在6月10日信通院舉辦的“安全運(yùn)營發(fā)展論壇”上,青藤與信通院聯(lián)合發(fā)布了國內(nèi)首個(gè)《主機(jī)安全能力建設(shè)指南》�。會(huì)上,青藤COO程度對(duì)該指南進(jìn)行了詳細(xì)解讀����。指南對(duì)主機(jī)安全能力發(fā)展態(tài)勢(shì)和關(guān)鍵技術(shù)要求進(jìn)行分析,梳理了重點(diǎn)行業(yè)主機(jī)安全能力建設(shè)時(shí)的需求優(yōu)先級(jí)和關(guān)鍵點(diǎn)�����,進(jìn)一步明確了主機(jī)安全建設(shè)流程和評(píng)估要素,以幫助企業(yè)選擇滿足其需求的產(chǎn)品��,構(gòu)建高效的主機(jī)安全能力體系�。
(欲了解詳情,關(guān)注公眾號(hào)「青藤智庫」下載完整報(bào)告)
一��、主機(jī)安全關(guān)鍵能力分析
隨著攻擊手段不斷演進(jìn)�,主機(jī)安全防護(hù)技術(shù)也在持續(xù)更新迭代����,衍生出一系列不同細(xì)分類別的主機(jī)安全產(chǎn)品,其安全能力按照成熟度以及可匹配的用戶需求���,可劃分為三個(gè)級(jí)別:基礎(chǔ)級(jí)��、增強(qiáng)級(jí)和先進(jìn)級(jí)�。
圖1:不同等級(jí)的主機(jī)安全能力
1��、基礎(chǔ)級(jí):四大能力
建設(shè)基礎(chǔ)級(jí)主機(jī)安全能力的主要企業(yè)�����,主機(jī)數(shù)量一般少于1000臺(tái)�,安全團(tuán)隊(duì)人數(shù)在1-5人之間,每年的主機(jī)安全預(yù)算在20萬—100萬元之間。這一類企業(yè)需要用有限的預(yù)算去建設(shè)最基礎(chǔ)�����、最重要的安全能力�����,以解決大部分安全問題����,主要包括資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)�����、入侵檢測(cè)�����、合規(guī)基線等�����。
圖2:基礎(chǔ)級(jí)主機(jī)安全能力
資產(chǎn)清點(diǎn):你保護(hù)不了你看不到的資產(chǎn)��。所有威脅和脆弱性的運(yùn)營都需要依賴資產(chǎn)展開。為進(jìn)一步提高大規(guī)模集群主機(jī)的管理效率���,需提高自動(dòng)化程度�����,減少人工介入����。
圖3:資產(chǎn)清點(diǎn)的項(xiàng)目及使用場景價(jià)值
風(fēng)險(xiǎn)發(fā)現(xiàn):風(fēng)險(xiǎn)發(fā)現(xiàn)能力可以讓安全管理人員在攻擊入侵發(fā)生前進(jìn)行系統(tǒng)加固�����,減少風(fēng)險(xiǎn)點(diǎn)存在����。
圖4:風(fēng)險(xiǎn)發(fā)現(xiàn)的使用場景價(jià)值
入侵檢測(cè):主機(jī)入侵檢測(cè)是指識(shí)別主機(jī)中發(fā)生的入侵事件并分析其入侵跡象的能力��,幫助安全人員監(jiān)控和分析入侵過程�,主要包括兩種方法:誤用檢測(cè)系統(tǒng)(基于知識(shí)的檢測(cè))和異常檢測(cè)系統(tǒng)(基于行為的檢測(cè))。
圖5:攻擊者入侵路徑與入侵檢測(cè)價(jià)值
合規(guī)基線:合規(guī)是企業(yè)安全防護(hù)的基本準(zhǔn)則����。企業(yè)若基線管理和系統(tǒng)加固存在不足�,在突發(fā)安全事件時(shí)難以進(jìn)行快速響應(yīng)和事態(tài)控制。
圖6:合規(guī)基線的三大難題與解決方案
2、增強(qiáng)級(jí):四大能力
建設(shè)增強(qiáng)級(jí)主機(jī)安全能力的主要企業(yè)����,主機(jī)數(shù)量一般在1000臺(tái)—6000臺(tái)之間��,安全團(tuán)隊(duì)在5—10人之間�����,每年的主機(jī)安全預(yù)算在100萬—5000萬元之間��。這一類企業(yè)業(yè)務(wù)更為復(fù)雜��,容易受到高級(jí)攻擊��,因此在基礎(chǔ)級(jí)安全能力外����,還需要具備病毒查殺、文件完整性監(jiān)控與控制���、內(nèi)存馬檢測(cè)�����、主機(jī)型蜜罐等增強(qiáng)級(jí)的安全能力�����。
圖7:增強(qiáng)級(jí)主機(jī)安全能力
病毒查殺:病毒查殺承擔(dān)主機(jī)入口的安保角色���,防止惡意程序進(jìn)入�����。一方面��,提前檢測(cè)和預(yù)防病毒比事后修復(fù)耗費(fèi)更少的時(shí)間和財(cái)力;另一方面���,從商業(yè)角度看��,病毒可能導(dǎo)致客戶個(gè)人數(shù)據(jù)泄露或通過釣魚郵件傳播擴(kuò)散�,導(dǎo)致的企業(yè)聲譽(yù)損失難以彌補(bǔ)。
圖8:病毒查殺的流程
文件完整性:文件完整性能力對(duì)于確保企業(yè)信息系統(tǒng)的安全性以及合規(guī)性至關(guān)重要��,可以幫助企業(yè)監(jiān)控關(guān)鍵的系統(tǒng)文件���、目錄等����,以便檢測(cè)任何未經(jīng)授權(quán)的更改。
圖9:文件完整性的基礎(chǔ)要求
內(nèi)存馬檢測(cè):為提升行為隱秘性和繞過應(yīng)用規(guī)則檢測(cè)的可能性�����,基于宏和腳本等的無文件攻擊能夠?qū)崿F(xiàn)上述目標(biāo)��,成為趨勢(shì)�,而內(nèi)存馬攻擊則為無文件攻擊的一種常見攻擊類型,最常見的兩種手段是內(nèi)存Webshell和內(nèi)存惡意代碼���,相應(yīng)檢測(cè)能力十分必要����。
圖10:內(nèi)存馬檢測(cè)的能力要求
主機(jī)型蜜罐:主機(jī)型蜜罐通過布置誘餌主機(jī)�����、網(wǎng)絡(luò)服務(wù)或者文件���,誘使攻擊方對(duì)誘餌進(jìn)行攻擊��,從而對(duì)攻擊行為進(jìn)行捕獲和分析����,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī)�����。
圖11:主機(jī)型蜜罐的使用場景價(jià)值
3���、先進(jìn)級(jí):三大能力
建設(shè)先進(jìn)級(jí)主機(jī)安全能力的主要企業(yè)��,主機(jī)數(shù)量一般在6000臺(tái)以上�,安全團(tuán)隊(duì)在10人以上�����,每年的主機(jī)安全預(yù)算在500萬元以上��。此類企業(yè)業(yè)務(wù)價(jià)值高�,業(yè)務(wù)關(guān)系復(fù)雜����,對(duì)攻擊者極具吸引力,易受到來自敵對(duì)組織�����、擁有豐富資源的威脅組織發(fā)起的惡意攻擊。為此����,企業(yè)需具備更先進(jìn)的主機(jī)安全能力,包括供應(yīng)鏈安全����、微隔離和威脅狩獵。
圖12:先進(jìn)級(jí)主機(jī)安全能力
供應(yīng)鏈安全:當(dāng)企業(yè)網(wǎng)絡(luò)安全能力較強(qiáng)時(shí)��,攻擊者往往將注意力轉(zhuǎn)移至供應(yīng)商�����,供應(yīng)商正在成為供應(yīng)鏈上最薄弱的環(huán)節(jié)�����,加強(qiáng)供應(yīng)鏈安全能力成為企業(yè)的必然選擇����。
圖13:供應(yīng)鏈安全的治理方式
微隔離:企業(yè)數(shù)字化轉(zhuǎn)型,業(yè)務(wù)上云導(dǎo)致傳統(tǒng)邊界消失。而傳統(tǒng)防火墻只對(duì)南北向流量有效����,東西向無法管控。攻擊一旦穿透邊界�����,內(nèi)網(wǎng)之間的訪問缺少授信機(jī)制��。微隔離架構(gòu)能夠?qū)|西向流量提供防護(hù)�����,契合行業(yè)發(fā)展需求����。
圖14:微隔離的四大要求
威脅狩獵:威脅狩獵是一種主動(dòng)的、假設(shè)驅(qū)動(dòng)的威脅發(fā)現(xiàn)活動(dòng)�����,可幫助企業(yè)尋找被動(dòng)監(jiān)控功能中沒有涵蓋的控件���、活動(dòng)或攻擊者TTP。
圖15:威脅狩獵流程
二、重點(diǎn)行業(yè)主機(jī)安全能力需求分析
在企業(yè)實(shí)際運(yùn)營中�,不同行業(yè)進(jìn)行安全建設(shè)的驅(qū)動(dòng)因素有所不同,且業(yè)務(wù)關(guān)系面臨的風(fēng)險(xiǎn)程度存在差異�,綜合建設(shè)成本、人才技術(shù)基礎(chǔ)等因素��,企業(yè)對(duì)各主機(jī)安全能力建設(shè)的優(yōu)先級(jí)也不盡相同����,應(yīng)在人力、財(cái)力有限的條件下���,優(yōu)先完成最迫切需要的����、與業(yè)務(wù)安全要求最匹配的能力建設(shè)�����。
下圖展示了不同行業(yè)對(duì)各主機(jī)安全能力的需求優(yōu)先級(jí)����。
圖16:不同行業(yè)對(duì)主機(jī)安全能力的需求優(yōu)先級(jí)
三、主機(jī)安全建設(shè)流程
企業(yè)基于主機(jī)安全平臺(tái)構(gòu)建主機(jī)安全能力時(shí)�,存在兩方面問題�����,一是主機(jī)安全產(chǎn)品作為相對(duì)較新的產(chǎn)品類別��,尤其是基于Agent模式的產(chǎn)品形態(tài)�,許多企業(yè)對(duì)其還不夠熟悉����,需要一定時(shí)間才能充分利用這些系統(tǒng);二是企業(yè)存在自身獨(dú)特需求,單個(gè)企業(yè)中的不同部門也可能存在自己的特殊需求���,比如安全部門和運(yùn)維部門�,需要將需求劃分為不同的優(yōu)先級(jí)����。因此,企業(yè)在進(jìn)行主機(jī)安全能力建設(shè)時(shí)�,既需要結(jié)合行業(yè)和企業(yè)需求,明確平臺(tái)需具備的主機(jī)安全能力�,同時(shí)也需要綜合考慮平臺(tái)總體性能。在評(píng)估主機(jī)安全平臺(tái)的能力時(shí)��,主要包括以下幾個(gè)方面:
圖17:主機(jī)安全平臺(tái)能力的評(píng)估要素
除此之外�,企業(yè)在構(gòu)建主機(jī)安全能力���,需要外采主機(jī)安全產(chǎn)品時(shí),還需要考慮到資質(zhì)評(píng)估����、成本評(píng)估和合同簽訂等考因素����。
四、總結(jié)
在整個(gè)安全防護(hù)體系中�,主機(jī)上承載著企業(yè)的核心業(yè)務(wù)與數(shù)據(jù),是攻擊者最青睞的攻擊對(duì)象�����,也是攻擊者最后的活動(dòng)陣地���。守衛(wèi)安全最后一公里����,主機(jī)安全成為關(guān)鍵����。但在主機(jī)安全建設(shè)方面�����,不同行業(yè)���、不同發(fā)展階段的企業(yè)所需要的安全能力側(cè)重點(diǎn)有所不同。一方面���,企業(yè)要結(jié)合行業(yè)和企業(yè)需求���,明確平臺(tái)需具備的主機(jī)安全能力,另一方面也需要綜合考慮平臺(tái)總體性能����,并綜合考慮資質(zhì)評(píng)估、成本評(píng)估����、合同簽訂等多個(gè)因素��!吨鳈C(jī)安全能力建設(shè)指南》通過分析發(fā)展態(tài)勢(shì)和關(guān)鍵技術(shù)要求��,梳理重點(diǎn)行業(yè)主機(jī)安全能力建設(shè)時(shí)的需求優(yōu)先級(jí)和關(guān)鍵點(diǎn)���,明確了主機(jī)安全建設(shè)流程和評(píng)估要素�����,可以幫助企業(yè)選擇滿足其需求的產(chǎn)品��,構(gòu)建高效的主機(jī)安全能力體系�����。
(新媒體責(zé)編:pl0902)
京公網(wǎng)安備 11010602130064號(hào)
