“用云的方式保护云”： 如何利用云原生SOC进行云端检测与响应

如果攻击发生在外网，那么就联动安全组封禁外网的攻击IP。如果是发生在内网，就及时隔离内网攻击资产的网络，同时检测攻击源资产是否安装了云镜专业版，因为内网主机发起横向爆破攻击，极有可能是在之前已经失陷。

2. 排查被攻击资产

如果被攻击资产爆破成功，那么首先要及时修改账户密码，同时要尽快隔离被攻击资产的网络，防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

3. 基线检测

调用云镜接口对资产进行基线检测，及时发现风险并修复。

4. 木马检测

对资产进行木马查杀，防止黑客落地恶意文件。通过剧本的以上四个步骤，可以及时高效地处置SSH口令爆破事件，降低安全事件所带来的风险。

“云上打马”：如何利用云原生SOC实践CDR

最后借助一个挖矿木马的场景，看一下企业的安全运维人员，如何借助上文提到的安全运营中心的功能，来处理安全事件。

- 云安全配置管理

安全运维人员，可以在云安全配置管理页面检查CVM是否启用了密钥对，主机安全防护状态是否正常。通过CVM配置风险的自动化检查，降低云上资产的安全风险。

- 攻击面测绘

通过攻击面测绘识别主机的攻击面，及时收敛不必要的暴露面。

- 网络安全

网络安全中，通过告警的详情页，获取挖矿告警更详细的信息。下图展示的是挖矿告警的详情。

详情页可以获取到源端口，受影响资产等信息，这些信息可以用到日志调查中进行溯源查询。同时通过传输数据的内容可以看出木马正在进行门罗币的挖矿。

- 响应中心

当发现挖矿木马告警后，可以借助响应中心，完成响应处置。首先进行矿池连接的阻断，阻止失陷资产与矿池的数据流量传输。随后进行木马检测，借助云镜的主机安全能力，定位挖矿木马并进行木马隔离。在文件层面进行处置后，对正在运行的挖矿进程也要进行定位。剧本提供了四项处置方式，可以根据响应时详细的提示进行排查，确定挖矿进程并清除。最后进行基线的检测，对弱密码和漏洞进行检测，提高资产的安全基线，加固资产的安全，及时的将风险降到最低。

- 调查中心

借助网络安全提供的端口、资产等信息，可以在调查中心中对挖矿木马的落地进行溯源分析。1）调查中心的安全事件日志（event）中，查看挖矿主机是否有木马告警（SsaCvmInstanceId：受影响资产）

2）如果有木马告警，根据安全事件日志中记录的木马路径在资产指纹日志（assets_finger）中，寻找相关的木马进程（fullpath: 木马路径），进程的pid，以及用户信息

3）根据机器信息，在安全事件日志（event）中搜索是否有异地登录和密码暴力破解成功相关的告警。进行溯源查找

4）同时也可以查看网络安全中，是否存在相关机器的恶意文件上传以及漏洞攻击的告警，进一步排查木马落地的原因。面对云上安全的新挑战，腾讯安全极为重视企业安全的“云原生”思维价值，并结合自身安全运营经验及广泛的云上客户调研，总结出云原生的CDR体系（Cloud Detection and Response）,包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系，并建立全程的安全可视体系，以提升公有云上安全运营的灵敏度及效率。目前这套理念已依托腾讯云安全运营中心持续实践，帮助多个企业客户解决云上安全问题。

作为腾讯云的能力支持，腾讯安全已经实现了为腾讯云客户提供云原生的安全能力，提升企业信息安全“免疫力”，配合腾讯云及其认证的生态合作伙伴，打造内在的安全韧性，构建弹性扩展、操作性强的安全架构，满足动态的安全需求。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!