酷应用

安全狗·云垒：私有云安全防护中的追踪和分析技巧

看点作者：安全狗 2017-04-07 09:18:34

私有云在很多企业中已经被部署使用，它的安全性相对于传统的IT系统也更高一些。不过，攻击者并不会因此放过可能的机会，私有云泄露数据的事件间或有之，因此引入有效的私有云安全管理平台就显得尤为重要了。从私有云安全的角度来看，发生攻击时，有几个很重要的问题：每天是谁在攻击,有什么样的目的? 每天这么大量的攻击,哪些是应该重点去应对的? 除了已知的攻击,是否还有更多潜在未知的风险? 要回答以上几个问题，势必要依赖基于威胁分析驱动的数据能力。云垒(私有云安全平台)借助大数据能力，就如同剥洋葱一样，帮助用户对安全事件层层分析，最终展现最有价值的结果。云垒(私有云安全平台)的威胁分析能力主要包括： 攻击分析 攻击源分析 被入侵主机分析 攻击分析云垒(私有云安全平台)除了对一段时间内，系统受到的所有攻击事件进行记录和分析以外，还可以对最近30天内发生的定向攻击事件进行数据汇总与分析，尽可能帮助用户重现安全事件发生的全景。

攻击事件分析定向攻击事件主要分为渗透攻击、定向web扫描、持续暴力破解这三类攻击。定向渗透攻击，同一攻击IP在一段时间内频繁的针对您的主机和网站进行SQL注入、webshell上传、WEB漏洞利用等恶意渗透，这种意图较明显的定向渗透往往表明来自专业黑客。定向web扫描，同一攻击IP在一段时间内频繁的针对您的网站进行WINDOWS短文件名漏洞、畸形文件探测、黑客工具利用等深度漏洞扫描，往往表明专业黑客正在定点探测您的网站漏洞，这与脚本小子等不成熟攻击者漫无目的扫描行为存在显著差异。持续暴力破解，明显针对您的主机、数据库、FTP等登录密码进行持续性的暴力破解，通常黑客会无目标的破解主机密码，这种持续性的攻击往往表明黑客想攻陷您的核心资产。

上图是最近30天定向攻击事件列表，用户可查看各类定向攻击的详细信息，并可以将攻击IP加入黑名单中。攻击源分析仅仅知道攻击事件的情况是不够的，对攻击来源的ip进行追踪和分析也很有必要。云垒(私有云安全平台)可疑对所有攻击IP的进行统计分析整理，用户可以快速查看产生不同危险级别的攻击IP，并进行加入黑名单操作。云垒可对攻击IP的风险等级与地理分布做出分析，详细罗列各个攻击IP的信息，包括攻击者IP、风险等级、最近攻击时间、风险积分、攻击次数统计、攻击本站服务器范围等。入侵主机分析当受到病毒木马、账号提权、敏感行为、异地登录、网页后门这几类攻击时，系统将判断此服务器可能已经被入侵。在被入侵主机分析中，云垒(私有云安全平台)会根据服务器被入侵的攻击手段、攻击频率、攻击源情况等进行数据统计分析。云垒：一体化云安全平台安全狗私有云安全平台是面向私有云环境、混合云环境推出的一体化云安全平台，可以对私有云和公有云资产进行统一安全管理。云垒提供了从宿主机环境、虚拟化资源池到虚拟机系统一体化的纵深安全防御体系、全面降低云环境的安全风险和攻击面，保护云资产的安全，云垒同时提供了一个基于大数据分析的云安全管理平台，对云环境的整理、安全风险、攻击威胁进行统一分析和安全管控。