隨着雲計算的大規模普及,公有云的威脅已逐漸從”監控已知漏洞”發展爲”感知未知威脅”:
一方面,客戶的自研代碼和獨特的業務場景帶來了個性化的***面;另一方面,黑灰產的武器庫日趨成熟,其中不乏未公開披露的漏洞***手段(0day)。傳統的漏洞情報已經不能覆蓋雲環境複雜的***形態,如何在***之後快速定位***源以及***原因,已經成爲雲計算威脅檢測技術中的重中之重。本方案成果正是基於上述背景,結合多種雲產品日誌,通過大數據分析引擎對數據進行加工、聚合、可視化,形成***者的***鏈路圖。便於用戶在最短時間內定位***原因、制定應急決策。適用於雲環境的WEB***、蠕蟲事件、勒索病毒等場景的應急響應與溯源。
案例1:蠕蟲傳播事件
下圖描述了蠕蟲傳播源185.234.216.52通過SSH暴力破解成功登錄到主機,並通過bash執行curl指令從遠端下載挖礦程序並執行。
案例2:WEB漏洞***事件
***通過202.144.193.8服務器發起***,通過WEB漏洞向Linux服務器植入惡意shell腳本和挖礦程序,同時將代碼寫入計劃任務(crond)實現***持久化。圖中的節點信息清晰地描述了這一過程。此外,我們可以觀察到黑產團伙的多個IP及惡意下載源URL信息,便於後續樣本分析和深度溯源。
點擊圖中HTTP***節點查看詳細信息,其流量數據表明***者通過Apache Solr未授權訪問漏洞控制API接口執行系統命令,用戶可以針對此漏洞進行快速修復。
關於阿里云云安全中心,點擊詳情:https://www.aliyun.com/product/sas
阿里雲新品發佈會,獲取更多前沿發佈:https://promotion.aliyun.com/ntms/act/cloud/product.html
阿里雲新品發佈·週刊:持續曝光:https://yq.aliyun.com/articles/699345
原文鏈接:https://yq.aliyun.com/articles/700093