【产品技术】进一步了解主机安全
数据、程序都是运行在主机上,一旦主机系统被黑客成功入侵,企业的数据将面临被窃取或被篡改的风险,企业的业务会中断,造成重大损失,因此主机安全是企业业务安全的重中之重。
企业主机安全提供事前预防、事中防护、实时/每日告警的全方位保护措施,提高主机的安全性,保护企业的业务安全。
本文可以帮助用户充分了解HSS的功能,使用HSS进行日常的安全管理,使用户能轻松发现并处理主机上存在的安全问题,提高工作效率。
HSS功能的详细信息请参见《企业主机安全关键功能特性》。
安全管理技能:漏洞检测和处理方法、风险配置修复、入侵事件排查及修复、账号/端口/进程等资产管理。
最佳实践引导
购买配额并开启防护
按照实际的ECS数量购买企业主机安全配额
在每台ECS上安装Agent
在华为云官网企业主机安全控制台完成告警通知设置
完成配额购买、Agent安装、告警通知设置之后可开启防护
开启防护后,HSS会立即执行一次全量检测,大概30分钟后就可以在控制台查看HSS检测到的全部事件
解决漏洞问题
评估漏洞 企业主机安全可以检测主机漏洞,并参考官方提供的漏洞分值评出修复紧急度,紧急度由高到低依次为:需立即修复、可延后修复、暂可不修复。
“需立即修复”的漏洞存在严重的安全风险,建议用户评估漏洞影响性之后尽快修复。
“可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响,建议用户评估漏洞影响性之后,根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。
漏洞修复 企业主机安全为每个漏洞提供了官方修复手段链接,用户可以通过该链接获取漏洞补丁或修复命令。
执行漏洞修复前请先备份主机中的数据和配置信息,防止漏洞修复失败导致数据丢失,给您带来不必要的影响。
修复验证 修复后,建议您立即执行手动检测进行验证。若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。
漏洞忽略 某些漏洞只在特定条件下存在风险,比如某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在危害。如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。
解决高危配置风险
表1 解决高危配置风险 |
|
风险项 |
解决方法 |
存在弱口令 |
使用弱口令的账户被破解成功的风险非常高,需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户,您可以在控制台查看主机中的口令风险。 弱口令并没有严格和准确的定义,从安全领域来看,容易被猜到或者被暴力破解的口令都是弱口令。弱口令通常具有以下特征:
如果您的主机被检测出弱口令风险,建议立即修改为安全性更高的口令。 修复验证:修复后,建议您立即执行手动检测进行验证。若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。 |
口令复杂度策略太简单 |
对于Linux主机,建议用户安装PAM(Pluggable Authentication Modules )。企业主机安全检测PAM的口令复杂度策略,识别风险并提供修改建议。建议用户按照提示修改口令复杂度策略。采用更安全的复杂度策略之后,新增或者修改账户的口令时,口令复杂度会按照策略要求执行限制,提高新口令的安全性。 修复验证:修复后,建议您立即执行手动检测进行验证。若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。 |
存在风险账号 |
您可以根据风险账号检测结果中的信息删除主机中无用的账号,按照权限最小化原则限制主机中可疑账号的权限。详细操作请参见控制风险账号。详细操作请参见控制风险账号。 |
存在不安全配置项 |
系统中的关键应用如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。例如:SSH采用了不安全的加密算法;Tomcat服务采用root权限启动。 企业主机安全服务可以检测系统中关键软件的配置风险并给出详细的加固方法,请根据修复建议进行修复。 如果评估后确认某些配置项无害,可以忽略该配置风险,无需修复。 |
安全事件处理方法
表1 安全事件处理方法 |
|
安全事件 |
处理方法 |
主机存在恶意程序 |
恶意程序可能是黑客入侵成功之后植入的木马、后门等,用于窃取数据或攫取不当利益。典型场景比如黑客入侵之后植入木马,将受害主机作为挖矿、DDoS肉鸡使用。这类程序会大量占用主机的CPU资源或者网络资源,破坏用户业务的稳定性。 企业主机安全服务提供的恶意程序检测功能,能实时检测出系统中的恶意程序。如果您的主机被检测出存在恶意程序,建议您立即对该程序进行确认:
您可以对已检测出的恶意程序或疑似恶意程序,执行一键隔离查杀一键隔离查杀。 企业主机安全服务提供恶意程序自动隔离查杀功能。可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。建议您启用该功能,加固主机安全防线。
|
账户被破解 |
账户被破解,是指企业主机安全服务检测到账户遭受暴力破解攻击,并且攻击者猜中了正确的账户密码,攻击者在企业主机安全对源IP完成封禁前成功登录了主机系统。此时企业主机安全服务会立即发送告警。 该告警事件需要您高度重视。建议您立即确认源IP是否是已知的合法IP,如果确认该IP是已知的合法登录的用户IP,您可以忽略该次告警并手工解除IP封禁。如果该源IP是未知IP,那么您的主机系统可能已经被黑客入侵成功。建议您立即登录系统并修改账户密码,同时全面排查系统风险,避免主机系统遭受进一步破坏。 |
账户破解预警 |
如果您在“实时告警通知”项目中勾选了“账户破解预警”,当企业主机安全服务检测到账户正在被攻击并且存在被破解的风险时会实时发送账户破解预警。 存在被破解风险包括但不限于以下这些情况:
建议您立即确认发起攻击的源IP是否是已知的合法IP,如果确认该IP是合法登录的用户IP,您可以忽略该告警。如果该源IP是未知IP,则您的ECS可能正在遭受黑客攻击,您需要排查该账号是否存在弱口令等风险项并尽快修复。如果确认发生攻击并且告警消息提示黑客已经成功登录,您需要立即登录系统,修改账户密码,同时全面排查系统风险,避免主机系统遭受进一步破坏。 |
主机异地登录成功 |
如果账户在异地登录成功,企业主机安全服务会立即发送告警。 建议您立即确认该源IP是否是已知的合法IP,如果确认该IP是合法登录的用户IP,您可以忽略该次告警,如果该登录地是合法的常用登录地,您可以将该地区加入常用登录地列表。如果该源IP是未知IP,那么您的主机系统已经被入侵成功,需要您高度重视。建议您立即登录系统并修改账户密码,同时全面排查系统风险,避免系统遭受进一步破坏。 |
关键文件被修改 |
篡改系统关键文件(例如:ls、ps、login、top等),通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 如果关键文件被修改并且确认非用户主动行为,建议立即将该文件替换为操作系统的标准版本。 若您确认检测结果中的文件变更是正常操作,则无需关注。关键文件变更检测结果在7天后会自动清除。 |
主机存在网站后门 |
网站后门是指以php、jsp等网页文件形式存在的一种命令执行环境。黑客在入侵了一个网站后,通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问php或者jsp后门,得到一个命令执行环境,以达到控制网站服务器的目的。 如果企业主机安全服务检测到了网站后门文件,会立即发送告警通知。建议您立即确认该文件是否是合法的业务文件。如果是合法文件可以忽略告警;如果不是合法文件,建议立即执行隔离。 |
主机登录成功 |
如果您在“实时告警通知”项目中勾选了“登录成功通知”选项,则任何账户登录成功的事件都会向您实时发送告警信息。 如果您所有ECS上的账户都由个别管理员负责管理,通过该功能可以对系统账户进行严格的监控。 如果系统账户由多人管理,或者不同主机由不同管理员负责管理,那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰,此时建议您登录企业主机安全服务控制台关闭该告警项。 登录成功并不代表发生了攻击,需要您确认登录IP是否是已知的合法IP。 |
管理和清点资产
每日凌晨定期收集并展示服务器的各项资产信息,包括:账号信息、对外端口监听、进程运行、Web目录、软件信息,并对变动信息进行记录,便于用户对资产风险、资产变动进行排查,降低安全风险。
可通过管理控制台获得如下信息:
表1 资产管理 |
||
资产管理项 |
资产信息 |
目的 |
账号信息 |
o 一个账号,有多少台服务器正在使用 o 一台服务器,创建了多少账号 o 一台服务器,账号的历史变动信息 |
帮助用户进行账户安全性管理。 |
开放端口 |
o 一个端口,有多少台服务器正在监听 o 一台服务器,监听了多少端口 |
对系统中开放的端口进行全面检测和统计,帮助用户识别出其中的危险端口和未知端口。 |
进程运行 |
o 一个进程,有多少台服务器正在运行 o 一台服务器,运行了多少进程 |
帮助用户自主清点合法进程、发现异常进程。 |
Web目录 |
o 一个Web目录,有多少台服务器正在运行 o 一台服务器,有多少Web服目录 |
帮助用户进行Web资源管理。 |
软件信息 |
o 一个软件,有多少台服务器正在使用 o 一台服务器,使用了多少软件 o 一台服务器,软件的历史变动信息 |
帮助用户清点软件资产,识别不安全的软件版本。 |
- 点赞
- 收藏
- 关注作者
评论(0)