用一个更通俗的话说就是,当前云环境下的基础安全攻防问题,95%以上都是因为不恰当的配置方式以及错误使用了不安全的代码导致的,例如:
在云服务器上安装了sqlserver数据库服务器,使用了sa默认密码、或者是弱口令,并且将端口开放到公网可访问。 配置了sshd密码登录,同时允许root直接登录,并且将ssh端口开放到公网可访问。 在云服务器上安装了tomcat服务器,并且部署了存在漏洞的struts2应用。 在云服务器上安装了lamp服务器,并且部署了存在漏洞的dedecms应用。
这些不恰当的配置方式以及不安全的代码,是导致批量化低门槛入侵的根本原因之一。
为了“缓解”这些问题,业内厂商给出了一些“补丁式”的缓解方案,典型的比如:
通过实时对进程日志进行审计以及关联分析,发现当前系统存在的入侵行为 通过实时对网络行为进行聚合分析,发现当前系统存在的暴力破解和异常登录,并且对攻击者行为进行阻断实现防御能力 通过oval扫描、cms、jar包文件扫描,检测网站代码中存在漏洞,并提供一站式修复方案
这种“补丁式方案”从总体上可以取得较好的效果,但是也存在一个比较明显的问题,即“检测和防御总是滞后于漏洞和攻击”,防御者被迫处于攻防博弈的滞后者位置,新的漏洞总是不断被提出,新的攻击方式总是不断出现。
而我们谈到的0day/nday监控,更多时候就像是“地震预警”,作为防御方,能做到的极限就是,在事件发生的第一时间进行响应,然后进行紧急救火。
Web接入层上默认覆盖的WAF 默认安全配置的云/容器/数据库/缓存等基础系统和服务 统一的登录鉴权认证服务 KMS(密钥管理系统) 保护关键数据的票据系统 零信任(Zero Trust)架构 Pam登录统一管控 堡垒机 运行时应用自我保护 无论是云化还是私有化,处于技术落后的区域,应当务实的去研究技术可行性与用户痛点问题,切实的做好网络安全相关工作。应提高与用户接触人员的能力,而不是如同产品推销,搞的卖安全就和卖地推货一样。不去误导用户,类似“互联网暴漏面威胁检测、安全验证持续监测、漏洞全生命周期管理”这些细分领域的优质有用的服务或者产品,被不负责的传达到用户那,统一成了两个概念“漏扫”和“渗透”。网络安全的生态,需要乙方赋能给甲方,甲方学习后理解以后,才能转化需求,痛点才能更好的结合产品服务,而我们的多数一线网安人员最怕用户懂,要转变思维。协同才是把事做好的根本,技术在实践中检验,产品在实际场景中沉淀。服务也在事件中被认可。一个好的生态才是孵化好的市场的根本。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...