值得收藏!17张图:快速读懂国内首个《主机安全能力建设指南》
在6月10日信通院举办的“安全运营发展论坛”上,青藤与信通院联合发布了国内首个《主机安全能力建设指南》。会上,青藤COO程度对该指南进行了详细解读。指南对主机安全能力发展态势和关键技术要求进行分析,梳理了重点行业主机安全能力建设时的需求优先级和关键点,进一步明确了主机安全建设流程和评估要素,以帮助企业选择满足其需求的产品,构建高效的主机安全能力体系。
(欲了解详情,关注公众号「青藤智库」下载完整报告)
一、主机安全关键能力分析
随着攻击手段不断演进,主机安全防护技术也在持续更新迭代,衍生出一系列不同细分类别的主机安全产品,其安全能力按照成熟度以及可匹配的用户需求,可划分为三个级别:基础级、增强级和先进级。
图1:不同等级的主机安全能力
1、基础级:四大能力
建设基础级主机安全能力的主要企业,主机数量一般少于1000台,安全团队人数在1-5人之间,每年的主机安全预算在20万—100万元之间。这一类企业需要用有限的预算去建设最基础、最重要的安全能力,以解决大部分安全问题,主要包括资产清点、风险发现、入侵检测、合规基线等。
图2:基础级主机安全能力
资产清点:你保护不了你看不到的资产。所有威胁和脆弱性的运营都需要依赖资产展开。为进一步提高大规模集群主机的管理效率,需提高自动化程度,减少人工介入。
图3:资产清点的项目及使用场景价值
风险发现:风险发现能力可以让安全管理人员在攻击入侵发生前进行系统加固,减少风险点存在。
图4:风险发现的使用场景价值
入侵检测:主机入侵检测是指识别主机中发生的入侵事件并分析其入侵迹象的能力,帮助安全人员监控和分析入侵过程,主要包括两种方法:误用检测系统(基于知识的检测)和异常检测系统(基于行为的检测)。
图5:攻击者入侵路径与入侵检测价值
合规基线:合规是企业安全防护的基本准则。企业若基线管理和系统加固存在不足,在突发安全事件时难以进行快速响应和事态控制。
图6:合规基线的三大难题与解决方案
2、增强级:四大能力
建设增强级主机安全能力的主要企业,主机数量一般在1000台—6000台之间,安全团队在5—10人之间,每年的主机安全预算在100万—5000万元之间。这一类企业业务更为复杂,容易受到高级攻击,因此在基础级安全能力外,还需要具备病毒查杀、文件完整性监控与控制、内存马检测、主机型蜜罐等增强级的安全能力。
图7:增强级主机安全能力
病毒查杀:病毒查杀承担主机入口的安保角色,防止恶意程序进入。一方面,提前检测和预防病毒比事后修复耗费更少的时间和财力;另一方面,从 商业 角度看,病毒可能导致客户个人数据泄露或通过钓鱼邮件传播扩散,导致的企业声誉损失难以弥补。
图8:病毒查杀的流程
文件完整性:文件完整性能力对于确保企业信息系统的安全性以及合规性至关重要,可以帮助企业监控关键的系统文件、目录等,以便检测任何未经授权的更改。
图9:文件完整性的基础要求
内存马检测:为提升行为隐秘性和绕过应用规则检测的可能性,基于宏和脚本等的无文件攻击能够实现上述目标,成为趋势,而内存马攻击则为无文件攻击的一种常见攻击类型,最常见的两种手段是内存Webshell和内存恶意代码,相应检测能力十分必要。
图10:内存马检测的能力要求
主机型蜜罐:主机型蜜罐通过布置诱饵主机、网络服务或者文件,诱使攻击方对诱饵进行攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机。
图11:主机型蜜罐的使用场景价值
3、先进级:三大能力
建设先进级主机安全能力的主要企业,主机数量一般在6000台以上,安全团队在10人以上,每年的主机安全预算在500万元以上。此类企业业务价值高,业务关系复杂,对攻击者极具吸引力,易受到来自敌对组织、拥有丰富资源的威胁组织发起的恶意攻击。为此,企业需具备更先进的主机安全能力,包括供应链安全、微隔离和威胁狩猎。
图12:先进级主机安全能力
供应链安全:当企业网络安全能力较强时,攻击者往往将注意力转移至供应商,供应商正在成为供应链上最薄弱的环节,加强供应链安全能力成为企业的必然选择。
图13:供应链安全的治理方式
微隔离:企业数字化转型,业务上云导致传统边界消失。而传统防火墙只对南北向流量有效,东西向无法管控。攻击一旦穿透边界,内网之间的访问缺少授信机制。微隔离架构能够对东西向流量提供防护,契合行业发展需求。
图14:微隔离的四大要求
威胁狩猎:威胁狩猎是一种主动的、假设驱动的威胁发现活动,可帮助企业寻找被动监控功能中没有涵盖的控件、活动或攻击者TTP。
图15:威胁狩猎流程
二、重点行业主机安全能力需求分析
在企业实际运营中,不同行业进行安全建设的驱动因素有所不同,且业务关系面临的风险程度存在差异,综合建设成本、人才技术基础等因素,企业对各主机安全能力建设的优先级也不尽相同,应在人力、财力有限的条件下,优先完成最迫切需要的、与业务安全要求最匹配的能力建设。下图展示了不同行业对各主机安全能力的需求优先级。
图16:不同行业对主机安全能力的需求优先级
三、主机安全建设流程
企业基于主机安全平台构建主机安全能力时,存在两方面问题,一是主机安全产品作为相对较新的产品类别,尤其是基于Agent模式的产品形态,许多企业对其还不够熟悉,需要一定时间才能充分利用这些系统;二是企业存在自身独特需求,单个企业中的不同部门也可能存在自己的特殊需求,比如安全部门和运维部门,需要将需求划分为不同的优先级。因此,企业在进行主机安全能力建设时,既需要结合行业和企业需求,明确平台需具备的主机安全能力,同时也需要综合考虑平台总体性能。在评估主机安全平台的能力时,主要包括以下几个方面:
图17:主机安全平台能力的评估要素
除此之外,企业在构建主机安全能力,需要外采主机安全产品时,还需要考虑到资质评估、成本评估和合同签订等考因素。
四、总结
在整个安全防护体系中,主机上承载着企业的核心业务与数据,是攻击者最青睐的攻击对象,也是攻击者最后的活动阵地。守卫安全最后一公里,主机安全成为关键。但在主机安全建设方面,不同行业、不同发展阶段的企业所需要的安全能力侧重点有所不同。一方面,企业要结合行业和企业需求,明确平台需具备的主机安全能力,另一方面也需要综合考虑平台总体性能,并综合考虑资质评估、成本评估、合同签订等多个因素。《主机安全能力建设指南》通过分析发展态势和关键技术要求,梳理重点行业主机安全能力建设时的需求优先级和关键点,明确了主机安全建设流程和评估要素,可以帮助企业选择满足其需求的产品,构建高效的主机安全能力体系。