在6月10日信通院舉辦的“安全運營發(fā)展論壇”上��,青藤與信通院聯(lián)合發(fā)布了國內(nèi)首個《主機安全能力建設指南》���。會上,青藤COO程度對該指南進行了詳細解讀�。指南對主機安全能力發(fā)展態(tài)勢和關鍵技術要求進行分析,梳理了重點行業(yè)主機安全能力建設時的需求優(yōu)先級和關鍵點���,進一步明確了主機安全建設流程和評估要素�,以幫助企業(yè)選擇滿足其需求的產(chǎn)品��,構建高效的主機安全能力體系。
(欲了解詳情���,關注公眾號「青藤智庫」下載完整報告)
一���、主機安全關鍵能力分析
隨著攻擊手段不斷演進,主機安全防護技術也在持續(xù)更新迭代���,衍生出一系列不同細分類別的主機安全產(chǎn)品����,其安全能力按照成熟度以及可匹配的用戶需求����,可劃分為三個級別:基礎級、增強級和先進級�����。
圖1:不同等級的主機安全能力
1�����、基礎級:四大能力
建設基礎級主機安全能力的主要企業(yè)�����,主機數(shù)量一般少于1000臺,安全團隊人數(shù)在1-5人之間����,每年的主機安全預算在20萬—100萬元之間。這一類企業(yè)需要用有限的預算去建設最基礎��、最重要的安全能力�,以解決大部分安全問題����,主要包括資產(chǎn)清點、風險發(fā)現(xiàn)���、入侵檢測�����、合規(guī)基線等����。
圖2:基礎級主機安全能力
資產(chǎn)清點:你保護不了你看不到的資產(chǎn)����。所有威脅和脆弱性的運營都需要依賴資產(chǎn)展開�����。為進一步提高大規(guī)模集群主機的管理效率�����,需提高自動化程度����,減少人工介入�����。
圖3:資產(chǎn)清點的項目及使用場景價值
風險發(fā)現(xiàn):風險發(fā)現(xiàn)能力可以讓安全管理人員在攻擊入侵發(fā)生前進行系統(tǒng)加固���,減少風險點存在�����。
圖4:風險發(fā)現(xiàn)的使用場景價值
入侵檢測:主機入侵檢測是指識別主機中發(fā)生的入侵事件并分析其入侵跡象的能力���,幫助安全人員監(jiān)控和分析入侵過程�����,主要包括兩種方法:誤用檢測系統(tǒng)(基于知識的檢測)和異常檢測系統(tǒng)(基于行為的檢測)���。
圖5:攻擊者入侵路徑與入侵檢測價值
合規(guī)基線:合規(guī)是企業(yè)安全防護的基本準則。企業(yè)若基線管理和系統(tǒng)加固存在不足�����,在突發(fā)安全事件時難以進行快速響應和事態(tài)控制���。
圖6:合規(guī)基線的三大難題與解決方案
2、增強級:四大能力
建設增強級主機安全能力的主要企業(yè)���,主機數(shù)量一般在1000臺—6000臺之間���,安全團隊在5—10人之間,每年的主機安全預算在100萬—5000萬元之間��。這一類企業(yè)業(yè)務更為復雜��,容易受到高級攻擊�,因此在基礎級安全能力外�,還需要具備病毒查殺�����、文件完整性監(jiān)控與控制����、內(nèi)存馬檢測、主機型蜜罐等增強級的安全能力��。
圖7:增強級主機安全能力
病毒查殺:病毒查殺承擔主機入口的安保角色����,防止惡意程序進入。一方面�����,提前檢測和預防病毒比事后修復耗費更少的時間和財力;另一方面���,從商業(yè)角度看��,病毒可能導致客戶個人數(shù)據(jù)泄露或通過釣魚郵件傳播擴散���,導致的企業(yè)聲譽損失難以彌補���。
圖8:病毒查殺的流程
文件完整性:文件完整性能力對于確保企業(yè)信息系統(tǒng)的安全性以及合規(guī)性至關重要,可以幫助企業(yè)監(jiān)控關鍵的系統(tǒng)文件���、目錄等��,以便檢測任何未經(jīng)授權的更改���。
圖9:文件完整性的基礎要求
內(nèi)存馬檢測:為提升行為隱秘性和繞過應用規(guī)則檢測的可能性,基于宏和腳本等的無文件攻擊能夠實現(xiàn)上述目標�����,成為趨勢���,而內(nèi)存馬攻擊則為無文件攻擊的一種常見攻擊類型,最常見的兩種手段是內(nèi)存Webshell和內(nèi)存惡意代碼�,相應檢測能力十分必要。
圖10:內(nèi)存馬檢測的能力要求
主機型蜜罐:主機型蜜罐通過布置誘餌主機�����、網(wǎng)絡服務或者文件���,誘使攻擊方對誘餌進行攻擊���,從而對攻擊行為進行捕獲和分析��,了解攻擊方所使用的工具與方法��,推測攻擊意圖和動機�。
圖11:主機型蜜罐的使用場景價值
3�、先進級:三大能力
建設先進級主機安全能力的主要企業(yè),主機數(shù)量一般在6000臺以上��,安全團隊在10人以上����,每年的主機安全預算在500萬元以上。此類企業(yè)業(yè)務價值高�����,業(yè)務關系復雜�,對攻擊者極具吸引力,易受到來自敵對組織�、擁有豐富資源的威脅組織發(fā)起的惡意攻擊。為此,企業(yè)需具備更先進的主機安全能力�,包括供應鏈安全、微隔離和威脅狩獵��。
圖12:先進級主機安全能力
供應鏈安全:當企業(yè)網(wǎng)絡安全能力較強時�,攻擊者往往將注意力轉移至供應商,供應商正在成為供應鏈上最薄弱的環(huán)節(jié)����,加強供應鏈安全能力成為企業(yè)的必然選擇。
圖13:供應鏈安全的治理方式
微隔離:企業(yè)數(shù)字化轉型�����,業(yè)務上云導致傳統(tǒng)邊界消失���。而傳統(tǒng)防火墻只對南北向流量有效��,東西向無法管控���。攻擊一旦穿透邊界,內(nèi)網(wǎng)之間的訪問缺少授信機制�。微隔離架構能夠對東西向流量提供防護�����,契合行業(yè)發(fā)展需求。
圖14:微隔離的四大要求
威脅狩獵:威脅狩獵是一種主動的�����、假設驅動的威脅發(fā)現(xiàn)活動�����,可幫助企業(yè)尋找被動監(jiān)控功能中沒有涵蓋的控件���、活動或攻擊者TTP�。
圖15:威脅狩獵流程
二���、重點行業(yè)主機安全能力需求分析
在企業(yè)實際運營中�,不同行業(yè)進行安全建設的驅動因素有所不同�,且業(yè)務關系面臨的風險程度存在差異,綜合建設成本���、人才技術基礎等因素���,企業(yè)對各主機安全能力建設的優(yōu)先級也不盡相同�,應在人力�����、財力有限的條件下����,優(yōu)先完成最迫切需要的、與業(yè)務安全要求最匹配的能力建設���。
下圖展示了不同行業(yè)對各主機安全能力的需求優(yōu)先級�����。
圖16:不同行業(yè)對主機安全能力的需求優(yōu)先級
三�����、主機安全建設流程
企業(yè)基于主機安全平臺構建主機安全能力時����,存在兩方面問題���,一是主機安全產(chǎn)品作為相對較新的產(chǎn)品類別��,尤其是基于Agent模式的產(chǎn)品形態(tài)����,許多企業(yè)對其還不夠熟悉�,需要一定時間才能充分利用這些系統(tǒng);二是企業(yè)存在自身獨特需求,單個企業(yè)中的不同部門也可能存在自己的特殊需求����,比如安全部門和運維部門,需要將需求劃分為不同的優(yōu)先級���。因此�����,企業(yè)在進行主機安全能力建設時���,既需要結合行業(yè)和企業(yè)需求,明確平臺需具備的主機安全能力����,同時也需要綜合考慮平臺總體性能。在評估主機安全平臺的能力時�����,主要包括以下幾個方面:
圖17:主機安全平臺能力的評估要素
除此之外,企業(yè)在構建主機安全能力�����,需要外采主機安全產(chǎn)品時��,還需要考慮到資質評估�、成本評估和合同簽訂等考因素。
四���、總結
在整個安全防護體系中��,主機上承載著企業(yè)的核心業(yè)務與數(shù)據(jù)��,是攻擊者最青睞的攻擊對象���,也是攻擊者最后的活動陣地。守衛(wèi)安全最后一公里���,主機安全成為關鍵���。但在主機安全建設方面���,不同行業(yè)、不同發(fā)展階段的企業(yè)所需要的安全能力側重點有所不同�。一方面���,企業(yè)要結合行業(yè)和企業(yè)需求�,明確平臺需具備的主機安全能力�����,另一方面也需要綜合考慮平臺總體性能�����,并綜合考慮資質評估�����、成本評估��、合同簽訂等多個因素��?����!吨鳈C安全能力建設指南》通過分析發(fā)展態(tài)勢和關鍵技術要求,梳理重點行業(yè)主機安全能力建設時的需求優(yōu)先級和關鍵點����,明確了主機安全建設流程和評估要素,可以幫助企業(yè)選擇滿足其需求的產(chǎn)品�,構建高效的主機安全能力體系。
政策與經(jīng)濟
京公網(wǎng)安備 11010802020613號
