云罟,开启主机安全“上帝视角”
随着互联网技术蓬勃发展,特别是当前大数据时代大背景下,数据作为企业重要的资产,得到了更加严格的保护了吗?我们企业的安全体系是不是远远落后于我们的业务?
企业在快速发展业务的同时,需清醒地认识到主机安全所面临的潜在风险。
01、企业主机安全新挑战
首先我们需要了解一下,企业主机存在哪些风险点,面临哪些新的挑战。
①资产不清
资产形态多变:server、VM、docker、website、DB……
没有技术支撑,再多盘点也有盲点
②风险不明
云化导致防御边界模糊
漏洞补丁无穷无尽
不安全的帐号和配置
③入侵不显
感知频率太低,不能应对无时无刻的入侵攻击
发现、溯源和追踪困难
④合规不速
合规检查效率低下
合规应是持续的,而不是若干个时间点上的
那企业如何保障信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性?
如何防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃?
如何抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止数据丢失?
02、云罟开启主机安全上帝视角
云罟主机自适应安全体系以“工作负载”为视角,对资产、运行状态、进程网络活动、运维操作等进行感知,生成安全指标。
通过对指标持续地监控和分析,发现安全威胁,实现预测、防御、检测和响应的安全闭环。
03、云罟功能介绍
云罟产品架构
新一代主机安全专家
云罟产品功能模块
优秀的主机安全产品需要有哪些功能呢?
(一)资产清点
清点主机中基础资产,包括:主机、硬件配置、账号、进程、端口服务、软件应用;
清点主机中应用及Web等高级资产,包括:数据库、Web服务、Web站点、Web应用、Web框架、Jar包、安装包、计划任务、启动项、内核模块等。
(二)风险发现
安全补丁
漏洞检测
弱密码检查
应用风险
系统风险
账户风险
(三)入侵检测
暴力破解
异地登录
反弹shell
后门检测
本地提权
Web后门
可疑操作
Web命令执行
(四)合规基线
支持从以下几项按等保、CIS的基线要求检测
系统基线
数据库基线
应用基线
(五)病毒查杀
独立功能项,内嵌4个杀毒引擎:
小红伞、ClamAV、青藤安全引擎以及腾讯TAV引擎。超强查杀能力,满足合规要求。
(六)文件完整性
扫描任务:支持建立扫描任务来监控文件变化事件。支持设置需监控的路径、文件类型以及告警条件等规则条件
告警事件:根据设置规则中的告警条件,对发现的事件进行告警。
规则模板:支持预置的规则模板,通过导入模板可快速完成规则的设置。
(七)通用功能
Agent安装与管理
主机管理
报表系统
系统审计
通知系统
IP显示设置
IP组管理
主机发现
稳定:No Driver,稳定性高达99.99%
2分钟内离线自动重启机制,保障系统始终处于监测状态
安全:对Agent进行加壳防护,防止被篡改
采用加密传输与服务端通信,保证数据安全
低能耗:CPU 占用率 <1%,内存占用 <40M
在系统负载过高时,Agent会主动降级运行
04、云罟应用场景
混合云场景:云罟作为中立的主机安全服务平台,可以为客户做好云上云下资产的统一管理和安全防护。[常见痛点:资产统一管理,统一的安全管理平台。]
线下机房场景:云罟支持为业务部署在本地机房的客户,提供SaaS和独立化部署两种交付模式,可以为不同客户提供定制化主机安全需求。[常见痛点:资产梳理困难,风险不明,入侵不显。]
公有云:云罟支持部署在阿里云、腾讯云、华为云以及其他公有云厂家的服务器上,为对应云主机提供主机安全防护。[常见痛点:买了主机服务,不会使用,对于部分安全问题也不会处理。]
05、云罟部署模式
独立化部署
“独立部署”自建模式适合安全要求高内网部署的网络环境客户。常见行业有金融、医院、银行等,一般虚机(服务器)规模都较大。
SaaS模式
适合公有云或能够外网连接的网络环境。
06、各行业主机层存在的问题
(一)政府
政府网站群大多采用硬件防护方案,存在单点防御缺陷,同时维护较为困难;
检测频率低,无法满足政策合规要求,不能对资产主机进行实时管理和控制;
专业安全人员较少,在日常安全运营和重要活动期间安全保障工作压力较大。
(二)央企国企
集团化网站和主机服务器需要统一化安全管控,以及大量主机资产需要统一安全治理;
业务逐步云化,急需能解决传统环境和云上环境统一安全防护的需求;
专业安全人员较少,在日常安全运营和重要活动期间安全保障工作压力较大。
(三)互联网
互联网业务平台长期面临着的挖矿、木马病毒等威胁和风险;
安全防护体系较为单一,单纯通过网络层面很难做到体系化的安全防御;
专业安全人员较少,在日常安全运营工作压力较大。
(四)能源
来自内部网络的攻击防护、入侵检测、数据泄露等威胁和风险;
系统、web容器、第三方组件、数据库漏洞的统一漏洞风险管理;
检测频率低,无法满足合规要求,缺乏行业的主机安全基线核查及修复。
(五)金融
高细粒度的主机应用资产清点,全方位的漏洞及高危配置风险管控;
来自内部及外部的入侵攻击及异常事件全天候实时安全监测及告警;
金融行业的安全合规检查,基于多方威胁情报的快速响应。
除了提供主机安全服务外,卓见云还可以提供一系列的安全解决方案,有完善的售前售后服务体系,让用户可以真正聚焦于自身业务!