企业上云安全运营

好的安全建设是防患于未然,在企业发展初期建立基础安全防护体系,能够极大减少企业受安全风险和威胁的影响,早期安全建设成本低收益大。

  • 余杭城市大脑安全运营案例

    • 项目成果
    • 风险定性定量:通过对云上业务系统和资产进行充分的风险评估,对每个风险进行定性定量后输出风险清单,有效的把控关键风险。
    • 安全建设指南:依据输出的风险评估报告,有序的对高危风险进行修复,并对标风险开展安全防护建设工作。
    • 扼杀安全事件在摇篮中:通过业务刚刚上云一段时间开展的风险评估工作,有效的避免了各类安全事件和安全攻击的发生,侧面保障了整个云业务系统的安全。
    • 业务上云:城市大脑近千台服务器已完成迁移上云,由于整个迁移过程时间较短,逻辑架构与安全规划尚未梳理清晰,可能存在诸多风险。
    • 产品较多:云上资产和产品较多,单靠自身力量难以梳理出全部的风险。
    • 安全建设缺乏指南:平台初建,需要完成一系列的安全建设工作,但是不知道从哪里做起。
    • 项目背景

    卓见云风险评估服务方式

    风险评估是指通过工具、人工方式发现系统所面临的威胁和存在的脆弱性的过程,风险评估是信息安全保障体系的基础性工作和重要环节,也是信息安全等级保护制度建设的重要方法之一。

    02

    04

    报告输出

    在安全评估过程结束后,安全服务人员将根据评估结果编写《安全评估服务报告》。服务报告包括安全评估方法介绍、安全漏洞和风险的详细说明、安全修复建议等内容。

    03

    执行评估

    事件分析完成后,将对系统进行以下专业、深度的处理:清理系统中存在木马、后门、恶意程序、挂马页面;恢复被篡改的系统配置,删除黑客创建的后门账号;清理异常系统服务与进程,以及更多其他服务。

    -网络基础信息:如IP地址、域名、开放端口等。
    -操作系统信息:如操作系统、版本、开放服务等。
    -应用系统信息:如代码语言、CMS系统、网站结构、管理后台等。

    信息收集

    01

    项目启动

    -明确安全评估目标和评估对象范围。
    -明确参项目的人员组成。
    -确定评估的依据,制定评估执行方案。
    项目风险说明,风险规避手段实施。

    工具扫描

    通过渗透测试对云上WEB业务系统进行扫描发现相关漏洞风险


     

    现场问询安全防护措施、安全制度流程等情况

    根据已获取到的相关信息重点进行登录查看或手工验证

    通过工具对业务系统主机网络等进行扫描发现相关漏洞风险

    手工检查

    渗透测试

    现场访谈

    安全风险评估流程

    通过及时、准确的风险评估工作,企业组织可以全面、清晰地了解当前的安全现状,并有针对性地制定下一步的风险控制手段,从而达到降低风险、提升安全性的目的,并为将来的安全建设提供客观依据。

    风险评估服务工作内容

    1.资产调研 
    2.周期性业务安全检测 
    3.结合应用部署环境和业务状况定制安全加固方案,并在生产环境加固
    4.对云上资产日常的安全巡检和安全监控,及时发现安全隐患

    安全运营服务

    1.提供应用系统接入云盾产品的技术支持。
    2.协助用户定制、优化云盾安全策略。
    3.对发现的安全攻击进行分析拦截;

    云盾安全运营

    1.安全通告:同步最新安全应急通告,并指导进行相关修复工作;
    2.安全事件处理:发生类似于黑客入侵等紧急安全事件时,及时提供安全应急响应服务。

    应急响应

    1.根据需求,提供现场或远程两种支持方式;
    2.根据安全态势整理周报、月报、年报  
     3.基于云上安全最佳实践、结合客户业务的特点,为客户定制云上安全建议方案

    其他

  • 与之相比,传统的网络攻击只占30%

    攻击比例

    30%

    基于服务器上运行的所有web服务开展综合安全测试的服务

    Web应用渗透测试会测试什么?

    为什么需要渗透测试?

    来自Gartner的数据显示,当前大部分的网络攻击集中在WEB应用层

    应用层WEB攻击占比70%

    攻击比例

    70%

    55%的web站点都存在web组件漏洞

    漏洞比例

    55%

    90%的web站点存在高危逻辑漏洞

    漏洞比例

    90%

    用户在执行命令或查询时向web应用程序提交数据,这时就会发生基于网络的威胁,比如SQL注入、OS命令注入和LDAP注入。攻击者的恶意有效负荷会欺骗web应用程序执行计划外命令或者未经正确授权的情况下访问数据。

    应用的身份验证和会话管理功能经常配置不当,攻击者可以借此损坏密码、秘钥或会话令牌,或者利用其它漏洞暂时性或永久性假冒其他用户身份。

    注入式攻击

    若web应用在未经适当验证和转义的情况下接受用户通过网页提交的数据就可能会引发XSS攻击。攻击者可以利用跨站点脚本在用户浏览器上执行脚本,从而劫持用户会话,破坏网站,或者将用于重新指向恶意站点。

    使用含有已知漏洞的组件

    跨站点脚本攻击(XSS)

    失效的身份验证

    运行组件(数据库、框架和其他软件模块)跟应用具有相同的权限要求。若攻击者利用了存在漏洞的组件,这类攻击会导致数据损失或远程接管服务器等重大事故。使用含有已知漏洞的组件的应用和API可能会破坏应用防御机制,启动攻击,并产生特定影响。

    黑盒扫描渗透

    利用项目沉淀的多种类扫描器及POC进行发现验证,通过人工复查验证减少误报并评估影响范围,最终出具报告。

    web应用黑盒渗透测试

    运行组件(数据库、框架和其他软件模块)跟应用具有相同的权限要求。若攻击者利用了存在漏洞的组件,这类攻击会导致数据损失或远程接管服务器等重大事故。使用含有已知漏洞的组件的应用和API可能会破坏应用防御机制,启动攻击,并产生特定影响。

    Web应用测试方式

    纯人工渗透

    属灰盒渗透,利用纯人工的渗透测试,对系统进行全面评估,利用漏洞尝试横向纵向提权,评估影响范围,最终出具报告。

    web应用灰盒渗透测试

    灰盒测试是在对系统内部工作原理有一定认识的前提下对系统开展测试的方法。这里对内部工作原理的了解通常也只限于应用的URL及与用户职位相对应的用户凭证。渗透测试工程师可以通过注册测试对web应用程序进行全面评估,检测是否存在潜在漏洞。此外,测试工程师在这个阶段要检查是否存在可能导致纵向和横向提权的应用权限弱点。

    web应用黑盒渗透测试

    • 项目新建:整个业务系统刚刚完成建设落地,业务系统可能存在诸多安全风险未被发现;
    • 应对大型活动:业务系统即将应对双十一大促的考验,担心业务系统存在漏洞或风险被黑客或羊毛党攻击;
    • 安全建设:后面打算针对性上一些安全防护,上之前准备做一轮风险评估和渗透测试,毕竟打铁还需自身硬,根据具体风险项再考虑上哪些安全防护产品。
    • 项目背景
    • 项目成果
    • 人工渗透测试:以人工的方式模拟黑客对业务系统进行渗透攻击测试,充分的发现了业务系统中存在的版本漏洞和逻辑漏洞。
    • 跟踪修复:首轮渗透测试工作完成后会输出一份报告,记录了攻击手法和漏洞的影响范围等详情,给出修复建议后全程跟踪验证,确保漏洞予以修复。
    • 专业的云安全服务团队:安全服务团队成员大多来自启明星辰、绿盟、360等知名安全服务公司,通过以往对大量的业务系统进行渗透测试积累了丰富的经验,全天侯的驻场运维服务让用户高枕无忧。

    渗透测试案例

  • 安全加固内容

    1.对客户主机、网络设备、应用系统、操作系统、中间件、数据库等进行全面的基线加固和组件升级。

    安全加固依据安全体系建设中权威的系统配置标准

    应用场景

    2.针对系统存在的高危漏洞和安全隐患等提供安全加固方案,整体上提高系统的安全防御能力。    

    在客户授权的情况下:

    漏洞修复后加固

    结合客户实际业务及漏洞修复情况,按需加固,防止漏洞复现。

    安全事件结束后加固

    根据事件信息,针对性的对利用点进行加固,防止事件再次发生。

    通过等保测试需要

    根据测评项针对性的对服务器、数据库、网络进行加固配置。

    安全加固特性

    01

    效果保障

    专业的团队提供专业的安全加固方案,在实施前充分讨论,结合客户实际业务情况,按需加固。

    对操作系统、网络设备、安全设备、数据库、中间件、应用系统,提出安全有效加固方案和服务。

    全面加固

    02

    利用二次验证,对加固进行有效证验证,确保安全加固效果到位。

    加固核验

    03

    可选基于标准测评项对服务器,数据库,网络进行加固配置,轻松合规。

    等保合规

    04

    项目背景

    • 统一管理:某金融交易的互联网平台希望统一规划建设、统一技术标准、统一集控平台、统一品牌形象、统一运行管理,建设成互联互通、管理规范、技术先进、安全高效、国内一流的金融交易平台。
    • 海量云产品资源优化:利用阿里云平台,建设了百余台服务器,以弹性扩展特性来应对金融平台的业务突增现象。
    • 安全加固势在必行:急需要有一个安全团队对该平台做安全评估及安全加固,提供整体的安全解决方案,把风险降到最低。

    项目成果

    • 安全架构重组:调整业务架构,划分子网段,优化安全组,相同防护需求的ECS划分相同的安全组。
    • 制定安全规范:安全管理水平大幅提升。
    • 加强了访问控制和权限管理,杜绝越权操作,误操作,提升系统稳定性。

    安全加固案例

    安全加固服务

  • 对服务器内被挂载的恶意木马及后门进行清理.

    清理木马后门

    病毒、蠕虫

    远程木马

    僵尸网络程序(肉鸡)

    挖矿程序

     

    恶意程序事件

    系统配置遭篡改

    网站内容篡改事件

    信息数据泄露事件

    信息破坏事件

    发生黑客入侵、DDoS、数据窃取、木马病毒等事件时,提供包括抑制止损、事件分析、业务损失评估、系统加固、事件分析的应急响应服务,降低安全事件对企业自身的影响与损失。

    及时止血,保护资产和业务不被入侵事件所影响.

    消除入侵影响

    根据长期应急的沉淀积累,服务主要分为以下几种事件场景

    服务内容

    应急场景

    分析入侵原因

    尽可能的分析事件原因回缩事件,为安全加固提供方向.

    账号被异常登录

    异常网络连接

    其他安全事件

    Webshell后门

    网站挂马

    网页暗链

     

    WEB恶意代码

    根据事件分析结果,提供合理有效的修复和防护建议.

    提供安全建议

    安全工程师与客户直接联系对接,通过与客户交流了解事件具体详情,并记录问题情况。根据客户描述现象与系统实际现象,对事件进行确认、定性。

    确认事件

    01

    接到事件响应申请后, 安全工程师会在第一时间进行响应。根据事件类型与系统保存的安全事件记录,结合系统与网络等综合情况,进行全面深入的分析。

    事件抑制与分析

    通过专业的服务降低安全事件对企业自身的影响与损失

    02

    核心优势

    应急响应服务流程

    事件分析完成后,将对系统进行以下专业、深度的处理:清理系统中存在木马、后门、恶意程序、挂马页面;恢复被篡改的系统配置,删除黑客创建的后门账号;清理异常系统服务与进程,以及更多其他服务。

    事件处理

    03

    能够根据事件级别进行快速响应和定位,降低因时间差造成的损失。

    快速响应

    对事件进行精准的分析与还原,并协助企业对漏洞进行及时修复,防止类似威胁的再度发生。

    保证效果

    安全服务团队成员都是具备丰富应急处置经验的安全工程师,保证应急响应过程高效可靠。

    专业服务

    事件处理完毕后,根据具体情况编写《事件应急响应报告》,文档中阐述整个安全突发事件的现象、处理过程,处理结果、事件原因分析,并给出相应的安全建议。

    事件分析报告

    04

    • 发现安全事件:官网平台多出一些异常页面,并且在阿里云控制台接到信息提示某些URL由于发布了违禁信息进行了封禁处罚。
    • 缺乏安全事件处理能力:该置业公司希望卓见云安全专家能够给予判断以及事件处理,消除事件产生的影响并恢复业务,提供后续防护的建议。

    项目背景

    • ·溯源发现安全事件的本质原因,例如因漏洞、配置缺陷、密码泄露等导致的安全事件。
    • ·全面查找和清理WEB站点中的挖矿程序、WebShell、暗链等恶意内容。
    • ·对入侵导致的异常进行处理,帮助客户恢复业务。分析黑客入侵手法,找出入侵原因。
    • ·输出应急响应报告,提供专业的修复建议,指导用户进行安全加固,防止被再次入侵。

    解决方案

    应急响应案例

  • 为什么需要安全运营保障服务

    来自信息安全行业年报的统计显示,安全运营服务正成为当下最热门的安全服务领域之一。

    基于服务器上运行的所有业务应用的安全运营服务

    安全运营护航服务介绍

    安全护航服务是指在重大活动期间,由卓见云提供的安全保障服务。通过对防护对象的安全评估、安全加固以及安全专家现场或远程安全值守,对企业组织的核心业务系统进行持续的在线监控,对各类攻击行为进行快速的响应处理,从而避免关键业务遭到黑客的破坏,保障系统在重大活动期间的安全性。
     

    安全护航服务


    安全运营服务是卓见云安全团队经过多年的技术实战和经验沉淀,面向云上客户提供的安全托管运营服务,在客户自身安全团队能力不足的情况下,由卓见云安全专家帮助用户进行安全方案设计及日常安全管理工作,保障云上业务的安全性。

    安全运营服务包含哪些工作?

    安全运营服务

    1.资产调研 
    2.周期性业务安全检测 
    3.结合应用部署环境和业务状况定制安全加固方案,并在生产环境加固
    4.对云上资产日常的安全巡检和安全监控,及时发现安全隐患

    安全运营服务

    1.提供应用系统接入云盾产品的技术支持。
    2.协助用户定制、优化云盾安全策略。
    3.对发现的安全攻击进行分析拦截;

    云盾安全运营

    1.安全通告:同步最新安全应急通告,并指导进行相关修复工作;
    2.安全事件处理:发生类似于黑客入侵等紧急安全事件时,及时提供安全应急响应服务。

    应急响应

    1.根据需求,提供现场或远程两种支持方式;
    2.根据安全态势整理周报、月报、年报  
     3.基于云上安全最佳实践、结合客户业务的特点,为客户定制云上安全建议方案

    其他

    安全运营服务包含哪些工作?

    基于服务器上运行的所有业务应用的安全运营服务

    1.梳理护航对象的资产信息和现有安全防护手段。
    2.对护航对象进行安全风险分析
    3.设计制定安全护航方案
    4.提供安全改进建议方案

    调研建设

    1.安全专家团队提供远程/现场值守服务(支持7*24小时)
    2.关键网站安全监测
    3.黑客入侵事件监测 
    4.安全态势感知事件监控

    值守监控

    一旦监测到可能对业务产生影响的安全攻击或者已经成功的入侵事件,安全专家将迅速对事件进行跟踪、告警及处理。


     

    应急响应

    针对本次护航保障工作进行复盘,总结业务系统风险、发现不足,持续改进安全护航方案。

    护航总结

    项目成果

     构建完善的体系流程,结合客户的业务架构及国家信息安全标准,在运维初期逐渐完善安全体系架构及流程,在后期工作中以此为建设依据,并积累过程文档。
    业务平稳运行,提供7x24故障处理,通过每日对云平台的巡检观察及时发现漏洞及安全隐患并同步给用户完成修复。
    专业的云安全运维团队,安全团队在公共云专有云等多个场景均积累了大量安全建设维护经验,全天侯的驻场运维服务让用户高枕无忧。

    项目新建,整个云平台刚刚完成建设落地,很多制度流程及资源都在起步阶段;
    运维能力,用户对于云本身比较陌生,且无专业的安全运维人员,使用并保障云平台安全性较困难;
    持续建设,单靠用户自己很难完成安全体系架构的持续建设,而无法随着系统建设的脚步完成安全体系的建设是出现重大安全问题的伏笔。

    项目成果

    安全运营保障案例