当前,云计算已经发展成为企业IT架构的基础设施。而云主机安全始终是备受关注的领域,企业不再犹豫是否上云,而是重点关注如何做好云主机安全,守护好安全的最后一道防线。目前,市场上存在着琳琅满目的云主机安全安全品,企业该如何选择一款适合自己的产品呢?
图1 青藤综合竞争力排名第一
一、主机安全产品指的是什么?
主机安全产品,顾名思义就是保护主机安全的产品。这是一种颇具历史感的安全产品,在安全界与“防火墙”“DDoS高防”合称“老三样”,是保护主机的必备良药。主机安全产品种类繁多、名目不一,但一般常见的有两种:
一种是NIDS,全称为Network Intrusion Detection System,即网络入侵检测系统。NIDS通过测探进入主机的网络流量来判断有没有发生攻击,但这种方式需要消耗的资源比较多,市面上较为少见,本文不做讨论。
另一种是HIDS,全称为Host-based Intrusion Detection System,即基于主机型入侵检测系统。HIDS通过在主机里安装Agent来测探各种信息以判断是否有异常或者攻击发生,这是最通用的一种主机安全产品。对云上的用户来说,云主机安全产品主要是HIDS,例如,市场上比较有代表性的产品——青藤万相·主机自适应安全平台就是典型的HIDS。
形象地说,云主机是个房子,而HIDS是一个体系,它首先把一个摄像头(专业术语叫Agent或者代理)装在房子里,然后启动摄像头在云主机系统里东看看西看看,比如看看系统日志、看看系统文件、看看进程、看看系统配置,看谁在系统里搞事情、有没有留下什么蛛丝马迹,一旦发现有人搞事情,HIDS就会上报给远端的服务器并发出告警。
二、HIDS的组成是怎么样的?
上面说到的摄像头,只是HIDS组件的一个部分,完整的HIDS产品架构图如下:
图2 HIDS产品架构图
它主要由3大部分组成,包括Agent、Engine安全引擎、Console控制中心。其中:
1. Agent:相当于主机里的摄像头,作用是检测系统文件变更、检测服务器状态、上传日志、下发操作指令等。Agent只需要一条命令就能在主机上完成安装,且自动适配各种物理机、虚拟机和云环境,运行稳定、消耗低,能够持续收集主机进程、端口和账号信息,并实时监控进程、网络连接等行为,还能与Server端通信,执行其下发的任务,主动发现主机问题。
2. Engine安全引擎:作为核心平台的信息处理中枢,支持横向扩展分布式部署,能够持续分析检测从各个Agent上接收到的信息和行为并进行保存,可从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为,从而实现对入侵行为实时预警。
3. Console控制中心:用以给管理人员、运维人员执行防御策略管理、资源管理、命令下发等。以Web控制台的形式和用户交互,清晰展示各项安全监测和分析结果,并对重大威胁进行实时告警,帮助用户更好更快地处理问题,提供集中管理的安全工具,方便用户进行系统配置和管理、安全响应等相关操作。
三者之间协调配合才能做到实时的分析系统状态并及时下发防御策略,并便于安全人员进行日常维护和运营。
HIDS是一款很典型的“云安全”产品,它的Agent安装在每个云主机上,但大部分功能都在各种集群里,这样就使得用户的计算资源开销会变得很小,因为功能都在“云”上,也就是在远端的各种服务器集群上实现了大部分功能。
三、如何选择一款合适的主机安全产品?
目前,随着网络安全上升到国家战略高度,国家日益加强对攻防实战的重视程度,各个组织机构越来越重视主机安全能力建设。但如何在产品琳琅满目、能力也稂莠不齐的主机安全市场上,选择一款合适的产品呢?
企业在选择主机安全产品时,首先需要结合行业和企业需求,明确主机安全平台需具备的主机安全能力。随着攻击手段不断演进,主机安全防护技术也在持续更新迭代,衍生出一系列不同细分类别的主机安全产品,其安全能力按照成熟度以及可匹配的用户需求,可划分为三个级别:基础级、增强级和先进级。基础级技术能力为资产清点、风险发现、入侵检测、合规基线。增强级在基础级能力之上,还包括病毒查杀、文件完整性、内存马检测、主机型蜜罐能力。先进级则在增强级之上增加了供应链安全、微隔离和威胁狩猎能力。
图3 不同等级的主机安全能力
图4 不同行业对主机安全能力的需求优先级
企业在选择主机安全平台时,还需要综合考虑平台总体性能,主要包括如下因素:
功能丰富性:随着黑客攻击方式的不断迭代,主机安全产品应具有丰富的功能以有效检测攻击者,能够做到事前防御,事中实时监控,事后进行溯源和研判分析,通过全面覆盖攻击全阶段,提供专业化安全保障。青藤万相采用自适应安全架构,充分运用云、大数据、AI等技术,打造集“预测、防御、监控和响应”一体的安全闭环。
可维护性:主机安全产品的可维护性直接影响到对产品的使用体验和安全人员的工作效率,因此,在选择主机安全产品时,需要将可维护性考虑在内。
在主机安全产品选型过程中,企业除了需要关注企业是否具有相应产品的销售许可资质外,还需要关注产品获得的权威认可。获得的权威认可越多、权威性越大,在一定程度上表明产品的可靠性及技术性能越高。青藤万相作为主机安全领域的领跑者,多年来,获得了诸多机构的认可:
▶在2020-2022年,沙利文发布的云主机安全市场报告中,连续三年入围领导者象限,综合竞争力第一,持续领跑主机安全领域
▶在IDC发布的《中国云工作负载安全市场份额,2021》报告中排名第二
▶连续6年入围Gartner CWPP报告
▶在赛迪发布的《中国云主机安全市场研究报告(2021)》报告中,市场份额排名第一
▶在国内数字化产业第三方调研与咨询机构数世咨询正式发布的《主机检测与响应(HDR)能力指南》及HDR能力指南点阵图中,青藤获得应用创新力和综合能力“双料第一”
对于主机安全产品,技术积淀的时间越长,功能会越丰富,技术能力越有深度。在青藤万相推出8年多的时间里,始终引领国内安全领域的创新方向:全面参与行业顶层设计,参与6项国标、20余项行业标准编写工作,获得50余项发明专利、80余项软件著作。同时,青藤在10余家中文核心期刊,发表了30余项安全研究论文,并编写出版多本网安专著,包括全球首部ATT&CK专著《ATT&CK框架实践指南》,以及云原生安全专著《云原生安全技术实践指南》,在主机安全能力的深度与广度方面进行了广泛的探索与研究。
写在最后
目前市场上有很多安全产品宣称可以解决主机侧的安全问题,但大部分都是由其他产品改装而来的,很难满足主机侧“安全与稳定兼顾”的需求,比如针对PC等终端的EDR等。最有效的主机安全防护产品应该是针对主机专门研发的,充分考虑了主机侧稳定需求>安全需求的特性,既能对主机侧的威胁做到及时、有效的检测,又能保证业务的连续性,结合相应的人工介入来对威胁进行响应,以实现对业务影响的最小化,建议企业在进行主机安全产品选型时,能够参照以上标准。有关如何选择主机安全产品的更多信息,可以点击图片,阅读完整报告。
-完-