重保季|基于实战场景的三份云安全中心使用秘籍

财富   2024-07-16 19:04   广东  
本文是重保“神器”使用指南系列文章的第十篇

下周A公司就要开始攻防演练了,安全运维团队邀请了腾讯安全专家来公司做最后的防守方案交流。只见他们满脸愁容……


“每次防守期间,都要不停地刷新好几个产品的告警页面,一旦出现告警得挨个响应并封禁,处置不完就得加班加点。还得拉着业务一轮一轮的修复漏洞,这日子太难熬了。”



“去年在服务器上发现了一个木马,我排查了两天两夜也没找到根源,翻遍了主机日志才发现是AKSK泄漏导致的入侵,不过到现在应对密钥泄漏我的思路也没有那么清晰。”



“每次黑客溜进一台服务器,得手后会都会悄悄地尝试控制更多设备。该怎么发现这些小动作,并阻止他们的进一步破坏呢?”


“赤手空拳可不成”,听了大家的烦恼,专家Gannon笑笑:“现在我们得借助工具才能事半功倍,云安全中心刚好可以帮上忙,AI值守,效率翻倍,还能主动发现隐秘威胁,联防联控。”


腾讯安全重保能力再升级

全新提效宝典来了


秘籍一:一站式智能作战,让AI帮你打工


攻击手段变幻无穷,一到攻防演练期间,五花八门的告警总让人眼花缭乱。


如果视角局限在单款产品、单一维度,常常会陷入到告警风暴中。


云安全中心上新AI作战值守模式,快速帮助企业汇总、分析、自动处置威胁,减少90%的网络攻击告警



真实控制台演示


从事前、事中到事后,多款产品、多个账号的告警进行一站式统一管理。


云安全中心-告警中心

启动作战值守模式,安全大屏实时滚动更新增量告警,快速Get新增待处置威胁。

云安全中心-告警中心作战模式


同时支持共享腾讯黑名单库,支持恶意请求、高危命令、漏洞利用、爆破等热点攻击自动拦截,进一步收敛服务器风险。

主机安全-恶意请求自动拦截

秘籍二:无惧密钥泄露,实时监控异常用户行为


作为大部分云主机都支持的认证方式,AK/SK一旦泄露,服务器便危在旦夕。随着批量自动化攻击工具的普及,使用云密钥进行的攻击越来越频繁。


除了在配置上做到最小化权限管理,主机端需要具备一定的感知能力。通过云安全中心用户行为分析(UEBA),可以对接入的多云/多账号进行用户行为实时监控,预防AK/SK泄露、敏感接口调用等异常情况。



真实控制台演示:


通过云资源配置检查,针对AKSK使用规范进行检查,以“最小化”原则收敛权限配置。


云安全中心-漏洞与风险中心


接入云审计日志,并开启用户行为策略开关,可根据业务需要添加自定义策略。


云安全中心-用户行为分析


对异常行为、异常账号进行审计,及时禁用泄露密钥,处置风险。

云安全中心-告警中心


秘籍三:细粒度管控,一键建设访问关系基线

攻击者成功通过外网打点突破边界后,会基于初始失陷点在内网横向移动,进一步扩大战果。常见的手法包括慢速的内网扫描、爆破、以及利用隐蔽隧道与外部C2通信。这些手法往往会绕过现有的防御机制。

在业务容器化的趋势下,内网横移的威胁被进一步放大,攻击者可能利用容器逃逸等方式攻击,从而得到其他业务系统中的数据

云安全中心-主机安全网络攻击,帮助企业拓展东西向恶意攻击流量识别能力,实时发现内网热点漏洞攻击威胁


云安全中心-主机安全上新访问监控能力,通过自主学习分析、可视化展示业务访问关系,帮助企业实时监控访问流量异常,实现细粒度、自适应的安全策略管理。在强对抗场景,进一步增强内网渗透感知能力。


真实控制台演示:

使用主机安全网络攻击功能,实时感知主机端东西、南北向恶意攻击流量。


主机安全-网络攻击


借助WeDetect引擎能力,自动化完成对攻击事件的关联、分析、实锤。收敛无效告警,快速了解攻击趋势,处理失陷事件。


WeDetect引擎能力介绍


在强对抗场景,通过访问监控自学习能力,建立"非白即黑"的零信任内网访问关系基线。第一时间感知响应内网渗透风险。


主机安全-访问监控


借助云安全中心和主机安全的效率工具可以有效筑牢服务器最后一道安全防线,同时联动腾讯云云防火墙、WAF,从互联网流量边界、Web服务,再到工作负载层,一站式联动产品原子能力,全面构建防护体系。

腾讯安全三道防线防护体系



- END -

构建数字安全免疫力,守护企业生命线



推荐阅读

我的服务器又失陷了 !| 攻防演练真实案例

你的服务器都是怎么被拿下的?|攻防演练真实案例

重保季 | 从“闪电战”到“持久战”,构建云上安全三道防线





腾讯安全
致力于成为产业数字化升级的安全战略官,守护政府及企业的数据、系统、业务安全,为产业数字化升级保驾护航
 最新文章