阿里云云原生NDR发布:全流量防御能力升级
内容介绍:
一、什么是云原生全流量威胁检测与响应NDR
二、阿里云全流量威胁检测与响应NDR新发布
三、典型客户案例
四、总结
在《阿里云云原生NDR发布》会议中,本次分享的主题是全流量防御能力升级。
本话题将发布业界首款公共云原生网络检测与响应产品——NDR,并对产品能力和解决方案做详细介绍。该产品通过旁路镜像网络流量,使用流量过滤、全流量留存、关联溯源、威胁分析等能力,可以快速检测和响应高级网络威胁。
一、什么是云原生全流量威胁检测与响应NDR
一个技术能力强的客户看到在郧西上发布这个产品,说如果发布后一定要给他用一下,随着云上网络环境的越来越复杂,现在针对云上的高级威胁防护和对抗的诉求越来越高,但是现在仅有的这些选择,从最早一些技术能力比较强的客户,自己搭建环境装一套开源的NDR去使用到后面有了线下传统的NDR有的客户想把他们搬到云上来使用,但经过交流发现,很多云上的客户实际使用下来效果不是很好,包括我们这个客户也提到,希望能有一个专为云平台设计的能够无缝集成到云平台的NDR的能力去使用。
这个问题其实在前期的市场研究调研中也接收了很多,一个跨国企业客户在交流过程中发现他想安装一个不属于开源的NDR软件去使用,但实际使用情况下他跟我们讲,首先安装的时候,要熟悉边缘代码,安装各种依赖项和流量捕获的软件,同时还需要调通一系列的网络配置,到流量分析阶段,数据分析时需发现要去自建数据存储集群,并且和一系列的可视化软件进行打通,又要去做很多学习和安装工作,到了威胁分析检测的时候,又发现需要去了解开源软件的微分界的规则的逻辑从而去配置相应的模板,而且还要自己去配置相应的响应的一些脚本,我们还有一些客户云上采用一些额外的ECS去安装一些传统的NDR软件,最后整个部署下来发现还是不好用。因为它对于当前云环境的资产感知能力太弱了,当云上的资产发生变化的时候,它不能第一时间进行感知,当流量发生变化的时候,也不能第一时间去进行感知,不能做到弹性扩缩容还需要额外投入IT资源去运维,升级更新,稳定性这些都要自己去做。而且采购lisens这种商业模式不够灵活,一买就几十万,没有一个按量按实地使用的去使用的去付费使用的一个模式是很难去用起来的。
云上是很有需求的,所以现在其真正今天针对于云上的全流量检测方案,其实客户不缺少需求,真正缺少的是时间,因为日常的安全运营维护工作是非常繁忙的,没有时间一件件把事情做的那么细,所以云上也有一些除了这些大的客户还要一些中小型客户,那对于这些中小客户,有没有这样一种按需一键开通去使用起来的简单易用的一种模式,能够对中小客户友好的同时是一种按量付费的模式,能够让中小客户立马去使用起来的模式,所以业界是不是能有这样一种SAS化的原生化的NDR,能够不需要部署任何软件、不需要安装任何的插件就可以做到一键接入流量。今天发布的NDR希望和云上的现有产品架构高度融合,无需部署,互联网上的NDR其实是部署在云网络的出口可以一键接入公网资产的南北向流量,东西向的NDR是和云网络的网管型负载均衡进行结合,通过原生化的流量镜像的方式去镜像vpc内部ECS之间和VPC之间的流量从而去解决内部威胁的横向扩散,和东西向的敏感数据泄露的问题。
二、阿里云全流量威胁检测与响应NDR新发布
1、无需部署、即时开通、一键接入
第一个亮点是一个无需部署的、支持自动全量与手动按需的一键接入方式,希望是不需要复杂的引流配置,操作简单,可以节省大量的运维时间。
同时由于它天然旁路的方式,所以接入的过程也是无损的。比如说有一些客户,他们都有一些这种对时延稳定性比较高的高敏感的一些业务,平时不敢接入安全防护,担心有抖动延迟造成啊阻断等等。但又担心去遭受到攻击的这样的一些业务,其实都可以放心的去接入到NDR里面去做威胁防护,同时,我们也支持VPC内部的东西向流量,包括ecs之间和VPC之间的流量接入,不会受限于各种的网络架构,从而提高内网的安全性。
2、攻击报文自动留存与检索
第二个亮点,其实我们有很多客户考虑到全流量的留存,其实会带来很大的成本负担,而自己手动安全区配置留存又会存在说导致这个人工的配置的疏漏,攻击发生的时候没有留存到攻击流量,最后溯源的时候没办法溯源的这种尴尬的问题,所以发布了第二个亮点,攻击报文的自动留存与检索,能够在攻击发生的时候自动留存攻击事件以及攻击发生前后的原始流量。这样不需要人工的任何参与,就能够将攻击的流量留存下来,同时攻击流量的这种留存相比于全流量我们只有万分之一的大小,可以有效的避免无用的大流量造成的高额的成本负担,帮助用户有效的降低成本。
那另外一个就是客户提到的,有一些核心关键的资产,不管是不是攻击的流量,都要去进行留存,方便做后续的这种分析,那我们也支持对于报文的自定义的过滤的留存,可以满足客户多种的定制化的资产流量的留存需求。
那第三个针对报文检索的一些客户,我们认为大多都是一些具有了一定运营分析经验的技术分析人员,所以对于体验也是有所追求的,那我们希望大家能够做到不用所有的豹文都下载下来,不用把所有的日志都投递出去,就能够在NDR上面去完成一些基本的分析内容。经过测试验证,通常把两周以内的流量控制到10秒之内检索完成,并针对paylod的部分做一些加工,把其中的hier的部分,Post request response的部分比较清晰的罗列了出来,命中特征的部分我们把它高亮的去显示,从而让客户展开去分析,我们希望通过一点一点的时间的积累,争取去把体验做到最优。
3、全流量检测与多引擎关联分析
发布第三个亮点是考虑的是一个全流量的检测与多引擎的关联分析能力,第一个点是双向的异步全流量的检测,其实传统的这种设备已经具备了一些4-7层的检测能力,它是可以去完成一些基础的检测工作的,但有一些弱特征的攻击流量,它会分布在多个报文里面,这就依赖我们去将所有的流量进行还原,并且分析它的攻击行为之后才能去做攻击确认。而植入型的这种攻击防防护的设备,它更适合阻断的是百分之百确认的这种攻击流量的问题,对于这种弱特征的攻击,并不适合立马把它阻断,所以我们去做了一个异步全流量的检测能力,去弥补已有方案的一些补充。那另外呢,我们针对基于request response双向全流量的分析,我们可以做到针对一些比如说远程呃代码执行,SQL注入啊,本地文件包含等多种攻击类型去做攻击确认,让攻让安全运营去聚焦到攻击成功和事件的告警上面去降低安全运营人员的分析的时间成本。
第二点讲的是一个多音擎的关联分析能力,除了我们传统的一些特征检测,微情报之外,我们还集成了文件沙箱行为分析,暴露分析等多因性的关联检测能力,可以覆盖更广泛的攻击行为。同时,我们可以按照时间轴的方式去聚合同一上下文的多个不同的攻击告警,帮助人员分析人员针对针对性的去做安全运营的分析。
第三点我们是通过帮助客户去结合at t CK,去推导攻击意图,当攻击发生之后溯源,希望找出攻击者使用的攻击和攻具和技术,找出他们的攻击路径以及攻击目的。这其实有助于我们在强对抗的场景下化被动为主动,针对性的去做一些漏洞补丁,包括一些访问控制策略的一些加固,以及这种暴露服务的防护整改,我们可以有效防止攻击者后续的攻击和下一步的恶意行为,必要时可以提供强举证,追究其的法律责任。
4、全面资产服务梳理与场景化风险管理
第四点当我们要保护一个企业的时候,首先要知道企业里面有哪些东西,哪些东西存在风险需要保护,所以有些客户也提到了,说云上有很多的这种资产,然后每个资产上面又挂了很多的服务,梳理起来特别困难,所以没有办法去针对性的去做这种风险的管理与控制。所以发布的资产管理的能力可以帮助客户有效的自动化的去梳理当前云上存在的哪些资产类型,包括有哪些ecs,有哪些负载均衡nat等等。
同时还能进一步去看到这些资产上面到底运行了哪些的这样的一些服务,比如说有一些HD服务或者数据库的服务,我们会把所有的服务类别也进行识别,通过对于资产的类型与服务进行全面的梳理之后,有些客户就提到:我们还额外会关注一些服务的对外暴露的情况,关注一些这个服务系统的一些入口令的问题,应用入口令的问题,我们也会关注,实际的这些服务的系统之间存在的敏感数据传输的问题,这些问题不只是我们说这种恶意的行为,我们才会关注,我们客户现在要看的是,全部的现在资产上面哪些是在传输敏感数据的,只有梳理清楚之后,才能针对性的去做敏感端口的标注,能快速的去做一些访问控制的策略,这样进行一个全面的视角的梳理之后,有新的变化,比如说新的一些敏感数据的传输的问题出现的时候,很快就能判断他到底是不是真正的异常行为。第二个通过风险管理的能力,其实就可以为客户提供这样,识别内部不该对外暴露的一些服务,对外造成了哪些,比如说一些端口暴露,哪些系统经常存在着若口令登录成功的问题,那这样不仅能够啊,也可以去识别资产流量中存在着各种敏感数据传输的泄露问题,包括这种AKSK泄露,同时也可以去发现一些个人的这种信息的暴露啊,比如说像身份证,个人的这种手机号啊,以及我们的一些银行的信息的暴露问题,希望说从事前进行资产暴露面的收紧与侵入风险的问题治理啊,从而提升安全团队的这个风险运营的管理效率。
5、协议日志检索、过滤与投递
第五个亮点是协议日志的检索过滤与投递,为了方便用户可视化追溯异常流量的需求,基于攻击告警和资产风险,都去关联了对应的协议日志的内容,无需安装任何的分析软件,可以直接在NDR上面,进行HTP、DNSTS等。七层协议制以及五元组日志的检索。
同时我们可以进一步提炼原始日志的详细字段,以及请求响应报文中的全流量的报文负载信息,希望可以满足各类的合规和监管需求,同时也有一些客户也会聚焦到具体的业务和成本上,比如说有些客户提到,我只关注某一个协议、某一类协议的这样的一些服务,比如说我只关注HTP的,一些协议的日志,包括其中的一些相关的一些特定的字段,我们也提供客户这样按需去过滤的进行日志过滤的一个定制化的能力,满足客户针对日志上面的定制需求的需能定制的需求。
有一些客户内部的业务对于日志审计的需求也比较高,客户需要可能自己本地会有一些SIM和sock的平台,他们会在本地做一些集中的管理与分析,那这个时候我们其实NDR尔也支持,对外去投递这些我们的协议日志,我们可以精确的做到投递具体的协议的类型,以及具体协议类型的具体的字段,这些都是可以高度去定制化的。
三、典型客户案例
第一个场景是重保防护与威胁资源的场景,建筑行业的客户,在重保过程中,发现有很多的这种DNS log的告警,但由于部署环境中,缺少对于流量获取的设备,所以他一直没有办法去针对性的进一步去分析,到底是怎么样攻击行为,传统的方法,会在所有的ecs上面去安装A政策这种软件去做引流,所以大部分的这种引流,ecs上面都是这种私网的流量,所以对于这种公网的攻击者的这个IP是很难有限的去看到的,同时很难去针对性的留存攻击的这种报文。毕竟是一个就是全流量的留存,不管是正常不正常都会留存下来,无疑是也会给客户造成额外的成本负担,所以客户后面试用了我们的NDR之后,不需要安装任何的插件,都可以一键去接入公网与磁私网资产的流量,同时利用NDR的这个威胁分析里面,我们其实有行为分析的这么一个能力,帮助客户发现了这是攻击者植入的一些内存码,内存码的流量就是通过我们自动留存的这种攻击报文,客户进行回溯之后确认是哥斯拉的那种内存码,同时客户后续进行了快速处理,没有对客户造成任何的损失,同时后续我们也帮助客户持续检出了300多个web she的告警,是极大提升了客户对于高级威胁的应对能力。
第二个针对的是资产风险的梳理以及敏感数据泄露的场景,医疗行业的客户,由于行业的特殊性,客户对于敏感数据的泄露和弱口令的问题非常头疼,之前出现过内部人员违规开放R2的端口,同时业务也有弱口令的问题,黑客很容易的入侵,造成了数据泄露。所以客户是想结合流量去针对未授权登录以及数据传输的风险去进行一个监控。传统的方案其实有很大的弊端,就是当云上的这个资产发生变化的时候,包括流量发生变化的时候,那无法及时的感知,所以针对这个资产的风险也也没办法第一时间的去进行有效的管控,所以客户后面运用了NDR的资产风险与管理能力之后,其实帮助客户自动梳理了云上的整体的资产以及服务的情况,同时我们也帮助客户检测出客户违规对外开放的哪些服务的端口,以及我们资产之间存在的敏感数据的泄露的问题。客户根据我们的这个对于流量中传输的这个敏感数据的问题,他对自己的业务也有一个有效的进行一个标注,哪些是敏感的这种数据的业务,后续也帮助客户完成了一些弱口令系统的治理。
第三个面对的是强监管的日志合规与流量审计的场景,互联网的客户。本身的业务对于日志审计的要求比较高,本地也有自己的CM平台去做日志的这种集中的管理和分析,但他认为云上的流量对他来说就是一个黑盒的状态,缺少一种全流量的一直以来去检测的一个能力,并且他想把流量检测之后也都投递到线下,去做统一的管理。所以传统的方案其实对于日志的这种投递是有限制的。同时从最开始的生成过程中,没有办法很精细化的去按需去定制日志的生成同时需要结合多个这种分析的平台,需要把日志投递出去才能进行有效的去检索,同时的投递的这个过程也没办法去做精细化的去进行一个选择,所以客户后面适用了原生化的这种解决方案之后,不仅完成了云上流量的一个威胁的检测,同时他针对日志进行了过滤,在NDR上其实就能进行基础的一些分析,同时挑选出自己需要的进一步存到线下去做集中管理的部分,去投递到线下,所以其实也有效的去帮助客户,节省了很多日志存储的成本。
四、总结
公共云全流量VIA检测与防护能力的建设的思路,经过总结主要有三个方面,第一个原生化,性价比和强检测,第一想跟原生化,现在越来越多的客户选择云上,就是在享受着云上其实按需灵活的这种便捷性,云上的这种产品,无论是任何的这种流量分析产品,还是检测产品,都需要和云深度结合,所以配置和部署其实不应该成为负担,应该是这种及时开通,随时随用的这样一种模式。对于具有这种高连续性的,这种需求的这种敏感业务,我们认为大流量的全流量的分析,其实不应该对业务造成影响,不应该受限于各种网络架构,可以让客户放心的去接入流量进行这种威胁的分析,非侵入式的这种旁路部署模式。
第二性价比,云上的这种计费模式,更多的还是按需灵活的,这是云上的一个特点,尤其是对于很多这种中小的用户,希望能够是一种按需的,按量的一种付费方式,能够减轻中小用户的实际的使用成本和前期的这种建设门槛,能够帮助客户尽快的去用起来。同时,我们认为就是云上的这种全流量的留存和这种全日制的留存会带来很大的成本负担,所以我们认为云上的这种留存是应该是有一个高度的定制化,我们可以去定制哪些攻击流量,按需的进行留存,去定制协议日志,按照需要去进行一个留存,这样在满足这个留存需要的同时,也能帮助客户去兼顾这个留存的成本。
第三强检测,其实检测能力是NDR的这个不可或缺的一部分,我们希望云上的这个安全运营不该被大量的误报和告警所淹没,需要具备比较强的这种攻击确认的这样能力,能够确定这个攻击成功和实现的这样的一些问题,同时,基于全流量的以及一些这个多音性的分析能力,能够帮助客户有效的去降低这种各个方面的误报的影响,聚焦到核心关注的一些告警上面来,是需要考虑的一个问题。
