近日，騰訊安全與騰訊標(biāo)準(zhǔn)聯(lián)合中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟（IDAC）、青藤云安全等生態(tài)伙伴共同發(fā)布《2019中國主機安全服務(wù)報告》（以下簡稱“報告”）。報告由騰訊基礎(chǔ)安全主機團隊與青藤云安全團隊聯(lián)合主筆，站在宏觀角度對2019年主機安全行業(yè)現(xiàn)狀和未來發(fā)展趨勢進(jìn)行了研究與解讀。《報告》詳細(xì)闡述了目前主機領(lǐng)域的資產(chǎn)安全問題與主要風(fēng)險場景，系統(tǒng)地梳理在市場需求側(cè)主機安全的產(chǎn)品類型和相關(guān)技術(shù)分析，同時也為企業(yè)在等保2.0、云環(huán)境下主機安全的合規(guī)標(biāo)準(zhǔn)判定以及全周期防護(hù)實踐提供了指導(dǎo)建議。

《報告》指出，在5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)高速發(fā)展過程中，信息安全邊界正在逐步擴大、與黑產(chǎn)的攻防對抗愈演愈烈，以數(shù)據(jù)為載體的企業(yè)數(shù)字資產(chǎn)面臨極大威脅，主機作為企業(yè)數(shù)字資產(chǎn)最后也是最重要的一道門，其安全不容忽視。目前，主機安全正隨著市場環(huán)境變化向檢測響應(yīng)、隔離控制、行為檢測的方向轉(zhuǎn)型；未來，主動檢測、快速響應(yīng)、安全適配會成為主機安全防護(hù)方式的進(jìn)化趨勢。

主機安全風(fēng)險研究：漏洞和病毒成為黑客的突破口

主機作為承載公司業(yè)務(wù)及內(nèi)部運轉(zhuǎn)的底層平臺，既可以為內(nèi)部和外部用戶提供各種服務(wù)，也可以用來存儲或者處理組織機構(gòu)的敏感信息，所承載的數(shù)據(jù)和服務(wù)價值使其成為備受黑客青睞的攻擊對象。隨著產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展和新技術(shù)的廣泛應(yīng)用，傳統(tǒng)安全邊界逐漸消失，網(wǎng)絡(luò)環(huán)境中的主機資產(chǎn)盲點成倍增加，黑客入侵、數(shù)據(jù)泄露、惡意軟件感染以及不合規(guī)的風(fēng)險也在隨之攀升。

通過大量的企業(yè)級主機核心資產(chǎn)樣本分析，《報告》從主機資產(chǎn)、主機風(fēng)險、主機入侵分析、主機合規(guī)分析四個方面對整個2019年主機安全情況進(jìn)行了系統(tǒng)的掃描診斷。其中指出，由配置錯誤、代碼問題、軟件缺陷等原因引發(fā)的漏洞問題，已經(jīng)成為大規(guī)模網(wǎng)絡(luò)與信息安全事件和重大信息泄露事件的主要原因之一；尤其是針對老舊資產(chǎn)，補丁修復(fù)嚴(yán)重不足，因此這些漏洞成為了黑客入侵的突破口。

除了漏洞風(fēng)險以外，高危端口的開放、軟件的弱密碼、不合規(guī)配置的高危賬號和各種病毒也是嚴(yán)重威脅主機安全的諸多因素。值得一提的是，風(fēng)險軟件和后門遠(yuǎn)控類木馬在染毒事件中分別占比40%和20%，因上網(wǎng)不良習(xí)慣及缺乏安全意識造成的風(fēng)險軟件對教育行業(yè)影響較大，具有較高隱蔽性、能接受遠(yuǎn)程指令的后門遠(yuǎn)控木馬則對金融科技等信息敏感行業(yè)造成嚴(yán)重危害。

綜上所述，安全運維人員需要通過滿足合規(guī)標(biāo)準(zhǔn)的主機安全防護(hù)產(chǎn)品和風(fēng)險評估工具，對安全補丁、漏洞、弱密碼、應(yīng)用風(fēng)險、賬號風(fēng)險等進(jìn)行檢測、移除和控制，以減少黑客的攻擊面。

主機安全產(chǎn)品掃描：核心能力逐步遷移 構(gòu)建完整產(chǎn)品體系

進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng)時代，一方面，企業(yè)被動防御和阻止模式的防護(hù)體系已無法完全抵御高速演進(jìn)的黑客攻擊手段和復(fù)雜多變的主機安全風(fēng)險，另一方面，產(chǎn)業(yè)生態(tài)系統(tǒng)任何一個價值鏈被攻破都有可能引發(fā)整個生態(tài)系統(tǒng)的連鎖損失，而主機作為企業(yè)的底層平臺幾乎全程抗壓——為實現(xiàn)有效防護(hù)，隨著外在環(huán)境的不斷進(jìn)化，主機安全產(chǎn)品也在持續(xù)地更新迭代，逐漸形成了一套體系健全、有針對性的產(chǎn)品矩陣。

按防護(hù)策略和安全技術(shù)的從低到高，主機安全的產(chǎn)品核心能力出現(xiàn)了四次遷移?！秷蟾妗访枥L了從一開始僅具備資產(chǎn)探測和殺毒軟件的基礎(chǔ)型主機安全產(chǎn)品，到以應(yīng)用為核心、以檢測響應(yīng)為核心、以主動防御為核心、最后滿足新形態(tài)下的精細(xì)化主機安全產(chǎn)品，主機安全產(chǎn)品正從基礎(chǔ)的被動防御向全生命周期、全流程的主動防護(hù)方向進(jìn)化。

未來，隨著產(chǎn)品成熟度不斷提高，以“檢測能力、響應(yīng)能力、架構(gòu)適配能力、滿足合規(guī)要求能力”為核心的四大主機產(chǎn)品能力將成為用戶進(jìn)行產(chǎn)品選型的核心參考指標(biāo)和產(chǎn)品發(fā)展的關(guān)鍵方向。

主機安全技術(shù)：持續(xù)檢測、快速響應(yīng)、全面適配

5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)共同構(gòu)架的“新基建”正在以蓬勃之勢發(fā)展，以容器、微服務(wù)、Serverless為代表的云原生技術(shù)使得企業(yè) IT 架構(gòu)發(fā)生了巨大變化，這給各行各業(yè)數(shù)字化轉(zhuǎn)型帶來前所未有的機遇和挑戰(zhàn)，產(chǎn)業(yè)安全進(jìn)入了“無人區(qū)”。面對不可預(yù)知的未來，主機安全需要像自適應(yīng)安全架構(gòu)那樣繼續(xù)朝著“持續(xù)增強的檢測、響應(yīng)以及架構(gòu)適配”方向前進(jìn)。

1.持續(xù)檢測是基礎(chǔ)。研究表明，網(wǎng)絡(luò)攻擊者平均在99天內(nèi)不會被發(fā)現(xiàn)，超過53%的受害者是在外部通知后才知道被攻擊的。與攻擊駐留時間相對應(yīng)的是防御發(fā)現(xiàn)時間，防守者平均需要170天才能檢測到一個高級威脅。過去，由于檢測技術(shù)單一、缺乏持續(xù)檢測、無法聯(lián)合行動等種種原因，很多企業(yè)即使構(gòu)筑了一定的安全防御體系依然無法及時發(fā)現(xiàn)或有效阻止威脅?！秷蟾妗芬訟TT&CK框架為例，分析攻擊者在攻擊主機時經(jīng)常采用的一些套路和建議應(yīng)對措施。

2.快速響應(yīng)是動力。強調(diào)入侵后的快速響應(yīng)能力，在當(dāng)前日趨激烈的安全攻防對抗中顯得尤為關(guān)鍵。企業(yè)組織要在已遭受攻擊的假定前提下，構(gòu)建集防御、檢測、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。例如遭遇惡意挖礦、內(nèi)網(wǎng)入侵、勒索病毒、網(wǎng)頁掛馬等事件，快速響應(yīng)作為安全的“吹哨者”能幫助企業(yè)在第一時間展開防御能力的釋放、最大程度降低損失。建立完善的響應(yīng)流程，包括查詢、排序、可視化、獲取、分析、工作流七大階段的工作。

3.全面適配是未來。隨著云計算市場快速發(fā)展，多云、云原生等新型架構(gòu)的出現(xiàn)讓主機安全直面新挑戰(zhàn)——各大云服務(wù)商、安全廠商、企業(yè)組織都在積極轉(zhuǎn)型應(yīng)對，這就導(dǎo)致原有的主機安全產(chǎn)品勢必也要適配這些新的架構(gòu)。《報告》遴選并深入解讀了云原生的安全運營中心、容器安全解決方案和云工作負(fù)載的保護(hù)三個方面對新型架構(gòu)下的主機安全的適配能力。

主機安全駛?cè)霕?biāo)準(zhǔn)軌道 四步加速安全防護(hù)實踐落地

近年來為加速建設(shè)數(shù)字中國，互聯(lián)網(wǎng)管理和建設(shè)正日趨完善?！秷蟾妗诽岬?，新型基礎(chǔ)設(shè)施的應(yīng)用將帶來大量的工作和生活形式甚至個人身份信息化的變化，云計算、物聯(lián)網(wǎng)、人工智能、5G通信設(shè)施等新技術(shù)對于主機如何保障應(yīng)用安全、數(shù)據(jù)安全、個人信息保護(hù)帶來了更高層面的安全挑戰(zhàn)。“道路千萬條，安全第一條”，各項互聯(lián)網(wǎng)法律法規(guī)的制定實施構(gòu)筑了一條標(biāo)準(zhǔn)軌道，保障企業(yè)駛?cè)氚踩煽氐牡缆?，加快?shù)字化轉(zhuǎn)型進(jìn)程。等保2.0、云等保合規(guī)、建設(shè)“新基建”趨勢下的新型主機安全標(biāo)準(zhǔn)等相關(guān)政策法規(guī)的出臺，為主機安全防護(hù)設(shè)定了基準(zhǔn)線，以適應(yīng)現(xiàn)階段網(wǎng)絡(luò)安全的新形勢、新變化以及新技術(shù)、新應(yīng)用發(fā)展的要求。

《報告》還對主機安全的防護(hù)實踐提出了運營建議?！秷蟾妗窂闹鳈C安全的不同層面出發(fā)，強調(diào)企業(yè)應(yīng)針對制定主機安全計劃、底層操作系統(tǒng)安全、主機運行軟件安全、持續(xù)主機運維這四步有條不紊地推進(jìn)，構(gòu)建全方位防護(hù)體系，加速主機安全的落地實踐。相關(guān)示例的實踐最佳方法對于各企業(yè)的主機安全防護(hù)具有一定的指導(dǎo)和借鑒作用。

產(chǎn)業(yè)互聯(lián)網(wǎng)時代，5G、AI、云計算等新一代信息技術(shù)與應(yīng)用不斷深化，加速了各行業(yè)數(shù)字化和產(chǎn)業(yè)升級的進(jìn)程。安全關(guān)乎企業(yè)的生產(chǎn)和發(fā)展。面對復(fù)雜的網(wǎng)絡(luò)安全形勢，主機安全作為企業(yè)安全最后也是最重要的一道門，需要通過持續(xù)的產(chǎn)品優(yōu)化和技術(shù)完善來建立全面適配、全生命周期防護(hù)的安全體系。騰訊安全將繼續(xù)依托自身深入產(chǎn)業(yè)互聯(lián)網(wǎng)實踐所積累的技術(shù)、人才與生態(tài)優(yōu)勢進(jìn)行能力釋放，并聯(lián)合生態(tài)伙伴在更多的領(lǐng)域探索，提供出更多的主機安全能力應(yīng)用和技術(shù)建設(shè)標(biāo)準(zhǔn)，為新型基礎(chǔ)設(shè)施建設(shè)貢獻(xiàn)騰訊智慧“科技向善”。

責(zé)任編輯：gt