主機安全能力建設指南

2022年6月10日，信通院舉辦的“安全運營發展論壇”上，青藤與信通院聯合發布了國內首個《主機安全能力建設指南》。會上，青藤COO程度對該指南進行了詳細解讀。指南對主機安全能力發展態勢和關鍵技術要求進行分析，梳理了重點行業主機安全能力建設時的需求優先權和關鍵點，進一步明確了主機安全建設流程和評估要素，以幫助企業選擇滿足其需求的產品，構建高效的主機安全能力體系。

一、主機安全關鍵能力分析

　　隨著攻擊手段不斷演進，主機安全防護技術也在持續更新疊代，衍生出一系列不同細分類別的主機安全產品，其安全能力按照成熟度以及可匹配的用戶需求，可劃分為三個級別：基礎級、增強級和先進級。

　圖1：不同等級的主機安全能力

　　1、基礎級：四大能力

建設基礎級主機安全能力的主要企業，主機數量一般少於1000台，安全團隊人數在1-5人之間，每年的主機安全預算在20萬—100萬元之間。這一類企業需要用有限的預算去建設最基礎、最重要的安全能力，以解決大部分安全問題，主要包括資產清點、風險發現、入侵檢測、合規基線等。

　　圖2：基礎級主機安全能力

　　資產清點：你保護不了你看不到的資產。所有威脅和脆弱性的運營都需要依賴資產展開。為進一步提高大規模集群主機的管理效率，需提高自動化程度，減少人工介入。

　　圖3：資產清點的項目及使用場景價值

　　風險發現：風險發現能力可以讓安全管理人員在攻擊入侵發生前進行系統加固，減少風險點存在。

　　圖4：風險發現的使用場景價值

　　入侵檢測：主機入侵檢測是指識別主機中發生的入侵事件並分析其入侵跡象的能力，幫助安全人員監控和分析入侵過程，主要包括兩種方法：誤用檢測系統(基於知識的檢測)和異常檢測系統(基於行為的檢測)。

　　圖5：攻擊者入侵路徑與入侵檢測價值

　　合規基線：合規是企業安全防護的基本準則。企業若基線管理和系統加固存在不足，在突發安全事件時難以進行快速回響和事態控制。

　　圖6：合規基線的三大難題與解決方案

　　2、增強級：四大能力

　　建設增強級主機安全能力的主要企業，主機數量一般在1000台—6000台之間，安全團隊在5—10人之間，每年的主機安全預算在100萬—5000萬元之間。這一類企業業務更為複雜，容易受到高級攻擊，因此在基礎級安全能力外，還需要具備病毒查殺、檔案完整性監控與控制、記憶體馬檢測、主機型蜜罐等增強級的安全能力。

　　圖7：增強級主機安全能力

　　病毒查殺：病毒查殺承擔主機入口的安保角色，防止惡意程式進入。一方面，提前檢測和預防病毒比事後修復耗費更少的時間和財力;另一方面，從商業角度看，病毒可能導致客戶個人數據泄露或通過釣魚郵件傳播擴散，導致的企業聲譽損失難以彌補。

　　圖8：病毒查殺的流程

　　檔案完整性：檔案完整性能力對於確保企業信息系統的安全性以及合規性至關重要，可以幫助企業監控關鍵的系統檔案、目錄等，以便檢測任何未經授權的更改。

　　圖9：檔案完整性的基礎要求

　　記憶體馬檢測：為提升行為隱秘性和繞過套用規則檢測的可能性，基於宏和腳本等的無檔案攻擊能夠實現上述目標，成為趨勢，而記憶體馬攻擊則為無檔案攻擊的一種常見攻擊類型，最常見的兩種手段是記憶體Webshell和記憶體惡意代碼，相應檢測能力十分必要。

　　圖10：記憶體馬檢測的能力要求

　　主機型蜜罐：主機型蜜罐通過布置誘餌主機、網路服務或者檔案，誘使攻擊方對誘餌進行攻擊，從而對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機。

　　圖11：主機型蜜罐的使用場景價值

　　3、先進級：三大能力

　　建設先進級主機安全能力的主要企業，主機數量一般在6000台以上，安全團隊在10人以上，每年的主機安全預算在500萬元以上。此類企業業務價值高，業務關係複雜，對攻擊者極具吸引力，易受到來自敵對組織、擁有豐富資源的威脅組織發起的惡意攻擊。為此，企業需具備更先進的主機安全能力，包括供應鏈安全、微隔離和威脅狩獵。

　　圖12：先進級主機安全能力

　　供應鏈安全：當企業網路安全能力較強時，攻擊者往往將注意力轉移至供應商，供應商正在成為供應鏈上最薄弱的環節，加強供應鏈安全能力成為企業的必然選擇。

　　圖13：供應鏈安全的治理方式

　　微隔離：企業數位化轉型，業務上雲導致傳統邊界消失。而傳統防火牆只對南北向流量有效，東西向無法管控。攻擊一旦穿透邊界，區域網路之間的訪問缺少授信機制。微隔離架構能夠對東西向流量提供防護，契合行業發展需求。

　　圖14：微隔離的四大要求

　　威脅狩獵：威脅狩獵是一種主動的、假設驅動的威脅發現活動，可幫助企業尋找被動監控功能中沒有涵蓋的控制項、活動或攻擊者TTP。

　　圖15：威脅狩獵流程

　　二、重點行業主機安全能力需求分析

　　在企業實際運營中，不同行業進行安全建設的驅動因素有所不同，且業務關係面臨的風險程度存在差異，綜合建設成本、人才技術基礎等因素，企業對各主機安全能力建設的優先權也不盡相同，應在人力、財力有限的條件下，優先完成最迫切需要的、與業務安全要求最匹配的能力建設。下圖展示了不同行業對各主機安全能力的需求優先權。

　　圖16：不同行業對主機安全能力的需求優先權

　　三、主機安全建設流程

　　企業基於主機安全平台構建主機安全能力時，存在兩方面問題，一是主機安全產品作為相對較新的產品類別，尤其是基於Agent模式的產品形態，許多企業對其還不夠熟悉，需要一定時間才能充分利用這些系統;二是企業存在自身獨特需求，單個企業中的不同部門也可能存在自己的特殊需求，比如安全部門和運維部門，需要將需求劃分為不同的優先權。因此，企業在進行主機安全能力建設時，既需要結合行業和企業需求，明確平台需具備的主機安全能力，同時也需要綜合考慮平台總體性能。在評估主機安全平台的能力時，主要包括以下幾個方面：

　　圖17：主機安全平台能力的評估要素

　　除此之外，企業在構建主機安全能力，需要外采主機安全產品時，還需要考慮到資質評估、成本評估和契約簽訂等考因素。

　　四、總結

　　在整個安全防護體系中，主機上承載著企業的核心業務與數據，是攻擊者最青睞的攻擊對象，也是攻擊者最後的活動陣地。守衛安全最後一公里，主機安全成為關鍵。但在主機安全建設方面，不同行業、不同發展階段的企業所需要的安全能力側重點有所不同。一方面，企業要結合行業和企業需求，明確平台需具備的主機安全能力，另一方面也需要綜合考慮平台總體性能，並綜合考慮資質評估、成本評估、契約簽訂等多個因素。《主機安全能力建設指南》通過分析發展態勢和關鍵技術要求，梳理重點行業主機安全能力建設時的需求優先權和關鍵點，明確了主機安全建設流程和評估要素，可以幫助企業選擇滿足其需求的產品，構建高效的主機安全能力體系。