雲鎖(主機安全)v3.1.20.15 官方版

雲鎖是領先的主機安全解決方案、雲鎖cwpp雲工作負載保護平台，雲鎖功能包括主機安全加固、網站安全、應用自適應安全、rasp、微隔離、流可視化、主機安全、cwpp、asve，雲鎖能幫助企業建立主機端一體化安全防護能力。

【軟件特征】

雲計算時代主機安全麵臨的挑戰

雲上的安全邊界越來越模糊，依靠傳統的硬件堆疊的安全防禦方式已經很難解決雲上的安全問題。 CC、SQL注入、XSS跨站等黑客攻擊以及後門、webshell等惡意代碼時刻威脅企業的信息安全

雲鎖是中國用戶總量領先的主機安全產品，在國際上率先達到Gartner定義的cwpp（雲工作負載保護平台）標準，兼容多種虛擬化架構和操作係統，可以高效支撐現代混合數據中心架構下的主機安全需求。

雲鎖基於服務器端輕量級agent，安全加固服務器操作係統及應用，雲鎖waf探針、rasp探針、內核加固探針能有效檢測與抵禦已知、未知惡意代碼和黑客攻擊；同時雲鎖融合資產管理、微隔離、攻擊溯源、自動化運維、基線檢查等強大功能，幫助用戶高效安全運維服務器。

應對未知安全威脅

傳統基於簽名的防護手段應對未知威脅往往效果堪憂，而且會讓防護架構變的愈發臃腫，雲鎖采用RASP、ASVE、沙盒三大基於異常行為的檢測技術，可有效檢測並防禦未知威脅。雲鎖通過RASP技術對應用係統的流量、上下文、行為進行持續監控，識別及防禦已知及未知威脅，能有效防禦SQL注入、命令執行、文件上傳、任意文件讀寫、反序列化、Struts2等基於傳統簽名方式無法有效防護的應用漏洞；雲鎖獨創虛擬化安全域技術（ASVE），通過將應用進程放入虛擬化安全域內，限製應用進程權限，防止黑客利用應用程序漏洞提權、創建可執行文件等非法操作；雲鎖基於腳本虛擬機（沙盒）的無簽名Webshell檢測技術，有效檢測各種加密、變形的Webshell。

東西向移動如何防禦？

防禦入侵內網後的東西向移動

雲鎖采用微隔離和流可視化技術來重新定義虛擬網絡邊界和監控內部網絡信息流動，雲鎖能細粒度控製每台主機與外部及業務內部網絡間的網絡通信，防止攻擊者入侵內部業務網絡後的東西向移動（lateral movement），同時雲鎖可自定義基於角色的訪問控製策略，可幫助管理快速配置海量服務器的訪問規則。

hadow IT

帶來的安全風險如何避免

雲計算的快速發展，可以幫助業務快速上線，但也會導致安全方案的部署慢於業務係統的上線速度，也就造成了影子IT（Shadow IT），未經防護的業務係統給黑客留下了攻擊時間窗。雲鎖通過對業務係統持續學習，能自動發現並跟蹤業務信息資產的變更（包括服務器、服務器上運行的軟件、網站、以及web應用類型等）,雲鎖並采用交互式安全檢測技術（IAST）自動識別出發生變更的業務資產的安全風險（包括危險端口、安全漏洞、惡意代碼、敏感信息泄露等），避免Shadow IT帶來的安全風險。

如何安全加固服務器

安全加固服務器並建立風險評估與跟蹤機製

雲鎖通過內核探針加固操係統，提高係統自身的安全性和抗攻擊能力，保護係統核心文件，支持windows、linux（centos、redhat、Ubuntu、suse、麒麟）操作係統；通過禁止操作係統中無用的服務，提高係統安全性，同時減低係統資源占用。

雲鎖可對服務器安全配置進行全麵、高效的基線檢查，包括檢查係統弱口令、檢查克隆賬戶、檢查計劃任務等，並為每台服務器建立風險檔案及風險評分機製，持續跟蹤每台服務器的安全狀態，幫助管理員更好的了解整個業務係統的安全動態。

快速響應安全事件

自動回溯攻擊過程，快速定位風險點

當安全事件發生後，您是否還在靠查日誌的方式，來尋找攻擊來源和攻擊方式?是時候告別落後、低效的攻擊溯源方式了！雲鎖能自動將安全事件從海量的日誌中抽離並關聯，自動回溯攻擊過程，並提供對安全事件進行跟蹤管理，幫助企業快速定位並修複黑客入侵時利用的風險點。采用基於異常行為的檢測技術，能有效檢測未知威脅，是安全人員對抗高級持續性威脅（APT）的利器。

【官方新聞】

椒圖科技李棟：主機的未知安全威脅檢測與防禦

近日，椒圖科技副總裁李棟出席北京網絡安全大會（BCS 2019），並發表主題演講《主機的未知安全威脅檢測與防禦》。

李棟指出，目前勒索病毒、一句話木馬、0day、東西向移動等針對主機的惡意代碼和黑客攻擊日益增多，傳統的防禦手段依靠安全規則和設備堆疊，對於未知攻擊和新型惡意代碼缺乏防禦能力。

李棟以weblogic反序列化漏洞 （CNVD-C-2019-48814）為例，指出目前針對未知攻擊的手段大多是犧牲業務保安全，在0day漏洞沒有修複之前，客戶多大隻能暫停服務或者隔離主機，這都會導致業務的中斷；即使有補丁可打，客戶修複漏洞的平均時長也高達38天(據TCELL發布《2018年第二季度生產環境Web應用程序安全報告》統計)，這都會給黑客創造足夠的attack free空窗期，等到客戶修複完漏洞，業務係統可能早已被黑客入侵。

漏洞永遠補不完，但黑客在入侵產生提權、進程自我複製、監聽原始套接字、執行一句話木馬、創建可執行文件、創建克隆賬戶等異常行為卻有跡可循，在了解黑客入侵行為軌跡後，在係統和應用兩個層麵監控和攔截，用安全機製補充安全規則，以有限的行為防禦無限的漏洞。

內核加固

通過構建內核探針對端口掃描、反連shell、進程自我複製、監聽原始套接字等黑客在入侵產生的多種異常行為進行監控及防護，同時會對係統中的二進製文件創建、進程創建、進程外連、linuxshell操作命令等行為進行監控和防護，實現主機內核加固。

應用權限控製

從內核層實現應用權限控製，限製應用過高權限，防止提權、創建可執行文件等操作。

WAF探針

工作於IIS、Apache、Nginx等web中間件內部，基於防護規則（數字簽名）對WEB流量進行監控及過濾，具備所有硬件WAF的防護能力及功能。

RASP(runtime applicationself-protection)

RASP探針工作於ASP、PHP、Java等腳本語言解釋器內部，區別於傳統WAF基於流量規則的防護方式，RASP探針是基於腳本行為（無規則）的方式進行漏洞攻擊識別及防護，RASP探針會對WEB流量以及 文件操作及數據庫操作等行為進行監控，在腳本解析、命令執行等關鍵點上進行監控和攔截，能有效防禦SQL注入、任意命令執行、文件上傳、任意文件讀寫、Weblogic反序列化、Struts2等基於傳統簽名方式無法有效防護的未知安全漏洞，是對傳統WAF的有效補充。

李棟指出，單台主機安全不等於業務係統安全，無論核心業務的安全防禦能力有多強，在默認“內網相互信任”的前提下，隻要業務係統中存在防護薄弱的主機，一樣可以被攻擊者利用東西向移動攻破。在現行的業務體係下，無需改變架構，通過流可視化、微隔離技術即可構建主機端的零信任安全模型。

流可視化（Flow visibility）

通過監控業務係統數據流並將其可視化,幫助安全運維人員實時準確把握業務係統內部網絡信息流動情況。

流可視化的功能可以識別到：業務資產可視化；業務資產間訪問關係可視化；流量信息可視化；訪問端口可視化以及訪問數量可視化等。

微隔離（Micro-segmentation）

是主機端分布式防火牆技術，可以細粒度控製主機、主機應用間的訪問關係：

東西向流量防護

可以基於角色、標簽定義主機、主機應用間的細粒度訪問控製策略。比如在一個安全域內允許A類主機（如web服務器）去訪問B類主機（如數據庫），其他類型的主機去訪問B類主機將被禁止；或者A類主機的web應用可以去訪問B類主機的數據庫應用，A類主機的其他應用訪問B類主機的數據庫應用將被禁止。

南北向流量防護

解決主機非法外連問題，可以定義主機允許訪問的特定的IP段、域名，不在規則外的訪問將被禁止。

【軟件簡介】

雲鎖是領先的主機安全解決方案（cwpp雲工作負載保護平台），支持windows/linux服務器跨平台實時、批量、遠程安全管理。雲鎖會7*24小時無間斷守護業務係統，持續對企業業務係統進行學習並識別業務的風險點，通過防禦模塊減少風險麵，在檢測到未知威脅和業務資產變更時，能自動調整安全策略,幫助用戶有效抵禦CC攻擊、SQL注入、XSS跨站攻擊、溢出攻擊、暴力破解、提權等黑客攻擊，及病毒、木馬、後門等惡意代碼。發生安全事件後，雲鎖能自動回溯攻擊過程，並形成事件分析報告，為企業提供入侵取證及攻擊源分析的能力。進而形成“業務資產管理 - 風險識別 - 安全防禦 - 威脅感知 - 攻擊事件回溯”的一體化安全防禦體係。