概述
近几年频繁爆发黑客攻击事件,尤其是勒索病毒、挖矿病毒等,以其强大的感染能力及快速的变种频率,迅速席卷全球,给各行业带来严重的损失。而为了应对挖矿时间,奇安信根据服务器实战化攻防对抗经验,在攻击链上每个环节上做好防护,提高每个入侵点的攻击门槛,才能最大程度降低黑客的攻击成功率。椒图服务器安全管理系统(简称椒图)通过服务器端轻量级agent,以探针的方式,监控网络层、应用层和系统层挖矿病毒引起的异常行为,可以有效阻止病毒的入侵和扩散。根据挖矿病毒的攻击链,我们可以将攻击分为外部探测、运行时和控制3个阶段,在每个阶段基于不同的防护逻辑,可以有效干预挖矿病毒渗透
方案特点
资产管理:自动收集服务器上的资产信息包括主机资产信息、网站资产信息、应用资产信息、数据库资产信息、内核模块信心、环境变量信息、启动服务信息、安装包等信息,可帮助用户快速了解业务系统情况,同时提供资产搜索能力,方便用户快速检索特定的资产详情。
威胁统计分析:以图形化的形式对整体威胁进行统计分析,主要分为告警信息及可疑威胁等信息。包括威胁事件统计、威胁分布、威胁趋势图,并以列表形式展示高危、中危、低危的告警事件。
风险及行为管控:风险及行为管控提供资产风险的评估,包括账户及应用弱口令,软件漏洞等,通过风险扫描功能可对服务器的webshell、后门、漏洞,弱口令等风险进行检测,发现服务器上的风险异常。并通过风险管理功能,进行统一查询,筛选及处置。;基线检查可支持等级保护2.0的二级、三级检查、测评、整改的业务检查,系统内置官方等保2.0的二级、三级基线模板,满足等保二级及等保三级要求,同时支持用户自定义基线检查任务,并导出基线检查报告;病毒查杀主要基于Qowl、ClamAV、Bitdefender等引擎,对病毒进行查杀,并支持对病毒进行手动处理([加白]、[隔离]、[删除])、自动处理([自动隔离]、[自动删除]、[不进行处理])等操作。
威胁监测:采用行为学习与监控技术,对恶意扫描、暴力破解、软件后门、Webshell、反弹shell、本地提权、无文件攻击、RCE利用进行实时监测及防护,同时可对各类威胁事件的及时处置。
动态监控及防御:通过对应用系统流量、上下文、行为进行持续监控,有效抵御一句话木马、变形/未活动/加密Webshell、SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2漏洞等高级Web应用攻击。同时基于内核驱动技术,对操作系统的进程、内核、文件、服务等组件,进行纵深监控及防御。
攻击溯源:采用行为关联分析方法将访问行为过程中所产生的日志进行综合分析比对,将入侵行为分别以探测、攻击、控制、其他等阶段,并以安全事件的方式发出告警,实时监控记录恶意攻击发生的路径及关键点,利用监控所获取的数据,分析事件完整过程,找出根本原因。日志分析记录当前所有服务器产生的事件日志,并提供筛选的功能和自定义时间段筛选查询,可通过安全日志快速锁定问题服务器,并进行相应处理。