云锁V3版 看椒图科技如何布局安全防御体系

  【天极网网络频道】8月17日，北京国家会议中心，椒图科技于中国互联网安全大会(ICS 2016)期间召开云锁V3机器人助手版新品发布会。椒图科技、阿里云等企业相关领导出席了此次会议，并参与了云锁V3的发布仪式。会议期间，云锁CEO王健就云锁V3版新品的应用与特点发布了重要讲话。

  云锁是椒图科技2014年推出的一款与时俱进的互联网安全SAAS产品，能够有效防御病毒、木马、webshell、后门等恶意代码和CC攻击、Sql注入、网页篡改、挂黑链等黑客行为，从而防护服务器和网站安全。王健表示，云锁V3是企业的第一个机器人安全助手。

  据悉，在安全事件发生后，云锁V3能够自动回溯攻击过程，形成事件分析报告，为企业提供入侵取证及攻击源分析的能力，进而形成“业务资产管理-风险识别-安全防御-威胁感知-攻击事件回溯”的一体化安全防御体系。如果用一句话简要概括，那么“自动识别安全风险与威胁，自动回溯攻击过程”最合适不过。在这里，云锁V3能够在检测到未知威胁和业务资产变更时，能自动调整安全策略。

  会议过程中，云锁演讲嘉宾就“安全”向大家抛出了四个个问题，分别为如何确认系统的安全边界;如何应对Shadow IT;如何应对未知威胁;安全事件发生时，如何及时响应。那么，我们就来看云锁V3是如何解决这些问题的。

  在一体化安全防御体系中，业务资产管理扮演了重要的角色，可以说业务资产管理的安全框架属于重塑安全边界。在业务资产管理中，通过业务系统流量的持续学习，云锁V3自动识别企业的信息资产，包括服务器、服务器上运行的软件、中间件、网站、甚至网站使用的应用系统类型，通过可视化的动态拓扑图的方式展示业务系统服务器间的内在关联，帮助管理员有效识别系统的安全边界。

  在业务资产管理之后，云锁V3提供风险识别、安全防御、威胁感知以及攻击事件回溯等成套的安全防御服务。其中风险识别过程中，云锁V3通过扫描模块第一时间自动识别业务资产存在的安全风险点，然后主动报警，通过防御模块提供防御方法，一键开启，加固系统，防御风险点，减少攻击面。业务变更时会触发风险识别，包括但不限于发现新业务上线、老业务变更时自动进行风险检测。扫描内容包括但不限于：危险端口、已知(已公布)安全漏洞、恶意代码。云锁V3会持续自动化跟踪每台服务器的安全状态，为每台服务器建立风险档案及风险评分，帮助管理员更好的连接整个业务系统当前的安全状态。

  在安全防御过程中，云锁V3提供网络攻击防护和服务器安全加固等安全防御措施，其中云锁V3通过应用层探针过滤恶意流量，完美支持IIS、apache、nginx、tomcat、weblogic等web中间件。通过云锁安全过滤框架，可以抵挡CC、SQL注入、XSS、上传一句话木马等网络攻击。此外，云锁以操作系统内核加固技术为核心防御体系，通过内核探针加固系统，提高操作系统自身安全性和抗攻击能力，保护系统核心文件。当然，态势感知模块，基于沙盒的Webshell检测技术，由于其不依赖于任何静态文件特征，所以可有效检测出各种加密、变形的Webshell。基于异常行为检测技术，可有效检测出未知攻击。系统通过内核及应用层探针在业务系统的关键位置设置了监控点，对业务系统的正常流量及行为进行多维度的持续学习，可有效检测出偏离正常业务的异常行为，在综合判定后产生告警事件。在攻击事件回溯上，系统在风险识别、防御及威胁感知三个阶段均会产生安全事件，基于异常行为的检测技术，有效检测未知威胁，包括黑客渗透攻击、变形webshell、后门等攻击事件回溯，自动回溯攻击过程并生成事件报告。

  据了解，目前云锁支持Windows 2003及以上windows全系列服务器操作系统，支持centos、ubuntu、redhat、suse、中标麒麟等超过160个linux发型版本，并支持多种虚拟化架构，包括对实体服务器、VPS和云主机等混合环境事实集中批量运维管理和安全监控，支持openstack等云操作平台，xen、hyper-v、vmware等主流虚拟化方案，以及大部分云厂商的自主开发的云主机虚拟化架构。

  编辑点评：

  在整个安全防御体系中，云锁V3重塑了安全边界，将业务资产管理放在了至关重要的位置上，通过可视化的方式对业务资产进行安全管理。另外，云锁V3持续对企业业务系统进行学习并识别风险点，通过防御模块减少风险面，在检测到未知威胁和业务资产变更时，能自动调整安全策略。