在6月10日信通院舉辦的“安全運營發(fā)展論壇”上���,青藤與信通院聯(lián)合發(fā)布了國內(nèi)首個《主機安全能力建設指南》�����。會上�����,青藤COO程度對該指南進行了詳細解讀���。指南對主機安全能力發(fā)展態(tài)勢和關鍵技術要求進行分析����,梳理了重點行業(yè)主機安全能力建設時的需求優(yōu)先級和關鍵點���,進一步明確了主機安全建設流程和評估要素����,以幫助企業(yè)選擇滿足其需求的產(chǎn)品��,構建高效的主機安全能力體系����。
(欲了解詳情,關注公眾號「青藤智庫」下載完整報告)
一、主機安全關鍵能力分析
隨著攻擊手段不斷演進�����,主機安全防護技術也在持續(xù)更新迭代����,衍生出一系列不同細分類別的主機安全產(chǎn)品,其安全能力按照成熟度以及可匹配的用戶需求���,可劃分為三個級別:基礎級��、增強級和先進級�����。
圖1:不同等級的主機安全能力
1、基礎級:四大能力
建設基礎級主機安全能力的主要企業(yè)��,主機數(shù)量一般少于1000臺�,安全團隊人數(shù)在1-5人之間,每年的主機安全預算在20萬—100萬元之間����。這一類企業(yè)需要用有限的預算去建設最基礎、最重要的安全能力,以解決大部分安全問題�����,主要包括資產(chǎn)清點���、風險發(fā)現(xiàn)��、入侵檢測�����、合規(guī)基線等����。
圖2:基礎級主機安全能力
資產(chǎn)清點:你保護不了你看不到的資產(chǎn)���。所有威脅和脆弱性的運營都需要依賴資產(chǎn)展開����。為進一步提高大規(guī)模集群主機的管理效率��,需提高自動化程度��,減少人工介入。
圖3:資產(chǎn)清點的項目及使用場景價值
風險發(fā)現(xiàn):風險發(fā)現(xiàn)能力可以讓安全管理人員在攻擊入侵發(fā)生前進行系統(tǒng)加固���,減少風險點存在���。
圖4:風險發(fā)現(xiàn)的使用場景價值
入侵檢測:主機入侵檢測是指識別主機中發(fā)生的入侵事件并分析其入侵跡象的能力,幫助安全人員監(jiān)控和分析入侵過程���,主要包括兩種方法:誤用檢測系統(tǒng)(基于知識的檢測)和異常檢測系統(tǒng)(基于行為的檢測)���。
圖5:攻擊者入侵路徑與入侵檢測價值
合規(guī)基線:合規(guī)是企業(yè)安全防護的基本準則。企業(yè)若基線管理和系統(tǒng)加固存在不足�����,在突發(fā)安全事件時難以進行快速響應和事態(tài)控制����。
圖6:合規(guī)基線的三大難題與解決方案
2��、增強級:四大能力
建設增強級主機安全能力的主要企業(yè)�����,主機數(shù)量一般在1000臺—6000臺之間,安全團隊在5—10人之間���,每年的主機安全預算在100萬—5000萬元之間�����。這一類企業(yè)業(yè)務更為復雜�����,容易受到高級攻擊�����,因此在基礎級安全能力外����,還需要具備病毒查殺�、文件完整性監(jiān)控與控制、內(nèi)存馬檢測�����、主機型蜜罐等增強級的安全能力���。
圖7:增強級主機安全能力
病毒查殺:病毒查殺承擔主機入口的安保角色�����,防止惡意程序進入����。一方面,提前檢測和預防病毒比事后修復耗費更少的時間和財力;另一方面��,從商業(yè)角度看�����,病毒可能導致客戶個人數(shù)據(jù)泄露或通過釣魚郵件傳播擴散�,導致的企業(yè)聲譽損失難以彌補。
圖8:病毒查殺的流程
文件完整性:文件完整性能力對于確保企業(yè)信息系統(tǒng)的安全性以及合規(guī)性至關重要���,可以幫助企業(yè)監(jiān)控關鍵的系統(tǒng)文件���、目錄等,以便檢測任何未經(jīng)授權的更改����。
圖9:文件完整性的基礎要求
內(nèi)存馬檢測:為提升行為隱秘性和繞過應用規(guī)則檢測的可能性,基于宏和腳本等的無文件攻擊能夠實現(xiàn)上述目標����,成為趨勢,而內(nèi)存馬攻擊則為無文件攻擊的一種常見攻擊類型����,最常見的兩種手段是內(nèi)存Webshell和內(nèi)存惡意代碼,相應檢測能力十分必要����。
圖10:內(nèi)存馬檢測的能力要求
主機型蜜罐:主機型蜜罐通過布置誘餌主機、網(wǎng)絡服務或者文件�,誘使攻擊方對誘餌進行攻擊,從而對攻擊行為進行捕獲和分析����,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機����。
圖11:主機型蜜罐的使用場景價值
3、先進級:三大能力
建設先進級主機安全能力的主要企業(yè)�����,主機數(shù)量一般在6000臺以上,安全團隊在10人以上�����,每年的主機安全預算在500萬元以上���。此類企業(yè)業(yè)務價值高����,業(yè)務關系復雜���,對攻擊者極具吸引力���,易受到來自敵對組織、擁有豐富資源的威脅組織發(fā)起的惡意攻擊�����。為此��,企業(yè)需具備更先進的主機安全能力�����,包括供應鏈安全、微隔離和威脅狩獵�����。
圖12:先進級主機安全能力
供應鏈安全:當企業(yè)網(wǎng)絡安全能力較強時�,攻擊者往往將注意力轉移至供應商��,供應商正在成為供應鏈上最薄弱的環(huán)節(jié)�,加強供應鏈安全能力成為企業(yè)的必然選擇。
圖13:供應鏈安全的治理方式
微隔離:企業(yè)數(shù)字化轉型���,業(yè)務上云導致傳統(tǒng)邊界消失����。而傳統(tǒng)防火墻只對南北向流量有效����,東西向無法管控。攻擊一旦穿透邊界�,內(nèi)網(wǎng)之間的訪問缺少授信機制。微隔離架構能夠對東西向流量提供防護���,契合行業(yè)發(fā)展需求�����。
圖14:微隔離的四大要求
威脅狩獵:威脅狩獵是一種主動的���、假設驅動的威脅發(fā)現(xiàn)活動�����,可幫助企業(yè)尋找被動監(jiān)控功能中沒有涵蓋的控件���、活動或攻擊者TTP。
圖15:威脅狩獵流程
二�、重點行業(yè)主機安全能力需求分析
在企業(yè)實際運營中,不同行業(yè)進行安全建設的驅動因素有所不同�,且業(yè)務關系面臨的風險程度存在差異,綜合建設成本����、人才技術基礎等因素,企業(yè)對各主機安全能力建設的優(yōu)先級也不盡相同����,應在人力��、財力有限的條件下�����,優(yōu)先完成最迫切需要的����、與業(yè)務安全要求最匹配的能力建設���。
下圖展示了不同行業(yè)對各主機安全能力的需求優(yōu)先級。
圖16:不同行業(yè)對主機安全能力的需求優(yōu)先級
三�、主機安全建設流程
企業(yè)基于主機安全平臺構建主機安全能力時,存在兩方面問題���,一是主機安全產(chǎn)品作為相對較新的產(chǎn)品類別�,尤其是基于Agent模式的產(chǎn)品形態(tài)�����,許多企業(yè)對其還不夠熟悉���,需要一定時間才能充分利用這些系統(tǒng);二是企業(yè)存在自身獨特需求�,單個企業(yè)中的不同部門也可能存在自己的特殊需求,比如安全部門和運維部門����,需要將需求劃分為不同的優(yōu)先級。因此�,企業(yè)在進行主機安全能力建設時,既需要結合行業(yè)和企業(yè)需求��,明確平臺需具備的主機安全能力���,同時也需要綜合考慮平臺總體性能���。在評估主機安全平臺的能力時,主要包括以下幾個方面:
圖17:主機安全平臺能力的評估要素
除此之外����,企業(yè)在構建主機安全能力,需要外采主機安全產(chǎn)品時�����,還需要考慮到資質評估�、成本評估和合同簽訂等考因素。
四�����、總結
在整個安全防護體系中,主機上承載著企業(yè)的核心業(yè)務與數(shù)據(jù)���,是攻擊者最青睞的攻擊對象�����,也是攻擊者最后的活動陣地��。守衛(wèi)安全最后一公里,主機安全成為關鍵�。但在主機安全建設方面,不同行業(yè)��、不同發(fā)展階段的企業(yè)所需要的安全能力側重點有所不同����。一方面,企業(yè)要結合行業(yè)和企業(yè)需求���,明確平臺需具備的主機安全能力�����,另一方面也需要綜合考慮平臺總體性能����,并綜合考慮資質評估、成本評估�、合同簽訂等多個因素�!吨鳈C安全能力建設指南》通過分析發(fā)展態(tài)勢和關鍵技術要求,梳理重點行業(yè)主機安全能力建設時的需求優(yōu)先級和關鍵點��,明確了主機安全建設流程和評估要素��,可以幫助企業(yè)選擇滿足其需求的產(chǎn)品����,構建高效的主機安全能力體系。
(新媒體責編:pl0902)
京公網(wǎng)安備 11010602130064號
