防得住才省心 奇安信椒图全新版本正式发布
日期:2021年11月19日 阅:146
11月19日,奇安信正式发布了椒图新一代服务器安全产品。新版本椒图不仅实现了“资产-漏洞-实体/虚拟补丁”的闭环管理,还与DevOps深度融合,让安全赋能Dev开发阶段与Ops运营阶段,推动“业务的安全”向“安全的业务”转变,并且新增多维度威胁检测指标与实战化安全基线,紧密贴合服务器的安全需求,打造面向攻防实战场景的新一代服务器安全产品。
漏洞管理闭环化
黑客攻击往往是利用了攻防间的信息不对称,即黑客知道业务有漏洞,而管理者却不自知,这源于对信息资产、漏洞的掌控力不足。新版本椒图采用本地识别和网络探测两种方式,可以实现对业务环境中服务器资产的精准识别,包括CPU、内存、端口、账号、应用、框架等13类、数百项服务器核心资产,并基于发现的资产,有效检测漏洞、危险端口暴露、弱口令、新增账号、Webshell文件等安全风险,实现资产与风险的同步管理。
但在现实环境中,很多情况是不敢打补丁,而不是没有补丁可打,因为打补丁可能会导致业务重启、服务器重启、蓝屏等业务中断,甚至在未经验证的补丁中可能夹带病毒、后门等恶意程序,带来新的安全威胁。针对此行业难题,新版本椒图引入“虚拟补丁”的技术手段,在内核态基于WFP框架/Netfilter框架实现引流功能,将虚拟机的入站、出站流量通知给应用态的IPS引擎,并用IPS引擎对流量实施检测防护,可以实现在不打实体补丁的情况下,防止黑客利用漏洞攻击服务器,目前针对系统/应用的虚拟补丁数量已经达到接近1万条,可以真正实现“资产-漏洞-实体补丁-虚拟补丁”的闭环管理。
运维开发安全化
伴随着企业上云速度的加快,以及工作负载形态变化,安全出现技术性左移,服务器端的攻防思路也从发现攻击再报警的后知后觉,逐步转变为“业务上线即安全”的提前防御,即打造具备原生态安全能力的业务。新版本椒图基于CWPP云工作负载保护平台框架打造,天然覆盖DevOps的生命周期,从Dev开发环节的风险组件、云配置、密钥、恶意代码检测,到Ops运行时环节的工作负载风险&配置核查、微隔离、应用权限控制、行为监控、恶意软件查杀,均能提供有效保护。
值得关注的是,在CWPP能力框架中,IN-APP WAF和RASP是最贴合DevOps的安全实践,这两项能力均通过代码赋能的方式嵌入IIS、Apache、Tomcat等Web类业务,让业务上线即安全,具备对抗黑客攻击的能力。
具体而言,IN-APP WAF是“前置过滤器”,通过代理HTTP请求可以有效检测恶意流量,拦截SQL注入、跨站等网络攻击,能完全替代硬件WAF功能,改变了传统WAF部署需要重定向流量的繁琐过程并可以直接解析加密流量,让Web业务上线即安全。
RASP是“二级过滤器”,工作于ASP、PHP、Java等脚本语言解释器内部,通过HOOK函数的方式,可以细粒度的监控应用脚本的行为及函数调用上下文信息,及时发现恶意代码和漏洞利用行为,因为RASP只关注后续行为、无视前置漏洞,因此可以有效对抗Web类0day,对任意命令执行、文件上传、任意文件读写、Weblogic反序列化、Struts2等0day漏洞利用均有较强防护能力,与IN-APP WAF组成Web业务原生安全插件,改变海量报警却无法防御的被动局面,推动“业务的安全”向“安全的业务”转变。
威胁检测智能化
奇安信天择实验室负责人吴康表示,椒图新版本引入全新的龙息Webshell检测引擎。该引擎采用动静结合的方式,融合了多种Webshell检测方法和模型,并对多年以来捕获的海量Webshell样本进行分析和总结,通过特征规则、静态污点跟踪和动态脚本沙盒相结合的方式,可实现对各类Webshell的高查杀和低误报。
与此同时,新版本椒图增加高达71项威胁检测项,包括:无文件攻击、外带攻击、口令复用等,并对反弹shell防护、Rce利用检测等原有数十项功能深度优化,实现对服务器攻击的无死角检测,经过奇安信安全能力中心测评,新版本椒图风险识别能力达到99%、安全防护能力达到88%、攻击溯源能力达到80%,在同类产品中全面领先。
值得关注的是,为切实帮助客户提升安全运营效率、防护能力和响应速度,椒图与奇安信安服团队完成了深度融合,基于“人+机器”的模式,在数千场实战攻防演习中屡立奇功,积累了海量的恶意样本特征库、攻击工具特征库,以及实战化基线检查模板,这些数据的加持将产品的实战化能力大幅度提升,能更好地满足服务器攻防需求。
未来,依托椒图团队11年服务器安全攻防对抗经验,以及安服团队以攻防技术为核心实战化的安全服务能力,奇安信将为客户提供 “看得见 、防得住”的服务器安全保障,让企业的服务器更安心、运营更省心。