设施概念,指出要“加快5G商用步伐,加强人工智 能、工业互联网、物联网等新型基础设施建设”。
科技向善。
在主机规划阶段,需要考虑以下几个方面内容:
1)确定主机的用途、位置、提供的服务信息。
2)确定在该主机上提供的服务,例如HTTP、FTP、SMTP。
3)确定要安装在主机和其它关联主机上的软件服务。
4)识别主机、主机用户、用户类别,确定主机和主机用户的权限。
5)确定主机的管理方式(例如,本地管理、从内部网络远程管理、从外部网络远程管理)。
6)确定如何对用户进行身份验证,以及如何保护身份验证数据。
7)确定资源访问执行,能够细粒度地将root级活动限制为仅对授权用户有效。
8)能够细粒度控制数据访问,能够禁用不必要的网络服务。
9)记录主机活动以检测入侵情况。
10)提供主机级别的防火墙限制流量。
11)提供必要的物理级安全防护。
底层操作系统安全
1)补丁以及更新操作系统
2)加强和配置操作系统,以充分解决安全问题
3)部署和配置额外的安全控制
4)测试操作系统的安全性,以确保前面的步骤充分解决了所有安全性问题
漏洞扫描应定期进行,至少每周 至每月进行一次,渗透测试至少每年进行一次。
主机运行软件安全
1)安全安装软件
2)配置访问控制
3)服务器资源限制
4)选择并部署身份验证和加密技术
服务器运维人员应急流程
向组织应急响应团队报告入侵情况
隔离已被入侵的系统或采取其它步骤来遏制攻击,以便收集更多信息
在必要的情况下,与管理层、法律顾问和执法部门迅速协商
调查相似主机,以确定攻击者是否也危害了其他系统
入侵分析,包括服务器状况(网络连接、内存转储、时间戳、登录用户)、修改服务器软件配 置、攻击者留下的痕迹、系统日志、入侵检测和防火墙日志
恢复服务器,如不可行,重新部署
测试服务器确保安全性
重新连接网络
监视服务器和网络,寻找攻击者试图再次访问服务器或网络的迹象
经验总结文档
远程登录管理
严格的身份认证机制(包括私钥/公钥、双因子认证等)
限制用户、限制IP、限制内网、VPN等方式来控制可远程登录主机的方式
使用SSH、HTTPS等安全协议对密码和数据进行加密,不使用FTP、NFS、HTTP等
远程登录最小权限,包括最小访问权限
除非采用VPN,否则禁止从互联网直接远程登录内部服务器
使用支持服务器身份验证的远程管理协议来防止中间人攻击
更改远程管理实用程序或应用程序的任何帐户或密码
让安全之光照亮互联网的每一个角落。
