云上威胁听诊专家——威胁检测服务（MTD）

后疫情时代，勒索病毒、挖矿木马,渗透攻击带着日趋成熟的技术革新和愈发隐蔽、复杂的“进化”能力，开启“重装上阵”的威胁攻击模式。业务想要在云上畅游，没有安全产品护航，总感觉自己在裸泳。手中积累了一定的数据价值资产，但总是被“总有刁民想害朕”的想法弄的惴惴不安。

特别是企业将业务搬迁上公有云后，业务量呈指数级增加，会增加新的风险点和暴露面，如账号、操作审计、数据存储与网络边界等。华为云威胁检测服务MTD通过云上各类服务日志的采集和分析，持续监控日志访问中的恶意活动和未经授权的行为，辨别潜在威胁并告警响应,从而看护云上资源和数据安全，为客户业务保驾护航。

Round 1：月黑风高夜，MTD预警坏银无数

在一个月黑风高的夜晚，云上服务器响起一阵阵攻击告警。华为云安全威胁检测服务(MTD)的IAM异常行为检测模型发现一起不明账号发起的暴力破解攻击。该攻击技术手段较新，能够利用HTTP隧道来实现分布式的IAM账号暴破，每次请求使用一个随机的公网IP，用完即弃，此时攻击者正对上百个华为内部IAM账号发起暴破攻击。这是一场有预谋、有策略的伏击，攻击者企图将攻击行为化整为零，保持每个攻击IP的暴破次数在3次之内（绕过预警门槛）。由于此类攻击手法新颖，IP之间又没有任何情报可以关联在一起，攻击者成功绕过了传统的检测手段，但是，攻击者还是无法躲过IAM AI检测模型的“火眼金晶”，IAM AI检测模型就像一个智能报警器，7×24小时online，实时在线检测有潜在作案苗头，前赴后继的“坏银们”，并提醒租户尽快核实处置，把受害风险降到最低。

（MTD-AI模型检测IAM分布式暴破攻击）

华为云威胁检测(MTD)服务的IAM AI模型通过弹性画像模型、无监督学习模型、有监督学习模型，实现针对IAM七大高危场景之一：分布式暴力破解，攻击者一对一，一对多，多对多发起攻击的异常行为危险检测。

Round 2：DNS秒级响应，灭杀僵尸网络木马

这个案例发生在今年上半年，华为云某金融客户参与威胁检测服务(MTD)公测，在使用期间DNS检测模型便发现一起充满恶意的僵尸网络木马入侵，黑客在僵尸机（肉鸡）利用同源算法的DGA域名，企图绕过安全设施检测，同主控机建立通信。攻击过程中，由于在僵尸机端生成的动态域名具有隐蔽性和动态性，黑客的攻击行为较为隐蔽。当需要发动攻击的时候，黑客选择其中少量域名进行注册，将域名映射到攻击者指定的主控机IP，这样僵尸机的恶意软件与主控机之间便可建立通信，主空机便可以控制恶意软件进行攻击。DNS作为互联网通信的必经之路，自然绕不开华为云DNS检测模型体检，DNS检测模型检测到含有DGA算法域名僵尸网络木马，秒级响应，帮助客户快速识别威胁并指导客户清除风险。

（MTD-DNS检测模型成功捕获僵尸网络木马）

威胁检测(MTD)服务的DNS检测模型通过SVM、随机森林、神经网络等算法实现对隧道域名、DGA域名以及异常行为的智能检测，帮助客户快速清除风险。

Round 3：随风潜入夜，入侵细无声——SolarWinds供应链攻击入侵

2020年12月13日，美国网络安全公司FireEye发布分析报告称，SolarWinds旗下的Orion基础设施管理平台的发布环境遭到黑客组织UNC2452入侵，并在全球多个地区检测到攻击活动。黑客通过软件管道感染在SolarWinds的产品中植入后门木马，通过2周左右时间的扩散寻找目标组织系统的脆弱点，随后通过命令与控制的方式逐步渗透进入SolarWinds网络环境，获取了SolarWinds内网高级权限，创建了高权限账户。黑客绕过多因素认证（MFA）防护跟随产品更新进入到SolarWinds的客户网络环境中完成目标攻击，可谓环环相扣，步步紧逼，但最终逃不过华为云威胁检测服务MTD的法眼。MTD在服务过程中发现威胁因子并发出告警，将网络公开的Solarwinds恶意域名作为测试样本进行检测，经对比超过90%以上黑域名在MTDAI检测模型中成功冒泡。

（MTD第一时间发现Solarwinds供应链攻击）

在此次事件中，威胁检测服务(MTD)在第一时间发现潜在威胁，实施告警并立即进行核查、处理，缩短了潜在威胁扩散的风险周期，有效降低了风险损失。 

安全无“小事”，因此在日常工作中需要加强安全运营，持续性的检测恶意活动、未经授权的行为及潜在攻击动作必不可少，以对抗不确定性的威胁隐患。站在供应链的安全视角，可以结合华为云威胁检测服务(MTD)一起应对纷繁复杂的潜在威胁事件，不放走任何蛛丝马迹，对安全事件抽丝剥茧，顺藤摸瓜，并快速发现风险源，为企业云上业务打造端到端的极简、智能、可信的运营环境。