01 引言

隨著信息技術的發(fā)展，特別是云計算時代各類算力資源池交付變得越來越靈活和開放，相應的網(wǎng)絡區(qū)域和安全邊界變得越來越模糊，單獨依托網(wǎng)絡安全域邊界安全防護已難以完全滿足日益嚴峻的安全威脅。網(wǎng)絡攻擊也向著分布化、規(guī)?；碗s化的趨勢發(fā)展，APT高級攻擊威脅層出不窮、木馬病毒持續(xù)泛濫、0DAY漏洞精準突襲。主機作為攻擊者最后的著陸點，是攻擊鏈中無法繞過的環(huán)節(jié)，主機安全在縱深安全防御體系中起到了尤為關鍵的作用。為此，G行開展了基于主機安全能力框架的安全建設和運營，旨在打造具備持續(xù)監(jiān)控分析、安全協(xié)同聯(lián)動的主機安全能力，保障企業(yè)安全的最后一公里。

02 主機安全能力框架介紹

主流的主機安全能力框架是基于Gartner在2016年提出的主機安全能力塔模型，即云工作負載保護平臺（Cloud Workload Protection Platform），主要為現(xiàn)代混合多云數(shù)據(jù)中心架構中工作負載提供保護策略，并提供對所有服務器工作負載持續(xù)地可視化監(jiān)控。

圖1 主機安全能力模型

以上為Gartner最新的主機安全能力金字塔模型，各層措施對應的技術點如下：

圖片

表1 CWPP控制措施及技術點

G行基于主機安全能力模型，結合國內安全現(xiàn)狀和實際需求情況，以“先基礎落地、后擴展增強”的原則，梳理出如下建設路徑：

圖片

表2 CWPP建設路徑規(guī)劃

目前G行第一階段建設相關內容已完成實施落地，第二階段建設正在積極調研試點中。

03 G行主機安全能力建設實踐

3.1主機安全平臺建設

（1）平臺架構

主機安全平臺核心架構主要由Agent主機探針、Server安全引擎和Web控制中心三部分構成，提供基礎、靈活、穩(wěn)固的主機安全能力支持。平臺主要功能包含資產清點、風險發(fā)現(xiàn)、入侵檢測等。

Agent主機探針：適配各種物理機、虛擬機和云環(huán)境主機，能夠持續(xù)收集主機進程、端口、賬號、應用配置等信息，并實時監(jiān)控進程、網(wǎng)絡連接等行為，與Server端通信，執(zhí)行其下發(fā)的任務，主動發(fā)現(xiàn)主機側安全問題。

Server安全引擎：Server安全引擎作為核心平臺的信息處理中樞，實現(xiàn)人機交互的主機安全態(tài)勢實時監(jiān)控、風險分析和平臺配置管理，通過Agent主機探針管理和數(shù)據(jù)交互，持續(xù)進行數(shù)據(jù)分析檢測，從各維度信息中發(fā)現(xiàn)漏洞、弱口令等安全風險和后門程序、暴力破解、動態(tài)蜜罐訪問、Web命令執(zhí)行等異常行為，對入侵行為進行實時預警。

Web控制中心：平臺管理界面以Web控制臺的形式進行交互，展示各項安全檢測和分析結果，對重大威脅進行實時預警，提供集中管理的安全工具，便于運維安全管理員進行系統(tǒng)配置和管理、安全響應等相關操作。

圖2 主機安全平臺核心架構

（2）部署覆蓋情況

G行主機安全平臺已覆蓋包括總行、分行、子公司及信用卡中心生產辦公、開發(fā)測試等環(huán)境的物理機、虛擬機和云主機，通過系統(tǒng)鏡像母帶安裝、定期差量對比推送等方式確保各類主機全覆蓋部署，實現(xiàn)資產數(shù)據(jù)每日清點、安全風險掃描檢測、威脅行為實時監(jiān)測的主機安全防護體系。

3.2 主機安全資產管理

NIST發(fā)布的《提升關鍵基礎設施網(wǎng)絡安全框架》中提到IPDRR模型，其中的I(identify識別)，強調了首先要對資產進行識別和管理。GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》中，對資產識別的要求如下：

圖3 關鍵信息基礎設施安全保護資產識別要求

可見全量的資產識別是開展安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等活動的基礎，是安全工作的前提。對于主機安全的認知基礎來源于對主機資產的了解程度，資產要求“看得全、理得清、查得到”。

傳統(tǒng)資產主要是系統(tǒng)名稱、管理員、IP地址、操作系統(tǒng)類型等維度的運維資產，攻擊者關心的資產往往是主機上運行的進程、應用、數(shù)據(jù)庫、Web站點框架等業(yè)務資產，攻防信息的不對稱將導致安全防護工作不夠聚焦，資產風險未能提前識別。主機安全平臺資產管理功能從安全角度出發(fā)，自動化構建細粒度資產信息，通過對主機、系統(tǒng)、應用、Web等資產的精準識別和動態(tài)感知，讓保護對象清晰可見。

圖片

表3 資產管理識別內容

（1）資產信息自動構建

通過安裝云主機Agent，可從正在運行的主機環(huán)境中反向自動化構建主機業(yè)務資產結構，對 Web服務、Web站點、Web框架、數(shù)據(jù)庫等業(yè)務型資產進行資產建模，與CMDB等行內系統(tǒng)信息形成互補。資產信息上報至Web控制中心，實現(xiàn)集中統(tǒng)?管理，確保安全覆蓋無死角。

（2）資產變化實時通知

在清點資產后，保持對資產的持續(xù)監(jiān)控，在主機賬號、進程、端口、數(shù)據(jù)庫、Web站點等資產發(fā)生變化時，平臺能夠及時進行更新，確保監(jiān)控數(shù)據(jù)與實際業(yè)務數(shù)據(jù)?致，實現(xiàn)資產動態(tài)保護。

（3）資產信息快速定位

結合通用安全檢查規(guī)范與安全事件的數(shù)據(jù)查詢需求，形成細粒度資產清點體系；通過主機視角、資產視角、概覽視圖、分級視圖等多維度視圖和多角度搜索工具，實現(xiàn)關鍵資產信息快速定位。

通過資產管理，自動化采集主機、系統(tǒng)、應用、Web等資產相關信息，實現(xiàn)資產全量識別納管；同時通過Kafka接口與安全態(tài)勢感知平臺對接，實現(xiàn)資產數(shù)據(jù)的統(tǒng)一分析。通過持續(xù)對不合規(guī)資產、脆弱性資產、可疑資產等進行及時排查和跟蹤，對高危中間件、Web框架、Jar包等進行提前梳理，實現(xiàn)對于0day漏洞風險資產的快速排查定位。

3.3 主機安全風險識別能力

據(jù)數(shù)據(jù)顯示，90%的攻擊事件都是由漏洞利用產生，隨著攻擊手段的不斷變化及安全漏洞的層出不窮，網(wǎng)絡安全狀況變得日益嚴峻。同時傳統(tǒng)的漏掃設備多為按季度或按年的周期性掃描，在未進行漏掃檢測期間，新的漏洞存在識別空窗期，易被黑客利用。主機安全平臺通過持續(xù)性的監(jiān)測分析，化被動為主動，及時發(fā)現(xiàn)系統(tǒng)未安裝的重要補丁、檢測真實可利用的系統(tǒng)漏洞、識別配置缺陷導致的安全風險，深入發(fā)現(xiàn)主機系統(tǒng)脆弱性，持續(xù)有效地對風險進行監(jiān)測及預警。

圖4 風險識別檢測內容

（1）提高攻擊門檻

在資產細粒度清點的基礎上，平臺能夠持續(xù)、全面地發(fā)現(xiàn)潛在漏洞風險及安全薄弱點，同時根據(jù)多維度風險分析及處理建議，提示管理員及時處理修復重要風險，從而提高系統(tǒng)的攻擊門檻。

（2）風險內容可視

持續(xù)性監(jiān)測所有主機安全狀況，圖形化展現(xiàn)安全指標變化、安全走勢分析、風險分析結果和風險處理進度等風險場景，提供可視化風險分析報告，使主機安全狀況的處置進展清晰可衡量。

（3）持續(xù)監(jiān)測分析

主動持續(xù)性地監(jiān)控所有主機上的軟件漏洞、弱口令、應用風險、系統(tǒng)風險等，并根據(jù)漏洞威脅等級進行風險分析，定位急需處理的風險，快速解決潛在威脅。持續(xù)更新漏洞特征及漏洞利用方法，不斷提升漏洞檢測能力。

通過風險識別，在主機內部以白盒視角進行漏洞和弱口令掃描發(fā)現(xiàn)，有效提高掃描覆蓋效率和準確率。設置每日凌晨自動進行漏洞風險和弱口令檢測，并對已修復情況進行統(tǒng)計更新，便于后續(xù)分析及跟進修復進展。

3.4 主機安全入侵檢測

當前的攻擊手段千變萬化，但是攻擊者一旦攻擊成功后要做的后續(xù)操作基本一致，攻擊者不管使用多么高級的攻擊手法，無論是0day、Nday、還是內存馬，只要攻擊產生，就會在主機上觸發(fā)對應進程、命令操作、文件、內存、網(wǎng)絡連接等相關數(shù)據(jù)指標的變化。主機安全平臺通過對主機的暴力破解、反彈shell、系統(tǒng)提權、Webshell、內存后門等入侵行為進行實時監(jiān)控，對黑客行為進行多維度監(jiān)測，能夠快速發(fā)現(xiàn)入侵行為。通過設立特征錨點、分析行為模式、建立關系模型等手段，對黑客在內網(wǎng)的入侵攻擊鏈進行多層次監(jiān)測，實時感知入侵事件，發(fā)現(xiàn)失陷主機。

圖片

圖5 攻擊鏈多瞄點監(jiān)測

（1）實時發(fā)現(xiàn)失陷主機

通過多維度的感知疊加能力，對攻擊路徑的各個節(jié)點進行深入監(jiān)控，具備全方位、高實時的攻擊監(jiān)控能力，對進程變化、文件變化、異常登錄等事件洞若觀火，能夠實時發(fā)現(xiàn)失陷主機，對入侵行為進行預警。

（2）檢測未知惡意攻擊

結合專家經(jīng)驗、威脅情報、大數(shù)據(jù)、機器學習等多種分析方法，通過對主機運行環(huán)境的實時監(jiān)控，能夠發(fā)現(xiàn)包括“0Day”在內的未知異常行為，彌補基于攻擊特征的檢測能力不足，應對突發(fā)的新型漏洞和未知的攻擊手段。

（3）業(yè)務系統(tǒng)“零”影響

Agent以輕量高效的特性運行，實時感知主機性能負載，動態(tài)調整運行狀態(tài)，在保證對主機安全監(jiān)控的前提下，不會對業(yè)務系統(tǒng)運行產生影響，為主機安全提供高效持續(xù)的保護。

（4）主機蜜罐大作用

在具體運維安全建設實踐中，結合網(wǎng)絡、完全和系統(tǒng)層面技術規(guī)范配置，建立主機蜜罐，擴大異常檢測范圍，快速定位攻擊源頭。通過主機入侵檢測能力，建立基于攻擊打點、執(zhí)行、持久化、橫向滲透等黑客攻擊路徑上的多瞄點追蹤技術，實現(xiàn)對于可疑命令執(zhí)行、Web后門等互聯(lián)網(wǎng)打點攻擊實時監(jiān)測，應對代理穿透、遠控木馬、文件篡改等主機持久化攻擊操作；同時通過主機高危端口蜜罐、暴力破解、異常登錄監(jiān)控等識別橫向滲透攻擊。

04 總結與展望

在“打造一流財富管理銀行”戰(zhàn)略愿景和“123+N”數(shù)字銀行發(fā)展體系的指導下，G行互聯(lián)網(wǎng)線上化業(yè)務越來越多，攻擊暴露面也隨之變大，運維安全工作的重心也由單一邊界堡壘式防御轉向基于對互聯(lián)網(wǎng)資產全面梳理后的各類威脅檢測、云主機入侵檢測識別分析和溯源響應等維度。本文從主機安全能力金字塔模型角度介紹了G行主機安全運營建設實踐，后續(xù)將結合科技運營維護工作實際，持續(xù)調研和創(chuàng)新，不斷優(yōu)化和完善縱深安全防御體系，護航業(yè)務系統(tǒng)高質量發(fā)展。