初探主机安全 企业用户应该怎样选用主机安全产品?

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2020-11-26
随着云计算、AI、物联网、5G等新技术进入高速发展阶段,新技术也不断推进着企业数字化进程的加速,前所未有的安全威胁和更多未知的安全风险也与之而来,勒索病毒、0day漏洞、僵尸木马、恶意攻击扑面而来,网络攻击手段越来越多,无处不存在漏洞,无处不是攻击入口。万物互联使得虚拟世界与物理世界之间的边界正在逐渐打通,一次通过基础物联网设备发起的攻击将直接触达系统的核心。



对企业而言,主机既是承载公司业务及内部运转的底层平台,也是承载企业数据和服务的核心,其稳定、安全地运行是公司正常运转的前提保障,如何解决其安全隐患尤为关键。

密歇根大学的一项研究表明,一台有开放端口或漏洞的主机连网后,在23分钟内就会被攻击者扫描,在56分钟内开始被漏洞探测,第一次被彻底入侵平均时间是19小时。软件缺陷、配置错误、代码Bug等等,这些问题都会导致系统存在风险。但是不论风险来源于哪,它们都不会自行消失。

国家互联网应急中心(CNCERT)发布《2020 年上半年我国互联网网络安全监测数据分析报告》也指出,我国境内感染计算机恶意程序的主机数量约 304 万台,同比增长 25.7%。我国约303万台主机被境外的位于境外的约 2.5 万个计算机恶意程序控制。2020年上半年,CNVD处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.5万起。



主机安全主要的风险来源——漏洞

众所周知,软件是构成数字世界的基础,但是软件都是人为编写的,与一切皆可编程相对应的是,一切软件都存在漏洞。平均每千行代码就有4-6个安全缺陷,漏洞是网络安全的命门。

但是,当前有相当多的企业存在明知有高危漏洞但是却没有修复的情况,究其原因,一方面,企业系统复杂且庞大,肆意修复漏洞很有可能带来系统的不稳定或未知的风险,另一方面,企业的IT人员可能对漏洞预警信息未能提高重视程度。

事实上,利用漏洞入侵是攻击者最喜欢使用的攻击手段之一。

一个高危漏洞被披露后,一天之内就会流露出漏洞相关的漏洞代码和安全企业对该漏洞的详细成因说明,而恶意攻击者也能在极短时间内获取到开源攻击代码,对该漏洞进行扫描后轻易就可发现暴露在公网中的设备。攻击者使用漏洞利用代码,短时间内就能够获得服务器较高的权限,甚至是完全的控制权。

一旦攻击者成功入侵服务器,发生数据泄露、恶意木马、勒索病毒等等安全事故必定接踵而来。

随着不断研究和发展新的信息安全机制和工程实践,网络攻击手段不断变种,更加智能化,攻击目标直指互联网基础协议和操作系统层次。对工作负载的控制到内核级入侵,蠕虫、后门、rootkits、DoS、sniffe等攻击手法不断升级翻新, 泛主机安全的防范能力不断面临着新的挑战。

在腾讯安全、青藤云安全与中国产业互联网发展联盟共同发布《2019中国主机安全服务报告》中提到,近年来,主机软件漏洞已成为重大信息安全事件的主要原因之一。其中老旧漏洞尤为严重,在2019年影响范围最大的TOP10漏洞中老旧漏洞占比高达70%。


2019年影响主机TOP10的漏洞为历史漏洞

调研还发现,有大量的企业web服务器等互联网空间资产开放了22、1900、3389等高危端口,调研的企业样本中,甚至有高达45.77%的企业用户都存在未修复的高危漏洞,存在极高的安全隐患。

因此,主机安全作为企业安全最后的防线,选择好一款适合的主机安全产品,将极大的提升发现和抵御黑客入侵风险的能力。

企业用户应该如何选用主机安全产品?

随着多云、云原生等新型架构的出现,安全的外在环境在不断进化,衍生出来的安全需求在不断升级,主机安全产品也早已从基础的被动防御向主机全生命周期、全流程的主动防护方向持续进化。一款主机安全产品是否拥有持续的检测能力、应急响应能力、多云架构下的适配能力,以及满足合规的能力,这一系列标准已经成为企业用户选用主机安全产品时需要评估的重要参考指标。

腾讯安全主机安全产品负责人谢奕智认为,企业选择主机安全服务需要同时考虑企业云上业务规模和业务敏感情况。如果企业在云端的业务规模较大,或者是业务类型更加敏感,相应的就应该选择成熟度更高的主机安全产品,来提升主机安全的防御等级,同时对云上资产进行精细管理。相反,如果云上业务的重要性不高,业务规模不大,则可以根据企业的实际需求情况去筛选相应产品,也可以选择安装一些开源的主机安全产品来进行安全防护。

另外,选用安全产品时还需要考虑解决轻量化的问题,采用轻量化Agent探针技术的主机安全产品能够极大程度上减少对CPU和内存的占用量,同时轻量化Agent探针能够在不同的云环境中轻松安装部署,在几乎不影响业务系统稳定的前提条件下保护主机安全。

目前在国内有多家厂商都已经打造了优秀的主机安全产品和解决方案,其中,自研轻量化Agent探针技术的腾讯云T-Sec主机安全产品与青藤万相·主机自适应安全平台都已经成为主机安全领域中的佼佼者。

腾讯T-Sec主机安全产品
腾讯安全的漏洞发现能力一直以来饱受用户信赖,其T-Sec主机安全产品在漏洞发现和风险监测方面也已遥遥领先,在主机安全市场形成了明显的优势。

基于庞大的威胁情报数据源,腾讯T-Sec主机安全产品能够实时感知黑客攻击行为,利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,为用户实现一站式全网威胁情报预警、漏洞快速响应、低资源占用和资产管理智能化,构建集“制定主机安全计划、底层操作系统安全、主机运行软件安全、持续主机运维”于一体的全方位防护体系。

T-Sec主机安全产品已经形成了一套成熟的漏洞检测与响应体系,在高危漏洞披露的第一时间即可检测发现并将其修复,其后端集成了腾讯电脑管家新一代 TAV 反病毒引擎及哈勃分析系统,和基于机器学习的WebShell 检测引擎,能够极速响应未知风险,有效对抗加密变形类恶意脚本。腾讯主机安全服务采用“云+端”防护架构,自研轻量客户端,不但安全可靠,还能达到低资源消耗的效果。T-Sec主机安全产品绝大部分计算和防护都在云端进行,安全策略云端自动更新,无需人工维护各种安全检测脚本文件,让用户更方便更省心。

目前腾讯的主机安全服务已经覆盖了金融、互联网、政府、新零售、传统企业等多个领域的一万余家企业,装机服务器超过200万台并建立了百亿级的样本库,能够为各行各业的企业客户提供强有力的技术支持。

青藤万相·主机自适应安全平台
青藤万相主机自适应安全平台以轻量级Agent主机探针、Engine安全引擎和Console控制中心为核心,主打以资产清点、入侵检测、风险发现、合规基线和病毒查杀五大核心功能。能够以极细粒度的清点方式将资产信息逐层分解,进行格式化的梳理后汇总到资产清点的数据库中,以便及时对安全风险进行排查。

基于细粒度的资产清点,再结合非常丰富和完整的漏洞补丁等数据库,青藤万相·主机自适应安全平台可以自动化点关联匹配资产和风险,极大的提高安全扫描效率。

此外,青藤万相·主机自适应安全平台的轻量级Agent探针能够做到自动适配各种物理机、虚拟机和云环境,正常的系统负载情况下,CPU和内存占用消耗极低。在系统负载过高时,Agent主机探针还能够主动降级运行,严格限制对系统资源的占用,真正在技术角度实现让企业稳定而安全。

主机安全作为企业安全最后一道防线,传统的防御方式和阻断策略已经难以抵御不可预知的黑客攻击手段。面对不断升级的网络安全威胁和复杂的网络安全形势,各家企业仍然需要持续探索更广泛更前瞻的发展方向。

参考:《2019中国主机安全服务报告》发布,透析三大趋势破解七大风险
https://xw.qq.com/cmsid/20200410A0QSZQ00
《2019中国主机安全服务报告》链接:http://pc1.gtimg.com/guanjia/files/report.cwp.2019.pdf