奇安信出席第二届操作系统产业峰会 三措施应对国产服务器安全挑战
2021-11-12 奇安信

11月9日,2021第二届操作系统产业峰会在国家会议中心召开,在麒麟专场上,奇安信椒图事业部副总经理李栋发表了“护航国产操作系统打造安全计算环境”主题演讲,详细介绍了奇安信在国产化操作系统安全建设方面的积累与技术沉淀。

奇安信椒图事业部副总经理李栋

国产操作系统虽然正在快速发展,关键核心技术“卡脖子”问题也有了破解之道,但是黑客攻击、后门、勒索病毒等安全威胁并没有因此消失,尤其是在服务器安全领域,还有不少技术难题等待攻关。

对此,奇安信和麒麟软件共同提出国产化服务器操作系统安全要关注的3个重点:

第一、实现资产与漏洞的闭环管理

李栋指出,伴随着云计算的快速发展和虚拟化技术的成熟,工作负载(物理机、虚拟机、容器、serverless等)数量出现几何倍数的增加,尤其是容器和serverless出现后,在奇安信服务的客户体系中,已经出现了拥有百万级工作负载的客户,这些工作负载中跑了哪些业务、有哪些危险端口暴露在公网、是否存在弱口令或者口令复用、哪些系统&应用还有漏洞未修复,这些看似基础的安全工作,在工作负载数量达到一定量级后会由量变到质变,成为巨大的挑战。

因此首先要对服务器系统、应用、进程、端口等核心资产进行统一管理,并基于采集到的资产信息,全面检测漏洞&补丁、弱口令、危险端口暴露、webshell等安全风险,建立海量信息资产的风险自动化运维机制。

他还指出,在现实环境下,可以看到客户侧的操作系统版本五花八门,从最初的版本到最新的版本都可能存在,很多关键应用如数据库中间件也都存在重要安全补丁未打的情况,核心原因是安全一直在给业务让步,因为打补丁可能导致业务重启、服务器重启、甚至蓝屏,客户侧对于漏洞&补丁的处理一直非常慎重且严重滞后,因此即使把“资配漏补”工作做到极致,也未必能完全解决客户的安全问题。

对此,奇安信虚拟化安全提出“虚拟补丁”的技术手段,在内核态基于WFP框架实现引流功能,将虚拟机的入站、出站流量通知给应用态的IPS引擎,并用IPS引擎对流量实施检测防护,可以实现在不打实体补丁的情况下,防止黑客利用漏洞攻击服务器,目前虚拟化安全的虚拟补丁数量已经达到接近1万条,可以真正实现“资产-漏洞发现-实体补丁-虚拟补丁”的闭环管理。

第二、关注安全左移与应用运行时安全

这两年安全左移与DevSecOps的概念越来越来被客户所接受,其核心思想是由“业务的安全”向“安全的业务”转变。

早在2015年,奇安信椒图服务器安全团队就开始了安全左移的研究,针对web中间的防护引擎:In-appWaf与RASP(应用运行时自我保护)就是在安全左移领域的核心成果,通过防御引擎赋能,让安全融入IIS、Apache、Nginx、WebLogic、Tomcat等web类应用中,使之在上线运行时就具备自我防护的能力。其中In-appWaf接管http请求,可以直接对流量中的恶意函数和代码做过滤,RASP对流量到达本地之后的行为(命令执行、文件操作、网络IO)做二次校验,实现规则+行为的双重检测,可以有效防御SQL注入、跨站、反序列化、远程代码执行等网络攻击,对web类0day同样具备较强防御效果,可实现对多类攻击的通杀。

第三、洞察黑客入侵行为

服务器安全往往是企业安全中的“短板”,0day、无文件攻击、内存码等针对服务器的新型攻击方式不断出现、攻击强度不断加大,都给服务器安全带来了很大挑战,因此在与黑客的对抗中,提前了解黑客的攻击手段和攻击也成为制胜关键。

漏洞几乎无法避免,但是漏洞利用行为确相对固定,奇安信椒图服务器安全管理系统通过内核驱动,会对端口扫描、反连shell、进程自我复制、监听原始套接字等黑客在入侵产生的多种异常行为进行监控及防护,无论是利用什么漏洞达到服务器,只要触发了这类行为就可以被认定为异常访问,因此内核加固可以限制漏洞利用后下一步行为,以有限的行为对抗无限的漏洞。

据了解,本次峰会吸引了来自操作系统产业的300多家企业、组织等“政、产、学、研”代表参加,共同探讨产业政策、技术创新、生态共建、商业验证、开源共享等话题,推动国产化操作系统产业发展和基础软件生态繁荣,奇安信作为国家信创战略坚定不移的执行者,以及麒麟、欧拉等国产操作系统重要的安全生态合作伙伴,将持续发力操作系统底层安全研究、联合操作系统厂商打造具备内生安全能力的国产化系统,为客户提供更加安全的计算环境。