圖1:青藤綜合競爭力排名第一

一、主機安全產(chǎn)品指的是什么?

主機安全產(chǎn)品,顧名思義就是保護主機安全的產(chǎn)品。這是一種頗具歷史感的安全產(chǎn)品,在安全界與“防火墻”“DDoS高防”合稱“老三樣”,是保護主機的必備良藥。主機安全產(chǎn)品種類繁多、名目不一,但一般常見的有兩種:

l 一種是NIDS,全稱為Network Intrusion Detection System,即網(wǎng)絡(luò)入侵檢測系統(tǒng)。NIDS通過測探進入主機的網(wǎng)絡(luò)流量來判斷有沒有發(fā)生攻擊,但這種方式需要消耗的資源比較多,市面上較為少見,本文不做討論。

l 另一種是HIDS,全稱為Host-based Intrusion Detection System,即基于主機型入侵檢測系統(tǒng)。HIDS通過在主機里安裝Agent來測探各種信息以判斷是否有異?;蛘吖舭l(fā)生,這是最通用的一種主機安全產(chǎn)品。對云上的用戶來說,云主機安全產(chǎn)品主要是HIDS,例如,市場上比較有代表性的產(chǎn)品——青藤萬相·主機自適應(yīng)安全平臺就是典型的HIDS。

形象地說,云主機是個房子,而HIDS是一個體系,它首先把一個攝像頭(專業(yè)術(shù)語叫Agent或者代理)裝在房子里,然后啟動攝像頭在云主機系統(tǒng)里東看看西看看,比如看看系統(tǒng)日志、看看系統(tǒng)文件、看看進程、看看系統(tǒng)配置,看誰在系統(tǒng)里搞事情、有沒有留下什么蛛絲馬跡,一旦發(fā)現(xiàn)有人搞事情,HIDS就會上報給遠端的服務(wù)器并發(fā)出告警。

二、HIDS的組成是怎么樣的?

上面說到的攝像頭,只是HIDS組件的一個部分,完整的HIDS產(chǎn)品架構(gòu)圖如下:

圖二.jpg
圖2:HIDS產(chǎn)品架構(gòu)圖

它主要由3大部分組成,包括Agent、Engine安全引擎、Console控制中心。其中:

1. Agent:相當(dāng)于主機里的攝像頭,作用是檢測系統(tǒng)文件變更、檢測服務(wù)器狀態(tài)、上傳日志、下發(fā)操作指令等。Agent只需要一條命令就能在主機上完成安裝,且自動適配各種物理機、虛擬機和云環(huán)境,運行穩(wěn)定、消耗低,能夠持續(xù)收集主機進程、端口和賬號信息,并實時監(jiān)控進程、網(wǎng)絡(luò)連接等行為,還能與Server端通信,執(zhí)行其下發(fā)的任務(wù),主動發(fā)現(xiàn)主機問題。

2. Engine安全引擎:作為核心平臺的信息處理中樞,支持橫向擴展分布式部署,能夠持續(xù)分析檢測從各個Agent上接收到的信息和行為并進行保存,可從各個維度的信息中發(fā)現(xiàn)漏洞、弱密碼等安全風(fēng)險和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用等異常行為,從而實現(xiàn)對入侵行為實時預(yù)警。

3. Console控制中心:用以給管理人員、運維人員執(zhí)行防御策略管理、資源管理、命令下發(fā)等。以Web控制臺的形式和用戶交互,清晰展示各項安全監(jiān)測和分析結(jié)果,并對重大威脅進行實時告警,幫助用戶更好更快地處理問題,提供集中管理的安全工具,方便用戶進行系統(tǒng)配置和管理、安全響應(yīng)等相關(guān)操作。

三者之間協(xié)調(diào)配合才能做到實時的分析系統(tǒng)狀態(tài)并及時下發(fā)防御策略,并便于安全人員進行日常維護和運營。

HIDS是一款很典型的“云安全”產(chǎn)品,它的Agent安裝在每個云主機上,但大部分功能都在各種集群里,這樣就使得用戶的計算資源開銷會變得很小,因為功能都在“云”上,也就是在遠端的各種服務(wù)器集群上實現(xiàn)了大部分功能。

三、如何選擇一款合適的主機安全產(chǎn)品?

目前,隨著網(wǎng)絡(luò)安全上升到國家戰(zhàn)略高度,國家日益加強對攻防實戰(zhàn)的重視程度,各個組織機構(gòu)越來越重視主機安全能力建設(shè)。但如何在產(chǎn)品琳瑯滿目、能力也稂莠不齊的主機安全市場上,選擇一款合適的產(chǎn)品呢?

1. 主機安全能力評估

企業(yè)在選擇主機安全產(chǎn)品時,首先需要結(jié)合行業(yè)和企業(yè)需求,明確主機安全平臺需具備的主機安全能力。隨著攻擊手段不斷演進,主機安全防護技術(shù)也在持續(xù)更新迭代,衍生出一系列不同細分類別的主機安全產(chǎn)品,其安全能力按照成熟度以及可匹配的用戶需求,可劃分為三個級別:基礎(chǔ)級、增強級和先進級。基礎(chǔ)級技術(shù)能力為資產(chǎn)清點、風(fēng)險發(fā)現(xiàn)、入侵檢測、合規(guī)基線。增強級在基礎(chǔ)級能力之上,還包括病毒查殺、文件完整性、內(nèi)存馬檢測、主機型蜜罐能力。先進級則在增強級之上增加了供應(yīng)鏈安全、微隔離和威脅狩獵能力。

圖三.jpg
圖3:不同等級的主機安全能力

理想條件下,企業(yè)具備的主機安全能力越完善,覆蓋基礎(chǔ)級、增強級、先進級中更多的能力,越能為主機及其承載業(yè)務(wù)提供更好的安全保護。但在企業(yè)實際運營中,不同行業(yè)進行安全建設(shè)的驅(qū)動因素有所不同,且業(yè)務(wù)關(guān)系面臨的風(fēng)險程度存在差異,綜合建設(shè)成本、人才技術(shù)基礎(chǔ)等因素,企業(yè)對各主機安全能力建設(shè)的優(yōu)先級也不盡相同,應(yīng)在人力、財力有限的條件下,優(yōu)先完成最迫切需要的、與業(yè)務(wù)安全要求最匹配的能力建設(shè)。

圖四3.jpg
?圖4:不同行業(yè)對主機安全能力的需求優(yōu)先級

2. 平臺性能評估

企業(yè)在選擇主機安全平臺時,還需要綜合考慮平臺總體性能,主要包括如下因素:

功能豐富性:隨著黑客攻擊方式的不斷迭代,主機安全產(chǎn)品應(yīng)具有豐富的功能以有效檢測攻擊者,能夠做到事前防御,事中實時監(jiān)控,事后進行溯源和研判分析,通過全面覆蓋攻擊全階段,提供專業(yè)化安全保障。青藤萬相采用自適應(yīng)安全架構(gòu),充分運用云、大數(shù)據(jù)、AI等技術(shù),打造集“預(yù)測、防御、監(jiān)控和響應(yīng)”一體的安全閉環(huán)。

穩(wěn)定性:安全設(shè)備的穩(wěn)定性至關(guān)重要,不能因為安全產(chǎn)品的不穩(wěn)定造成業(yè)務(wù)中斷,讓企業(yè)業(yè)務(wù)遭受損失。輕Agent形態(tài)的主機安全產(chǎn)品則無須修改內(nèi)核、不裝驅(qū)動,通過實時監(jiān)控與分析來發(fā)現(xiàn)威脅,為企業(yè)用戶提供告警。青藤萬相采用輕Agent形式,穩(wěn)定性高達99.9999%,正常的系統(tǒng)負載情況下,CPU占用率<1%,內(nèi)存占用<40M,在系統(tǒng)負載過高時,Agent會主動降級運行,不影響正常業(yè)務(wù)。

兼容性:企業(yè)在進行主機安全產(chǎn)品選型時,需要考慮到該產(chǎn)品是否支持物理主機、云主機,是否支持不同的操作系統(tǒng),是否能夠適用于虛擬機、容器環(huán)境等不同架構(gòu)。青藤萬相通過自主研發(fā)與創(chuàng)新實現(xiàn)對國產(chǎn)操作系統(tǒng)的支持,包括arm、x86全系列國產(chǎn)操作系統(tǒng),更能夠通過一個Agent,實現(xiàn)主機與容器的全面防護。

易用性:無論產(chǎn)品的功能如何強大,若企業(yè)中的相關(guān)人員無法熟練使用,將限制產(chǎn)品價值發(fā)揮。主機安全產(chǎn)品應(yīng)該能夠確保用戶操作和控制軟件系統(tǒng),完成預(yù)期或指定任務(wù)。青藤萬相功能完備,界面簡潔,使用便捷。

可維護性:主機安全產(chǎn)品的可維護性直接影響到對產(chǎn)品的使用體驗和安全人員的工作效率,因此,在選擇主機安全產(chǎn)品時,需要將可維護性考慮在內(nèi)。

3. 權(quán)威認可

在主機安全產(chǎn)品選型過程中,企業(yè)除了需要關(guān)注企業(yè)是否具有相應(yīng)產(chǎn)品的銷售許可資質(zhì)外,還需要關(guān)注產(chǎn)品獲得的權(quán)威認可。獲得的權(quán)威認可越多、權(quán)威性越大,在一定程度上表明產(chǎn)品的可靠性及技術(shù)性能越高。青藤萬相作為主機安全領(lǐng)域的領(lǐng)跑者,多年來,獲得了諸多機構(gòu)的認可:

在2020-2022年,沙利文發(fā)布的云主機安全市場報告中,連續(xù)三年入圍領(lǐng)導(dǎo)者象限,綜合競爭力第一,持續(xù)領(lǐng)跑主機安全領(lǐng)域

在IDC發(fā)布的《中國云工作負載安全市場份額,2021》報告中排名第二

連續(xù)6年入圍Gartner CWPP報告

在賽迪發(fā)布的《中國云主機安全市場研究報告(2021)》報告中,市場份額排名第一

在國內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機構(gòu)數(shù)世咨詢正式發(fā)布的《主機檢測與響應(yīng)(HDR)能力指南》及HDR能力指南點陣圖中,青藤獲得應(yīng)用創(chuàng)新力和綜合能力“雙料第一”

4. 技術(shù)積淀

對于主機安全產(chǎn)品,技術(shù)積淀的時間越長,功能會越豐富,技術(shù)能力越有深度。在青藤萬相推出8年多的時間里,始終引領(lǐng)國內(nèi)安全領(lǐng)域的創(chuàng)新方向:全面參與行業(yè)頂層設(shè)計,參與6項國標(biāo)、20余項行業(yè)標(biāo)準(zhǔn)編寫工作,獲得50余項發(fā)明專利、80余項軟件著作。同時,青藤在10余家中文核心期刊,發(fā)表了30余項安全研究論文,并編寫出版多本網(wǎng)安專著,包括全球首部ATT&CK專著《ATT&CK框架實踐指南》,以及云原生安全專著《云原生安全技術(shù)實踐指南》,在主機安全能力的深度與廣度方面進行了廣泛的探索與研究。

寫在最后

目前市場上有很多安全產(chǎn)品宣稱可以解決主機側(cè)的安全問題,但大部分都是由其他產(chǎn)品改裝而來的,很難滿足主機側(cè)“安全與穩(wěn)定兼顧”的需求,比如針對PC等終端的EDR等。最有效的主機安全防護產(chǎn)品應(yīng)該是針對主機專門研發(fā)的,充分考慮了主機側(cè)穩(wěn)定需求>安全需求的特性,既能對主機側(cè)的威脅做到及時、有效的檢測,又能保證業(yè)務(wù)的連續(xù)性,結(jié)合相應(yīng)的人工介入來對威脅進行響應(yīng),以實現(xiàn)對業(yè)務(wù)影響的最小化,建議企業(yè)在進行主機安全產(chǎn)品選型時,能夠參照以上標(biāo)準(zhǔn)。有關(guān)如何選擇主機安全產(chǎn)品的更多信息,您可以可進入青藤云安全官網(wǎng)下載《主機安全能力建設(shè)指南》。

圖5.jpg
圖5:主機安全能力建設(shè)指南

青藤云安全主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全建設(shè),為政企客戶提供新一代的安全產(chǎn)品和服務(wù),覆蓋云安全、數(shù)據(jù)安全、供應(yīng)鏈安全、流量安全等眾多領(lǐng)域。公司擁有數(shù)百人的專業(yè)安全服務(wù)團隊,為100+國家重大活動提供安保服務(wù)支撐,全部實現(xiàn)安全0事故。目前,青藤已為來自政府、金融、運營商、能源、電力、制造、互聯(lián)網(wǎng)等行業(yè)的1000+大型客戶,600萬+臺核心服務(wù)器提供穩(wěn)定、高效的安全防護。

分享到

songjy

相關(guān)推薦