安骑士最佳实践图



一句话解释什么是安骑士

安骑士是主机安全领域的领导者,已为全球百万级主机提供安全防护服务,具备漏洞智能化管理、基线配置检查、病毒查杀积极防御等功能,是等级保护合规和纵深防御安全体系的必备产品。

实践目标

  • 充分了解安骑士产品的功能,可使用安骑士进行日常的安全管理,"看见”并“解决”安全问题,提高工作效率。
  • 学会安全管理技能:漏洞检测和处置方法、风险配置修复、入侵事件排查、进程端口账号等资产管理。

产品功能

  • 精准防御:多病毒检测引擎配合阿里云多年安全经验,支持主流病毒自动查杀。
  • 漏洞管理:全面的漏洞管理,包括漏洞检测和漏洞修复,让您的资产漏洞风险降到最低。
  • 网页防篡改:防止网站被非法植入涉恐涉政、暗链、木马、后门等内容,保障网页信息正常运行。
  • 入侵检测系统(云查杀):黑客即入侵实时预警,即使被入侵也可快速发现和止血。
  • 基线检查:支持安全配置的全面安全检查,帮助您更好地加固您的主机安全。
  • 资产指纹:进程、端口、账号、软件版本的清点。
  • 主机日志检索:记录主机所有内容。

为什么要做好服务器安全?为什么服务器安全着重在漏洞管理?

  • 所有的黑客攻击最终都会落在主机上,我们的数据、程序都是运行在主机上,只有主机才能最近感知到黑客的动作,安全讲究纵深防御,主机侧安全是必不可少的。
  • 云服务器跟传统PC不同,PC会主动去访问互联网,一不小心上了挂马网站和运行了恶意软件,所以需要的是防病毒产品。而云服务器ECS不同,它只有可能“被”互联网来访问,相当于一个黑盒子,那么黑客要入侵,必须要找到“漏洞”才行,所以安骑士着重帮助客户在事前做好漏洞检测和修复工作。

购买企业版或试用

  • 当前产品有两种付费模式:包年包月和按量付费(安全点)。包年包月推荐预算固定ECS台数固定的用户购买,按量付费模式推荐ECS弹性变动较大的用户购买。更多详情参见购买说明
  • 您也可以开启企业版试用体验功能,默认为7个自然日。如试用过企业版后还需申请企业版试用,可提交工单。
  • 开通后无需进行产品特殊配置,购买或者开启试用后,将自动为您完成配置,您直接使用控制台进行操作即可。
  • 开通企业版后,最多需要2天进行安全数据收集和分析处理,系统自动完成,暂不支持手动触发全面安全扫描,所以您开通后在2天后可看到安骑士检测到的全部事件。

解决漏洞问题

如何解决软件漏洞?
  • 如果是Windows漏洞:可使用安骑士的一键修复功能进行修复。
  • 如果是Web应用漏洞:可根据提示的修复方案进行手动修复,一般都是业务的逻辑漏洞。
如何解决系统软件漏洞?
  1. 评估危害(重要):对于Linux系统,会报出很多软件漏洞,您要进行仔细评估后决策是否修复(例如A漏洞为高危漏洞,需要利用10端口进行远程入侵,但是当前对外未开放10端口,那么此时您就可以忽略该漏洞;还有一些内核,标题中带kernel的漏洞,可能会造成业务影响,也请仔细评估,或者通过搜索引擎查询更加全面的方案)。
  2. 生成修复命令:产品支持一键生成修复命令,帮助您快速修复。
  3. 验证:修复完成后,可以快速进行修复成功的验证操作(不主动验证,系统也将在48小时内自动验证)。
  4. 忽略或加白:如果您确认该漏洞不会对您的系统安全造成威胁、不想再关注该漏洞,您可对漏洞进行忽略或加入白名单。
说明
  • 在执行系统及软件漏洞的修复时候,建议您进行快照备份后再操作,即使修复后对业务造成影响,也可以快速回滚。

  • 实在不知道如何评估,请联系大客户经理找云盾专家支持,或者直接购买“安全管家”服务,由安全专家来评估和指导您需要修哪些漏洞。

如何解决Web_CMS漏洞?
  • 您可查看漏洞详情或危害,使用安骑士的立即修复功能进行修复即可。
  • 如果您觉得漏洞不会对主机安全构成危害,可对漏洞进行忽略

解决系统高危配置问题

  • 开通或试用企业版后需要24小时候才会启动扫描,安骑士才会显示相关数据。
  • 当前安骑士检测的配置项包括:弱口令、密码长度不够、注册表配置不当、数据库配置不当等。
  • 如果基线提示有需要解决的项目?
    1. 评估影响:查看项目等级和内容,您需要评估该风险项对业务的影响(例如您公司对密码长度有要求,那么就可以检测出配置不当的机器,若无要求,您可以采取忽略操作)。
    2. 查看控制台修复建议,根据修复建议进行修复。
    3. 验证:修复完毕后,可快速验证是否修复完成(若不立即验证,系统在48小时内会自动验证)。

      对于无需修复的基线提示,可选择忽略

发生安全事件处置方法

服务器有异常登录?

  • 服务器被异常登录了将会给您提醒,建议您确认是否为公司员工行为,如在非常用地址登录行为。
  • 建议您在日志模块关联搜索下该用户的登录详情,时间,以及登录后这个用户运行了哪些命令行、启动了哪些进程。
  • 若事件为“暴力破解成功”,此时要引起高度重视,黑客已经猜中了密码并且登录了ECS,您急需要进行改密码操作,并且排查是否有入侵后的资损。

服务器发现了有网站后门?

  • 针对网站的脚本文件扫描,也是我们常说的Webshell挂马文件,黑客利用该文件可进行页面篡改、SEO暗链、数据窃取等操作。
  • 文件是脚本文件,脱离web目录是无法运行的没有危害,所以安骑士也只会监测web目录的文件变动。
  • 一旦发现该类型文件会给您推送告警,此时您登录控制台只获知到文件的路径,您可确认下是否为正常的业务文件,如果非正常业务文件,直接操作隔离即可。
  • 若发现有误报,也可以进行忽略或者联系我们来进一步排查。

服务器有其他入侵异常事件?

  • 包括病毒查杀、进程异常行为、恶意源下载,当前都是可以实时检测到的。
  • 一旦发生,可登录控制台进行查看和处理。

做好资产管理和清点

分组和标签

  • 当ECS台数多,安全事件和告警也会随之增多,借助分组和标签系统,在处理事件的时候,可以快速捞出来那些重要机器优先处理。

端口、进程、账号清点

  • 定期收集服务器的对外端口监听、进程运行、账号信息,并对变动信息进行记录,便于资产清点和历史变动查看。
  • 可使用搜索栏到达如下效果:
    • 清点一个端口(或一个进程、一个账号),有多少台服务器正在监听(或运行、创建)。
    • 清点一台服务器,监听了多少端口(或运行了多少进程、创建了多少账号)。
    • 清点一台服务器,端口监听(进程情况、账号情况)的历史变动信息。
    • 建立端口基线(进程基线、账号基线),发现非法的端口开启(非法的进程启动、非法的账号创建)。

进阶1:使用日志功能还原安全事件

  • 如发生了入侵事件,可根据线索还原出入侵链路,举例:
    • ECS的CPU占用高,系统业务有影响。
    • 登录安骑士控制台发现报告了“异常事件-挖矿进程”。
    • 日志检索:根据进程名检索出,挖矿进程的启动。
    • 日志检索:通过启动的用户名,再检索登录流水,发现了时间基本吻合。
    • 日志检索:通过网络连接,发现了挖矿进程连接“矿池IP”的行为。
    • 查看基线检查,发现用户名存在弱口令告警。
    • 还原完成:弱口令被黑客登录入侵种植挖矿程序,通过终止进程、修复弱口令问题解决。
  • 不仅仅要解决入侵事件,更要找到入侵的源头并解决,治标且治本。

进阶2:日常的安全管理

  • 多维度安全管理:
    • 单台ECS维度:在资产列表可针对特殊机器,快速检索和统一查看当前未处理的漏洞和事件。
    • 功能维度:漏洞管理、基线检查,根据项目排查,如弱口令统一清点,到底有多少台服务器存在此类高危问题。