云計算安全建設探討主題云計算概述云計算的特征與面臨的安全威脅趨勢科技云安全解決之道2/3/2023Confidential|Copyright2012TrendMicroInc.1云計算基本架構及安全配置2/3/2023Confidential|Copyright2012TrendMicroInc.2云計算和傳統(tǒng)網絡的區(qū)別云計算環(huán)境，基礎網絡架構統(tǒng)一化，存儲和計算資源高度整合，傳統(tǒng)的安全設備部署邊界正逐步消失，云計算環(huán)境下的安全部署需尋找新的模式。傳統(tǒng)邊界的安全隔離與訪問控制是傳統(tǒng)安全防護的重要原則，很大程度上依賴于各區(qū)域之間明顯清晰的區(qū)域邊界，強調的是針對不同的安全區(qū)域設置有差異化的安全防護策略。2/3/2023Confidential|Copyright2012TrendMicroInc.4云計算的特征2/3/2023Confidential|Copyright2012TrendMicroInc.5虛擬化的基礎架構IT資源數據面向服務的體系架構服務管理平臺各種業(yè)務應用基于云計算的服務用戶=成本…充分利用虛擬化,標準化,動態(tài)架構和自動化的技術…將節(jié)省下來的運營成本投入到新的業(yè)務創(chuàng)新的領域+標準化自動化+靈活性虛擬化+動態(tài)架構云計算面臨的安全威脅根據云計算安全聯盟(簡稱為CSA)在2013年5月統(tǒng)計的前三大威脅是1.數據泄漏2.數據丟失

3.帳戶劫持虛擬化引入的安全威脅多租戶引入的安全威脅2/3/2023Confidential|Copyright2012TrendMicroInc.6Hypervisor脆弱性引入的安全威脅Hypervisor(通俗理解為虛擬化核心)脆弱性不可避免從虛擬機攻擊Hypervisor虛擬機逃逸從云計算管理網絡攻擊Hypervisor緩沖區(qū)溢出拒絕服務2/3/2023Confidential|Copyright2012TrendMicroInc.72008-2010ESX/ESXi重要漏洞概覽2/3/2023Confidential|Copyright2012TrendMicroInc.2虛擬機逃逸介紹2/3/2023Confidential|Copyright2012TrendMicroInc.9虛擬機逃逸，是指在已控制一個VM的前提，通過利用各種安全漏洞攻擊Hypervisor典型案例：藍色藥丸、CloudBurst逃逸后果安裝Hypervisor級后門拒絕服務攻擊數據竊取控制其它虛擬機

虛擬機存儲安全威脅2/3/2023Confidential|Copyright2012TrendMicroInc.10休眠虛擬機的存儲安全威脅：虛擬機篡改、數據泄密休眠虛擬機中可能存在脆弱性和過期病毒特征庫AppOSESX/Xen/Hyper-VAppOSAppOSAppAVAppAVAppAVAppOSAppOSAppAVAppAV休眠的虛擬機活動的虛擬機虛擬機運行安全威脅(內部通訊)2/3/2023Confidential|Copyright2012TrendMicroInc.11同一物理機的虛擬機之間的信息交互由于在機器內部進行，因此，傳統(tǒng)的網絡安全設備無法對虛擬機間流量進行監(jiān)控OSAppAVOSAppAVOSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitch潛伏的活動的虛擬機運行安全威脅（資源沖突）2/3/2023Confidential|Copyright2012TrendMicroInc.12ESX/Xen/Hyper-VOSAppAVTypicalAVConsole3:00amScan病毒掃描和補丁管理在同一臺主機同一時刻進行，導致資源競爭.服務器性能降低和惡意軟件位于同一個權限級別，容易被惡意卸載虛擬機運行安全威脅(虛擬機遷移)2/3/2023Confidential|Copyright2012TrendMicroInc.13虛擬機是否會遷移到一個不安全的網絡中虛擬機遷移過程中是否可以確保安全策略的一致OSAppAVOSAppAVNetworkIDS/IPSvSwitchvSwitch潛伏的OSAppAV活動的趨勢科技深度防護虛擬化環(huán)境無客戶端底層防護示意vNICvSwitchvNICvNICvNICVMsafeAPIvShieldAPIESX/ESXi針對虛擬化層的防護DSVA22趨勢科技深度防護2/3/2023Confidential|Copyright2012TrendMicroInc.21IDS/IPS應用程序防護應用程序控制防火墻深度包檢測完整性監(jiān)控日志審計偵測/阻止基于操作系統(tǒng)漏洞的已知/零日攻擊監(jiān)視/控制本機應用程序支持所有IP-based的協(xié)議、提供細粒度過濾，并且可針對單獨的網絡接口偵測/阻止針對目錄/文件/鍵值的未授權/惡意修改安全事件增強性審計偵測/阻止基于應用程序漏洞的已知/零日攻擊無代理模式防毒防惡意程序底層無代理防護多租戶網絡融合引入的安全威脅在多租戶云計算環(huán)境中，各租戶之間的物理網絡邊界變得模糊，可能只存在邏輯上的網絡邊界配置不妥，可能導致數據泄密多租戶為APT(高級可持續(xù)性威脅)提供更多潛在的入口2/3/2023Confidential|Copyright2012TrendMicroInc.14APT的6個階段2/3/2023Confidential|Copyright2012TrendMicroInc.15第一階段情報收集第二階段首次突破防線

第三階段幕后操縱通訊第四階段橫向移動第五階段情報，資料，信息挖掘第六階段資料外傳或破壞APT攻擊的特點歹徒全部為維吾爾男性以偽裝的拐杖為武器混過安檢飛機起飛后拆卸拐杖，得到兇器飛機起飛后實施劫機行為2/3/2023Confidential|Copyright2012TrendMicroInc.182012年629新疆東突劫機案19APT攻擊的特點

攻擊有明確的目的攻擊代碼是全新的，經過“反安全”考驗攻擊一般由滲透開始，由內而外滲透經常采用社交工程學原理攻擊行為帶有連續(xù)性特征

20攻擊者帶有惡意附件的

社交工程郵件惡意C&C站點安博士（Ahnlab）更新服務器刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務器區(qū)Windows終端受害企業(yè)郵件成本低，且今日企業(yè)業(yè)務運行無法缺乏郵件攻擊手法1：社交工程郵件InternalUseOnly攻擊手法2：水坑攻擊21攻擊者惡意C&C站點安博士（Ahnlab）更新服務器攻擊者利用合法更新機制將破壞性惡意程序快速部署到終端刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務器區(qū)Windows終端受害企業(yè)通常情況下，連接服務器需要輸入賬號和密碼。但是安博士的APC服務器是無需輸入賬號和密碼即可連接的不合格產品InternalUseOnly攻擊手法3：多樣化的定制惡意程序22攻擊者惡意C&C站點安博士（Ahnlab）更新服務器刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務器區(qū)Windows終端受害企業(yè)攻擊者為目標環(huán)境定制惡意程序。共使用76種惡意程序，其中9種是破壞性代碼，其余67種的用途是事前滲透和監(jiān)視InternalUseOnly攻擊手法4：對服務器的定制攻擊23攻擊者惡意C&C站點安博士（Ahnlab）更新服務器刪除所有文件破壞MBR破壞MBR刪除所有文件Unix/Linux服務器區(qū)Windows終端受害企業(yè)取得終端上留存的服務器登入信息，進行遠程攻擊攻擊者充分了解目標使用作業(yè)系統(tǒng)，針對不同版本Unix或Linux服務器撰寫破壞性惡意程序，意圖中斷重要IT業(yè)務服務針對性攻擊的防護困難點針對性、定制化的攻擊針對攻擊目標環(huán)境針對攻擊目標的防護機制客制化的惡意軟件攻擊目標明確量小不易發(fā)覺攻擊樣本難以取得長期、不間斷的糾纏落葉掃不盡，秋風吹又堆只要攻擊者不放棄，威脅一直持續(xù)存在現有安全防護為何不足？社交工程郵件制作精巧，寄送數量少，甚至發(fā)送自信任的聯絡人，不會被認為是垃圾郵件邊界安全設備（如防火墻、IPS等）大多針對由外向內的攻擊，郵件、U盤、移動設備等能夠輕易繞過這些防御，直接進入企業(yè)網絡內部攻擊者多使用未知惡意程序，以特征碼比對為基礎的安全產品無法辨識惡意程序多由內向外發(fā)起惡意通訊，頻率低，入侵防御設備難以發(fā)現異常當攻擊者取得內部員工賬號密碼，合法登入服務器原則上不會被記錄傳統(tǒng)的規(guī)則庫、代碼庫比對無法應對定制化攻擊云計算安全設計國家戰(zhàn)略2/3/2023Confidential|Copyright2012TrendMicroInc.161、2、實時分析系統(tǒng):

沙盒27惡意代碼hash值惡意代碼URL惡意代碼連接地址

各種日志數據網絡封包信息等等EXELNKVBSSWFPDFRTFDOCPPTXLSEtc…支持文件格式文檔系統(tǒng)變動,網絡封包程序調用分析500+基準規(guī)則虛擬環(huán)境注冊表探針內存探針網絡活動探針文件系統(tǒng)探針程序探針加入TDA偵測規(guī)則中(C&CIP,SHA1/IP/Port/URL)2/3/202328Confidential|Copyright2012TrendMicroInc.威脅行為總覽連接惡意站點連接未評測站點連接高度可疑站點連接可疑站點連接已知命令與控制服務器可疑DDoS行為可疑僵尸行為文檔頭含有可執(zhí)行代碼生成執(zhí)行文件反查殺，自我保護自動執(zhí)行或更改系統(tǒng)配置欺瞞，社會工程學下載、分享或復制文件間諜行為、重定向或資料竊取異常或含有已知惡意軟件特征修改進程、服務或內存Rootkit，偽裝可疑網絡通訊行為通過文件或代碼整個生命周期內將會執(zhí)行的動作判斷其危害性?。。DA專家系統(tǒng):云安全百科介紹云安全百科MTSSPNCensusWRSThreatWrite-upTEFRSCharon威脅行為分析文件系統(tǒng)監(jiān)控注冊表監(jiān)控Windows服務監(jiān)控網絡報文捕獲Rootkit行為屏幕截圖首次發(fā)現事件最后發(fā)現時間流行度感染區(qū)域國家分布行業(yè)分布常用文件名常見文件路徑感染平臺信息漏洞信息威脅概要惡意軟件家族威脅變種相關博客鏈接相關威脅新聞相關垃圾郵件潛在威脅等級潛在分布感染途徑病毒名稱病毒庫版本與發(fā)布爾日期病毒別名網絡詳細信譽度信息每天處理超過1.9TB的數據每天從使用云安全的客戶那里接受超過290億次判斷請求每天阻攔超過40億個安全威脅每天分析超過3億個網址每小時對超過400萬個域名，IP地址和主機給出信譽評價每天找出超過1500萬個攻擊行為的垃圾郵件和釣魚/掛馬網站每天收到超過4億5000萬次文件分析請求每天阻攔超過80萬個惡意文件每天從超過6千萬個節(jié)點獲得信息反饋依靠大數據技術，趨勢科技“安全云”每天接觸、審判幾十億個“罪犯”，精通所有壞人的“共性”，確保TDA沙盒系統(tǒng)的判斷規(guī)則庫“精確而全面”趨勢科技云安全解決之道虛擬化引入的安全威脅的解決之道－－趨勢科技深度防護Hypervisor脆弱性引入的安全威脅虛擬機管理過程中引入的安全威脅多租戶引入的安全威脅的解決之道－－趨勢科技TDA多租戶網絡物理融合引入的安全威脅多租戶數據集中存儲引入的安全威脅2/3/2023Confidential|Copyright2012TrendMicroInc.20HyperVisor不是安全的隔離手段，有些系統(tǒng)管理員利用VLAN來管理虛擬服務器，但Gartner副總裁兼院士級分析師NeilMacDonald明確指出：“VLAN和路由接入控制對于安全隔離來說都不夠充分?！盙artner出版的指南要求，必須部署某類虛擬化防火墻。NSSLabs–Q114全球第一服務反應速度Confidential|Copyright2014TrendMicroInc.Source:https:///reports/consumer-endpoint-protection-comparative-analysis-report-socially-engineered-malware

Confidential|Copyright2014TrendMicroInc.SmartProtecti