8月26日,奇安信集团董事长齐向东在北京网络安全大会(BCS 2021)发表主题演讲时表示,DT时代的经营安全是对网络安全的动态掌控。提升安全的掌控力需要三个重要能力支撑,第一是认知能力,其核心是监管、运营和攻防三合一的实战态势感知;第二是安全能力,由安全产品软件化、资源化和服务化而来;第三是授信能力,需要借助零信任体系实现对信任的动态评估。

实战、安全能力、零信任不仅是奇安信当前道路的重要关键词,更是奇安信对产业未来发展方向的判断。身披这三件战甲于一身,不仅需要过人的胆识与勇气,更要誓当奇安信的排头兵、尖刀队。身负守护客户DT时代网络安全高地——服务器这一重任的奇安信云锁服务器安全管理系统(简称“云锁”),便是这样一款是实战型产品。

8月28日下午,云锁在BCS 2021发布了其2021年最重要的版本更新。据了解,该版本着重在以下三个方面对云锁进行了增强,取得了突破性进展,其中包括:

  1. 全方位面向一线的服务器安全实战能力
  2. 通过和天眼、NGSOC便捷联动,而实现和安服团队更加深度、能够经受住攻防演习检验的深度融合
  3. 服务器间基于“零信任+微隔离”理念的高效防护

重要资产 更是关键战场

服务器及其上提供特定服务的软件,在IT时代就是客户网络中重要资产。数据库服务器、邮件服务器、Web服务器、AD(活动目录)服务器、应用服务器等,无一不在客户的办公和业务系统中,起着举足轻重的位置。更不要说其上存储、流转的敏感数据的价值。

作为客户IT环境的高地,“拿下”服务器对网络攻击团伙的战略意义和商业价值不言而喻。服务器也早已成为攻防对抗的关键战场,服务器安全的价值也从近几年国家级大规模攻防演习中得以充分体现。

奇安信椒图事业部总经理王健表示,越来越多针对服务器新型攻击涌现,如来自我们原以为可信渠道——供应链的攻击,服务器挖矿、勒索等事件也已经屡见不鲜。这就需要体系化的构建面向实战的服务器安全能力。

云锁是以Gartner云工作负载保护平台(CWPP)为方案架构,多层次解析服务器端的安全风险,基于内核加固技术&应用防护技术,可对操作系统内核、中间件、系统应用进行深层次防护加固;结合资产清点、漏洞扫描、风险发现、基线检查、微隔离、攻击溯源等能力,融合ATT&CK攻击框架思路,在服务器端形成集资配漏补、事前加固、事中对抗、事后溯源的一体化纵深防护体系,从而进一步提升服务器安全面向实战一线的检测与防护能力。

此外,随着政企数字化转型、业务上云的持续加速,云服务器安全开始备受关注。其形态虽然和传统数据中心服务器相比已发生变化,但我们依然可以清晰看到,服务器安全要保护的对象,即服务器操作系统以及其上提供特定服务的软件,这一点并没有变化;服务器对于客户而言承载的重要功能,如域控、邮件、数据库等,也没有变化。所以,服务器安全的能力和效果,也应是云内云外保持一致的。

内外兼修 体验提升

既然定位服务器安全,那么对外的“武功”——服务器入侵检测防护能力,是立身之本,需要兼顾攻守双方视角,持续追踪、更新全球攻防态势;对内,作为奇安信云锁,如何汇聚内部优势能力,通过协同联动提升“内力”,是机遇更是挑战。

拆解来看,对外,云锁重点新增了针对无文件攻击、带外(OOB)攻击、恶意扫描、恶意文件上传等检测能力,对反弹Shell、RCE利用和EDR检测做了重点优化。在内部攻防研究成果的加持下,云锁在风险识别和安全防护实际能力层面有了大幅实质提升。

云锁还创新性的在服务器安全领域引入了微隔离和零信任的理念,基于不同角度(端口、外连、文件、应用等)的白名单机制,以攻促防,从恶意流量“打点->拿权限->横向渗透”的攻击逻辑出发,实现不同阶段对高危行为的高效防护。

此外,作为奇安信威胁情报能力重要的内部输出,有了可实现日均黑IP拦截63万次、基于SDK日均检测拦截38万次、云端告警分析富化3500次的失陷检测能力的加持,使得云锁在服务器入侵检测防护和攻击溯源方面,更加得心应手。

对内,王健表示,云锁要借助集团在交付和安服的团队优势,不仅是让懂的人用,更要让用的人越用越懂,看清客户短板和攻击行为,这是云锁的目标。

最新版本的云锁,一是针对交付团队的困难,将RASP(应用运行时防护)模块从可能需要业务重启的交付方式,改为支持动态注入的方式,不仅让用户对云锁RASP能力的启用少了些心理负担,更大幅缩减了交付团队部署的时间和难度,提高了批量部署的效率。

二是针对安服团队的需求,不仅全方位增加了和天眼、NGSOC等奇安信在攻防演练、安全运营等场景下拳头产品的接口,让主动联动排查、一键下发失陷服务器IP和恶意文件MD5、高效批量隔离成为可能;更针对安服从实践出发,提出弱口令及口令复用排查的能力需求,完成了能力开发;云锁还重构了威胁态势的展现和实操逻辑,让其更合理、更便利。

此外,云锁管理中心的资源占用直接降为之前版本的一半,效果也是非常直观的。而这背后是产品团队不断打磨、优化的努力。

当然,这种易用性和体验的提升,不仅是针对奇安信内部团队,具备一定安全运营能力的客户也会因此受益。

可以说,云锁已经完成在奇安信体系内,从可用向实用的过渡。未来,王健表示,云锁不仅要保持服务器安全领域的专业性,而且要更好用、更可靠,要经得起内部其他团队的敲打和实战的检验。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。