某企业安全部门负责人老张,最近很烦恼。
作为一个风险意识极强的“老安全人”,老张早已意识到主机侧,承载着公司的生产业务和数据,是公司整体安全体系的最后一公里。看多了在攻防演练中被无感拿下的同行,老张下定决心,一定要做好主机的安全防护。
今年攻防演练前,老张终于如愿给主机装上了安全防护软件,做了资产梳理,收敛了暴露面,检查了安全基线,对高危漏洞也都做了修复。做完后老张对即将到来的大战胸有成竹,这次肯定稳了。
然而演练开始没过多久,“噩耗”传来,他们还是被打穿了。
“ 攻击者是利用了一个中危漏洞进来的,并通过0day漏洞成功突破拿下了关键靶机。”
老张这时才发现,他以为建好了固若金汤的防线,其实不过是虚掩门户,攻击者轻而易举就“破门而入”了。
痛定思痛,老张决定好好复盘一下这次的失利。
根因一 易检难修,业务连续和漏洞修复难取舍
这次,攻击者是利用了Confluence Server 信息泄露漏洞(CVE-2021-26085)突破入口,这个在安全防护软件上危险评级是中危,CVSS评分也不高的漏洞,扫描出来时老张并没有意识到它的危险性,同时担心打补丁修复这个漏洞会影响业务,故放弃了修复。没想到最终就成为了攻击者的攻击突破入口。
总结下来,漏洞容易被检出,但修复难度却很大,根因在于:
①难以科学评估修复优先级,扫描出来的漏洞成千上万,基于默认评分机制筛选的结果并不能客观评估出哪些漏洞实际上对业务危害程度;
②漏洞修复方案难落地,对于某些危害大的漏洞,出于不影响业务或供应商不支持修复等原因,无法进行修复,威胁无法消除。
根因二 敌暗我明,未知威胁层出不穷
除了上面的已知漏洞成为入口,这次最“致命”的攻击还是来自攻击者利用某关键业务系统的0day漏洞,成功绕过安全防护设备拿下关键靶机。
传统的防御方式往往通过已知威胁的特征进行识别,而随着0day漏洞、新型攻击手法、新型攻击特征等各种未知威胁利用的产业化、组织化、自动化,防守者在信息不对等的情况下,根本无从防御。
未知威胁成为了突破主机安全防线的核心方式。
复盘总结 专业的主机安全的防护系统,需融合三层能力
第一层:具备“资配漏补”的基础能力底座
资产管理能力、安全配置管理(SCM)、主机漏洞检测与防护能力、补丁管理能力成为一个专业化主机安全能力的必备能力,具备这些能力才能形成一个初步体系化防护机制。
第二层:充分理解工作负载的业务属性
只有最基础的“资配漏补”能力,对于做好主机的安全是不够的。例如基于漏洞危险等级“高”、“中”、“低”的筛选,可能并不代表该业务环境中漏洞真实的可利用情况,需要结合业务评估漏洞修复问题。
另外,一些业务系统本身触发的业务动作,会被主机防护产品当作可疑入侵,从而导致误拦截或者误报,不仅没实现防护效果,还影响业务。
第三层:具备未知威胁的识别与抑制能力
已有漏洞的修复、已有配置的修改、已有特征的匹配、已知行为的识别,这些都是基于已知威胁衍生出来的。然而针对未知威胁,由于特征、意图难以识别,已然成为攻击者突破主机防线的重要突破口,基于已知威胁的防护已远远不够。
深信服端点安全重大升级
融合专业主机安全能力
经过多年企业级网络安全建设和攻防演练经验积累,深信服深刻理解传统防护能力对抗的局限性,2015年起就率先在AI能力上进行战略布局及坚定投入。
基于过去主机安全产品CWPP和终端安全产品EDR、容器安全产品的能力,深信服进行了创新性升级,统一融合端点安全能力,推出AI驱动的下一代端点安全aES,针对主机的安全提供AI学习和理解业务能力,持续构建带有免疫加固能力的智能防御体系。
基于精细化的风险管理能力,做好攻击面收缩
针对资产、弱口令、暴露面、风险应用、安全基线等主机风险提供简单易用和持续收敛的机制。
云端赋能,做好已知威胁的检测与响应
除了提前预设漏洞管理、入侵检测、应用运行自保护(RASP)的安全规则,深信服主机安全专业化还能通过智能学习本地业务,结合云端能力,快速同步云端获取的各地业务行为基线并赋能本地,构建动态精准的安全加固防线,过滤各类已知攻击,降低误报漏报,更加高效。
以漏洞防护举例:
①业务属性和漏洞情报相结合,科学评估漏洞修复优先级。
对于已经发生过的事件如已知漏洞,通过最新的漏洞优先级(VPT)技术,结合主机环境信息、漏洞自身信息,以及内外部威胁情报信息对漏洞实际影响进行分析,能够有效地提取出在业务环境中能被实际利用的漏洞优先响应,整体漏洞降噪达95%以上。
如前面提到的Confluence Server 信息泄露漏洞(CVE-2021-26085),虽然CVSS对该漏洞的影响评分不高,定义的级别是中危漏洞,但后来老张部署了深信服aES,通过VPT技术,识别到该漏洞已经在互联网上存在公开的POC/EXP,并被CISA通报定义为必须修复的漏洞等因素,提供了更科学的评估结果是需要立即修复。
②虚拟补丁构建,覆盖全周期漏洞整改落地
通过虚拟补丁的构建,有效解决漏洞空窗期的防护问题,覆盖漏洞全周期的整改落地,帮助业务系统完成从虚拟补丁到实体补丁的切换,为各类无法变更的系统提供“带病”安全运行的能力。
智能防御,有效防御未知威胁
深信服aES通过智能学习客户主机上业务负载形态,建立动态优化业务的安全基线,快速识别出业务的运作形态,并对已有业务画像外的行为进行检测,如未知漏洞的利用行为检测,对其进行告警和拦截。
深信服aES智能防御技术优势
● 构建应用行为“白画像”:基于高效学习能力构建应用行为画像基线,能区分正常业务行为和入侵威胁行为,通过业务已有的白画像的行为偏离对比,对各类从未出现的未知威胁进行「智能防御」;
● 精准高质量告警检出:基于全新AI+NoDR的精准告警分析引擎,结合资产上下文信息、威胁告警信息和异常行为信息,实时检出高质量的精准告警;
● 持续演进的动态行为基线:通过深信服内部学习的情报与模型,结合多行业、多地域,完成学习结果的共享,进而丰富「免疫加固」的能力,对于发生过的攻击行为快速免疫。
基于多年的沉淀和积累,并致力于让用户的安全领先一步,深信服敏锐地捕捉到了用户对主机安全的需求与顾虑,端点安全融合专业主机安全能力,迎来全面、重磅的升级,敬请期待!