企业动态

云计算的快速发展与应用落地，推动了业务从孤立的“烟囱”模式向融合化模式的转变，随着企业的IT规模越来越庞大，环境也越来越复杂，带来的安全风险也越来越多。因此，如何让安全解决方案适应复杂多变的虚拟化和云计算环境，成为了让云上客户甚至是安全厂商都头疼的问题。

云计算环境对网络安全的新要求

1.数字化转型过程中用户的业务需求不断变化，防护手段不能一成不变，安全策略需要能自动适应其变化，根据存在的威胁和漏洞建立起针对性的安全防线，实现灵活可靠的防护机制，支撑业务应用所需；

2.在规模庞大的云计算环境中，任意虚拟主机被入侵或感染，入侵者都可以以该宿主机为跳板做横向移动，因此整个业务都存在着被破坏的可能，及时识别被入侵或感染的虚拟主机是降低数字资产风险的关键；

3.如果物理机还能够依靠人工进行安全运维的话，那么巨大的虚拟机集群已经无法完全依靠人力来完成，安全运维团队在面对复杂的云环境需要投入大量的时间及人力成本，并且很难做到及时准确的响应。为了将入侵范围和损失控制到最小，当虚拟主机被入侵或感染成僵尸主机的情况时，及时、准确的自动化响应处置非常重要。

自适应的虚拟化防护体系

2016年，在Gartner发布的十大信息安全技术里提到了情报驱动的安全运营中心，他们认为威胁情报驱动的安全检测超越了传统的预防工具和以事件为基础的监测，强调情报关联和自动化的响应处置。基于威胁情报的失陷主机检测可以弥补传统的病毒库扫描的不足。

虚拟化安全管理系统为云计算安全基础架构（包括服务器、虚拟化、容器）提供统一的安全防护能力。产品是遵循GartnerCWPP（云负载保护平台）的完整方案，不仅具备传统的安全防御功能，在基于威胁情报技术上，也为用户提供安全风险从发现-响应-处置的完整自动防御解决方案。

在威胁检测方面，虚拟化安全管理系统具备对全网虚拟机流量进行检测的能力，包括数据中心的南北向流量，以及虚拟机之间的东西向流量。结合补天威胁情报中心实时下发的威胁情报进行比对，检测其中的恶意流量，及时发现潜在的失陷主机。

针对新型的APT攻击和病毒变种，传统的病毒库检测方式难以查出与发现。虚拟化安全管理系统通过威胁情报对恶意连接及访问行为分析，建立新的测检模式，也提升了对未知威胁的防护能力。

在自动响应与处置能力上，当虚拟化安全管理系统发现失陷主机告警后，可与防火墙功能进行联动，自动隔离失陷主机，防止恶意软件和攻击在数据中心蔓延。同时，利用威胁情报的上下文信息，进一步找出与攻击者相关联的更多蛛丝马迹，从而梳理出攻击者完整的行为链条，做出针对性的防御措施。

图 虚拟化安全管理系统产品架构

随着威胁情报技术在不断更新，虚拟化安全管理系统会不断提升对入侵行为的有效检测和自动响应能力，实现以智能、集成和联动的方式应对各类攻击，为云计算环境提供立体化防护。

最佳实践

江苏某大型互联网公司去年部署了虚拟化安全管理系统，半个月前，其负责服务器运维人员在值班期间查看到系统提示的安全告警，显示安全控制中心内网主机处于失陷状态.

图 虚拟化安全管理系统失陷主机检测记录

经运维人员排查，发现这台服务器因为远程排障需要临时开启了远程桌面服务，且在使用完后未及时关闭，从而导致被可疑站点所利用入侵其系统和内网。

图 可疑IP归属地查询

虚拟化安全管理系统监测到该主机短时间内曾多次与某外部可疑IP（经分析该IP来自于韩国）进行通信，产生75条流量访问日志，并且发现网内受到mimikatz的大规模扫描。通过威胁情报对比分析后得知，此IP多次被威胁情报源标注为高风险、恶意站点、勒索等标签，且近期活动频繁，因此判定此主机已失陷的可能性极高，通过联动防火墙策略，将其访问阻断并发出告警。

因此次安全风险被及时发现和迅速处理，未对业务网产生影响，避免了安全事件恶化的危机。

今日独家福利：1月17日即将召开的威胁情报生态大会，就是对“威胁情报驱动”最好的解读。扫上图海报二维码即可进入参会直通通道，这可是数量极其有限的幸运嘉宾直通入会通道，达到限额即刻关闭，欲参加会议的专家嘉宾快点扫码呀~（想了解会议详情、或发现直通通道关闭，请各位点击阅读原文看大会议程及常规入场报名方法）

“独行快，众行远！来威胁情报生态大会，寻找你的合作伙伴”！

阅读原文