云鎖(主機(jī)安全)

云鎖是領(lǐng)先的主機(jī)安全解決方案、云鎖cwpp云工作負(fù)載保護(hù)平臺(tái)，云鎖功能包括主機(jī)安全加固、網(wǎng)站安全、應(yīng)用自適應(yīng)安全、rasp、微隔離、流可視化、主機(jī)安全、cwpp、asve，云鎖能幫助企業(yè)建立主機(jī)端一體化安全防護(hù)能力。

軟件簡(jiǎn)介：

云鎖是領(lǐng)先的主機(jī)安全解決方案（cwpp云工作負(fù)載保護(hù)平臺(tái)），支持windows/linux服務(wù)器跨平臺(tái)實(shí)時(shí)、批量、遠(yuǎn)程安全管理。云鎖會(huì)7*24小時(shí)無(wú)間斷守護(hù)業(yè)務(wù)系統(tǒng)，持續(xù)對(duì)企業(yè)業(yè)務(wù)系統(tǒng)進(jìn)行學(xué)習(xí)并識(shí)別業(yè)務(wù)的風(fēng)險(xiǎn)點(diǎn)，通過(guò)防御模塊減少風(fēng)險(xiǎn)面，在檢測(cè)到未知威脅和業(yè)務(wù)資產(chǎn)變更時(shí)，能自動(dòng)調(diào)整安全策略,幫助用戶有效抵御CC攻擊、SQL注入、XSS跨站攻擊、溢出攻擊、暴力破解、提權(quán)等黑客攻擊，及病毒、木馬、后門等惡意代碼。發(fā)生安全事件后，云鎖能自動(dòng)回溯攻擊過(guò)程，并形成事件分析報(bào)告，為企業(yè)提供入侵取證及攻擊源分析的能力。進(jìn)而形成“業(yè)務(wù)資產(chǎn)管理 - 風(fēng)險(xiǎn)識(shí)別 - 安全防御 - 威脅感知 - 攻擊事件回溯”的一體化安全防御體系。

軟件特征：

云計(jì)算時(shí)代主機(jī)安全面臨的挑戰(zhàn)

云上的安全邊界越來(lái)越模糊，依靠傳統(tǒng)的硬件堆疊的安全防御方式已經(jīng)很難解決云上的安全問(wèn)題。 CC、SQL注入、XSS跨站等黑客攻擊以及后門、webshell等惡意代碼時(shí)刻威脅企業(yè)的信息安全

云鎖是中國(guó)用戶總量領(lǐng)先的主機(jī)安全產(chǎn)品，在國(guó)際上率先達(dá)到Gartner定義的cwpp（云工作負(fù)載保護(hù)平臺(tái)）標(biāo)準(zhǔn)，兼容多種虛擬化架構(gòu)和操作系統(tǒng)，可以高效支撐現(xiàn)代混合數(shù)據(jù)中心架構(gòu)下的主機(jī)安全需求。

云鎖基于服務(wù)器端輕量級(jí)agent，安全加固服務(wù)器操作系統(tǒng)及應(yīng)用，云鎖waf探針、rasp探針、內(nèi)核加固探針能有效檢測(cè)與抵御已知、未知惡意代碼和黑客攻擊；同時(shí)云鎖融合資產(chǎn)管理、微隔離、攻擊溯源、自動(dòng)化運(yùn)維、基線檢查等強(qiáng)大功能，幫助用戶高效安全運(yùn)維服務(wù)器。

應(yīng)對(duì)未知安全威脅

傳統(tǒng)基于簽名的防護(hù)手段應(yīng)對(duì)未知威脅往往效果堪憂，而且會(huì)讓防護(hù)架構(gòu)變的愈發(fā)臃腫，云鎖采用RASP、ASVE、沙盒三大基于異常行為的檢測(cè)技術(shù)，可有效檢測(cè)并防御未知威脅。云鎖通過(guò)RASP技術(shù)對(duì)應(yīng)用系統(tǒng)的流量、上下文、行為進(jìn)行持續(xù)監(jiān)控，識(shí)別及防御已知及未知威脅，能有效防御SQL注入、命令執(zhí)行、文件上傳、任意文件讀寫、反序列化、Struts2等基于傳統(tǒng)簽名方式無(wú)法有效防護(hù)的應(yīng)用漏洞；云鎖獨(dú)創(chuàng)虛擬化安全域技術(shù)（ASVE），通過(guò)將應(yīng)用進(jìn)程放入虛擬化安全域內(nèi)，限制應(yīng)用進(jìn)程權(quán)限，防止黑客利用應(yīng)用程序漏洞提權(quán)、創(chuàng)建可執(zhí)行文件等非法操作；云鎖基于腳本虛擬機(jī)（沙盒）的無(wú)簽名Webshell檢測(cè)技術(shù)，有效檢測(cè)各種加密、變形的Webshell。

東西向移動(dòng)如何防御？

防御入侵內(nèi)網(wǎng)后的東西向移動(dòng)

云鎖采用微隔離和流可視化技術(shù)來(lái)重新定義虛擬網(wǎng)絡(luò)邊界和監(jiān)控內(nèi)部網(wǎng)絡(luò)信息流動(dòng)，云鎖能細(xì)粒度控制每臺(tái)主機(jī)與外部及業(yè)務(wù)內(nèi)部網(wǎng)絡(luò)間的網(wǎng)絡(luò)通信，防止攻擊者入侵內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)后的東西向移動(dòng)（lateral movement），同時(shí)云鎖可自定義基于角色的訪問(wèn)控制策略，可幫助管理快速配置海量服務(wù)器的訪問(wèn)規(guī)則。

hadow IT

帶來(lái)的安全風(fēng)險(xiǎn)如何避免

云計(jì)算的快速發(fā)展，可以幫助業(yè)務(wù)快速上線，但也會(huì)導(dǎo)致安全方案的部署慢于業(yè)務(wù)系統(tǒng)的上線速度，也就造成了影子IT（Shadow IT），未經(jīng)防護(hù)的業(yè)務(wù)系統(tǒng)給黑客留下了攻擊時(shí)間窗。云鎖通過(guò)對(duì)業(yè)務(wù)系統(tǒng)持續(xù)學(xué)習(xí)，能自動(dòng)發(fā)現(xiàn)并跟蹤業(yè)務(wù)信息資產(chǎn)的變更（包括服務(wù)器、服務(wù)器上運(yùn)行的軟件、網(wǎng)站、以及web應(yīng)用類型等）,云鎖并采用交互式安全檢測(cè)技術(shù)（IAST）自動(dòng)識(shí)別出發(fā)生變更的業(yè)務(wù)資產(chǎn)的安全風(fēng)險(xiǎn)（包括危險(xiǎn)端口、安全漏洞、惡意代碼、敏感信息泄露等），避免Shadow IT帶來(lái)的安全風(fēng)險(xiǎn)。

如何安全加固服務(wù)器

安全加固服務(wù)器并建立風(fēng)險(xiǎn)評(píng)估與跟蹤機(jī)制

云鎖通過(guò)內(nèi)核探針加固操系統(tǒng)，提高系統(tǒng)自身的安全性和抗攻擊能力，保護(hù)系統(tǒng)核心文件，支持windows、linux（centos、redhat、Ubuntu、suse、麒麟）操作系統(tǒng)；通過(guò)禁止操作系統(tǒng)中無(wú)用的服務(wù)，提高系統(tǒng)安全性，同時(shí)減低系統(tǒng)資源占用。

云鎖可對(duì)服務(wù)器安全配置進(jìn)行全面、高效的基線檢查，包括檢查系統(tǒng)弱口令、檢查克隆賬戶、檢查計(jì)劃任務(wù)等，并為每臺(tái)服務(wù)器建立風(fēng)險(xiǎn)檔案及風(fēng)險(xiǎn)評(píng)分機(jī)制，持續(xù)跟蹤每臺(tái)服務(wù)器的安全狀態(tài)，幫助管理員更好的了解整個(gè)業(yè)務(wù)系統(tǒng)的安全動(dòng)態(tài)。

快速響應(yīng)安全事件

自動(dòng)回溯攻擊過(guò)程，快速定位風(fēng)險(xiǎn)點(diǎn)

當(dāng)安全事件發(fā)生后，您是否還在靠查日志的方式，來(lái)尋找攻擊來(lái)源和攻擊方式?是時(shí)候告別落后、低效的攻擊溯源方式了！云鎖能自動(dòng)將安全事件從海量的日志中抽離并關(guān)聯(lián)，自動(dòng)回溯攻擊過(guò)程，并提供對(duì)安全事件進(jìn)行跟蹤管理，幫助企業(yè)快速定位并修復(fù)黑客入侵時(shí)利用的風(fēng)險(xiǎn)點(diǎn)。采用基于異常行為的檢測(cè)技術(shù)，能有效檢測(cè)未知威脅，是安全人員對(duì)抗高級(jí)持續(xù)性威脅（APT）的利器。

官方新聞：

椒圖科技李棟：主機(jī)的未知安全威脅檢測(cè)與防御

近日，椒圖科技副總裁李棟出席北京網(wǎng)絡(luò)安全大會(huì)（BCS 2019），并發(fā)表主題演講《主機(jī)的未知安全威脅檢測(cè)與防御》。

李棟指出，目前勒索病毒、一句話木馬、0day、東西向移動(dòng)等針對(duì)主機(jī)的惡意代碼和黑客攻擊日益增多，傳統(tǒng)的防御手段依靠安全規(guī)則和設(shè)備堆疊，對(duì)于未知攻擊和新型惡意代碼缺乏防御能力。

李棟以weblogic反序列化漏洞 （CNVD-C-2019-48814）為例，指出目前針對(duì)未知攻擊的手段大多是犧牲業(yè)務(wù)保安全，在0day漏洞沒(méi)有修復(fù)之前，客戶多大只能暫停服務(wù)或者隔離主機(jī)，這都會(huì)導(dǎo)致業(yè)務(wù)的中斷；即使有補(bǔ)丁可打，客戶修復(fù)漏洞的平均時(shí)長(zhǎng)也高達(dá)38天(據(jù)TCELL發(fā)布《2018年第二季度生產(chǎn)環(huán)境Web應(yīng)用程序安全報(bào)告》統(tǒng)計(jì))，這都會(huì)給黑客創(chuàng)造足夠的attack free空窗期，等到客戶修復(fù)完漏洞，業(yè)務(wù)系統(tǒng)可能早已被黑客入侵。

漏洞永遠(yuǎn)補(bǔ)不完，但黑客在入侵產(chǎn)生提權(quán)、進(jìn)程自我復(fù)制、監(jiān)聽(tīng)原始套接字、執(zhí)行一句話木馬、創(chuàng)建可執(zhí)行文件、創(chuàng)建克隆賬戶等異常行為卻有跡可循，在了解黑客入侵行為軌跡后，在系統(tǒng)和應(yīng)用兩個(gè)層面監(jiān)控和攔截，用安全機(jī)制補(bǔ)充安全規(guī)則，以有限的行為防御無(wú)限的漏洞。

內(nèi)核加固

通過(guò)構(gòu)建內(nèi)核探針對(duì)端口掃描、反連shell、進(jìn)程自我復(fù)制、監(jiān)聽(tīng)原始套接字等黑客在入侵產(chǎn)生的多種異常行為進(jìn)行監(jiān)控及防護(hù)，同時(shí)會(huì)對(duì)系統(tǒng)中的二進(jìn)制文件創(chuàng)建、進(jìn)程創(chuàng)建、進(jìn)程外連、linuxshell操作命令等行為進(jìn)行監(jiān)控和防護(hù)，實(shí)現(xiàn)主機(jī)內(nèi)核加固。

應(yīng)用權(quán)限控制

從內(nèi)核層實(shí)現(xiàn)應(yīng)用權(quán)限控制，限制應(yīng)用過(guò)高權(quán)限，防止提權(quán)、創(chuàng)建可執(zhí)行文件等操作。

WAF探針

工作于IIS、Apache、Nginx等web中間件內(nèi)部，基于防護(hù)規(guī)則（數(shù)字簽名）對(duì)WEB流量進(jìn)行監(jiān)控及過(guò)濾，具備所有硬件WAF的防護(hù)能力及功能。

RASP(runtime applicationself-protection)

RASP探針工作于ASP、PHP、Java等腳本語(yǔ)言解釋器內(nèi)部，區(qū)別于傳統(tǒng)WAF基于流量規(guī)則的防護(hù)方式，RASP探針是基于腳本行為（無(wú)規(guī)則）的方式進(jìn)行漏洞攻擊識(shí)別及防護(hù)，RASP探針會(huì)對(duì)WEB流量以及 文件操作及數(shù)據(jù)庫(kù)操作等行為進(jìn)行監(jiān)控，在腳本解析、命令執(zhí)行等關(guān)鍵點(diǎn)上進(jìn)行監(jiān)控和攔截，能有效防御SQL注入、任意命令執(zhí)行、文件上傳、任意文件讀寫、Weblogic反序列化、Struts2等基于傳統(tǒng)簽名方式無(wú)法有效防護(hù)的未知安全漏洞，是對(duì)傳統(tǒng)WAF的有效補(bǔ)充。

李棟指出，單臺(tái)主機(jī)安全不等于業(yè)務(wù)系統(tǒng)安全，無(wú)論核心業(yè)務(wù)的安全防御能力有多強(qiáng)，在默認(rèn)“內(nèi)網(wǎng)相互信任”的前提下，只要業(yè)務(wù)系統(tǒng)中存在防護(hù)薄弱的主機(jī)，一樣可以被攻擊者利用東西向移動(dòng)攻破。在現(xiàn)行的業(yè)務(wù)體系下，無(wú)需改變架構(gòu)，通過(guò)流可視化、微隔離技術(shù)即可構(gòu)建主機(jī)端的零信任安全模型。

流可視化（Flow visibility）

通過(guò)監(jiān)控業(yè)務(wù)系統(tǒng)數(shù)據(jù)流并將其可視化,幫助安全運(yùn)維人員實(shí)時(shí)準(zhǔn)確把握業(yè)務(wù)系統(tǒng)內(nèi)部網(wǎng)絡(luò)信息流動(dòng)情況。

流可視化的功能可以識(shí)別到：業(yè)務(wù)資產(chǎn)可視化；業(yè)務(wù)資產(chǎn)間訪問(wèn)關(guān)系可視化；流量信息可視化；訪問(wèn)端口可視化以及訪問(wèn)數(shù)量可視化等。

微隔離（Micro-segmentation）

是主機(jī)端分布式防火墻技術(shù)，可以細(xì)粒度控制主機(jī)、主機(jī)應(yīng)用間的訪問(wèn)關(guān)系：

東西向流量防護(hù)

可以基于角色、標(biāo)簽定義主機(jī)、主機(jī)應(yīng)用間的細(xì)粒度訪問(wèn)控制策略。比如在一個(gè)安全域內(nèi)允許A類主機(jī)（如web服務(wù)器）去訪問(wèn)B類主機(jī)（如數(shù)據(jù)庫(kù)），其他類型的主機(jī)去訪問(wèn)B類主機(jī)將被禁止；或者A類主機(jī)的web應(yīng)用可以去訪問(wèn)B類主機(jī)的數(shù)據(jù)庫(kù)應(yīng)用，A類主機(jī)的其他應(yīng)用訪問(wèn)B類主機(jī)的數(shù)據(jù)庫(kù)應(yīng)用將被禁止。

南北向流量防護(hù)

解決主機(jī)非法外連問(wèn)題，可以定義主機(jī)允許訪問(wèn)的特定的IP段、域名，不在規(guī)則外的訪問(wèn)將被禁止。