“用云的方式保护云”： 如何利用云原生SOC进行云端检测与响应

传统企业安全中，部署了EDR（Endpoint Detection and Response）及NDR（Network Detection and Response）产品的企业，可及时定位失陷资产，响应终端威胁，减少攻击产生的危害。EDR和NDR在传统企业安全中为企业起到了保驾护航的重要作用。

但随着云计算的到来，越来越多的企业将自己的业务上云，云原生安全越来越受到企业的关注与重视，随之云端检测与响应（Cloud Detection and Response，CDR）的理念也应运而生。

下面我们将围绕腾讯云安全运营中心（详情戳：https://cloud.tencent.com/product/soc）这款产品的部分功能，来给大家介绍一下，如何依托云的优势，进行及时的风险检测与响应处置，最终保护客户的云上安全。

事前安全预防

● 云安全配置管理

Gartner近日在《How to Make Cloud More Secure You’re your Own Data Center》（如何让云比你自己的数据中心更安全）报告中指出，大多数成功的云攻击都是由错误引起的。例如配置错误、缺少修补程序或基础架构的凭据管理不当等。而通过明显利用IaaS计算和网络结构的内置安全能力和高度自动化，企业实际上是可以减少配置、管理不当等错误的机会。这样做既能减少攻击面，也有利于改善企业云安全态势。

云安全运营中心在事前预防阶段的主要任务就是对云上资产进行定期自动化风险评估，查缺补漏，及时发现风险点并进行修复和处置。安全运营中心可以帮租户梳理资产的漏洞详情，探测对外开放的高危端口，识别资产类型，检查云安全配置项目等，自动化的帮助租户全面评估云上资产的风险。下面简单介绍一下云安全配置管理（CSPM），让大家更直观的感受到如何进行事前的安全预防。

上图就是安全运营中心的云安全配置管理页面。借助腾讯云各个产品提供的接口，安全运营中心对8类资产，近20个检查项进行了检查和可视化展示。可以看到页面上列出了检查项的总数、未通过检查项总数、检查总资产数、配置风险资产数。另外下方列出了详细的检测项，包括了：云平台-云审计配置检查、SSL证书-有效期检查、CLB-高危端口暴露、云镜-主机安全防护状态、COS-文件权限设置、CVM-密钥对登录等。

以CVM-密钥对登录检查项为例，这个检查项主要是检测CVM是否利用SSH密钥进行登录。因为传统的“账号+密码”的登录方式，存在被暴力破解的可能性。如果暴力破解成功，那资产有可能会沦陷为黑客的肉鸡，成为进一步内网横向渗透的跳板。所以针对此风险进行事前防御的检查，能够规避很大一部分的安全事件。

● 合规管理

等保2.0提出了“一个中心，三重防护”，其中“一个中心”指的便是安全管理中心，即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。安全运营中心在提供满足等保2.0合规要求的日志审计、内到外威胁感知及其他安全管理中心要求功能的基础上，为客户提供针对部分等保2.0要求的自动化评估功能，实现持续动态的自动化合规评估和管理。可根据等级保护等合规标准要求，对云上的合规风险进行评估，并提供相应的风险处置建议。

事中监测与检测

● 网络安全-互联网流量威胁感知

当云上安全事件发生时，能够及时地发现并进行告警，帮助客户对症下药，对于客户进行资产排查和处置也尤为重要。下图展示的是安全运营中心网络安全页面。

网络安全主要是针对租户资产的网络南北向流量进行的安全检测。借助腾讯云平台安全能力，实时监测租户资产互联网流量中的异常，并向租户进行告警与提醒。目前网络安全的检测能力覆盖了45类的网络攻击类型。下面列举出10类高风险的威胁类型：

1.SQL注入攻击；2.敏感文件探测；3.命令注入攻击；4.认证暴力猜解；5.恶意文件上传；6.XSS攻击；7.webshell探测；8.各类漏洞利用（包括心脏滴血，struts，weblogic漏洞等比较重要的组件）;9.反弹shell行为等; 10.主机挖矿。

告警包括源IP、目的IP、受害者资产、次数、类型、威胁等级以及时间等，通过点击详情可以看到更丰富的详细信息。

除五元组的信息外，也展示了攻击载荷的详细数据，可以清晰的看到payload内容，攻击载荷有时也能了解到黑客的攻击意图，可以帮助安全团队更有针对性地进行排查。以上图的攻击为例，可以看到攻击载荷是存在于http头中：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!