云上风险听诊器——华为云威胁检测服务
企业业务迁移上云后,账户和网络活动的收集与聚合变得简单,但企业安全团队对事件日志数据进行持续的识别分析变得比较耗时。再者,一般安全服务对IAM(统一身份认证服务)、CTS(云审计服务)、VPC(虚拟私有云服务)、DNS(云解析服务)这类基础服务日志中的安全风险暂时无法检测或检测能力较弱,很容易成为黑客入侵的短板。
IAM、CTS、VPC、DNS这类服务在日常业务运行中经常遇到的主要威胁如下:
IAM常见安全问题是暴力破解。暴力破解也可称为穷举法、枚举法,是一种比较流行的密码破译方法,攻击者通过系统地组合密码的所有可能性,对所有可能结果进行逐一验证,直到找出正确的密码为止。攻击者一旦成功登录云服务,便可获得云服务的控制权限,进而窃取用户数据、植入挖矿程序、勒索加密等恶意操作,严重危害企业数据安全。
CTS通常面对的是异常行为。异常行为有管理事件异常与数据事件异常,管理事件异常经常遇到的是黑客通过恶意IP调用API,通过该 API 更改云账户中的安全组、路由和 ACL 的网络访问权限从而修改账户密码;数据事件异常值对数据库进行对异常操作,如批量访问,批量下载等。典型的事件的就是某SaaS公司的删库跑路,导致当时该公司旗下的商家小程序都无法访问,据披露有几百万家商户生意处于基本停摆的状态。
VPC一般会遇到的是APT攻击中的异常横向扩散带来的安全问题。从近年来的安全事件我们可以看到,攻击者的攻击行为从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的可持续大流量攻击。无论从著名的Lockheed Martin Cyber Kill Chain(洛克希德-马丁公司提出的网络攻击杀伤链),还是近年名声大噪的勒索病毒、挖矿病毒,这些攻击都有一些显著特点:一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而内部中心基本没有安全控制的手段可以阻止攻击。
DNS劫持是安全领域经常遇到的一种攻击手段。通过攻击或者伪造DNS的方法,篡改目标网站域名和IP地址的映射关系,使得域名映射到了错误的IP地址,从而导致用户无法访问目标网站。DNS劫持会直接影响用户的体验,如果是新媒体、电商、教育等网站域名被劫持将会直接造成到网站流量及用户的流失。除此之外,如果是金融行业用户被诱导到钓鱼网站进行账户密码登录操作将会导致个人信息泄露,对用户来说可能直接造成经济损失,对企业来说可能导致声誉受损。
华为云威胁检测服务提供对以上四类服务日志的检测分析
华为云威胁检测服务(Managed Threat Detection,简称MTD)可通过应用威胁情报、AI检测引擎、关联模型等多种先进检测技术,对IAM、CTS、VPC和DNS四个服务的日志进行分析,及时发觉账户登录的暴破操作,追踪和审计网络异常行为,识别网络设备和节点的流量变化,发现诡异的连接数。同时MTD将异常告警上吐到态势感知服务(SA)并联动其他安全服务采取进一步处置行动。此外,为满足合规,MTD也支持日志分析结果转储OBS桶,满足安全事件回溯的要求,为运维工作人员第一时间提供短信与语音报警能力。
华为云威胁检测服务堪称云上风险“听诊器”,可持续监控恶意活动和未经授权的行为,补足其他服务检测能力,第一时间识别风险,规避由潜在威胁造成的安全事件,帮助企业提升安全运营效率,保障业务的连续性。
威胁检测服务核心价值
MTD可满足云上安全威胁分析检测需求,提前识别潜在威胁,减少风险暴露面,提升运营运维效率。
1、持续监控恶意活动和未授权行为,第一时间识别安全风险
MTD目前已支持46种告警类型,包括IAM异常检测,DGA检测,DGA隧道检测等基于AI的威胁检测类型,可用于支撑日常安全运营活动。它通过持续监控IAM、CTS、VPC和DNS四类服务的日志并对其进行检测分析,可第一时间检测到未经授权的或其他异常的操作行为,比如挖矿,钓鱼,扫描ip和端口,洋葱网络访问,以及尝试绕过鉴权直接访问云上资源的所有行为等。
值得一提的是,华为云MTD针对当前大热的分布式爆破攻击、Linux.Ngioweb僵尸网络木马、Solarwinds攻击等也能进行有效检测。
2、支持第三方威胁情报导入,增大已有投资
MTD支持自定义添加情报(黑、白名单),包括IP和域名,能保护及增大用户已有的威胁情报领域的能力投资。