价值主张:全面感知风险、精准失陷检测、快速闭环响应
一、数据中心云主机安全面临新挑战
【安全变化让风险感知模糊】加密通信流量增多,开源中间件广泛使用,传统边界逐渐模糊
- 加密通信流量越来越多,网络侧解密成本大,流量对抗成本变高;
- 云上资产繁杂,开源中间件、应用广泛使用,攻击者可利用其漏洞脆弱面攻破;
- 传统边界逐渐模糊,云内攻击可利用模糊边界实现快速扩散;
【升级后的攻击手段更难防】攻击手法越渐高级,攻击方式持续多样,入侵检测方式单一
- 混淆流量特征、无文件攻击、免杀 Webshell、0day 利用等高级攻击手法越来越多,攻防对抗更难防
【安全事件难闭环】人工资产清点不全面,资产信息与风险未关联,事件研判分析难
- 云上资产信息庞大,传统人工方式清点资产难以清晰梳理资产信息,了解资产脆弱面;
- 资产信息作为基础要素数据,与安全风险要素(安全漏洞、基线配置弱点、攻击信息等)关联度不够,没有发挥资产清点对安全防护的价值;
- 发生安全事件,缺少专业工具辅助安全人员快速处置、分析研判,准确定位风险;
深信服云主机安全保护平台 CWPP
深信服云主机安全保护平台 CWPP(Cloud Workload Protection Platform, CWPP)基于极轻量端技术, 持续监测主机安全环境的变化,建立集预防、防御、检测、响应于一体的安全防护体系, 为物理服务器、云主机提供统一的资产可视化和和脆弱面管理能力,通过异常行为检测和响应机制保护主机免受攻击。
【风险全面感知】精准发现弱密码和漏洞风险,基于主机侧应用特征识别,缩小漏洞脆弱面
CWPP 可对系统、应用、中间件的弱密码检测,对其进行基线检查和漏洞扫描。与传统流量侧检测方式不同,CWPP 可基于主机侧应用特征精准识别系统、中间件漏洞、配置错误、弱密码,让管理员及时了解到风险,降低由于脆弱面的影响带来的风险。
【精准失陷检测】结合攻防实战,基于攻击链全过程检测,让攻击无法绕过
加密流量在主机侧解密后,CWPP 可基于攻击行为特征对其检测。支持爆破、WEB RCE、信息发现、提权、webshell、反弹 shell、持久化等主流攻击手法的检测。针对更隐蔽的攻击,可以通过多事件关联分析引擎检出,做到高检出低误报。发现威胁事件,可进行 IP 封堵、主机隔离等一键式快速处置。
【快速闭环响应】资产信息全面采集,与安全风险关联,威胁闭环响应
CWPP 可细粒度采集主机侧信息,帮助管理员基于主机管理、Web 应用中间件、资产指纹视角对全网主机资产做清点梳理。可清点主机数据库、主机所有软件应用、Web 服务和框架等信息。资产信息与基线配置弱点、攻击信息相关联,当出现威胁时,可显示关联的主机数量及详细信息,快速定位受影响的主机。
二、三大优势
1、轻量稳定
- 轻端重云架构,减少资源消耗,对业务无影响;
- 性能和网络自动调节,当主机 CPU 占用超过一定阈值,CWPP 进入静默模式,保障业务优先。
2、简单有效
- 部署资源少,快速上线;
- 结合攻防实际经验,对攻击全过程入侵行为检测,集成语法分析、特征提取等技术实现高检出,低误报;
- 安全策略可在部署时直接导入模板,无需再配置;
3、开放协同
- CWPP 可结合深信服态势感知产品(SIP)、安全运营中心(NGSOC)等,作为软探针将主机侧安全检测日志上报,帮助 SIP 实现主机入侵检测分析;
- 接口 API 开放,不仅可以实现自家产品的联动,还可接入第三方产品,为客户业务实现高拓展,满足对未4来安全规划要求;
三、成功案例
