大家好,我是腾讯云防火墙的产品经理jojen,过去几个月在实战中我们发现,就业务系统的脆弱性而言,漏洞、弱口令以及影子资产是最大的三个因素。作为安全产品团队,我们借此机会复盘分析了云上业务所面临的安全风险。
一、从实战中来,到实战中去
我们抽样统计分析了近半年云上服务器失陷案例,并逐一溯源攻击手法,可以看到:
- 约56%的攻击成功案例都源自于SSH登录与暴力破解成功;
- 约27%攻击成功案例来源于服务器漏洞的利用。
基于上述结论,我们希望警醒每一个腾讯云用户,业务上云时请务必做好远程运维管控与漏洞防护!你可以通过安全组 / 防火墙设备来对22、3389端口进行权限管控,也可以通过主机安全等EDR产品来修复服务器漏洞。同时我们在腾讯云防火墙最新的版本2.3.0中做了一个重要的决定:将以上两种能力融合到IPS版本中,最低只需每日30元一杯STARBUCKS,便可以一站式防护公有云的暴破攻击与远程漏洞利用。
二、THINK DIFFERENT:微信扫码登录服务器
过去几年,网络安全解决方案都在不断地从“面向IP的静态策略”到“面向ID的动态策略”升级,我们都知道IP协议的发展和应用使得“因特网”几乎成为了“互联网”的代名词,但是随着网络规模的不断发展,IP地址也会导致以下几个网络安全领域的痛点问题:
1、出口IP无法封禁:IPv4地址资源面临枯竭,为了提升地址使用效率,网络先驱们发明了NAT地址转换技术,但也使得出口IP地址成为多数网络黑客藏匿的屏障,面对出口IP 发起的网络攻击,防守者只能寄希望于入侵检测规则足够准确;
2、IP地址是会变的:IP地址不等于设备,更不等于人,面向IP的安全策略永远是静态的,被动的,攻击者只需更换一个IP地址,也许就可以继续为所欲为;而基于IP地址配置白名单策略,也无法应对正常用户IP地址变化的问题。
目前市面上基于身份的安全产品和管理工具如同雨后春笋一般涌现,但是我个人认为面向ID的产品需要解决一个本质问题:是否需要强迫用户创建一个新的身份ID,否则会导致每个用户都需要同时维护多套设施的账号和密码,好比旧时代的居名服务,日用水、家用电、燃气都需要不同的账号...直到后来,微信的出现,通过城市服务打通了几乎所有日常会用到的账号系统,进而微信也成为了每个人都会有的一种【身份ID】:我有码,你呢?
那是否可以通过微信来登录服务器呢?
这一天阿鑫来到公司上班,看到写字楼下电梯又排起了长龙,于是决定去旁边的汉京中心SOMA商场先吃个早餐,来到星巴克咖啡,点了一杯冰美式坐下,优雅的拿出2021款16寸的Macbook pro,带上第二代AirPods Pro,熟练的打开终端敲出登录命令,随后神奇的一幕出现了,Xshell客户端上赫然出现了一个二维码,这一现象惊呆了店内其他气氛组成员,阿鑫对于这种关注的目光早就习以为常甚至有一些不以为然,忍俊不禁但仍然举止镇定的掏出了刚还了两期的iPhone 12 pro max并呼出绿色小软件 ,只听‘滴’的一声,他登录成功了!!!
那么这个过程大概是下面这个样子的:
既不需要用户注册新的身份,也可以免去企业管理员部署系统的工作量,做到了“不加ID,零部署、免代理、无客户端”的改变游戏规则的体验。早在今年的2月份我们变发布了这个功能,由于用户还不够多,并且在最新的2.3.0版本中有了新的突破:
- 支持通过NAT边界防火墙直接运维管理内网资产:一码在手,天下我有;
- 支持自定义登录端口:阿鑫喜欢自己的幸运数字 49,他坚持要用这个端口登录;
- 支持企业管理员托管密码/密钥:阿鑫甚至不知道登录密码;
- 支持RDP和远程桌面:是的,阿鑫换成windows也是可以的;
- 支持根据时间管理登录权限:如果阿鑫只是个访客,那么他只能在有限的时间内登录。
面对暴力破解攻击,要么针对性检测,要么实时拦截,但是我们认为最好的办法,是不提供非法用户尝试登录的机会。故事中的阿鑫不是别人,正是我们腾讯云防火墙的首席架构师 / 技术专家 dihin,他实现了自己的理想(加入星巴克气氛组),他做到了
三、JUST DO IT:不用停机的漏洞补丁
“如果破洞裤是时尚,那么奶奶会让你在外面套一层秋裤”
阿荃出门遇到了自己的奶奶,奶奶看见心爱的孙子的裤子上居然有好几个破洞,于是当场掏出针线想给阿荃缝补,但是阿荃是个靓仔,他不想在外面脱下裤子,僵持之下街边卖秋裤的阿辉看到了商机:“不用脱不用脱,穿上这个就看不到洞了,just do it”...于是阿辉赚到了钱,奶奶不再担心,阿荃也成了时下最时尚的高街风靓仔,同时也很好的预防了关节炎和风湿的危害,避免了破洞造成的走光风险。
在上面这个故事中,我想说很多时候破洞并不是时尚,而是很多企业的现状和痛点,系统和组件漏洞无法避免,但是业务上线后,很难找到机会停机去修复漏洞,更何况还会有修复漏洞后无法启动的风险,因此实际上,很多客户对于漏洞暴露束手无策。
那是否有一种“网络安全秋裤”,既时尚又能堵住漏洞呢?
虚拟补丁技术其实在业界早已不是新鲜事物,在用户的后端业务存在漏洞暴露且无法及时修复的情况下,我们也可以在网络流量侧,针对漏洞利用的行为和攻击进行检测和拦截。这样一来,企业便可以正常对外运行业务,只要找到一个合适的机会修复漏洞即可。
在云防火墙的IPS版本中就已经具备了虚拟补丁的功能,能够对常见的、高危的、以及最新的漏洞的利用与攻击行为进行实时检测和拦截,我罗列一下腾讯云防火墙虚拟补丁功能的几大优势:
1、资产风险与漏洞梳理:结合漏洞扫描能力,探测云上业务对外暴露的组件与漏洞,帮助用户梳理风险暴露面。你知道你的裤子有几个洞吗?
2、无需停机/重启业务:随时随地,即开即用的热补丁功能,穿脱自如
3、0-day漏洞敏捷响应:专属安全运营团队小时级别响应新增漏洞,快速研制检测规则,并自动更新发布,无需任何切换。今天扭秧歌不小心咧开了新的洞也不带怕
4、无需配置的拦截模式:极简操作,一键开启拦截模式,针对高置信度规则直接拦截检测到的漏洞利用与漏洞攻击行为。‘皇帝的新裤’?
即便破洞裤出门,也能防止其他人看到,进而从源头避免不法分子利用破洞‘摸一把’的行为。阿辉是我们腾讯云防火墙的产品专家 / 首席文案法师,你是阿荃吗?