1.有没有那么一瞬间让你一想到就头皮发麻?
1.弱口令被爆破成功
2.漏洞!漏洞!0day!0day!
3.封IP封IP封IP
4.社工攻击成功
5.IDC和云环境的防护水位参差不齐
6.百密一疏
2.听说公共云原生安全具有“超能力”
1.混合、多云环境基线安全全覆盖
云安全中心支持240+基线检查项,可快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。
2.多产品协同联动,实现漏洞降级,处置效率提升
通过关联各个安全产品对漏洞的支持情况,及当前环境安全产品配置状态,判断漏洞防护情况,对已被防护漏洞降级,从而把更多精力放到需要未防护的漏洞上。
3.真实攻击IP全网共享,精准判断风险
WAF可实现千万级IP黑名单、地域一键封禁,单一用户受到攻击,全节点“免疫反应”
4.对抗社工攻击的杀手锏——RASP
无论何种入侵行为,即使是社工攻击成功后,最终都落到主机层面搞破坏。“RASP”的“白名单”防御逻辑,会拦截所有脱离正常行为基线的异常行为,无畏账号泄露、数据泄露、文件篡改等风险。
5.统一拉齐到公共云级别的安全防护水位
公共云上经过丰富场景实践验证的安全能力可统一下沉至IDC或覆盖三方云,拉齐混合环境的工作负载安全,满足IDC流量不上云且可享受到公共云高安全能力的需求。
6.安全管家服务
国家级攻防演练优秀选手,以一敌十的精英部队。单用户配置7人以上团队能力,冬奥主防团队,可视化大屏,7*24小时值守,单一团队作战,减少跨团队/厂商沟通,效率更高。
3.如何获取?
STEP1
部署混合云WAF并全量接入,可实现对阿里云、三方云、IDC环境的统一管理,拉齐Web流量防护水位。
01.确保资产已全部接入WAF
通过资产中心,查看域名接入状态,并将未接入的域名接入WAF。
02.设置源站保护
设置源站服务器的访问控制策略,只放行WAF回源IP段的入方向流量。
03.检查并配置允许访问范围
配置区域封禁和Bot管理的IDC黑名单封禁防护规则,设置允许访问的范围。
04.检查并配置基础防护策略
配置基础防护规则,确保生效对象全量覆盖,防护动作为拦截。
05.检查并配置扫描防护策略
配置“扫描防护”规则,开启高频扫描封禁、目录遍历封禁或扫描工具封禁。
06.配置重保场景防护策略
配置“重保场景防护”规则,设置重保威胁情报、重保防护规则组、重保IP黑名单、shiro反序列化漏洞防护。
产品Tips:
- 阿里云WAF迁移至WAF3.0版本,可以使用模板化配置,快速实现IP封禁支持增值重保场景包,建议购买重保场景包,使用专项能力。
- 资产盘点,明确所有对外的WEB业务均已知晓,并已接入WAF防护;明确不同业务的资产的访问业务分布,并基于此配置对应的访问控制策略。
- 源站保护设置,如果是cname接入,源站设置只允许WAF回源IP访问,避免源站泄漏,攻击者直接面向IP非WEB业务进行攻击;
- 防护配置检查及优化,确认防护策略均是拦截策略,开启扫描防护配置,避免配置错误,导致被攻陷。
- 如果开了BOT模块,可以利用该模块的"IDC封禁"功能,收敛攻击者租用云服务或IDC机房进行攻击的风险
STEP2
部署混合云安全中心并全量接入,可实现对阿里云、三方云、IDC环境的统一管理,拉齐工作负载防护水位。
产品Tips:
- 攻防演练期间,在云安全中心防护模式管理中,设置为“重大活动保护模式”,该模式下将开启所有安全防护规则和安全引擎,对任何可疑的入侵行为和潜在的威胁进行告警;
- 在通知方式管理中,通过添加钉钉告警机器人,实时获取完整告警信息,实现更快速的处置告警;
- 攻防演练开始前,通过事前的风险梳理和收敛,提升“安全评分”到95分以上,大幅提升工作负载基础防护水位;
- 开通、配置应用安全防护策略,通过RASP加固应用系统,防护0day漏洞攻击;
- 开通、配置网页防篡改策略,为网站应用开启防护兜底策略。
STEP3
攻防演练开始后,重点关注云安全中心威胁发现版块,可对WAF、云防火墙告警进行聚合,并形成安全事件呈现,同时可以直接在云安全中心控制台联动WAF、云防火墙,进行风险处置,封IP、恶意URL,主机隔离进程、查杀文件/病毒,及时止血。
一条捷径——安全管家服务
直接购买使用阿里云的安全管家服务,相比自建安全体系成本更低,性价比最佳,且精英部队服务,安心无忧。
4.实践案例
客户1
资产现状
阿里云ECS500+,AWS 300+,腾讯云200+,70+网站WAF源站防护
阿里云提供的服务
安全运营服务,云上安全架构设计
服务成果
- 从2016年为客户提供服务,6年多时间0重大安全事件,业务安全稳定运行。
- 发现应用层应急安全漏洞3次,包括:Log4j、Spring 、Fastjson、WebLogic等0day,避免利用漏洞的非法入侵事件
系统层安全加固协助20+次,确保基础安全的同时,保障业务安全
- 大促、国庆护航,提供安全咨询服务20+次,包括及时调整云安全产品策略、保障前评估等,解决高危安全问题5个,重保期间0安全事件。
以往重大服务成果
- 云上安全架构设计,确保云上资产整体安全性
- 服务过程中发现众多对外开放的高危端口,及时帮助客户清理
- AK监控发现,4个AK泄露的情况,避免恶意安全事件发生
客户2
资产现状
云上无资产,IDC主机1000+,网站50+
护航难点
- 为了支撑数字化升级,客户在基础设施层面逐步形成混合云部署架构,拥有多个互联网入口,给互联网边界的统一网络安全防护带来新的挑战;
- 另一方面,由于越来越多的核心业务提供线上服务,客户所面临的安全风险特别是应用层风险不断提升,原有的应用安全防护手段不能满足需要,并且缺乏相应的安全攻防对抗能力。攻防演练开始前几个月,客户分批接入了数十个核心业务系统,由云防护作为第一道防线,防护线下IDC业务。
护航成果
1.准备阶段
演练前进行充分的资产梳理,明确暴露资产情况;
风险排查,累积发现任意文件上传、SQL注入等多个中高危安全漏洞;
协助进行安全加固,降低攻击风险。
2.护航阶段
阿里云侧整体防护未失分;
协同云上海量数据,秒级下发精准情报超过10万条,拦截攻击请求超300万次;0day漏洞应急响应10余次;
客户3
资产现状
云上 ECS1000+,IDC 主机1000+,网站数百个
护航难点
- 攻防演练开始前两周接入,资产范围覆盖公共云+线下IDC,时间紧任务重。
护航成果
1.准备阶段
发现应用层紧急安全漏洞20+次,包括:Fastjson 命令执行、WebLogic反序列,避免利用漏洞的非法入侵事件
梳理并收敛互联网IP 100+,收敛端口200+,安全漏洞500+
梳理并加固安全漏洞2000+,弱口令300+,权限配置20+
2.护航阶段
及时发现并处置告警300+
及时处置攻击队10+次入侵事件并形成防守溯源报告,获得加分
成功堵截攻击队进入内网后的下一步行动
在时间紧张的情况下,帮助客户获得500+加分
客户4
项目整体情况:
纯线下主防项目,阿里云原生兜底并担任项目经理,0失分,并获得满分(1500)加分
护航成果:
1.准备阶段:
蓝军服务成果:社工钓鱼、近源攻击,发现内外网漏洞11个,可控制主机15台
现场驻场8人团队:包括暴露面资产收敛、内部风险收敛推动、病毒样本分析、邮件溯源追踪、钓鱼测试、威胁情报输入、反制蜜罐等设备部署等。
2.护航阶段:
整体防护未失分,且获得满分加分。
完善和优化整体防御体系,提升50%的整体MTTD和MTTR时间,实现分钟级响应。
