云上威胁听诊专家——威胁检测服务(MTD)
后疫情时代,勒索病毒、挖矿木马,渗透攻击带着日趋成熟的技术革新和愈发隐蔽、复杂的“进化”能力,开启“重装上阵”的威胁攻击模式。业务想要在云上畅游,没有安全产品护航,总感觉自己在裸泳。手中积累了一定的数据价值资产,但总是被“总有刁民想害朕”的想法弄的惴惴不安。
特别是企业将业务搬迁上公有云后,业务量呈指数级增加,会增加新的风险点和暴露面,如账号、操作审计、数据存储与网络边界等。华为云威胁检测服务MTD通过云上各类服务日志的采集和分析,持续监控日志访问中的恶意活动和未经授权的行为,辨别潜在威胁并告警响应,从而看护云上资源和数据安全,为客户业务保驾护航。
Round 1:月黑风高夜,MTD预警坏银无数
在一个月黑风高的夜晚,云上服务器响起一阵阵攻击告警。华为云安全威胁检测服务(MTD)的IAM异常行为检测模型发现一起不明账号发起的暴力破解攻击。该攻击技术手段较新,能够利用HTTP隧道来实现分布式的IAM账号暴破,每次请求使用一个随机的公网IP,用完即弃,此时攻击者正对上百个华为内部IAM账号发起暴破攻击。这是一场有预谋、有策略的伏击,攻击者企图将攻击行为化整为零,保持每个攻击IP的暴破次数在3次之内(绕过预警门槛)。由于此类攻击手法新颖,IP之间又没有任何情报可以关联在一起,攻击者成功绕过了传统的检测手段,但是,攻击者还是无法躲过IAM AI检测模型的“火眼金晶”,IAM AI检测模型就像一个智能报警器,7×24小时online,实时在线检测有潜在作案苗头,前赴后继的“坏银们”,并提醒租户尽快核实处置,把受害风险降到最低。
(MTD-AI模型检测IAM分布式暴破攻击)
华为云威胁检测(MTD)服务的IAM AI模型通过弹性画像模型、无监督学习模型、有监督学习模型,实现针对IAM七大高危场景之一:分布式暴力破解,攻击者一对一,一对多,多对多发起攻击的异常行为危险检测。
Round 2:DNS秒级响应,灭杀僵尸网络木马
这个案例发生在今年上半年,华为云某金融客户参与威胁检测服务(MTD)公测,在使用期间DNS检测模型便发现一起充满恶意的僵尸网络木马入侵,黑客在僵尸机(肉鸡)利用同源算法的DGA域名,企图绕过安全设施检测,同主控机建立通信。攻击过程中,由于在僵尸机端生成的动态域名具有隐蔽性和动态性,黑客的攻击行为较为隐蔽。当需要发动攻击的时候,黑客选择其中少量域名进行注册,将域名映射到攻击者指定的主控机IP,这样僵尸机的恶意软件与主控机之间便可建立通信,主空机便可以控制恶意软件进行攻击。DNS作为互联网通信的必经之路,自然绕不开华为云DNS检测模型体检,DNS检测模型检测到含有DGA算法域名僵尸网络木马,秒级响应,帮助客户快速识别威胁并指导客户清除风险。
(MTD-DNS检测模型成功捕获僵尸网络木马)
威胁检测(MTD)服务的DNS检测模型通过SVM、随机森林、神经网络等算法实现对隧道域名、DGA域名以及异常行为的智能检测,帮助客户快速清除风险。
Round 3:随风潜入夜,入侵细无声——SolarWinds供应链攻击入侵
2020年12月13日,美国网络安全公司FireEye发布分析报告称,SolarWinds旗下的Orion基础设施管理平台的发布环境遭到黑客组织UNC2452入侵,并在全球多个地区检测到攻击活动。黑客通过软件管道感染在SolarWinds的产品中植入后门木马,通过2周左右时间的扩散寻找目标组织系统的脆弱点,随后通过命令与控制的方式逐步渗透进入SolarWinds网络环境,获取了SolarWinds内网高级权限,创建了高权限账户。黑客绕过多因素认证(MFA)防护跟随产品更新进入到SolarWinds的客户网络环境中完成目标攻击,可谓环环相扣,步步紧逼,但最终逃不过华为云威胁检测服务MTD的法眼。MTD在服务过程中发现威胁因子并发出告警,将网络公开的Solarwinds恶意域名作为测试样本进行检测,经对比超过90%以上黑域名在MTDAI检测模型中成功冒泡。
(MTD第一时间发现Solarwinds供应链攻击)
在此次事件中,威胁检测服务(MTD)在第一时间发现潜在威胁,实施告警并立即进行核查、处理,缩短了潜在威胁扩散的风险周期,有效降低了风险损失。
安全无“小事”,因此在日常工作中需要加强安全运营,持续性的检测恶意活动、未经授权的行为及潜在攻击动作必不可少,以对抗不确定性的威胁隐患。站在供应链的安全视角,可以结合华为云威胁检测服务(MTD)一起应对纷繁复杂的潜在威胁事件,不放走任何蛛丝马迹,对安全事件抽丝剥茧,顺藤摸瓜,并快速发现风险源,为企业云上业务打造端到端的极简、智能、可信的运营环境。
- 点赞
- 收藏
- 关注作者
评论(0)