做好打巷战的准备
时间:2022-03-23 21:00:01 | 来源:行业动态
时间:2022-03-23 21:00:01 来源:行业动态
既然不能迷信边界防御,防守方就要时刻做好和入侵者打巷战的准备,逐台服务器展开争夺。
做好准备首先就是要知己,这也是斯大林格勒战役中的第二点启示。
事实上,在战役之初,朱可夫元帅并不够了解自己的部队,以至于抵达前线后才发现他们处于缺粮少弹的状态。
就网络安全防御而言,CIO或者CISO们也可能没有掌握自己单位服务器情况的全貌,例如有多少台服务器,各台服务器上都装什么版本的操作系统和应用软件,存储了哪些数据,更不要说软硬件配置是否正确、都有哪些漏洞、漏洞是否已经安装补丁了。
在这种情况下,防守方很难组织起有效的抵抗。攻击者在突破网络边界后,就可以任选一台防守薄弱的服务器下手,并以此为据点,向其他服务器横向渗透。
那把自己服务器的这点事情梳理清楚容易吗?说难那肯定难。
在云计算出现以前,大家多用的是物理服务器,简而言之就是一台性能极强的电脑。那么大一台机器摆在那里,想搞不清楚都难。现在不一样了,在云计算模式下,一台物理机可以生成很多台虚拟服务器或者云服务器,创建他们只需要用户在控制台点几下,前后也就不过一分钟时间,这让管理难度加大了许多。
并且,云服务器看不见也摸不着,这让管理员十分头疼,经常会发现莫名其妙多了几台服务器,也不知道是谁创建的,上面跑着什么应用,用的还是123456这种弱口令。
不过,这件事情说容易也容易,和大象放进冰箱一样总共也就三步:放一双眼睛盯着他们记下来。
那么问题来了,这双眼睛从何而来?简单,交给研发就好了。一行行代码背后噼里啪啦的键盘声,工程师们却掏出了一把锁,叫做云锁,全称是奇安信云锁服务器安全管理系统。
顾名思义,这就是给服务器上锁的一款产品,看就要把服务器给看得清清楚楚。
云锁能深度洞察,包括都有哪些服务器,登录口令是不是弱口令,上面装了什么操作系统、跑着什么应用,开放了哪些端口,都有什么样的漏洞,这些漏洞是不是都有补丁,补丁是不是都安装了等等这些情况,凡是能被黑客利用的弱点,云锁都要看到,并把他们记在小本本上,不安全的地方就给出整改建议,没打补丁的地方给打上补丁。
这个过程,业界习惯叫做资配漏补,也就是资产、配置、漏洞和补丁。
但服务器并不是静止不动的,上面有有网络在连接、有应用在运行、还有数据在传输,因此在看的基础上,云锁还能把看到的行为学习下来,也记在一个小本本上,形成用户行为画像,这个小本本就是大家口中的白名单。
凡是不在白名单上的,都可以认为是可疑的。
这有什么用呢?一台服务器上面运行的程序、经常访问的IP地址基本上是固定的,就那么几类,如果突然运行了一个从来没见过的应用,或者访问了从来没访问的IP地址,那就可能出问题了,就需要后续进行研判是否中招。
比如你知道你的一个朋友从来不喝酒,但有一天晚上他喝的酩酊大醉,那他没准就遇到了什么不如意的事情。