随着雲計算的大規模普及,公有雲的威脅已逐漸從”監控已知漏洞”發展為”感覺未知威脅”:
一方面,客戶的自研代碼和獨特的業務場景帶來了個性化的攻擊面;另一方面,黑灰産的武器庫日趨成熟,其中不乏未公開披露的漏洞攻擊手段(0day)。傳統的漏洞情報已經不能覆寫雲環境複雜的攻擊形态,如何在入侵之後快速定位攻擊源以及入侵原因,已經成為雲計算威脅檢測技術中的重中之重。本方案成果正是基于上述背景,結合多種雲産品日志,通過大資料分析引擎對資料進行加工、聚合、可視化,形成攻擊者的入侵鍊路圖。便于使用者在最短時間内定位入侵原因、制定應急決策。适用于雲環境的WEB入侵、蠕蟲事件、勒索病毒等場景的應急響應與溯源。
案例1:蠕蟲傳播事件
下圖描述了蠕蟲傳播源185.234.216.52通過SSH暴力破解成功登入到主機,并通過bash執行curl指令從遠端下載下傳挖礦程式并執行。
案例2:WEB漏洞入侵事件
黑客通過202.144.193.8伺服器發起攻擊,通過WEB漏洞向Linux伺服器植入惡意shell腳本和挖礦程式,同時将代碼寫入計劃任務(crond)實作攻擊持久化。圖中的節點資訊清晰地描述了這一過程。此外,我們可以觀察到黑産團夥的多個IP及惡意下載下傳源URL資訊,便于後續樣本分析和深度溯源。
點選圖中HTTP攻擊節點檢視詳細資訊,其流量資料表明入侵者通過Apache Solr未授權通路漏洞控制API接口執行系統指令,使用者可以針對此漏洞進行快速修複。
關于阿裡雲雲安全中心,點選詳情:
https://www.aliyun.com/product/sas阿裡雲新品釋出會,擷取更多前沿釋出:
https://promotion.aliyun.com/ntms/act/cloud/product.html阿裡雲新品釋出·周刊:持續曝光:
https://yq.aliyun.com/articles/699345