全球20万台路由器被攻陷：如何保障关键信息基础设施的安全？

恒心未抿

上周，国外多个网络基础设施被曝遭到攻击，攻击涉及全球200000只路由器交换机，遭受攻击的企业除了设备瘫痪之外，屏幕上还显示出美国国旗。国内也未能幸免，多个机构遭受同样的攻击。在思科发布漏洞预警之时，全球受影响的设备高达850万。

据报道，攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171，该漏洞是在 Smart Install Client 代码中发现的，攻击者利用这个漏洞可以不经身份验证远程执行任意代码，也就是说攻击者能够完全控制受漏洞影响的网络设备。

无论是硬件还是软件，在网络空间中，牵一发而动全身，任何设备出现安全问题都可能导致严重的后果，甚至可能威胁到国家和社会的安全。

根据《网络安全法》第三十一条指出：
“ 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

在近期发生的攻击事件中，部分重点机构的设备无疑正属于“关键信息基础设施”的范畴，在网络安全的防护方面应当投入更多的资源。《网络安全法》相关条文提到的重要行业，多数都在直面技术和安全威胁交替升级换代的现状，特别是云环境下的技术和安全威胁升级的现状。在云计算架构下，担负信息系统各类关键数据和核心业务系统的主机系统，一旦受到攻击，整个信息系统中最具价值的部分将面临失窃和被破坏的风险。因此，（云）主机安全已成为云计算时代公认的信息安全核心环节。

当前（云）主机的安全现状，面临很多新的需求和挑战：
入侵检测VS防护安全
根据gartner的建议，组织的投入应该从之前的90%防护和10%检测和响应过渡到60%的防护和40%的检测和响应
资源消耗与稳定性
1、敏态业务：需要考虑资源控制、熔断机制、打卡机制；
2、稳态业务:考虑兼容性，轻代理、核心代码质量；
3、从经典的基于签名的防病毒软件到通过大数据技术生成很多扩展功能的更为成熟的EDR解决方案,包括深度安全监控、威胁检测和事件响应等功能。
勒索蠕虫&挖矿程序
1、软件的质量和数量不断攀升，将成为网络攻击的一种新常态
2、比特币技术、加密技术、武器化漏洞结合
3、免杀和自我传播能力将越来越强，静默期不断延长
提高管理效率与云化需求
1.需要全套主机安全服务满足新需求
2.提升终端用户、IT及安全团队操作效率。
3.易于部署、配置、操作、分析和使用。
4.满足企业云化新的安全管理需求

基于当前的网络安全现状以及（云）主机管理维护难的问题，新一代的（云）主机安全解决方案至少要具备如下的几个特点：
兼容云架构及传统架构
具备极强的适应性、扩展性、稳定性，支持各种虚拟化平台及虚拟机操作系统，可对物理服务器进行统一的安全管理。
主机资产采集管理
具备强大的主机资产采集管理能力，通过对资产信息进行分析可以为企业提供漏洞风险及入侵威胁的判断的基础信息，有助于深入发现内部暴露的问题和风险。
入侵威胁防御及处理
具备强大的入侵威胁防御及处理能力，面对高级攻击需能够在第一时间发现，并联动其他功能模块迅速做出响应处理。
漏洞风险检测及修复
具备强大的漏洞风险检测及修复能力，需能够对漏洞风险进行精准发现，并针对不同漏洞风险做出精准分析，提供精确到命令的修复建议。
基线合规性检查
具备强大的基线合规性检查能力，能够对主机基线进行合规性检查，对于存在安全缺陷的项目进行识别及给出相应处理意见，防止风险的产生。

安全狗的（云）主机安全解决方案采用了先进的自适应安全架构及端点检测及响应（EDR）解决方案，提供云+端的云安全管理平台为用户解决公有云、私有云和混合云环境中可能遇到的安全及管理问题。

file:///C:\Users\Safedog\AppData\Roaming\Tencent\QQ\Temp\TempPic\ER0%P{AL@}@NBWHLDI8Y5AY.tmp
安全狗的（云）主机安全解决方案从事前、事中、事后三个阶段入手，从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题，通过主机EDR能力的增强，反哺SIEM或SOC平台，最终达到全网自动响应 已知威胁的能力 以及对 未知定向攻击的检测告警能力。
[img]file:///C:\Users\Safedog\AppData\Roaming\Tencent\QQ\Temp\TempPic\6[Y8WEAU]G8UV$G8FXVDTFO.tmp[/img]

安全狗的（云）主机安全解决方案将这样应对和解决用户的安全问题
主机数据采集
通过主机端点上安装的轻代理对主机上的安全数据汇总到数据采集模块上进行统一的归类、加密，并传输给大数据分析模块。
威胁情报获取
基于安全狗公司云端的海量数据处理获取到未知威胁，并将威胁情报信息导入大数据分析模块。
大数据分析
对主机端点采集到的安全数据结合获取到的威胁情报信息，进行威胁情报大数据分析，准确识别出威胁事件。
告警及响应
对识别出的威胁事件进行告警通知及响应处置。

通过最新的安全线索快速锁定威胁主机，以及借助实时数据和历史主机信息对于受害主机进行全面评估，安全狗的（云）主机安全解决方案可以揭示主机的安全缺陷，并通过自动化响应机制进行处置。在威胁情报的指引下，安全响应系统可以将一个复杂的高级威胁安全响应，分解成为一系列行动过程，从而解决高级威胁难以处置的问题。