重保特辑 | 守住最后一道防线,主机安全攻防演练的最佳实践
原创重保特辑 | 守住最后一道防线,主机安全攻防演练的最佳实践
原创
腾讯云安全中心
修改于 2022-10-20 15:27:53
修改于 2022-10-20 15:27:53
主机安全是企业云上安全最后一道防线之一。作为企业云上的最后屏障,主机一旦被攻陷,企业核心资产将岌岌可危,甚至会威胁到整个内网的安全。
本文将从资产清点、安全加固、入侵防御、安全运营四个维度为大家深入拆解重保场景下的主机防护最佳实践,帮助企业夯实最后一道防线。
资产清点:摸清家底,管好家当
资产清点是企业攻防最关键的一步。只有明确了防护对象,才能在防守动作中有的放矢,为接下来的安全加固、入侵防御等工作奠定基础。
- 资产统一管理:可将云内云外资产统一纳管,借助腾讯云主机安全自动化资产管理能力,识别影子资产和风险资产。对当前主机的风险及防护状态进行确认,以“最小化”原则对资产进行梳理;
图片
- 资产指纹盘点:借助15种资产指纹清点能力,对主机的资源占用、端口、进程、应用及中间件等资产指纹进行梳理。
图片
安全加固:漏洞及配置不当风险收敛
明晰防护对象后,企业需对主机的漏洞及配置不当风险进行系统收敛,对蓝军的攻击路径进行封堵。
- 漏洞管理:
- 将漏洞响应工作常态化,借助腾讯云主机安全一键检测及定时检测能力及时发现严重、高危漏洞风险;? ? ? ? ? ?
图片
腾讯云主机安全-漏洞管理:支持1600+种漏洞自动修复
图片
- 合规基线检测与弱口令识别:可借助腾讯云主机安全基线管理功能,通过检测策略了解当前的基线通过率及风险情况,参考优先级及处置建议对未授权访问、弱口令、远程代码执行等风险进行收敛。
腾讯云主机安全-基线管理:支持合规基线及弱口令检测
图片
入侵防御:多维检测,纵深防御
- 攻击前期:结合漏洞入侵拦截、暴力破解阻断和异常登录监控能力,在蓝军攻击早期阶段进行实时检测和主动拦截。
- 对漏洞利用攻击行为进行实时监控,并借助自动防御能力主动出击,对java类漏洞进行主动防御;
图片
图片
腾讯云主机安全-密码破解:支持自定义设置暴力破解阻断规则
- 攻击中期:结合核心文件监控、恶意文件自动隔离、Java内存马等能力,及恶意外联、高危命令告警,在蓝军持续渗透时期进行有效反制。
- 开启核心文件监控及恶意文件自动隔离。通过匹配系统规则和用户自定义规则,实现对核心文件实时监控。实时监控挖矿木马、Webshell等恶意文件落盘,自动隔离并杀掉恶意文件相关进程,阻止黑客再次启动;
图片
图片
腾讯云主机安全-Java内存马:支持实时监控与告警
腾讯云主机安全-恶意请求:支持实时监控与告警
腾讯云主机安全-高危命令:支持进程树上报及攻击溯源
- 攻击后期:实时监控本地提权、反弹Shell行为,让进入后渗透时期的隐秘攻击者无处遁逃。
图片
图片
安全运营:留存日志,有效取证溯源
- 攻击溯源:可借助腾讯安全Cyber-Holmes引擎,自动化对威胁告警与可疑样本进行智能分析,以受害者资产视角查看完整攻击溯源链路;覆盖攻击溯源的三个阶段,对当前遭遇何种攻击、被谁攻击,攻击者如何发起的攻击,攻击者实际造成哪些影响进行溯源及可视化;
图片
- 日志留存:对漏洞、基线、入侵检测及所有登录行为事件等多维度的安全日志进行留存。可通过语句进行检索和查询,快速排查和溯源主机上的安全事件,提升运营效率。
腾讯云主机安全-日志分析:支持可视化展示、统计分析及一键导出
以上是我们在攻防演练期间针对主机防护沉淀的治理思考和最佳实践。欢迎更多交流。
图片
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。