01 引言

隨著信息技術(shù)的發(fā)展，特別是云計算時代各類算力資源池交付變得越來越靈活和開放，相應(yīng)的網(wǎng)絡(luò)區(qū)域和安全邊界變得越來越模糊，單獨依托網(wǎng)絡(luò)安全域邊界安全防護已難以完全滿足日益嚴(yán)峻的安全威脅。網(wǎng)絡(luò)攻擊也向著分布化、規(guī)?；?fù)雜化的趨勢發(fā)展，APT高級攻擊威脅層出不窮、木馬病毒持續(xù)泛濫、0DAY漏洞精準(zhǔn)突襲。主機作為攻擊者最后的著陸點，是攻擊鏈中無法繞過的環(huán)節(jié)，主機安全在縱深安全防御體系中起到了尤為關(guān)鍵的作用。為此，G行開展了基于主機安全能力框架的安全建設(shè)和運營，旨在打造具備持續(xù)監(jiān)控分析、安全協(xié)同聯(lián)動的主機安全能力，保障企業(yè)安全的最后一公里。

02 主機安全能力框架介紹

主流的主機安全能力框架是基于Gartner在2016年提出的主機安全能力塔模型，即云工作負(fù)載保護平臺（Cloud Workload Protection Platform），主要為現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)中工作負(fù)載提供保護策略，并提供對所有服務(wù)器工作負(fù)載持續(xù)地可視化監(jiān)控。

圖1 主機安全能力模型

以上為Gartner最新的主機安全能力金字塔模型，各層措施對應(yīng)的技術(shù)點如下：

圖片

表1 CWPP控制措施及技術(shù)點

G行基于主機安全能力模型，結(jié)合國內(nèi)安全現(xiàn)狀和實際需求情況，以“先基礎(chǔ)落地、后擴展增強”的原則，梳理出如下建設(shè)路徑：

圖片

表2 CWPP建設(shè)路徑規(guī)劃

目前G行第一階段建設(shè)相關(guān)內(nèi)容已完成實施落地，第二階段建設(shè)正在積極調(diào)研試點中。

03 G行主機安全能力建設(shè)實踐

3.1主機安全平臺建設(shè)

（1）平臺架構(gòu)

主機安全平臺核心架構(gòu)主要由Agent主機探針、Server安全引擎和Web控制中心三部分構(gòu)成，提供基礎(chǔ)、靈活、穩(wěn)固的主機安全能力支持。平臺主要功能包含資產(chǎn)清點、風(fēng)險發(fā)現(xiàn)、入侵檢測等。

Agent主機探針：適配各種物理機、虛擬機和云環(huán)境主機，能夠持續(xù)收集主機進(jìn)程、端口、賬號、應(yīng)用配置等信息，并實時監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為，與Server端通信，執(zhí)行其下發(fā)的任務(wù)，主動發(fā)現(xiàn)主機側(cè)安全問題。

Server安全引擎：Server安全引擎作為核心平臺的信息處理中樞，實現(xiàn)人機交互的主機安全態(tài)勢實時監(jiān)控、風(fēng)險分析和平臺配置管理，通過Agent主機探針管理和數(shù)據(jù)交互，持續(xù)進(jìn)行數(shù)據(jù)分析檢測，從各維度信息中發(fā)現(xiàn)漏洞、弱口令等安全風(fēng)險和后門程序、暴力破解、動態(tài)蜜罐訪問、Web命令執(zhí)行等異常行為，對入侵行為進(jìn)行實時預(yù)警。

Web控制中心：平臺管理界面以Web控制臺的形式進(jìn)行交互，展示各項安全檢測和分析結(jié)果，對重大威脅進(jìn)行實時預(yù)警，提供集中管理的安全工具，便于運維安全管理員進(jìn)行系統(tǒng)配置和管理、安全響應(yīng)等相關(guān)操作。

圖2 主機安全平臺核心架構(gòu)

（2）部署覆蓋情況

G行主機安全平臺已覆蓋包括總行、分行、子公司及信用卡中心生產(chǎn)辦公、開發(fā)測試等環(huán)境的物理機、虛擬機和云主機，通過系統(tǒng)鏡像母帶安裝、定期差量對比推送等方式確保各類主機全覆蓋部署，實現(xiàn)資產(chǎn)數(shù)據(jù)每日清點、安全風(fēng)險掃描檢測、威脅行為實時監(jiān)測的主機安全防護體系。

3.2 主機安全資產(chǎn)管理

NIST發(fā)布的《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》中提到IPDRR模型，其中的I(identify識別)，強調(diào)了首先要對資產(chǎn)進(jìn)行識別和管理。GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》中，對資產(chǎn)識別的要求如下：

圖3 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護資產(chǎn)識別要求

可見全量的資產(chǎn)識別是開展安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等活動的基礎(chǔ)，是安全工作的前提。對于主機安全的認(rèn)知基礎(chǔ)來源于對主機資產(chǎn)的了解程度，資產(chǎn)要求“看得全、理得清、查得到”。

傳統(tǒng)資產(chǎn)主要是系統(tǒng)名稱、管理員、IP地址、操作系統(tǒng)類型等維度的運維資產(chǎn)，攻擊者關(guān)心的資產(chǎn)往往是主機上運行的進(jìn)程、應(yīng)用、數(shù)據(jù)庫、Web站點框架等業(yè)務(wù)資產(chǎn)，攻防信息的不對稱將導(dǎo)致安全防護工作不夠聚焦，資產(chǎn)風(fēng)險未能提前識別。主機安全平臺資產(chǎn)管理功能從安全角度出發(fā)，自動化構(gòu)建細(xì)粒度資產(chǎn)信息，通過對主機、系統(tǒng)、應(yīng)用、Web等資產(chǎn)的精準(zhǔn)識別和動態(tài)感知，讓保護對象清晰可見。

圖片

表3 資產(chǎn)管理識別內(nèi)容

（1）資產(chǎn)信息自動構(gòu)建

通過安裝云主機Agent，可從正在運行的主機環(huán)境中反向自動化構(gòu)建主機業(yè)務(wù)資產(chǎn)結(jié)構(gòu)，對 Web服務(wù)、Web站點、Web框架、數(shù)據(jù)庫等業(yè)務(wù)型資產(chǎn)進(jìn)行資產(chǎn)建模，與CMDB等行內(nèi)系統(tǒng)信息形成互補。資產(chǎn)信息上報至Web控制中心，實現(xiàn)集中統(tǒng)?管理，確保安全覆蓋無死角。

（2）資產(chǎn)變化實時通知

在清點資產(chǎn)后，保持對資產(chǎn)的持續(xù)監(jiān)控，在主機賬號、進(jìn)程、端口、數(shù)據(jù)庫、Web站點等資產(chǎn)發(fā)生變化時，平臺能夠及時進(jìn)行更新，確保監(jiān)控數(shù)據(jù)與實際業(yè)務(wù)數(shù)據(jù)?致，實現(xiàn)資產(chǎn)動態(tài)保護。

（3）資產(chǎn)信息快速定位

結(jié)合通用安全檢查規(guī)范與安全事件的數(shù)據(jù)查詢需求，形成細(xì)粒度資產(chǎn)清點體系；通過主機視角、資產(chǎn)視角、概覽視圖、分級視圖等多維度視圖和多角度搜索工具，實現(xiàn)關(guān)鍵資產(chǎn)信息快速定位。

通過資產(chǎn)管理，自動化采集主機、系統(tǒng)、應(yīng)用、Web等資產(chǎn)相關(guān)信息，實現(xiàn)資產(chǎn)全量識別納管；同時通過Kafka接口與安全態(tài)勢感知平臺對接，實現(xiàn)資產(chǎn)數(shù)據(jù)的統(tǒng)一分析。通過持續(xù)對不合規(guī)資產(chǎn)、脆弱性資產(chǎn)、可疑資產(chǎn)等進(jìn)行及時排查和跟蹤，對高危中間件、Web框架、Jar包等進(jìn)行提前梳理，實現(xiàn)對于0day漏洞風(fēng)險資產(chǎn)的快速排查定位。

3.3 主機安全風(fēng)險識別能力

據(jù)數(shù)據(jù)顯示，90%的攻擊事件都是由漏洞利用產(chǎn)生，隨著攻擊手段的不斷變化及安全漏洞的層出不窮，網(wǎng)絡(luò)安全狀況變得日益嚴(yán)峻。同時傳統(tǒng)的漏掃設(shè)備多為按季度或按年的周期性掃描，在未進(jìn)行漏掃檢測期間，新的漏洞存在識別空窗期，易被黑客利用。主機安全平臺通過持續(xù)性的監(jiān)測分析，化被動為主動，及時發(fā)現(xiàn)系統(tǒng)未安裝的重要補丁、檢測真實可利用的系統(tǒng)漏洞、識別配置缺陷導(dǎo)致的安全風(fēng)險，深入發(fā)現(xiàn)主機系統(tǒng)脆弱性，持續(xù)有效地對風(fēng)險進(jìn)行監(jiān)測及預(yù)警。

圖4 風(fēng)險識別檢測內(nèi)容

（1）提高攻擊門檻

在資產(chǎn)細(xì)粒度清點的基礎(chǔ)上，平臺能夠持續(xù)、全面地發(fā)現(xiàn)潛在漏洞風(fēng)險及安全薄弱點，同時根據(jù)多維度風(fēng)險分析及處理建議，提示管理員及時處理修復(fù)重要風(fēng)險，從而提高系統(tǒng)的攻擊門檻。

（2）風(fēng)險內(nèi)容可視

持續(xù)性監(jiān)測所有主機安全狀況，圖形化展現(xiàn)安全指標(biāo)變化、安全走勢分析、風(fēng)險分析結(jié)果和風(fēng)險處理進(jìn)度等風(fēng)險場景，提供可視化風(fēng)險分析報告，使主機安全狀況的處置進(jìn)展清晰可衡量。

（3）持續(xù)監(jiān)測分析

主動持續(xù)性地監(jiān)控所有主機上的軟件漏洞、弱口令、應(yīng)用風(fēng)險、系統(tǒng)風(fēng)險等，并根據(jù)漏洞威脅等級進(jìn)行風(fēng)險分析，定位急需處理的風(fēng)險，快速解決潛在威脅。持續(xù)更新漏洞特征及漏洞利用方法，不斷提升漏洞檢測能力。

通過風(fēng)險識別，在主機內(nèi)部以白盒視角進(jìn)行漏洞和弱口令掃描發(fā)現(xiàn)，有效提高掃描覆蓋效率和準(zhǔn)確率。設(shè)置每日凌晨自動進(jìn)行漏洞風(fēng)險和弱口令檢測，并對已修復(fù)情況進(jìn)行統(tǒng)計更新，便于后續(xù)分析及跟進(jìn)修復(fù)進(jìn)展。

3.4 主機安全入侵檢測

當(dāng)前的攻擊手段千變?nèi)f化，但是攻擊者一旦攻擊成功后要做的后續(xù)操作基本一致，攻擊者不管使用多么高級的攻擊手法，無論是0day、Nday、還是內(nèi)存馬，只要攻擊產(chǎn)生，就會在主機上觸發(fā)對應(yīng)進(jìn)程、命令操作、文件、內(nèi)存、網(wǎng)絡(luò)連接等相關(guān)數(shù)據(jù)指標(biāo)的變化。主機安全平臺通過對主機的暴力破解、反彈shell、系統(tǒng)提權(quán)、Webshell、內(nèi)存后門等入侵行為進(jìn)行實時監(jiān)控，對黑客行為進(jìn)行多維度監(jiān)測，能夠快速發(fā)現(xiàn)入侵行為。通過設(shè)立特征錨點、分析行為模式、建立關(guān)系模型等手段，對黑客在內(nèi)網(wǎng)的入侵攻擊鏈進(jìn)行多層次監(jiān)測，實時感知入侵事件，發(fā)現(xiàn)失陷主機。

圖片

圖5 攻擊鏈多瞄點監(jiān)測

（1）實時發(fā)現(xiàn)失陷主機

通過多維度的感知疊加能力，對攻擊路徑的各個節(jié)點進(jìn)行深入監(jiān)控，具備全方位、高實時的攻擊監(jiān)控能力，對進(jìn)程變化、文件變化、異常登錄等事件洞若觀火，能夠?qū)崟r發(fā)現(xiàn)失陷主機，對入侵行為進(jìn)行預(yù)警。

（2）檢測未知惡意攻擊

結(jié)合專家經(jīng)驗、威脅情報、大數(shù)據(jù)、機器學(xué)習(xí)等多種分析方法，通過對主機運行環(huán)境的實時監(jiān)控，能夠發(fā)現(xiàn)包括“0Day”在內(nèi)的未知異常行為，彌補基于攻擊特征的檢測能力不足，應(yīng)對突發(fā)的新型漏洞和未知的攻擊手段。

（3）業(yè)務(wù)系統(tǒng)“零”影響

Agent以輕量高效的特性運行，實時感知主機性能負(fù)載，動態(tài)調(diào)整運行狀態(tài)，在保證對主機安全監(jiān)控的前提下，不會對業(yè)務(wù)系統(tǒng)運行產(chǎn)生影響，為主機安全提供高效持續(xù)的保護。

（4）主機蜜罐大作用

在具體運維安全建設(shè)實踐中，結(jié)合網(wǎng)絡(luò)、完全和系統(tǒng)層面技術(shù)規(guī)范配置，建立主機蜜罐，擴大異常檢測范圍，快速定位攻擊源頭。通過主機入侵檢測能力，建立基于攻擊打點、執(zhí)行、持久化、橫向滲透等黑客攻擊路徑上的多瞄點追蹤技術(shù)，實現(xiàn)對于可疑命令執(zhí)行、Web后門等互聯(lián)網(wǎng)打點攻擊實時監(jiān)測，應(yīng)對代理穿透、遠(yuǎn)控木馬、文件篡改等主機持久化攻擊操作；同時通過主機高危端口蜜罐、暴力破解、異常登錄監(jiān)控等識別橫向滲透攻擊。

04 總結(jié)與展望

在“打造一流財富管理銀行”戰(zhàn)略愿景和“123+N”數(shù)字銀行發(fā)展體系的指導(dǎo)下，G行互聯(lián)網(wǎng)線上化業(yè)務(wù)越來越多，攻擊暴露面也隨之變大，運維安全工作的重心也由單一邊界堡壘式防御轉(zhuǎn)向基于對互聯(lián)網(wǎng)資產(chǎn)全面梳理后的各類威脅檢測、云主機入侵檢測識別分析和溯源響應(yīng)等維度。本文從主機安全能力金字塔模型角度介紹了G行主機安全運營建設(shè)實踐，后續(xù)將結(jié)合科技運營維護工作實際，持續(xù)調(diào)研和創(chuàng)新，不斷優(yōu)化和完善縱深安全防御體系，護航業(yè)務(wù)系統(tǒng)高質(zhì)量發(fā)展。