两千多年前,《黄帝内经》提到 “上医治未病,中医治欲病,下医治已病”。云安全也是同理,未雨绸缪、防患于未然,这虽是老生常谈,但真正能具备这一能力的企业却不多,各种各样的安全事件仍在频频上演。
—— 01 ——
云安全拒绝 “事后诸葛亮”
2017 年 5 月,WannaCry 勒索病毒在全球爆发,百余个国家遭受大规模攻击,是史上波及范围最广的病毒之一。这次安全事件为各行各业敲响了警钟,但却并没有 “长鸣”。
图:近两年部分重大网络安全事件一览
可以看到,黑客入侵攻击是无处不在的。而没有防护的云计算环境相当于裸奔,只要任意一点遭受攻击,便有可能波及云上所有业务。在黑客威胁日益严重的情况下,云主机又该如何应对呢?☟
UHIDS 是 UCloud 为保护用户云主机安全而设计的一套基于主机的安全检测体系。该体系能够实时监控云主机的安全性,及时发现安全隐患,帮助用户了解云主机的安全状况并有针对性地进行加固。UHIDS 能在事前做好风险检测并加以告警,也就是我们所说的 “上医治未病”。
那么,UHIDS 又是如何 “治疗” 云安全 “未病” 的呢?
—— 02 ——
从入侵时间链看 “未病”
入侵受害者有两类人,一种是知道自己已经被入侵了,可此时亡羊补牢,为时晚矣;另一种是不知道自己被入侵了,等到大厦将倾时才发现。
其实,还可以存在第三类人:在系统受到危害前便已接收到警告,因而可以做到防患于未然。
如何才能做到在系统受到危害前便可有效检测出入侵方式呢?未知攻,焉知防,如下图,基于 Cyber-Kill-Chain 网络攻击杀伤链模型,我们首先还原出了一个简化的入侵攻击流程。
图:一个简化的入侵攻击流程
每个阶段的攻击详情如下:
① 侦察阶段:以扫描、信息收集为主,通常包含 IP 收集、域名收集、端口扫描等步骤,黑客进行这些步骤的目的是尽可能探测出攻击目标的资产信息,例如使用什么软件,什么版本等。