云安全新赛道探索 | FB企业公开课回顾

随着信息技术不断发展，近年来，由于云计算和云服务平台本身所具备的便利性、可扩充性、节约等各种优点，它们正在越来越广泛地被采用。然而，这些“云”也渐渐开始成为黑客或各种恶意组织和个人为某种利益而攻击的目标。比如利用大规模僵尸网络进行的拒绝服务攻击(DDoS)、利用操作系统或者应用服务协议漏洞进行的漏洞攻击，或者针对存放在“云”中的用户隐私信息的恶意攻击、窃取、非法利用等等，层出不穷。

因此，对于云安全的思考也就更加具有了重要的现实意义。本期的FreeBuf 公开课有幸邀请到两位业界的资深专家以不同的视角同大家分享关于云安全的理解与思考。

分享人简介

张鸣，亚信安全云主机安全产品总监，专注信息安全领域十余年，对云主机上的安全相关工作颇有深刻的体会与独到的见解。

锐少，ITU-T DevOps国际标准核心编写专家，CSA云安全联盟专家，拥有CISM、CEH、PMP、CDPSE等多项资质认证。

张鸣：从勒索、挖矿思考云主机安全 http://mpvideo.qpic.cn/0bc3faaa2aaam4anvpkt7nrfakgdbuuaadia.f10002.mp4?dis_k=1fe7a10107a9413df1eb2afb793d997e&dis_t=1650005365&vid=wxv_2349976336724901890&format_id=10002&support_redirect=0&mmversion=false

古语有云：知己知彼，百战不殆。张鸣坚信当今的云安全攻防战中亦是如此。结合亚信安全在过去多年的安全实践，张鸣总结了一些攻守过程中云主机安全的系统方法作为分享，共分为三个部分：第一部分是围绕知彼的部分，他分享了关于勒索挖矿最新的情况，如勒索挖矿的基本原理和背后的虚拟货币，以及国家行业等方面的政策动向；第二部分是知攻才能知防，攻与防是整个安全业界里面永恒的话题，基于云主机的安全防护实践形成了这个云主机的安全防护七式；最后从未来的角度提供了一些建议，如何快速构建响应提升处置的能力。

勒索、挖矿病毒全球肆虐,CIO最大的痛

勒索、挖矿病毒早已不是陌生的事物，对此张鸣做了通俗易懂的概括：黑客通过勒索软件，加密用户数据、更改配置等方式，使用户资产无法使用，并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。挖矿程序也是类似，通过其他方式去感染网络上的计算机，占用计算机的资源为支撑挖矿

勒索或挖矿事件，一般都会被定性为安全事件，因为它可能影响整个公司的正常的运作。根据国家互联网应急中心实验室发布的《2020年我国互联网网络安全态势综述》显示 ，2021年勒索软件发生众多变化，而医疗行业、政府机构、教育、科技和传媒等行业受到的影响较为严重，攻击后的平均恢复成本也从2020年的70万美金提高到170万美金。当然，实际恢复成本肯定远远不止如此。

2021年，新冠疫情继续在全球肆虐，经济趋势由实转虚，而虚拟货币自带避险光环，这也使得虚拟货币市场在过去若干年中大幅增长。很自然地黑客瞄准了这一市场。

对于近些年暴涨的勒索和挖矿事件，张鸣共总结出四项特点：第一是运营高度专业化；其实是攻击方式相对简单；第三是虚拟货币的收益非常高；第四是软件制作成本非常低。

目前，勒索和挖矿病毒在我国已引起政府高度重视。2021年9月，国家发改委联合十个部门，发布了关于整治虚拟货币这种挖矿的通知。其中将虚拟货币列为淘汰类的产业，严格禁止以任何名义发展虚拟货币挖矿的项目。

功守道之云主机安全七式

知攻才能知防，因此在张鸣看来，只有很好理解勒索挖矿软件的运行机制，才能高效实现云主机上的防护。

一般情况下，勒索病毒通过勒索软件的主体进入到操作系统内部执行，执行完成后留下相关加密信息，之后外联外部站点。在这个过程当中它还会检测发现处置安全的相关软件，同时也会做一些种加密伪装不被查杀。还有一些病毒会伪装成正常的软件执行，一旦执行完成后就会下载勒索软件的主体。而病毒传播过程通常是通过黑客进行入侵，或者病毒邮件、系统漏洞以及口令破解、文件共享和病毒下载等。

作为防御，对于具体运维过程，张鸣提出风险七式： 第一式，摸清资产风险，缩小可能的攻击面，特别是核心资产里涉及到服务器规模、端口、IP的情况；

第二式，防止或发现黑客扫描及漏洞扫描动作；

第三式，虚拟补丁技术（DPI）防止漏洞攻击；

第四式，病毒处置并拦截矿池的连接、病毒处置之无代理技术；

第五第六式，发现恶意的修改和记录高风险日志；

第七式，通过EDR能力，对安全事件追根溯源；

云主机安全-走向平台级防护

如今，在一个企业的安全管理中，PPT的理念最为大众普遍接受，即People Process Technology。在如何将三者结合的问题上，在张鸣看来XDR是一个比较理想的方法。

他表示，云主机安全是XDR终端检测的一个部分，另外像网络的NDR以及网络管理的MDR这些具体的能力结合对应的标准工作手册来思考如何智能化处置针对勒索威胁的安全预案，在未来是一个非常好的方向。

公开课的最后，张鸣详细也介绍了亚信安全提供的XDR解决方案和其应用场景。

锐少：云背景下数据安全治理实践

http://mpvideo.qpic.cn/0bc3jiaa2aaarmanlrst7brfaswdbvfaadia.f10002.mp4?dis_k=45435e57f141a9fdcfe90cd0c555dd42&dis_t=1650005365&vid=wxv_2349982540587057157&format_id=10002&support_redirect=0&mmversion=false

众所周知，安全威胁是一个长期存在的问题。无论是机构组织还是个人设备都有随时受到攻击的潜在风险。因此，数据安全治理实践这一议题的重要性也正日益凸显。在本次公开课中锐少将通过云端数据安全现状；安全困境；数据安全治理实践三个部分给大家分享他对于数据安全的理解。

云端数据安全现状

在安全威胁长期存在的大环境下，层出不穷的网络安全事件致使敏感信息泄露、篡改和滥用从而使得个人、组织机构甚至国家蒙受巨大经济和声誉损失。锐少将攻击者从下至上依次划分为：业余黑客；黑产组织；网络犯罪恐怖组织；国家利益体。对于日益复杂的安全环境，国家相继出台相关法律、行政法规、部门规章、规范性文件和国家标准作为应对。

安全困境

在锐少看来，我们当前正处于从简单的IT时代到复杂的DT时代转型的阶段，这就意味着数据的管理、用途授权控制、业务使用流动和保护风险都变得更加复杂。

锐少将数据安全的困境总结为6项：先发展后治理；资源不足；数据孤岛；格式；标准各异；超范围使用数据；数据丢失；数据泄露。

数据安全治理实践

锐少认为，数据安全治理是一个组织级的治理活动，并非一个安全团队或一个IT部门就能解决，因此要从组织的高级管理层、组织架构以及相应的职责入手建立治理体系，自上而下地推动相关的数据工作。

对于数据治理规划，锐少提出应分为短期规划与长期规划。而且公开课中他也分别提供了若干建议。对于1-2年的短期计划，他提议应建立数据治理委员会和办公室；长效的管理机制，统一的数据标准规范和质量规则，清晰的数据认责，逐步形成数据认责文化和意识，数据安全分级，外部数据需求统筹管理。而对于2-4年中长期，他则提议数据标准维护及贯标，数据治理管控平台，逐步实现数据整合，部署数据应用系统，提升数据认责文化与意识。

认知与实践是应对云安全挑战唯一利器

一方面，传统环境下的安全问题在云环境下仍然存在，比如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等，另一方面，在特定的云环境下还会涌现新的安全问题。

对于我们而言，唯有不断刷新认知，强化安全理念与思维，在实践中汲取经验，才能应对无穷无尽新的挑战。