牧云(Cloudwalker)是长亭科技历经数年自主研发的主机安全管理平台,集资产管理、入侵检测、风险感知三大维度20余项防护功能于一体,形成具有精准预测、 实时监测、快速检测、多维分析、自动响应的安全管理体系,帮助企业全方位掌握服务器安全态势。
通过探针全面采集服务器内部的各项资产信息,以服务器资产为中心,有效识别进程、账号、端口、软件、网站、容器等资产存在的漏洞、弱口令、权限异常、配置不当等安全风险,及时提供安全预警信息,并通过风险闭环管理辅助用户对相关安全 风险进行修复整改。在实时风险发现的同时,也会对操作系统展开全面监控,多算法交叉使用对系统行为进行深度检测,有效定位服务器中实时的入侵事件,持续隔离与阻断恶意行为。
产品优势
开启全局视角,细粒度掌控资产信息
- 悉数发现主机、虚拟机、容器在内的多种资产
- 细化梳理现网资产,建立合规的主机资产信息库
- 高度扩展能力,建立清晰详尽的资产图谱,满足多种资产管理场景
安全风险前置,准确评估脆弱性
- 洞悉现网资产脆弱性,支持检测分析主机资产的漏洞、配置错误、弱口令等问题
- 指纹识别+POC验证交叉漏洞验证,自动关联官方补丁,提升漏洞修复效率
- 2000+合规基线检查项,主动触发合规基线检测任务,满足监管合规需求
有效感知入侵威胁,实时响应安全事件
- 多引擎交叉验证,针对性检测入侵威胁,形成检测、响应、处置的安全闭环
- 1秒检测反弹Shell,10秒检测WebShell,准确识别木马文件、恶意命令等入侵行为
- 集成阿里云威胁情报能力,深度感知系统隐藏威胁,发现网络环境中的安全风险
轻量级探针部署,云端管理精细运营
- Agent自定义CPU限制阈值,CPU占用率<2%,内存占用<80MB
- 无需Root权限即时运行探针,安全管理轻负担
- 管理端灵活策略调度,多维分析视图呈现,周密管理覆盖
容器全生命周期管理,持续监测与响应
- 实时发现容器内WebShell、反弹shell、恶意命令等多种安全威胁
- 多维呈现容器ID、容器状态、镜像名、镜像大小、Tag等资产信息
- 无需单独部署,即可通过宿主机探针进程监测容器安全
多场景安全保障,感知系统安全风险
- 支持服务器、虚拟机部署,满足IDC机房、私有云、混合云、容器等多环境
- 适配Linux,Windows操作系统,不间断稳定运行
产品特点
探针
- 非Root权限运行:探针以非Root权限运行,基于Capability机制在安装 阶段对相关操作进行授权,使探针具备完整的安全监控能力,同时也确保了业务负载的稳定性和探针自身安全性不受影响。
- 支持灵活调整资源使用阈值:探针具有灵活的功能升降级能力,用户可根据业务负载情况灵活分配允许探针使 用的硬件资源,自定义探针对CPU和内存的最大使用限制,控制探针对于服务器的影响。
- 分层设计架构:采用类似操作系统的分层设计架构实现,探针内核负责与操作系统进行底层通 信,由探针应用层提供实际的安全业务能力。
管理服务
牧云(CloudWalker)管理服务采用分布式微服务架构,使用了长亭自研的分布式架构底座,支持水平扩展,可将物理机、虚拟机、云主机自由组合形成统一负载。 数据库、消息队列、检测引擎等关键服务均可采用多实例冗余部署,为平台提供强有力高可用属性。
资产管理
牧云(CloudWalker)通过在服务器上部署轻量级探针,白盒视角多维度收集并集中化管理主机各类资产,打造一张全面、详尽、清晰的资产图谱,满足多种资产管理场景需求。同时资产全面关联平台中的入侵检测、风险感知等功能模块,在安全事件发生时帮助用户快速、精准定位风险资产,获取风险信息,实现对资产的动态保护。
- 主动探测未知资产
平台提供包括ICMP协议探测、TCP协议探测以及ARP缓存分析在内的多种资产探测技术,建立资产动态监测机制,可持续发现内网中未纳入安全管理的主机,确保安全监测能力全局覆盖。
- 可视化与结构化管理
以多种视图来展示不同类型的资产信息,支持以不同的资产属性进行分组展示与数据下钻,并支持对资产信息进行快速检索、定位和统计。构建智能、完备的网络空间主机资产管理能力,能够与外部数据源同步,自动化整合和统一管理与服务器相关的全量资产信息。
- 开放性与数据兼容性
提供开放的HTTP API与标准化的资产数据,具备高度的数据扩展能力。支持数据导入导出、可与CMDB、SOC、SOAR、态势感知等平台无缝打通,满足多维度的联动分析需求。
入侵检测
近年来安全技术发展较快,网络攻击手段不断升级,越来越多的攻击者开始使用高度加密变形的Payload.面对复杂多变的攻击行为,传统安全体系缺乏对新型网络攻击技术的检测能力,体现出较大的弊端。
牧云(CloudWalker)依托于对操作系统的动态监控,通过采集进程创建、执行命令、文件变动、系统认证、监听端口、网络连接、DNS请求、系统日志等多种关键事件,对入侵行为进行持续监控。
- 反弹Shell检测
对进程变动持续监控,结合深度行为检测算法进行全面检测,及时发现目前已知的所有反弹Shell手段,包括Bash反弹、NC反弹、Python反弹、 Web脚本反弹、MSF反弹等。
检测结果包括Shell进程、反弹连接、进程树、通信关系等多种有效信息,可极大提高事件响应速度,为后续溯源追踪提供强有力的数据支持。
- WebShell 检测
通过分析服务器配置自动定位Web目录,实时对Web目录内的文件进行全面扫描,持续监控Web目录内的文件变动,从而实现对于WebShell的实时感知能力。
使用动态沙箱模拟执行、静态语义分析、静态特征匹配等多种检测算法对Web脚本深度扫描,提供详细的文件信息与检测依据,支持管理员对WebShell文件发起隔离。
- 恶意文件检测
基于主动全盘扫描与被动持续扫描双模式,实时监控系统状态。对可执行文件、动态链接库、内核模块、驱动程序等多种文件进行深度扫描。
检测方式以长亭自研的恶意文件检测引擎为核心,结合BitDefender、Avira、 ClamAV、阿里云恶意文件情报,提供五合一的恶意文件检测能力。检测范围包括但不 限于病毒、木马、黑客工具、Rootkit、挖矿程序等。
- 可疑操作检测
基于进程监控与使用安全Bash双模式驱动,通过持续监控进程创建分析进程结构与调用关系,精准定位攻击特征,实现对可疑操作的全量检测。
同时内置规则检测与智能行为检测双引擎,支持用户自定义检测规则,可检测包括发起攻击探测、清理入侵痕迹、植入后门、读取敏感信息、使用黑客工具在内的多种恶意行为。
- 本地提权检测
通过追踪进程调用关系分析进程树,实现对于逻辑提权行为的深度检测。依托分析进程及相关可执行文件的执行流程,实现对于提权漏洞利用行为的持续检测。
- 网络异常检测
依托全量审计关键网络行为、持续监控网络连接与DNS请求、深度结合大数据与威胁情报,精准有效地判定异常网络连接、隐蔽网络信道等异常网络行为。
- 蜜罐诱捕
提供高交互与低交互两种蜜罐技术方案,支持与第三方蜜罐系统联动。将攻击流量自动化牵引到联动蜜罐入口,吸引释放攻击载荷,延缓攻击过程,实现内网横向流量的深度监测。可全面记录蜜罐攻击流量,为后续的溯源分析提供有效依据。
风险感知
牧云(CloudWalker)持续监控与分析主机资产的漏洞、补丁、弱口令、合规基线等脆弱性,实时发现未知威胁及失陷主机。提供全网威胁情报与现网情报关联整合能力,帮助用户全面清晰的了解现网资产存在的安全风险。
- 漏洞管理
平台基于主机的白盒扫描机制,从主机内部深度分析运行环境、清点高危资产,同时依托智能的漏洞分析算法以及24h动态更新的漏洞库,实时精准地全面检测应急漏洞和通用型漏洞,并对检测到的漏洞执行安全闭环管理。
- 应急漏洞重点扫描
应急漏洞扫描功能提供了对于关键漏洞的高强度扫描能力。
通过对全球10年内重大安全事件的持续追踪,长亭安全团队提炼了危害等级高、 影响范围大的百余个漏洞,使用环境分析、补丁分析、版本匹配、动态验证等检测方式,为这些漏洞编写了高质量的专项检测规则,有效提升对关键漏洞检测的全面性和准确性。
为关键漏洞提供高质量的扫描结果信息与POC信息,提高企业的安全应急响应能力。
- 通用漏洞全面扫描
平台具备对全网漏洞扫描的能力。
通过长亭安全研究团队持续采集、优化全网漏洞信息,长亭漏洞库目前已积累 13w+的通用型漏洞,全面覆盖CVE、CNVD、CNNVD漏洞库,实现对服务器漏洞精准高效的持续检测。
- 漏洞库24h动态更新
漏洞扫描引擎由长亭安全研究团队负责更新维护,定期将研究成果转化为漏洞扫描引擎的更新包。重大安全漏洞事件突发时,长亭科技承诺24小时内快速响应并提供检测规则,确保用户可第一时间掌握漏洞影响范围,及时制定和执行修复计划。
长亭提供SaaS化的产品升级中心,定期发布产品最新版本更新包,支持用户根据安全需求对平台漏洞库进行在线或离线更新,第一时间获取最新漏洞的检测规则,快速锁定威胁主机,并对其进行全面评估,完成对威胁的分析和预警。
- 弱口令检测
牧云(CloudWalker)弱口令检测功能可覆盖攻防对抗场景下容易产生安全影响的数十种应用类型。支持通过主动扫描或周期性扫描的方式快速触发弱口令检测,且支持对于已经发 现的弱口令事件发起快速复测。
内置适用于国内用户的Top200常用密码库,同时支持用户根据企业特色自定义用户名或密码字典。
- 安全扫描
集阿里云与长亭多年的攻防对抗经验于一体,提供了对于常见系统风险与常见业务风险的检测能力。可发现包括账号风险、敏感文件变动、端口异常、权限异常、 Web风险、配置不当在内的多种风险信息。
- 系统补丁
平台依托持续更新的补丁库,可快速、精准地发现系统升级所需的重要补丁,帮助用户第一时间发现潜在安全隐患。补丁检测通过探针端识别系统内核、应用程序指纹,并结合指纹信息自动关联匹配官方补丁信息,以补丁视角进行事件聚合,提升漏洞修复效率。
- 合规基线
合规基线功能提供了基于国家、行业等安全规范之上的合规检测能力,帮助用户快速掌握企业内网服务器资产对于安全规范的满足情况。支持可适用于多种不同操作系统、Web服务、容器服务、数据库等应用的合规检测。