云上風(fēng)險(xiǎn)聽診器——華為云威脅檢測服務(wù)

企業(yè)業(yè)務(wù)遷移上云后，賬戶和網(wǎng)絡(luò)活動(dòng)的收集與聚合變得簡單，但企業(yè)安全團(tuán)隊(duì)對事件日志數(shù)據(jù)進(jìn)行持續(xù)的識(shí)別分析變得比較耗時(shí)。再者，一般安全服務(wù)對IAM（統(tǒng)一身份認(rèn)證服務(wù)）、CTS（云審計(jì)服務(wù)）、VPC（虛擬私有云服務(wù)）、DNS（云解析服務(wù)）這類基礎(chǔ)服務(wù)日志中的安全風(fēng)險(xiǎn)暫時(shí)無法檢測或檢測能力較弱，很容易成為黑客入侵的短板。

       IAM、CTS、VPC、DNS這類服務(wù)在日常業(yè)務(wù)運(yùn)行中經(jīng)常遇到的主要威脅如下：

       IAM常見安全問題是暴力破解。暴力破解也可稱為窮舉法、枚舉法，是一種比較流行的密碼破譯方法，攻擊者通過系統(tǒng)地組合密碼的所有可能性，對所有可能結(jié)果進(jìn)行逐一驗(yàn)證，直到找出正確的密碼為止。攻擊者一旦成功登錄云服務(wù)，便可獲得云服務(wù)的控制權(quán)限，進(jìn)而竊取用戶數(shù)據(jù)、植入挖礦程序、勒索加密等惡意操作，嚴(yán)重危害企業(yè)數(shù)據(jù)安全。

       CTS通常面對的是異常行為。異常行為有管理事件異常與數(shù)據(jù)事件異常，管理事件異常經(jīng)常遇到的是黑客通過惡意IP調(diào)用API，通過該 API 更改云賬戶中的安全組、路由和 ACL 的網(wǎng)絡(luò)訪問權(quán)限從而修改賬戶密碼；數(shù)據(jù)事件異常值對數(shù)據(jù)庫進(jìn)行對異常操作，如批量訪問，批量下載等。典型的事件的就是某SaaS公司的刪庫跑路，導(dǎo)致當(dāng)時(shí)該公司旗下的商家小程序都無法訪問，據(jù)披露有幾百萬家商戶生意處于基本停擺的狀態(tài)。

       VPC一般會(huì)遇到的是APT攻擊中的異常橫向擴(kuò)散帶來的安全問題。從近年來的安全事件我們可以看到，攻擊者的攻擊行為從以破壞為主的攻擊逐漸轉(zhuǎn)變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟(jì)目的為主的可持續(xù)大流量攻擊。無論從著名的Lockheed Martin Cyber Kill Chain（洛克希德-馬丁公司提出的網(wǎng)絡(luò)攻擊殺傷鏈），還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點(diǎn)：一旦邊界的防線被攻破或繞過，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動(dòng)，而內(nèi)部中心基本沒有安全控制的手段可以阻止攻擊。

        DNS劫持是安全領(lǐng)域經(jīng)常遇到的一種攻擊手段。通過攻擊或者偽造DNS的方法，篡改目標(biāo)網(wǎng)站域名和IP地址的映射關(guān)系，使得域名映射到了錯(cuò)誤的IP地址，從而導(dǎo)致用戶無法訪問目標(biāo)網(wǎng)站。DNS劫持會(huì)直接影響用戶的體驗(yàn)，如果是新媒體、電商、教育等網(wǎng)站域名被劫持將會(huì)直接造成到網(wǎng)站流量及用戶的流失。除此之外，如果是金融行業(yè)用戶被誘導(dǎo)到釣魚網(wǎng)站進(jìn)行賬戶密碼登錄操作將會(huì)導(dǎo)致個(gè)人信息泄露，對用戶來說可能直接造成經(jīng)濟(jì)損失，對企業(yè)來說可能導(dǎo)致聲譽(yù)受損。

華為云威脅檢測服務(wù)提供對以上四類服務(wù)日志的檢測分析

       華為云威脅檢測服務(wù)（Managed Threat Detection，簡稱MTD）可通過應(yīng)用威脅情報(bào)、AI檢測引擎、關(guān)聯(lián)模型等多種先進(jìn)檢測技術(shù)，對IAM、CTS、VPC和DNS四個(gè)服務(wù)的日志進(jìn)行分析，及時(shí)發(fā)覺賬戶登錄的暴破操作，追蹤和審計(jì)網(wǎng)絡(luò)異常行為，識(shí)別網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)的流量變化，發(fā)現(xiàn)詭異的連接數(shù)。同時(shí)MTD將異常告警上吐到態(tài)勢感知服務(wù)（SA）并聯(lián)動(dòng)其他安全服務(wù)采取進(jìn)一步處置行動(dòng)。此外，為滿足合規(guī)，MTD也支持日志分析結(jié)果轉(zhuǎn)儲(chǔ)OBS桶，滿足安全事件回溯的要求，為運(yùn)維工作人員第一時(shí)間提供短信與語音報(bào)警能力。

華為云威脅檢測服務(wù)堪稱云上風(fēng)險(xiǎn)“聽診器”，可持續(xù)監(jiān)控惡意活動(dòng)和未經(jīng)授權(quán)的行為，補(bǔ)足其他服務(wù)檢測能力，第一時(shí)間識(shí)別風(fēng)險(xiǎn)，規(guī)避由潛在威脅造成的安全事件，幫助企業(yè)提升安全運(yùn)營效率，保障業(yè)務(wù)的連續(xù)性。

威脅檢測服務(wù)核心價(jià)值

MTD可滿足云上安全威脅分析檢測需求，提前識(shí)別潛在威脅，減少風(fēng)險(xiǎn)暴露面，提升運(yùn)營運(yùn)維效率。

1、持續(xù)監(jiān)控惡意活動(dòng)和未授權(quán)行為，第一時(shí)間識(shí)別安全風(fēng)險(xiǎn)

      MTD目前已支持46種告警類型，包括IAM異常檢測，DGA檢測，DGA隧道檢測等基于AI的威脅檢測類型，可用于支撐日常安全運(yùn)營活動(dòng)。它通過持續(xù)監(jiān)控IAM、CTS、VPC和DNS四類服務(wù)的日志并對其進(jìn)行檢測分析，可第一時(shí)間檢測到未經(jīng)授權(quán)的或其他異常的操作行為，比如挖礦，釣魚，掃描ip和端口，洋蔥網(wǎng)絡(luò)訪問，以及嘗試?yán)@過鑒權(quán)直接訪問云上資源的所有行為等。

     值得一提的是，華為云MTD針對當(dāng)前大熱的分布式爆破攻擊、Linux.Ngioweb僵尸網(wǎng)絡(luò)木馬、Solarwinds攻擊等也能進(jìn)行有效檢測。

2、支持第三方威脅情報(bào)導(dǎo)入，增大已有投資

      MTD支持自定義添加情報(bào)（黑、白名單），包括IP和域名，能保護(hù)及增大用戶已有的威脅情報(bào)領(lǐng)域的能力投資。