相比一般企业上云,金融机构对业务数据的可靠性、安全性、业务连续性及安全风险防控要求更高。尤其在安全团队人员少,云上环境复杂的场景,企业遇到的问题更多。同样是上云,金融机构如何能更高效地提升云上安全可见性,做好云上安全防护?这个依托于亚马逊云科技的某金融机构云上安防实操经验,对你或许会有所启发。
该金融机构信息环境相对比较复杂,包括公有云,本地机房及办公网。不同环境之间,用户可以互访,使得企业内部形成了一个可东西向访问的复杂环境。而这一点,正好是攻击者最希望看到的:只要突破边界防御,如果内网东西向可自由移动,就能进行跨平台横向渗透,进一步提权;一些APT高级威胁甚至会采取持久化手段,对企业内部实行长期监控,造成更严重的攻击。
除了复杂的网络环境,云上安全防护对该金融机构的安全人员技术能力也提出了更高的要求。不像部署在本地流量检测设备对协议的三到七层具有可视性,安全人员还能从中发现各个阶段的一些攻击迹象,并及时处置,将攻击影响降到最低。该金融机构整体以SIEM和EDR为主要云上分析与防护设备,对于云上检测和响应需求,存在一定滞后与局限。
相比收集已有云上安全设备日志进行分析的这种技术实力要求更高、误报多的防护方式,直接基于流量进行威胁检测,属于最直接有效的手段。但在实际场景中,基于流量做威胁检测,面对的问题则在于公有云上一般很难将流量进行镜像,让企业进退两难。
不过,该金融机构选择的云厂商AWS正好避免了这个问题。AWS的Traffic mirroring允许客户在本地复制其网络流量,无需在EC2实例上安装和运行数据包转发代理,同时还兼顾轻量、安全和易用。也就是说,该金融机构可以简单、高效地通过AWS云自带的Traffic mirroring能力将入站方向上的Nginx/WAF实例的ENI网卡流量镜像给流量检测设备,进行进一步分析。
在流量检测设备选型上,该金融机构选择了微步的威胁感知平台TDP。作为国内首个入选AWS中国区Market Place的安全产品,微步TDP基于微步强大的威胁情报能力,能够对该金融机构的网络流量进行全面检测: 例如,针对互联网用户访问业务系统的场景,方案能够实现入站方向将防火墙(Firewall)的ENI网卡流量镜像给微步TDP,从而对外部攻击进行检测;而对于业务系统主动外联的场景,同样也可以将防火墙(Firewall)的ENI网卡流量镜像给微步TDP,对内网失陷进行检测。
TDP云版在AWS上的部署示意图除去和AWS协同顺畅的优点,对云上复杂环境的安全威胁能够及时、准确和全面检测,也是该金融机构最终选择微步TDP的重要原因:
高质量的威胁情报:TDP内置了百万级C2类情报、42亿信誉情报,以及最新的0day漏洞情报等,可快速发现威胁、自动归因;
覆盖全面的检测引擎:内置包括Webshell检测引擎、APT检测引擎、富文本检测引擎、测绘引擎、流量攻击检测引擎、钓鱼检测引擎等多种微步自研引擎,可精准检出威胁,告警误报率低至0.03%;
企业级服务支持:微步独有客户成功服务,7*24小时人工支撑,5分钟响应,帮助企业快速应急响应;同时提供实时在线咨询、定期产品巡检等MDR服务。
借助TDP的威胁感知能力,该金融机构能迅速准确发现云上环境东西向流量、及时将威胁清除在萌芽阶段,让损失降低到最小范围;同时,对于外部攻击与失陷检测场景都能及时发现,做到立即响应。例如,通过微步TDP,该金融机构单月发现近200个攻击者发起的攻击近2万次,无主机失陷情况出现。通过与该金融机构的合作,微步TDP在云端的威胁感知能力也再次得到验证,通过云上风险发现、攻击面收敛、检测响应、定位处置,可帮助企业快速增加云上安全可见性,保证金融机构高效做好云上安全防护。
立即体验
微步安全产品及服务