背景
主机,储存数据和承载关键业务系统的主体,是企业IT系统的重要资产。主机的安全一直被认为是整个信息安全领域的最后一道防线。主机的漏洞和弱点一直是攻击者和信息资产所有者激烈争夺的阵地。主机安全规划与加固是专业安全顾问通过对承载重要信息系统的主机进行安全评估,根据客户特定的安全要求,制定主机安全规划与加固方案,采取对系统漏洞进行补丁修补,并优化和加强账号口令、日志、网络性能、文件系统、权限控制、服务进程等等。
这种传统的主机加固项目需要大量的人力物力投入,而且复杂度高,需要专业人员对不同的操作系统重新进行适配,并且需要进行定制开发,后期还需要人工运维。
这种大型的防御工事有没有可能化繁为简,甚至赶上时下流行的SaaS浪潮,走上云端呢?椒图科技的云锁V3似乎正在解决这个问题。
产品简介
“云锁网站安全防御系统(以下简称云锁)”是椒图科技2014年推出的一款与时俱进的互联网安全SaaS产品,是服务器安全防护及运维管理的方案,采用服务器端Agent+远程控制台的管理模式,并与用户安全监测平台实现联动,帮助用户发现并抵御各类恶意攻击。云锁可对业务系统流量持续学习,自动识别企业的资产信息;通过动态拓扑图的方式展示其内在关联,可帮助管理员识别系统边界,并进行安全管理。
简而言之,云锁是由三个部分组成的:
1. 云锁服务器端Agent:安装在服务器端的防护工具,对服务器主机进行加固、对Web应用进行加固、信息流向监控等、威胁感知。
2. 云锁管理平台端:在PC端或者网页上批量或单机管理服务器,负责业务资产管理、风险管理和事件管理。
3. 用户安全监测平台:搭建在云锁的攻防实验室,通过对用户防护日志等数据的收集及挖掘分析,以图形化方式向用户展现被防护网站在各时间段内的攻击情况、安全现状及安全态势等网站安全信息。
主要特色
轻量化:
不同于合规性要求的主机加固产品,云锁服务器端是一个Agent,运行起来也就20几兆。云锁将管理平台放在PC端运行,进一步节约了服务器的资源。
可视化操作:
云锁管理平台端的操作界面与常规软件类似,简单易懂。除了对单机服务器进行管理外,也支持批量操作,改善了用户体验。
可以批量添加服务器,重启服务器或者Web。
对服务器安全状态进行一键巡检。
兼容性表现:
a) 云锁V3服务器端支持Windows 2003 SP3和以上Windows全系列服务器操作系统,及CentOS、Ubuntu、Redhat、SUSE、中标麒麟等超过60个Linux发行版本(包括小版本)。
b) 云锁V3 PC端支持Windows XP SP3及以上Windows全系列操作系统。
c) 除了对实体服务器、VPS和云主机等混合环境实施集中管理和监控,云锁V3还支持OpenStack等云操作平台,Xen、Hyper-V、Vmware等虚拟化架构,以及大部分云厂商自主开发的云主机虚拟化架构。
d) 云锁V3支持IIS、Apache、Nginx、Tomcat及Weblogic等主流Web中间件。
多维度加固:
1. 主机加固
i. 操作系统防护
a) 系统操作权限控制
b) 文件上传防护:文件上传防护功能只允许网站用户将指定类型的文件上传至受保护的网站目录,可通过选择网站中需要受保护的目录,并自定义设置允许上传到该目录的文件类型进行实现。同时对于允许上传的进程可以设置为例外,不受规则限制。
c) 文件防篡改:保护网站目录下的文件不被篡改,达到网页防篡改的目的。当选择受保护的网站目录后,其目录下的所有文件及子目录所有文件将禁止被篡改。对于允许修改文件的进程可以添加到例外进程中。
d) 服务器优化:可对服务器一键扫描并优化。
e) 服务器漏洞修复:Windows服务器可一键修复微软发布的官方补丁。
f) IP黑白名单
g) 防端口扫描:端口扫描通常是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型。攻击者可以通过端口扫描了解到从哪里可探寻到攻击弱点。该功能则通过限制单位时间内扫描端口数量,并对扫描IP进行锁定来防护,并在发现端口被扫描时生成时间告警。
ii. 主机基线检查:通过程序对主机安全配置进行检查,同时跟踪每台主机的安全状态,为每台服务器建立风险档案及风险评分。
iii. 服务优化:禁止操作系统中无用的服务,提高系统安全性,同时减低系统资源占用。
2. 边界管理
i. 微隔离Microsegmentation:一种更细粒度的网络隔离技术,能控制每台主机与外部及业务内部网络间的网络通信,可自定义虚拟安全边界以及自定义基于角色的访问控制策略,防止攻击者入侵内部业务网络后的东西向移动(lateral movement),微隔离域内服务器可自由拖动或加入其它微隔离域,隔离策略自动调整。
ii. 流可视化Flow visibility:通过监控业务系统数据流并将其可视化,帮助安全运维人员把握业务系统内部网络信息流动情况。
3. 应用防护:
i. 插件方式
1) 网站漏洞防护
“网站漏洞防护”功能包括:SQL注入防护、XSS跨站脚本防护、漏洞利用攻击防护、web服务器溢出攻击防护、web服务器文件名解析漏洞防护、禁止除Get及Post之外的HTTP请求、禁止浏览畸形文件、禁止下载特定类型文件、网站浏览实时防护、HTTP相应内容保护等。
2) 网站后台防护
网站后台防护功能通过将网站真实后台地址重定向至网站自定义后台地址,以防止网站后台地址被暴力猜测,当原网站后台地址(网站真实后台地址)被访问时,系统将禁止该访问并进行报警提示。
3) 抗CC攻击
CC(Challenge Collapsar)攻击,通过不断向网站发送连接请求,令网站服务器拒绝服务。它是DDoS攻击的一种,可借助代理服务器生成指向受害主机的合法请求,实现DoS和伪装。可同时模拟多个用户不停访问那些需要大量数据操作的内容,导致服务器资源耗尽。云锁的抗CC攻击功能可以防御CC攻击,追溯攻击源头;同时减少对服务器资源的损耗和带宽的占用。CC防护策略通过三个级别对服务器进行保护,默认为低级别,用户还可以根据实际需求对防护级别进行调整,级别越高防护越严格。
4) 敏感词过滤
敏感词汇过滤功能将对网站用户浏览和提交的内容进行检查与匹配,对匹配了敏感词汇库中敏感词汇的文件内容进行“星号”替换,以此防止用户提交和浏览色情、反动、暴力等敏感词汇,避免相应的法律风险。
5) 网站防盗链
云锁通过引用方式防盗链和会话方式防盗链两种方式分别对文件和多媒体进行防护。
6) 防多线程下载
防止迅雷等多线程下载工具采用多线程下载机制下载网站资源,避免单个用户占用过多宽带资源。
7) HTTP响应内容保护
部分网站因为网站自身编写问题导致在URL输入一些特殊字符时,返回页面的信息包含网站信息及数据库信息。“HTTP响应内容保护”功能通过对设置对返回状态码页面的自定义设置来隐藏真实的返回页面,对该类页面进行保护,避免网站及数据库信息被曝出,导致信息泄露。
8) HTTP请求头保护
对HTTP请求头中的其他字段进行自定义规则防护,可以针对不同的HTTP请求头进行对应的防护,以应对不同的安全需求。通过选择对应的HTTP头标识,根据需要对不同的头标识设置对应的防护规则及长度进行防护。
9) 自定义CDN
CDN即内容分发网络,通过在网络各处放置节点服务器所构成的一层智能虚拟网络,实时根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。
云锁已将市面上主流CDN内置到了白名单中,但是还会有其它CDN、自建CDN以及负载均衡等无法直接获取到的IP,当通过这些IP访问时易被云锁判定为CC攻击从而导致无法访问网站。而将这些IP直接加入到白名单,则通过这些IP的攻击也不会拦截,而其它的如注入等攻击则依旧会被拦截,而不会对网站服务器产生威胁。
10) 高级防护
有效拦截位置Web Shell并及时发现网站程序中存在的漏洞,并对利用漏洞进行的攻击进行防护。包含已知Web Shell自动隔离、未知Web Shell实时防护、SQL注入漏洞防护、文件上传漏洞防护、Struts2漏洞防护、反序列化漏洞防护、任意文件读写漏洞防护和命令执行漏洞等。
ii. 反向代理方式
Java类和Kangle等Web应用的非高级防护功能需通过反向代理的方式进行防护。
iii. 强制访问控制方式
使用内核级强制访问控制规则,增强安全性。用于限制进程对系统资源的访问能力,以降低网页木马等恶意代码对系统安全的威胁。它通过限制服务器Web进程、数据库进程等进程的某些危险操作,禁止这类进程执行某些系统命令,用来对系统资源的访问控制,危害系统及业务安全。
iv. 防暴力破解
IP在指在一定时间内错误登录达到一定次数则被认为暴力破解,该IP会被锁定一段时间。主要对远程登录、SSH登录、FTP、SMTP等应用进行防护。可以对单个IP请求时间范围、最大请求数及锁定时间进行设置。
v. 端口防护
对服务器上应用的端口进行封闭,禁止外网进行访问,仅允许局域网内用户进行访问。开启该功能时需确认该应用确实为局域网内业务,如开启则会影响需外网访问的相关业务。
实时监控:
云锁可以对所管理服务器的CPU、内存、网络IO进行监控,可以同时监控多台服务器的多个监控项。
对于特定的监控项可以进行专项监控。
威胁感知:
云锁采用基于脚本虚拟机(沙盒)的无签名Web Shell检测技术,可以检测各种加密、变形的Web Shell。
基于异常行为的检测技术:云锁通过在内核及应用层探针中设置监控点,持续对系统的行为进行学习,可有效检测出系统中存在的异常行为,并在综合判定后产生告警。
自适应安全:
“自适应安全”实际上是Gartner在2014年提出的面向下一代的安全架构概念,具体指的是云时代的安全服务应该以持续监控和行为识别为核心引擎,覆盖预测、防御、监控、回溯四个周期,可自适应于不同基础架构和业务变化并形成统一安全策略,才能应对高级持续性攻击。
从云锁的产品角度,如何实现自适应?
云锁的云中心自动扫描模块通过对业务系统持续学习,自动发现并跟踪业务信息资产的变更(包括服务器、服务器上运行的软件、网站、以及web应用类型等),并采用交互式安全检测技术(IAST)自动识别出发生变更的业务资产的安全风险(包括危险端口、安全漏洞、恶意代码、敏感信息泄露等),进而缩短攻击时间窗,避免影子IT带来的安全风险。
自动回溯攻击:
系统在风险识别、防御及威胁感知三个阶段都会产生安全事件。云锁会自动生成事件分析报告,然后根据攻击时间列出所有服务器产生的事件,包括事件类型、事件摘要、产生事件的服务器、风险等级及处理状况。
对于入侵类型的攻击事件,系统自动回溯攻击过程,快速定位并修复风险点。
当安全事件发生时,系统会根据用户自定义的告警规则,通过手机、邮件、微信等方式进行告警。
市场分析
椒图科技是操作系统加固方案提供商,在服务器操作系统加固领域已有十余年经验,主要产品包括JHSE椒图主机安全环境系统、JWEB椒图网站应用防护系统、JMAC椒图强制访问控制系统。椒图科技目前的主要营收由主机加固业务支撑,主要客户为中石化、新华社、深能源等大客户,每年的营收额在2000万至3000万左右。
椒图科技于2014年推出互联网安全产品——云锁。云锁最初通过基础功能免费加增值功能的模式进行推广,目标是为中国300万站长和中小企业提供免费、高效、可靠的互联网安全服务,力图提高品牌认知度,但变现能力有限。2015年,云锁V2以云服务方式尝试收费,但其客户主要为小微客户,用户转换率低于3%,而且客单价较低。今年,云锁全新推出V3版本,增加了系统安全边界管理、攻击事件回溯、威胁感知等企业级的服务,努力将收费业务转向大中型客户。云锁的装机量2015年底在200万左右,以月5%的速度增长,目前在300万左右。市场上的同类产品有国外的Illumio和国内的安全狗、安骑士、360主机卫士、趋势科技等,椒图科技认为云锁在linux系统的兼容性方面做得比较突出。
椒图科技目前的团队规模不到100人,主要为技术人员,营销人员在10人左右。