近日，騰訊安全與騰訊標準聯合中國產業互聯網發展聯盟（IDAC）、青藤云安全等生態伙伴共同發布《2019中國主機安全服務報告》（以下簡稱“報告”）。報告由騰訊基礎安全主機團隊與青藤云安全團隊聯合主筆，站在宏觀角度對2019年主機安全行業現狀和未來發展趨勢進行了研究與解讀。《報告》詳細闡述了目前主機領域的資產安全問題與主要風險場景，系統地梳理在市場需求側主機安全的產品類型和相關技術分析，同時也為企業在等保2.0、云環境下主機安全的合規標準判定以及全周期防護實踐提供了指導建議。

《報告》指出，在5G、人工智能、工業互聯網、物聯網高速發展過程中，信息安全邊界正在逐步擴大、與黑產的攻防對抗愈演愈烈，以數據為載體的企業數字資產面臨極大威脅，主機作為企業數字資產最后也是最重要的一道門，其安全不容忽視。目前，主機安全正隨著市場環境變化向檢測響應、隔離控制、行為檢測的方向轉型；未來，主動檢測、快速響應、安全適配會成為主機安全防護方式的進化趨勢。

主機安全風險研究：漏洞和病毒成為黑客的突破口

主機作為承載公司業務及內部運轉的底層平臺，既可以為內部和外部用戶提供各種服務，也可以用來存儲或者處理組織機構的敏感信息，所承載的數據和服務價值使其成為備受黑客青睞的攻擊對象。隨著產業互聯網的發展和新技術的廣泛應用，傳統安全邊界逐漸消失，網絡環境中的主機資產盲點成倍增加，黑客入侵、數據泄露、惡意軟件感染以及不合規的風險也在隨之攀升。

通過大量的企業級主機核心資產樣本分析，《報告》從主機資產、主機風險、主機入侵分析、主機合規分析四個方面對整個2019年主機安全情況進行了系統的掃描診斷。其中指出，由配置錯誤、代碼問題、軟件缺陷等原因引發的漏洞問題，已經成為大規模網絡與信息安全事件和重大信息泄露事件的主要原因之一；尤其是針對老舊資產，補丁修復嚴重不足，因此這些漏洞成為了黑客入侵的突破口。

除了漏洞風險以外，高危端口的開放、軟件的弱密碼、不合規配置的高危賬號和各種病毒也是嚴重威脅主機安全的諸多因素。值得一提的是，風險軟件和后門遠控類木馬在染毒事件中分別占比40%和20%，因上網不良習慣及缺乏安全意識造成的風險軟件對教育行業影響較大，具有較高隱蔽性、能接受遠程指令的后門遠控木馬則對金融科技等信息敏感行業造成嚴重危害。

綜上所述，安全運維人員需要通過滿足合規標準的主機安全防護產品和風險評估工具，對安全補丁、漏洞、弱密碼、應用風險、賬號風險等進行檢測、移除和控制，以減少黑客的攻擊面。

主機安全產品掃描：核心能力逐步遷移 構建完整產品體系

進入產業互聯網時代，一方面，企業被動防御和阻止模式的防護體系已無法完全抵御高速演進的黑客攻擊手段和復雜多變的主機安全風險，另一方面，產業生態系統任何一個價值鏈被攻破都有可能引發整個生態系統的連鎖損失，而主機作為企業的底層平臺幾乎全程抗壓——為實現有效防護，隨著外在環境的不斷進化，主機安全產品也在持續地更新迭代，逐漸形成了一套體系健全、有針對性的產品矩陣。

按防護策略和安全技術的從低到高，主機安全的產品核心能力出現了四次遷移。《報告》描繪了從一開始僅具備資產探測和殺毒軟件的基礎型主機安全產品，到以應用為核心、以檢測響應為核心、以主動防御為核心、最后滿足新形態下的精細化主機安全產品，主機安全產品正從基礎的被動防御向全生命周期、全流程的主動防護方向進化。

未來，隨著產品成熟度不斷提高，以“檢測能力、響應能力、架構適配能力、滿足合規要求能力”為核心的四大主機產品能力將成為用戶進行產品選型的核心參考指標和產品發展的關鍵方向。

主機安全技術：持續檢測、快速響應、全面適配

5G、人工智能、工業互聯網、物聯網共同構架的“新基建”正在以蓬勃之勢發展，以容器、微服務、Serverless為代表的云原生技術使得企業 IT 架構發生了巨大變化，這給各行各業數字化轉型帶來前所未有的機遇和挑戰，產業安全進入了“無人區”。面對不可預知的未來，主機安全需要像自適應安全架構那樣繼續朝著“持續增強的檢測、響應以及架構適配”方向前進。

1.持續檢測是基礎。研究表明，網絡攻擊者平均在99天內不會被發現，超過53%的受害者是在外部通知后才知道被攻擊的。與攻擊駐留時間相對應的是防御發現時間，防守者平均需要170天才能檢測到一個高級威脅。過去，由于檢測技術單一、缺乏持續檢測、無法聯合行動等種種原因，很多企業即使構筑了一定的安全防御體系依然無法及時發現或有效阻止威脅。《報告》以ATT&CK框架為例，分析攻擊者在攻擊主機時經常采用的一些套路和建議應對措施。

2.快速響應是動力。強調入侵后的快速響應能力，在當前日趨激烈的安全攻防對抗中顯得尤為關鍵。企業組織要在已遭受攻擊的假定前提下，構建集防御、檢測、響應和預防于一體的全新安全防護體系。例如遭遇惡意挖礦、內網入侵、勒索病毒、網頁掛馬等事件，快速響應作為安全的“吹哨者”能幫助企業在第一時間展開防御能力的釋放、最大程度降低損失。建立完善的響應流程，包括查詢、排序、可視化、獲取、分析、工作流七大階段的工作。

3.全面適配是未來。隨著云計算市場快速發展，多云、云原生等新型架構的出現讓主機安全直面新挑戰——各大云服務商、安全廠商、企業組織都在積極轉型應對，這就導致原有的主機安全產品勢必也要適配這些新的架構。《報告》遴選并深入解讀了云原生的安全運營中心、容器安全解決方案和云工作負載的保護三個方面對新型架構下的主機安全的適配能力。

主機安全駛入標準軌道 四步加速安全防護實踐落地

近年來為加速建設數字中國，互聯網管理和建設正日趨完善。《報告》提到，新型基礎設施的應用將帶來大量的工作和生活形式甚至個人身份信息化的變化，云計算、物聯網、人工智能、5G通信設施等新技術對于主機如何保障應用安全、數據安全、個人信息保護帶來了更高層面的安全挑戰。“道路千萬條，安全第一條”，各項互聯網法律法規的制定實施構筑了一條標準軌道，保障企業駛入安全可控的道路，加快數字化轉型進程。等保2.0、云等保合規、建設“新基建”趨勢下的新型主機安全標準等相關政策法規的出臺，為主機安全防護設定了基準線，以適應現階段網絡安全的新形勢、新變化以及新技術、新應用發展的要求。

《報告》還對主機安全的防護實踐提出了運營建議。《報告》從主機安全的不同層面出發，強調企業應針對制定主機安全計劃、底層操作系統安全、主機運行軟件安全、持續主機運維這四步有條不紊地推進，構建全方位防護體系，加速主機安全的落地實踐。相關示例的實踐最佳方法對于各企業的主機安全防護具有一定的指導和借鑒作用。

產業互聯網時代，5G、AI、云計算等新一代信息技術與應用不斷深化，加速了各行業數字化和產業升級的進程。安全關乎企業的生產和發展。面對復雜的網絡安全形勢，主機安全作為企業安全最后也是最重要的一道門，需要通過持續的產品優化和技術完善來建立全面適配、全生命周期防護的安全體系。騰訊安全將繼續依托自身深入產業互聯網實踐所積累的技術、人才與生態優勢進行能力釋放，并聯合生態伙伴在更多的領域探索，提供出更多的主機安全能力應用和技術建設標準，為新型基礎設施建設貢獻騰訊智慧“科技向善”。

責任編輯：gt