一、主機安全產(chǎn)品指的是什么？

主機安全產(chǎn)品，顧名思義就是保護主機安全的產(chǎn)品。這是一種頗具歷史感的安全產(chǎn)品，在安全界與“防火墻”“DDoS高防”合稱“老三樣”，是保護主機的必備良藥。主機安全產(chǎn)品種類繁多、名目不一，但一般常見的有兩種：

l 一種是NIDS，全稱為Network Intrusion Detection System，即網(wǎng)絡(luò)入侵檢測系統(tǒng)。NIDS通過測探進入主機的網(wǎng)絡(luò)流量來判斷有沒有發(fā)生攻擊，但這種方式需要消耗的資源比較多，市面上較為少見，本文不做討論。

l 另一種是HIDS，全稱為Host-based Intrusion Detection System，即基于主機型入侵檢測系統(tǒng)。HIDS通過在主機里安裝Agent來測探各種信息以判斷是否有異?；蛘吖舭l(fā)生，這是最通用的一種主機安全產(chǎn)品。對云上的用戶來說，云主機安全產(chǎn)品主要是HIDS，例如，市場上比較有代表性的產(chǎn)品——青藤萬相·主機自適應(yīng)安全平臺就是典型的HIDS。

形象地說，云主機是個房子，而HIDS是一個體系，它首先把一個攝像頭（專業(yè)術(shù)語叫Agent或者代理）裝在房子里，然后啟動攝像頭在云主機系統(tǒng)里東看看西看看，比如看看系統(tǒng)日志、看看系統(tǒng)文件、看看進程、看看系統(tǒng)配置，看誰在系統(tǒng)里搞事情、有沒有留下什么蛛絲馬跡，一旦發(fā)現(xiàn)有人搞事情，HIDS就會上報給遠端的服務(wù)器并發(fā)出告警。

二、HIDS的組成是怎么樣的？

上面說到的攝像頭，只是HIDS組件的一個部分，完整的HIDS產(chǎn)品架構(gòu)圖如下：

它主要由3大部分組成，包括Agent、Engine安全引擎、Console控制中心。其中：

1. Agent：相當(dāng)于主機里的攝像頭，作用是檢測系統(tǒng)文件變更、檢測服務(wù)器狀態(tài)、上傳日志、下發(fā)操作指令等。Agent只需要一條命令就能在主機上完成安裝，且自動適配各種物理機、虛擬機和云環(huán)境，運行穩(wěn)定、消耗低，能夠持續(xù)收集主機進程、端口和賬號信息，并實時監(jiān)控進程、網(wǎng)絡(luò)連接等行為，還能與Server端通信，執(zhí)行其下發(fā)的任務(wù)，主動發(fā)現(xiàn)主機問題。

2. Engine安全引擎：作為核心平臺的信息處理中樞，支持橫向擴展分布式部署，能夠持續(xù)分析檢測從各個Agent上接收到的信息和行為并進行保存，可從各個維度的信息中發(fā)現(xiàn)漏洞、弱密碼等安全風(fēng)險和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用等異常行為，從而實現(xiàn)對入侵行為實時預(yù)警。

3. Console控制中心：用以給管理人員、運維人員執(zhí)行防御策略管理、資源管理、命令下發(fā)等。以Web控制臺的形式和用戶交互，清晰展示各項安全監(jiān)測和分析結(jié)果，并對重大威脅進行實時告警，幫助用戶更好更快地處理問題，提供集中管理的安全工具，方便用戶進行系統(tǒng)配置和管理、安全響應(yīng)等相關(guān)操作。

三者之間協(xié)調(diào)配合才能做到實時的分析系統(tǒng)狀態(tài)并及時下發(fā)防御策略，并便于安全人員進行日常維護和運營。

HIDS是一款很典型的“云安全”產(chǎn)品，它的Agent安裝在每個云主機上，但大部分功能都在各種集群里，這樣就使得用戶的計算資源開銷會變得很小，因為功能都在“云”上，也就是在遠端的各種服務(wù)器集群上實現(xiàn)了大部分功能。

三、如何選擇一款合適的主機安全產(chǎn)品？

目前，隨著網(wǎng)絡(luò)安全上升到國家戰(zhàn)略高度，國家日益加強對攻防實戰(zhàn)的重視程度，各個組織機構(gòu)越來越重視主機安全能力建設(shè)。但如何在產(chǎn)品琳瑯滿目、能力也稂莠不齊的主機安全市場上，選擇一款合適的產(chǎn)品呢？

1. 主機安全能力評估

企業(yè)在選擇主機安全產(chǎn)品時，首先需要結(jié)合行業(yè)和企業(yè)需求，明確主機安全平臺需具備的主機安全能力。隨著攻擊手段不斷演進，主機安全防護技術(shù)也在持續(xù)更新迭代，衍生出一系列不同細分類別的主機安全產(chǎn)品，其安全能力按照成熟度以及可匹配的用戶需求，可劃分為三個級別：基礎(chǔ)級、增強級和先進級。基礎(chǔ)級技術(shù)能力為資產(chǎn)清點、風(fēng)險發(fā)現(xiàn)、入侵檢測、合規(guī)基線。增強級在基礎(chǔ)級能力之上，還包括病毒查殺、文件完整性、內(nèi)存馬檢測、主機型蜜罐能力。先進級則在增強級之上增加了供應(yīng)鏈安全、微隔離和威脅狩獵能力。

理想條件下，企業(yè)具備的主機安全能力越完善，覆蓋基礎(chǔ)級、增強級、先進級中更多的能力，越能為主機及其承載業(yè)務(wù)提供更好的安全保護。但在企業(yè)實際運營中，不同行業(yè)進行安全建設(shè)的驅(qū)動因素有所不同，且業(yè)務(wù)關(guān)系面臨的風(fēng)險程度存在差異，綜合建設(shè)成本、人才技術(shù)基礎(chǔ)等因素，企業(yè)對各主機安全能力建設(shè)的優(yōu)先級也不盡相同，應(yīng)在人力、財力有限的條件下，優(yōu)先完成最迫切需要的、與業(yè)務(wù)安全要求最匹配的能力建設(shè)。

2. 平臺性能評估

企業(yè)在選擇主機安全平臺時，還需要綜合考慮平臺總體性能，主要包括如下因素：

l 功能豐富性：隨著黑客攻擊方式的不斷迭代，主機安全產(chǎn)品應(yīng)具有豐富的功能以有效檢測攻擊者，能夠做到事前防御，事中實時監(jiān)控，事后進行溯源和研判分析，通過全面覆蓋攻擊全階段，提供專業(yè)化安全保障。青藤萬相采用自適應(yīng)安全架構(gòu)，充分運用云、大數(shù)據(jù)、AI等技術(shù)，打造集“預(yù)測、防御、監(jiān)控和響應(yīng)”一體的安全閉環(huán)。

l 穩(wěn)定性：安全設(shè)備的穩(wěn)定性至關(guān)重要，不能因為安全產(chǎn)品的不穩(wěn)定造成業(yè)務(wù)中斷，讓企業(yè)業(yè)務(wù)遭受損失。輕Agent形態(tài)的主機安全產(chǎn)品則無須修改內(nèi)核、不裝驅(qū)動，通過實時監(jiān)控與分析來發(fā)現(xiàn)威脅，為企業(yè)用戶提供告警。青藤萬相采用輕Agent形式，穩(wěn)定性高達99.9999%，正常的系統(tǒng)負載情況下，CPU占用率<1%，內(nèi)存占用<40M，在系統(tǒng)負載過高時，Agent會主動降級運行，不影響正常業(yè)務(wù)。

l 兼容性：企業(yè)在進行主機安全產(chǎn)品選型時，需要考慮到該產(chǎn)品是否支持物理主機、云主機，是否支持不同的操作系統(tǒng)，是否能夠適用于虛擬機、容器環(huán)境等不同架構(gòu)。青藤萬相通過自主研發(fā)與創(chuàng)新實現(xiàn)對國產(chǎn)操作系統(tǒng)的支持，包括arm、x86全系列國產(chǎn)操作系統(tǒng)，更能夠通過一個Agent，實現(xiàn)主機與容器的全面防護。

l 易用性：無論產(chǎn)品的功能如何強大，若企業(yè)中的相關(guān)人員無法熟練使用，將限制產(chǎn)品價值發(fā)揮。主機安全產(chǎn)品應(yīng)該能夠確保用戶操作和控制軟件系統(tǒng)，完成預(yù)期或指定任務(wù)。青藤萬相功能完備，界面簡潔，使用便捷。

l 可維護性：主機安全產(chǎn)品的可維護性直接影響到對產(chǎn)品的使用體驗和安全人員的工作效率，因此，在選擇主機安全產(chǎn)品時，需要將可維護性考慮在內(nèi)。

3. 權(quán)威認可

在主機安全產(chǎn)品選型過程中，企業(yè)除了需要關(guān)注企業(yè)是否具有相應(yīng)產(chǎn)品的銷售許可資質(zhì)外，還需要關(guān)注產(chǎn)品獲得的權(quán)威認可。獲得的權(quán)威認可越多、權(quán)威性越大，在一定程度上表明產(chǎn)品的可靠性及技術(shù)性能越高。青藤萬相作為主機安全領(lǐng)域的領(lǐng)跑者，多年來，獲得了諸多機構(gòu)的認可：

l 在2020-2022年，沙利文發(fā)布的云主機安全市場報告中，連續(xù)三年入圍領(lǐng)導(dǎo)者象限，綜合競爭力第一，持續(xù)領(lǐng)跑主機安全領(lǐng)域

l 在IDC發(fā)布的《中國云工作負載安全市場份額，2021》報告中排名第二

l 連續(xù)6年入圍Gartner CWPP報告

l 在賽迪發(fā)布的《中國云主機安全市場研究報告（2021)》報告中，市場份額排名第一

l 在國內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機構(gòu)數(shù)世咨詢正式發(fā)布的《主機檢測與響應(yīng)（HDR）能力指南》及HDR能力指南點陣圖中，青藤獲得應(yīng)用創(chuàng)新力和綜合能力“雙料第一”

4. 技術(shù)積淀

對于主機安全產(chǎn)品，技術(shù)積淀的時間越長，功能會越豐富，技術(shù)能力越有深度。在青藤萬相推出8年多的時間里，始終引領(lǐng)國內(nèi)安全領(lǐng)域的創(chuàng)新方向：全面參與行業(yè)頂層設(shè)計，參與6項國標(biāo)、20余項行業(yè)標(biāo)準(zhǔn)編寫工作，獲得50余項發(fā)明專利、80余項軟件著作。同時，青藤在10余家中文核心期刊，發(fā)表了30余項安全研究論文，并編寫出版多本網(wǎng)安專著，包括全球首部ATT&CK專著《ATT&CK框架實踐指南》，以及云原生安全專著《云原生安全技術(shù)實踐指南》，在主機安全能力的深度與廣度方面進行了廣泛的探索與研究。

寫在最后

目前市場上有很多安全產(chǎn)品宣稱可以解決主機側(cè)的安全問題，但大部分都是由其他產(chǎn)品改裝而來的，很難滿足主機側(cè)“安全與穩(wěn)定兼顧”的需求，比如針對PC等終端的EDR等。最有效的主機安全防護產(chǎn)品應(yīng)該是針對主機專門研發(fā)的，充分考慮了主機側(cè)穩(wěn)定需求>安全需求的特性，既能對主機側(cè)的威脅做到及時、有效的檢測，又能保證業(yè)務(wù)的連續(xù)性，結(jié)合相應(yīng)的人工介入來對威脅進行響應(yīng)，以實現(xiàn)對業(yè)務(wù)影響的最小化，建議企業(yè)在進行主機安全產(chǎn)品選型時，能夠參照以上標(biāo)準(zhǔn)。有關(guān)如何選擇主機安全產(chǎn)品的更多信息，您可以可進入青藤云安全官網(wǎng)下載《主機安全能力建設(shè)指南》。

青藤云安全主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全建設(shè)，為政企客戶提供新一代的安全產(chǎn)品和服務(wù)，覆蓋云安全、數(shù)據(jù)安全、供應(yīng)鏈安全、流量安全等眾多領(lǐng)域。公司擁有數(shù)百人的專業(yè)安全服務(wù)團隊，為100+國家重大活動提供安保服務(wù)支撐，全部實現(xiàn)安全0事故。目前，青藤已為來自政府、金融、運營商、能源、電力、制造、互聯(lián)網(wǎng)等行業(yè)的1000+大型客戶，600萬+臺核心服務(wù)器提供穩(wěn)定、高效的安全防護。

songjy