在6月10日信通院舉辦的“安全運營發展論壇”上,青藤與信通院聯合發布了國內首個《主機安全能力建設指南》。會上,青藤COO程度對該指南進行了詳細解讀��。指南對主機安全能力發展態勢和關鍵技術要求進行分析���,梳理了重點行業主機安全能力建設時的需求優先級和關鍵點�����,進一步明確了主機安全建設流程和評估要素��,以幫助企業選擇滿足其需求的產品,構建高效的主機安全能力體系��。
(欲了解詳情���,關注公眾號「青藤智庫」下載完整報告)
一�����、主機安全關鍵能力分析
隨著攻擊手段不斷演進��,主機安全防護技術也在持續更新迭代,衍生出一系列不同細分類別的主機安全產品,其安全能力按照成熟度以及可匹配的用戶需求����,可劃分為三個級別:基礎級����、增強級和先進級�����。
圖1:不同等級的主機安全能力
1、基礎級:四大能力
建設基礎級主機安全能力的主要企業�����,主機數量一般少于1000臺�,安全團隊人數在1-5人之間,每年的主機安全預算在20萬—100萬元之間。這一類企業需要用有限的預算去建設最基礎、最重要的安全能力,以解決大部分安全問題�����,主要包括資產清點��、風險發現��、入侵檢測、合規基線等��。
圖2:基礎級主機安全能力
資產清點:你保護不了你看不到的資產���。所有威脅和脆弱性的運營都需要依賴資產展開���。為進一步提高大規模集群主機的管理效率�����,需提高自動化程度����,減少人工介入�����。
圖3:資產清點的項目及使用場景價值
風險發現:風險發現能力可以讓安全管理人員在攻擊入侵發生前進行系統加固,減少風險點存在����。
圖4:風險發現的使用場景價值
入侵檢測:主機入侵檢測是指識別主機中發生的入侵事件并分析其入侵跡象的能力��,幫助安全人員監控和分析入侵過程�,主要包括兩種方法:誤用檢測系統(基于知識的檢測)和異常檢測系統(基于行為的檢測)�����。
圖5:攻擊者入侵路徑與入侵檢測價值
合規基線:合規是企業安全防護的基本準則�。企業若基線管理和系統加固存在不足�,在突發安全事件時難以進行快速響應和事態控制。
圖6:合規基線的三大難題與解決方案
2����、增強級:四大能力
建設增強級主機安全能力的主要企業�,主機數量一般在1000臺—6000臺之間�����,安全團隊在5—10人之間����,每年的主機安全預算在100萬—5000萬元之間���。這一類企業業務更為復雜��,容易受到高級攻擊���,因此在基礎級安全能力外�����,還需要具備病毒查殺����、文件完整性監控與控制、內存馬檢測�、主機型蜜罐等增強級的安全能力���。
圖7:增強級主機安全能力
病毒查殺:病毒查殺承擔主機入口的安保角色���,防止惡意程序進入��。一方面,提前檢測和預防病毒比事后修復耗費更少的時間和財力;另一方面����,從商業角度看�,病毒可能導致客戶個人數據泄露或通過釣魚郵件傳播擴散���,導致的企業聲譽損失難以彌補�����。
圖8:病毒查殺的流程
文件完整性:文件完整性能力對于確保企業信息系統的安全性以及合規性至關重要���,可以幫助企業監控關鍵的系統文件����、目錄等��,以便檢測任何未經授權的更改。
圖9:文件完整性的基礎要求
內存馬檢測:為提升行為隱秘性和繞過應用規則檢測的可能性,基于宏和腳本等的無文件攻擊能夠實現上述目標���,成為趨勢,而內存馬攻擊則為無文件攻擊的一種常見攻擊類型,最常見的兩種手段是內存Webshell和內存惡意代碼,相應檢測能力十分必要。
圖10:內存馬檢測的能力要求
主機型蜜罐:主機型蜜罐通過布置誘餌主機、網絡服務或者文件,誘使攻擊方對誘餌進行攻擊�,從而對攻擊行為進行捕獲和分析���,了解攻擊方所使用的工具與方法�����,推測攻擊意圖和動機。
圖11:主機型蜜罐的使用場景價值
3���、先進級:三大能力
建設先進級主機安全能力的主要企業����,主機數量一般在6000臺以上����,安全團隊在10人以上,每年的主機安全預算在500萬元以上。此類企業業務價值高�,業務關系復雜��,對攻擊者極具吸引力,易受到來自敵對組織、擁有豐富資源的威脅組織發起的惡意攻擊。為此��,企業需具備更先進的主機安全能力��,包括供應鏈安全���、微隔離和威脅狩獵�。
圖12:先進級主機安全能力
供應鏈安全:當企業網絡安全能力較強時�����,攻擊者往往將注意力轉移至供應商,供應商正在成為供應鏈上最薄弱的環節,加強供應鏈安全能力成為企業的必然選擇�。
圖13:供應鏈安全的治理方式
微隔離:企業數字化轉型����,業務上云導致傳統邊界消失��。而傳統防火墻只對南北向流量有效���,東西向無法管控����。攻擊一旦穿透邊界�,內網之間的訪問缺少授信機制。微隔離架構能夠對東西向流量提供防護�����,契合行業發展需求���。
圖14:微隔離的四大要求
威脅狩獵:威脅狩獵是一種主動的��、假設驅動的威脅發現活動�,可幫助企業尋找被動監控功能中沒有涵蓋的控件��、活動或攻擊者TTP�����。
圖15:威脅狩獵流程
二、重點行業主機安全能力需求分析
在企業實際運營中����,不同行業進行安全建設的驅動因素有所不同�����,且業務關系面臨的風險程度存在差異��,綜合建設成本�、人才技術基礎等因素�,企業對各主機安全能力建設的優先級也不盡相同,應在人力�、財力有限的條件下���,優先完成最迫切需要的��、與業務安全要求最匹配的能力建設。
下圖展示了不同行業對各主機安全能力的需求優先級����。
圖16:不同行業對主機安全能力的需求優先級
三��、主機安全建設流程
企業基于主機安全平臺構建主機安全能力時,存在兩方面問題�����,一是主機安全產品作為相對較新的產品類別,尤其是基于Agent模式的產品形態�,許多企業對其還不夠熟悉�����,需要一定時間才能充分利用這些系統;二是企業存在自身獨特需求,單個企業中的不同部門也可能存在自己的特殊需求�,比如安全部門和運維部門�,需要將需求劃分為不同的優先級����。因此,企業在進行主機安全能力建設時�����,既需要結合行業和企業需求���,明確平臺需具備的主機安全能力���,同時也需要綜合考慮平臺總體性能���。在評估主機安全平臺的能力時�,主要包括以下幾個方面:
圖17:主機安全平臺能力的評估要素
除此之外���,企業在構建主機安全能力����,需要外采主機安全產品時,還需要考慮到資質評估、成本評估和合同簽訂等考因素。
四�、總結
在整個安全防護體系中���,主機上承載著企業的核心業務與數據�����,是攻擊者最青睞的攻擊對象,也是攻擊者最后的活動陣地����。守衛安全最后一公里�����,主機安全成為關鍵。但在主機安全建設方面,不同行業����、不同發展階段的企業所需要的安全能力側重點有所不同。一方面���,企業要結合行業和企業需求,明確平臺需具備的主機安全能力���,另一方面也需要綜合考慮平臺總體性能,并綜合考慮資質評估����、成本評估���、合同簽訂等多個因素��。《主機安全能力建設指南》通過分析發展態勢和關鍵技術要求��,梳理重點行業主機安全能力建設時的需求優先級和關鍵點�����,明確了主機安全建設流程和評估要素�,可以幫助企業選擇滿足其需求的產品����,構建高效的主機安全能力體系。
(新媒體責編:pl0902)
京公網安備 11010602130064號
