云上風險聽診器——華為云威脅檢測服務

企業(yè)業(yè)務遷移上云后，賬戶和網(wǎng)絡活動的收集與聚合變得簡單，但企業(yè)安全團隊對事件日志數(shù)據(jù)進行持續(xù)的識別分析變得比較耗時。再者，一般安全服務對IAM（統(tǒng)一身份認證服務）、CTS（云審計服務）、VPC（虛擬私有云服務）、DNS（云解析服務）這類基礎服務日志中的安全風險暫時無法檢測或檢測能力較弱，很容易成為黑客入侵的短板。

       IAM、CTS、VPC、DNS這類服務在日常業(yè)務運行中經(jīng)常遇到的主要威脅如下：

       IAM常見安全問題是暴力破解。暴力破解也可稱為窮舉法、枚舉法，是一種比較流行的密碼破譯方法，攻擊者通過系統(tǒng)地組合密碼的所有可能性，對所有可能結果進行逐一驗證，直到找出正確的密碼為止。攻擊者一旦成功登錄云服務，便可獲得云服務的控制權限，進而竊取用戶數(shù)據(jù)、植入挖礦程序、勒索加密等惡意操作，嚴重危害企業(yè)數(shù)據(jù)安全。

       CTS通常面對的是異常行為。異常行為有管理事件異常與數(shù)據(jù)事件異常，管理事件異常經(jīng)常遇到的是黑客通過惡意IP調用API，通過該 API 更改云賬戶中的安全組、路由和 ACL 的網(wǎng)絡訪問權限從而修改賬戶密碼；數(shù)據(jù)事件異常值對數(shù)據(jù)庫進行對異常操作，如批量訪問，批量下載等。典型的事件的就是某SaaS公司的刪庫跑路，導致當時該公司旗下的商家小程序都無法訪問，據(jù)披露有幾百萬家商戶生意處于基本停擺的狀態(tài)。

       VPC一般會遇到的是APT攻擊中的異常橫向擴散帶來的安全問題。從近年來的安全事件我們可以看到，攻擊者的攻擊行為從以破壞為主的攻擊逐漸轉變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟目的為主的可持續(xù)大流量攻擊。無論從著名的Lockheed Martin Cyber Kill Chain（洛克希德-馬丁公司提出的網(wǎng)絡攻擊殺傷鏈），還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點：一旦邊界的防線被攻破或繞過，攻擊者就可以在數(shù)據(jù)中心內部橫向移動，而內部中心基本沒有安全控制的手段可以阻止攻擊。

        DNS劫持是安全領域經(jīng)常遇到的一種攻擊手段。通過攻擊或者偽造DNS的方法，篡改目標網(wǎng)站域名和IP地址的映射關系，使得域名映射到了錯誤的IP地址，從而導致用戶無法訪問目標網(wǎng)站。DNS劫持會直接影響用戶的體驗，如果是新媒體、電商、教育等網(wǎng)站域名被劫持將會直接造成到網(wǎng)站流量及用戶的流失。除此之外，如果是金融行業(yè)用戶被誘導到釣魚網(wǎng)站進行賬戶密碼登錄操作將會導致個人信息泄露，對用戶來說可能直接造成經(jīng)濟損失，對企業(yè)來說可能導致聲譽受損。

華為云威脅檢測服務提供對以上四類服務日志的檢測分析

       華為云威脅檢測服務（Managed Threat Detection，簡稱MTD）可通過應用威脅情報、AI檢測引擎、關聯(lián)模型等多種先進檢測技術，對IAM、CTS、VPC和DNS四個服務的日志進行分析，及時發(fā)覺賬戶登錄的暴破操作，追蹤和審計網(wǎng)絡異常行為，識別網(wǎng)絡設備和節(jié)點的流量變化，發(fā)現(xiàn)詭異的連接數(shù)。同時MTD將異常告警上吐到態(tài)勢感知服務（SA）并聯(lián)動其他安全服務采取進一步處置行動。此外，為滿足合規(guī)，MTD也支持日志分析結果轉儲OBS桶，滿足安全事件回溯的要求，為運維工作人員第一時間提供短信與語音報警能力。

華為云威脅檢測服務堪稱云上風險“聽診器”，可持續(xù)監(jiān)控惡意活動和未經(jīng)授權的行為，補足其他服務檢測能力，第一時間識別風險，規(guī)避由潛在威脅造成的安全事件，幫助企業(yè)提升安全運營效率，保障業(yè)務的連續(xù)性。

威脅檢測服務核心價值

MTD可滿足云上安全威脅分析檢測需求，提前識別潛在威脅，減少風險暴露面，提升運營運維效率。

1、持續(xù)監(jiān)控惡意活動和未授權行為，第一時間識別安全風險

      MTD目前已支持46種告警類型，包括IAM異常檢測，DGA檢測，DGA隧道檢測等基于AI的威脅檢測類型，可用于支撐日常安全運營活動。它通過持續(xù)監(jiān)控IAM、CTS、VPC和DNS四類服務的日志并對其進行檢測分析，可第一時間檢測到未經(jīng)授權的或其他異常的操作行為，比如挖礦，釣魚，掃描ip和端口，洋蔥網(wǎng)絡訪問，以及嘗試繞過鑒權直接訪問云上資源的所有行為等。

     值得一提的是，華為云MTD針對當前大熱的分布式爆破攻擊、Linux.Ngioweb僵尸網(wǎng)絡木馬、Solarwinds攻擊等也能進行有效檢測。

2、支持第三方威脅情報導入，增大已有投資

      MTD支持自定義添加情報（黑、白名單），包括IP和域名，能保護及增大用戶已有的威脅情報領域的能力投資。