“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应( 二 )


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

以CVM-密钥对登录检查项为例 , 这个检查项主要是检测CVM是否利用SSH密钥进行登录 。 因为传统的“账号+密码”的登录方式 , 存在被暴力破解的可能性 。 如果暴力破解成功 , 那资产有可能会沦陷为黑客的肉鸡 , 成为进一步内网横向渗透的跳板 。 所以针对此风险进行事前防御的检查 , 能够规避很大一部分的安全事件 。

“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应。

● 合规管理

等保2.0提出了“一个中心 , 三重防护” , 其中“一个中心”指的便是安全管理中心 , 即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计 , 建立以计算环境安全为基础 , 以区域边界安全、通信网络安全为保障 , 以安全管理中心为核心的信息安全整体保障体系 。 安全运营中心在提供满足等保2.0合规要求的日志审计、内到外威胁感知及其他安全管理中心要求功能的基础上 , 为客户提供针对部分等保2.0要求的自动化评估功能 , 实现持续动态的自动化合规评估和管理 。 可根据等级保护等合规标准要求 , 对云上的合规风险进行评估 , 并提供相应的风险处置建议 。


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

事中监测与检测


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

● 网络安全-互联网流量威胁感知

当云上安全事件发生时 , 能够及时地发现并进行告警 , 帮助客户对症下药 , 对于客户进行资产排查和处置也尤为重要 。 下图展示的是安全运营中心网络安全页面 。


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

网络安全主要是针对租户资产的网络南北向流量进行的安全检测 。 借助腾讯云平台安全能力 , 实时监测租户资产互联网流量中的异常 , 并向租户进行告警与提醒 。 目前网络安全的检测能力覆盖了45类的网络攻击类型 。 下面列举出10类高风险的威胁类型:

1.SQL注入攻击;2.敏感文件探测;3.命令注入攻击;4.认证暴力猜解;5.恶意文件上传;6.XSS攻击;7.webshell探测;8.各类漏洞利用(包括心脏滴血 , struts , weblogic漏洞等比较重要的组件);9.反弹shell行为等; 10.主机挖矿 。


推荐阅读