文档中心

云工作负载安全CWP用户指南

最近更新时间：

1 产品介绍

1.1 什么是云工作负载安全

中国电子云云工作负载安全 CWP，使用先进的云原生技术架构，通过安全可视、安全预防、威胁检测、调查响应等安全能力，帮助用户构建云原生的统一纵深防护体系。
产品定位：
• 聚焦云工作负载层面，为用户提供涵盖安全评估、风险监控、应急响应的全生命周期安全运营闭环能力。
• 为政府行业提供全面等保基线检查能力，为金融行业提供行业基线检查能力。
• 全面适配云原生基础架构，能检测与防范来自技术架构变革带来的攻击手段。

1.2 主要功能

1.2.1 资产中心

云工作负载安全产品通过在服务器上部署轻量级的探针，采集服务器上各个维度的资产数据，勾勒出一张详细清晰的资产全景图，可满足各种资产管理场景需求。在安全事件发生时，可快速定位客户端归属，精准定位其风险状态。

1.2.2 威胁检测

威胁检测是云工作负载安全 CWP 安全能力的核心。依托操作系统提供的动态底层数据的进程链能力，通过实时、定时采集进程创建、执行命令、关键文件变动、对外网络连接、DNS 请求、系统日志等事件，对入侵行为进行持续的进程链与扫描，提供动态入侵检测能力。近些年入侵技术发展很快，网络攻击手段逐步从物理机转向虚拟机、容器、k8s 集群。针对这种变化，入侵检测能力也需要不断适配新的保护对象，同时提供更多锚点的检测能力以及可持续的安全运营规则的加持，从而能够实时、准确地感知入侵事件，发现失陷主机或容器，并提供对入侵事件的响应手段。

1. 反弹 shell
实时监控容器、主机内所有利用 shell 进行反向连接的行为，当有反向连接行为发生时，系统将及时通知用户以供分析处理。
云工作负载安全 CWP 产品在该项检测能力提升主要体现在三个方面：
• 默认规则包含目前在互联网上可获取的已知的反弹 shell 攻击手段。
主要分为两大类：
第一类定义为“编程语言反弹 shell”，包括使用 Ruby 反弹 shell、使用 python 反弹shell、使用 perl 反弹 shell、使用 lua 反弹 shell、使用 node 反弹 shell。
第二类定义为“Linux 工具反弹 shell”，包括使用 exec 反弹 shell、使用 socat 反弹shell、使用 rm/mkfifo/sh/nc 反弹 shell、命令包含 sock 设备、使用 awk 反弹 shell、使用php_socket 反弹 shell、使用 ncat 反弹 shell、使用 mkfifo/openssl 反弹 shell、使用socket/tchsh 反弹 shell、使用 telnet 双端口反弹 shell。
• 输入输出管道检测是否指向 socket。Linux 命令行审计存在很多被绕过的情况。通过对输入输出管道检测是否指向 socket 是一个很好的选择。
• 用户可自定义反弹 shell 检测规则。针对各种形态的变现，当前专属云 CWP 产品提供了自定义反弹 shell 检测规则，方便应急响应。检测结果包括反弹 shell 进程、进程树、通讯关系等多种有效信息，极大提升安全事件响应速度，为后续追踪溯源提供强有力的数据支持。

2. 异常进程行为
异常进程行为是指实时监控容器或主机内所有异常进程执行的行为，详细子类包括代理软件调用、信息收集、修改关键文件、可疑命令、门进程、操作敏感文件、清理痕迹、渗透常用工具、远程文件执行。云工作负载安全产品通过对进程的实时监控与分析，发现黑客在容器内执行的恶意命令。可检测的恶意命令包括但不限于以下几种：
• 黑客利用 Web 漏洞执行的远程命令（如利用 weblogic/struts2 等漏洞发起的远程命令执行攻击）。
• 黑客入侵到容器后，执行下载恶意程序操作。如：使用 apt-get 安装应用，使用 wget、curl等下载恶意程序。
• 黑客入侵到容器后，对敏感目录进行操作。如 etc/passwd、etc/shadows 等。
• 黑客入侵到容器后，使用黑客工具发起攻击，如 nmap、netcat、hydra 等。异常进程行为检测，除了系统默认自带 100+规则，也可以根据用户真实场景自定义检测规则。可自定义进程链检测规则，可设置 1~5 级进程检查，对进程 cmdline 做正则匹配，可自定义命令行审计规则，可对用户在 bash 中输出的命令审计，支持正则匹配。
技术原理：针对中国电子云操作系统的封闭的特性，CWP 采用 PROMPT_COMMAND 和 system tap 的方式获取，保证日志输入源准确性。

3. 网络异常行为
云工作负载安全产品通过实时采集客户端 DNS、socket 对外连接数据，与商业威胁情报匹配完成网络异常行为发现功能，其中包括但不限于矿池通讯行为、访问恶意域名、APT 活动事件等异常网络行为。规则库自带 100+规则，可以根据用户真实场景自定义检测规则，支持自定义 IP、IP 段、域名进行匹配。

4. 网页木马
网页木马（也称作 webshell）是 Web 业务系统面临的最大安全威胁，攻击者通过漏洞攻击侵入系统后，植入网页木马可以长期控守网站，甚至进行系统提权、层层突破进而控制整个网络，实现长期潜伏的目标。近年来，网页木马的存在形式和攻击模式也随着防护手段的提高在不断发展，通过伪装、变形、加密等手段，致使查杀与发现难度越来越大。传统的单一的网页木马检测方法具有误报率高、严重滞后等缺陷。中国电子云云工作负载安全产品的网页木马查杀引擎采用传统特征+云端大数据双引擎的查杀技术。通过 Agent 自带的 Web 站点识别能力，识别出来 docker、主机中的 Web 目录。通过对 Web 目录下的文件内容进行检测，发现是否存在有 web 后门文件。若发现存在后门文件，则告警并通知用户，帮助用户做出相应的处理，防止被黑客利用后门进行攻击。

5. 异常登录
中国电子云云工作负载安全产品通过手工设置合法登录条件来判断异常登录。
• 防暴力破解：根据客户端上传的登录流水信息，以及来自用户端设置异常规则，可实现检测与阻断暴力破解行为，根据算法识别暴力破解成功行为。
• 异常登录：根据客户端上传登录流水信息，以及来自用户端设置异常规则，可实现异地登录、异常时间登录、异常账号登录、异常 IP 登录告警。

6. 病毒木马
中国电子云云工作负载安全产品建立一套基于云原生查杀引擎，病毒木马检测能力通过云查杀引擎实现。云工作负载安全产品客户端将检测到的病毒木马文件上传至云查杀引擎进行病毒样本检测，若判定为恶意进程，用户可进行停止进程、隔离源文件（支持隔离后恢复）。
云查杀引擎介绍：云查杀引擎是完全互联网化的安全产品，不仅扫描速度比传统杀毒引擎快 10 倍以上，并且无需频繁升级病毒木马库，只要用户服务器连接到云工作负载保护平台服务端，利用服务器端的最新木马库对用户服务器进行扫描和查杀。对于新出的木马，中国电子云工作负载安全产品客户端也能在几分钟内捕获并具备查杀能力。云查杀引擎占用系统资源极小，实现了用户工作负载“0 负担”。

7. 本地提权
若出现以低权限进入系统，通过某些手段提升权限，获取到高权限的事件，很有可能为黑客的攻击行为，该行为会危害到主机安全。云工作负载安全产品可实时监控您云服务器上的提权行为，通过追踪进程调用关系、分析进程树，如果发现父子进程权限异常则触发告警。

8. 持久化后门
当入侵者通过某种手段获取服务器的控制权之后，通过在服务器上放置一些后门（脚本、进程、链接等），来方便后续执行持久化的入侵。常见的持久化后门有 Crontab 计划任务、自启动任务、替换系统文件等，云工作负载安全产品支持检测服务器中存在的持久化后门，如果发现持久化后门将触发告警。

1.2.3 合规基线

云工作负载安全产品的合规基线功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议，帮助用户进行系统安全加固，降低入侵风险并满足安全合规要求。
在等级保护检查、测评、整改工作过程中，对定级业务系统进行对应级别的安全风险检查是技术方面的必要工作，通过使用中国电子云 CWP 的合规基线功能进行基线检查即可轻松完成。
中国电子云 CWP 对国家等级保护规范进行了详细整理，把技术标准落实到每一种应用的配置检查工作上。并且结合等级保护工作过程，对业务系统资产进行等保定级跟踪，根据资产定级自动进行
对应级别的安全配置检查，对合规情况出具等保符合性报告，保证系统建设符合等保要求，促使等保监督检查工作高效执行。

1.2.4 漏洞管理

在数字政府、企业安全治理过程当中，无法回避的一个问题就是承载业务系统的工作负载漏洞管理，无论是在平台建设初期上级监管部门对平台等保合规的监管要求、还是护网重保期间或者日常安全运营的期间，防范 APT 攻击。都需要针对工作负载做行之有效的漏洞运营管理。主机漏洞检查与修复，是防止黑客入侵的第一道屏障，中国电子云云工作负载安全产品的主机漏洞管理功能支持以下功能：
• 支持 Centos6/7/8 漏洞公告检测与修复、CVE 号、CVSS 影响分数、修复建议、关联进程、影响资产展示（包含资产查询）。
• 支持麒麟 OS 漏洞公告检测与修复、CVE 号、CVSS 影响分数、修复建议、关联进程、影响资产展示（包含资产查询）。
• Linux 操作系统支持漏洞标签展示。
• 支持一键修复。
• 支持报表导出。
• 支持批量添加漏洞公告白名单。
• 支持批量添加漏洞主机白名单。

1.2.5 网页防篡改

网页防篡改为云工作负载安全产品的增值服务，可实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。

1.3 基本概念

云工作负载安全产品，使用先进的云原生技术架构，通过安全可视、安全预防、威胁检测、调查响应等安全能力，帮助用户构建云原生的统一纵深防护体系。

1.4 产品优势

采用可信硬件安全架构
从系统可信根、硬件固件安全、启动链可信以及运行时可信，保障物理主机固件启动安全，以确保实例未受到启动级或内核级恶意软件或 Rootkit 的侵害，降低由于物理入侵导致云工作负载安全客户端失效的概率。

全面融入云原生架构
为保证云原生操作系统的稳定性，提供特权容器方式部署到容器平台底座上，与云原生底层架构融入到一起。提高客户端效能。
服务器端所依赖的全部大数据、关系型数据库、中间件、消息队列等组件完全复用云原生操作系统PaaS 组件，降低部署成本。
针对调查响应手段，可完全调用云操作系统 IaaS 组件统一纳管，例如：卸载 EIP、添加安全组、ACL、关闭云主机等。

客户端稳定性高
采用 Agent 轻量级设计，而非修改操作系统内核的驱动架构设计，保证了业务系统高稳定性。对于实时监控数据采集引擎，通过应用层调用系统自带驱动实现，保证入侵发现的及时性。采用云端检测的模式，降低 Agent 端资源消耗，提升客户端性能。
精准的入侵检测
利用大数据、AI 技术，提供百万级容器和主机秒级安全事件的实时处理能力，更高效精准的识别实时攻击事件。
通过多维数据关联离线分析引擎，精准挖掘历史 APT 的攻击事件。

1.5 实现原理

• 基础设施层：中国电子云 CWP 产品可部署到中国电子云、第三方专有云、中国电子云专有云平台（CECSTACK）的物理机、虚拟机、容器。
• 数据采集层：可针对进程、网络、用户、软件、计划任务、登录流水，全量上传服务器端，为后续分析提供原始数据支撑。
• 数据分析层：利用实时、离线、图分析关联分析，将终端上不同时间段、不同类别的活动信息进行关联分析，同时配合威胁情报、云查杀引擎、ATT&CK 匹配引擎规则匹配。加工原始数据并保存。
• 安全能力层：对入侵常用的攻击手段提供准确的告警事件。中国电子云会提供主机漏洞、基于主机、容器的基线检查、容器镜像扫描、反弹 shell、本地提权、异常登录、暴力破解、病毒木马、网页木马、进程异常行为、网络异常行为等多种弱点事件和告警类型，以洞悉其中存在的异常行为和可能存在的攻击，有效减少产生的威胁告警信息，避免漏报和误报对管理人员造成影响，让威胁事件变得更容易解读和处置。
• 运营表现层：通过安全可视展示威胁概览仪表盘；通过资产管理模块，了解风险资产状况；通过镜像安全、合规基线、漏洞管理体现 CWP 产品安全预防能力；通过威胁检测展示入侵事件。

1.6 应用场景

重保护网

重保护网中的业务挑战：
• 许多企业，特别是国有企业、数字政府，在护网建设方面投入的大量的资金，但是实战化的防御支撑能力明显不足。普遍是重边界、轻内网防御，具有一旦边界被破，内网整体垮掉的风险。
• 面对 0day 攻击无法有效发现，理论上说 0day 攻击是无法防御的，目前大部分企业通过设备自带的威胁情报检测。对现有的恶意域名库、恶意 IP 库等，因为攻击方使用的都是新的域名和 IP，这也是黑名单做安全的尴尬。
• 针对攻击溯源，2020 年的护网行动大部分用户都部署了内网蜜罐系统，但绝大部分是内网低交互蜜罐，仅内部发现扫描行为，而且大部分都是设备探活误报，根本没有达到攻击欺骗的效果。

我们如何应对？
• 在内外网都部署蜜罐、蜜网系统，尤其是内网，护网期间被击穿是无法避免的，那么，我们应该把内网当成外网一样的级别防御，不能有重外轻内的思想。CWP 产品功能可快速帮助用户实现。
• 通过基线检查、主机漏洞检查、镜像安全扫描等 CWP 安全预防功能，处理已知的 Nday 漏洞；发现攻击 IP，随时通过自定义安全规则阻断。
• 通过精准的威胁检测能力，帮助用户实现攻击溯源。

安全合规
伴随着等保 2.0 版本发布，针对可信计算环境要求的不断提高，面向政府、金融行业等保合规专有云产品需求增多。
满足等保 2.0 三级和四级中，针对入侵防范、身份鉴别、安全审计等方面的要求，CWP 产品可应答检查项，协助用户通过相关测评。

1.7 使用限制

• 客户端 Agent 对系统 CPU 占用单核 CPU 30%以内。
• 客户端 Agent 对系统内存占用 300M 以内。
• 可动态调整 CPU 占用与内存占用。
• 实时告警关联分析：8w/QPS 6c6g（X86 架构）；4w/QPS 6c6g（ARM 架构）。
• 病毒木马文件检测：50 个/每秒*2c4g（X86 架构）；25 个/每秒*2c4g（ARM 架构）。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服