作为一家基于数据驱动和自我学习能力实现对汽车智慧场景探索的全新用户型汽车科创公司,智己汽车正朝着“车云一体”全面迈进。此时,云上安全已成为智己汽车的重要基石。
面对多云复杂的业务架构及不同的安全产品能力,智己汽车安全架构落实的基本目标就是将本地及多云上的安全产品能力进行集成整合,从而实现本地—多云平台的统一安全运营。
结合微步云版TDP,智己汽车有效实现了流量侧威胁精准检测,为自动化、协作化提供了强有力的支撑。
随着智己汽车的创新业务拓展,尤其是5月13日正式上市的智己L6,全系标配了多款“黑科技”,包括灵蜥数字底盘、智慧四轮转向系统、超远距高精度激光雷达、ISC智慧灯语系统等,整体车云对芯片及算力的需求越来越大,基于以上业务大背景下,智己汽车在业务驱动下全面上云。
正如鸡蛋不会放在同一个篮子里一样,云上业务也不会全在同一个云平台上。不同的云平台其架构、特点、优势不尽相同,导致车云上云的业务架构日趋复杂,衍生出了多种不同的业务架构。
基于多公有云基础架构的模式,智己汽车的云上安全在合规及实战场景下遇到许多挑战,如业务边界较模糊,业务流交互较复杂,大量基于k8s/容器等新技术构建的云服务,成为攻击者最青睐的攻击对象。
三道防线的纵深防御架构
为了全面消除云上安全盲区,智己汽车一阶段安全建设的主要目标为整合多云、混云安全能力,建设平台化的安全运营体系。
在长期的云安全建设过程中,智己汽车部署了大量的安全工具,如云防火墙、抗DDoS、NDR、SOAR等,为了将这些安全工具进行相应区域的划分及对应能力的整合,安全防御中心划分了三道防线的纵深防御架构,其中第一道负责网络边界,第二道负责内部流量监控,第三道负责业务实体安全,如下图所示:
尽管理想情况下,所有攻击应当被第一道防线阻挡于网络边界之外。但在实际攻防过程中,第一道防线很容易被击穿。比如针对云主机AK/SK的窃取,攻击者能够冒用合法用户身份,接管云主机控制权限;再比如0day漏洞的利用,可以轻松躲避边界设备的检测。
一旦网络攻击可以直达业务实体,将给业务乃至用户带来不可估量的损失。为了尽可能提前发现穿透边界的网络攻击,第二道防线将起到至关重要的作用。
其一,该阶段前渗透和后渗透的技战法尤其多,是实现杀伤链攻击手法全覆盖的重要环节;
其二,在威胁到达业务实体前提前发现风险,能够减少应急响应的资源投入,提高溯源研判的效能;
其三,在越来越高频实战攻防场景下,流量侧可以实现对前期扫描探测有感知、主机横移能定位、容器失陷能发现,有助于从边界-VPC-VPC内部全链路实现威胁可定位、风险可量化;
其四,相对而言,基于流量有机会与云厂商的架构进行解耦,从而实现多云环境下的统一安全运营。
深度适配,三难迎刃而解
由于不同云平台主机实体在底层弹性计算与网卡虚拟逻辑上有较大差异,想要实现全流量统一监控,需要安全工具具备较强兼容性,适应多云环境下不同流量引流方式及不同类型的主机实体埋点,并进行无缝解耦。
其难点具体表现在以下三个方面。
1. 引流难:在云原生环境下,传统交换机引流方式不再适用,与此同时,不同厂商、不同规格的云主机支持的原生引流方式各不相同,且往往需要用户为引流流量单独付费;
2. 整合难:多云下的ECS实体规格在主动埋点侧涉及的网卡数据包与数据帧的封装原理不同,对于性能和兼容性提出了较高的要求;
3. 运营难:云厂商流量解决方案各自为战,底层能力和告警逻辑五花八门,很大程度上限制了威胁研判、调查和响应的效率。
经过对多款商业以及开源解决方案的比对以及严格生产环境性能实测,绝大多数产品在兼容性和检测能力上存在缺陷。相较之下,微步云NDR产品——云版TDP已完成阿里云、腾讯云、华为云、天翼云、火山引擎、AWS等国内外主流云平台的适配,能够完美兼容智己汽车多云平台下的微服务中台架构,在2C4G主机实体上性能占用情况良好,自监控、自熔断、自启动、自保护相关机制保障了极端情况下主机实体的稳定性、可用性及完整性。
在检测能力方面,微步云版TDP能够基于规则引擎、模型能力、AI引擎等多种检测技术,同时结合云端实时更新的威胁情报和检测规则对全流量进行威胁分析,在实测过程中告警准确率显著高于其他同类产品。
基于此,智己汽车与微步在云上第二道防线流量侧进行了深度合作,通过原生NFV+NDR埋点形式对智己汽车业务域内多个云平台进行了深度覆盖,全面消除了南北、东西向的流量监控盲点,基本解决了云上安全引流难、整合难和运营难的三大难题。
全面赋能,精准检测
在完成一阶段安全建设目标后,智己汽车安全运营第二阶段的两个重点目标为依托安全运营中心,集成建设安全防御中心、安全服务中心、安全情报中心,构建一体化安全运营协同响应闭环能力,依托四个中心能力,将已有安全能力进行契合业务的流程化编排,将孤立的安全能力组合成自主、可控、标准、固化的响应流程,深化安全运营的闭环落地,完善自动编排响应能力。
有一个重要的前提是,检测必须精准,否则一旦产生误报或者漏报,无论是后续的自动化封禁、多平台协作还是能力编排,都将产生一系列的错误。对于智己汽车而言,精准、明确、有效的安全告警结论,等于结果导向的自动编排运营模式的底气和信心。
微步云版TDP的检测充分结合了定量分析+定性分析+威胁情报+AI聚合,可以有效降低告警噪声,同时将零散告警关联为事件,迅速定位高风险事件。漏报率小于3.5%,误报率小于0.003%。
经过智己汽车的验证,包括常规的挖矿家族,勒索病毒Lockbit家族,Chrome rce,crossc2,cobaltstrike beacon,geacon,stowaway等主流常规的c2家族等,其中还包括go字符集混淆变异的beacon文件和自定义的C2,微步云版TDP均能有效发现。
除常规意义的威胁发现之外,微步云版TDP在升级后上线了一项新功能——AK/SK泄露检测,引起了智己汽车的重点关注。该功能可有效发现预期之外的AK/SK传输,降低AK/SK泄露风险,给予防守侧提前干预的机会,从而有效降低应急响应及溯源反制的成本。
小结
目前,智己汽车仍在关注云版TDP的能力更新,包括敏感信息梳理识别及公网暴露面管理等,希望在合规建设以及实战攻防中起到重要作用。
总体来看,基于微步云版TDP,智己汽车在云上第二道防线构筑了精准的全流量检测能力,切实解决了多云和混合云架构下的引流难、跨云安全能力整合难和高效运营难的三大难题,能够给更多企业在解决多云和混合云架构环境下的安全问题时,提供一定的借鉴。