初探主机安全企业用户应当如何选用主机安全产品?
随着云估算、AI、物联网、5G等新技术步入高速发展阶段,新技术也不断推动着企业数字化进程的加速,前所未有的安全恐吓和更多未知的安全风险也与之而至,恐吓病毒、0day漏洞、僵尸木马、恶意功击扑面而至,网路功击手段越来越多,无处不存在漏洞,无处不是功击入口。万物互联促使虚拟世界与化学世界之间的边界正在逐步打通,一次通过基础物联网设备发起的功击将直接触达系统的核心。
对企业而言,主机既是承载公司业务及内部运转的底层平台,也是承载企业数据和服务的核心,其稳定、安全地运行是公司正常运转的前提保障,怎么解决其安全隐患尤为关键。
佛罗里达学院的一项研究表明,一台有开放端口或漏洞的主机连网后,在23分钟内都会被功击者扫描,在56分钟内开始被漏洞侦测,第一次被彻底入侵平均时间是19小时。软件缺陷、配置错误、代码Bug等等,这种问题就会造成系统存在风险。并且不论风险来始于哪,它们都不会自行消失。
国家互联网应急中心()发布《2020年上半年我国互联网网路安全检测数据剖析报告》也强调,我国境内感染计算机恶意程序的主机数目约304万台,环比下降25.7%。我国约303万台主机被境外的坐落境外的约2.5万个计算机恶意程序控制。2020年上半年,CNVD处置涉及政府机构、重要信息系统等网路安全漏洞风波近1.5万起。
主机安全主要的风险来源——漏洞
众所周知,软件是构成数字世界的基础,并且软件都是人为编撰的,与一切皆可编程相对应的是,一切软件都存在漏洞。平均每千行代码就有4-6个安全缺陷,漏洞是网路安全的命门。
然而,当前有相当多的企业存在明知有高危漏洞并且却没有修补的情况,究其缘由,一方面,企业系统复杂且庞大,大肆修补漏洞很有可能带来系统的不稳定或未知的风险,另一方面,企业的IT人员可能对漏洞预警信息无法提升注重程度。
事实上,借助漏洞入侵是功击者最喜欢使用的功击手段之一。
一个高危漏洞被披露后,三天之内都会流漏出漏洞相关的漏洞代码和安全企业对该漏洞的详尽动因说明,而恶意功击者也能在极短时间内获取到开源功击代码,对该漏洞进行扫描后轻易就可发觉曝露在网段中的设备。功击者使用漏洞借助代码,短时间内就才能获得服务器较高的权限,甚至是完全的控制权。
一旦功击者成功入侵服务器,发生数据泄漏、恶意木马、勒索病毒等等安全车祸必将蜂拥而至。
随着不断研究和发展新的信息安全机制和工程实践,网路功击手段不断变种,愈发智能化,功击目标直指互联网基础合同和操作系统层次。对工作负载的控制到内核级入侵,蠕虫、后门、、DoS、等功击手法不断升级翻新,泛主机安全的防范能力不断面临着新的挑战。
在腾讯安全、青藤云安全与中国产业互联网发展联盟共同发布《2019中国主机安全服务报告》中提及,近些年来,主机软件漏洞已成为重大信息安全风波的主要诱因之一。其中老旧漏洞尤为严重,在2019年影响范围最大的TOP10漏洞中老旧漏洞占比高达70%。
2019年影响主机TOP10的漏洞主要为历史漏洞
督查还发觉,有大量的企业web服务器等互联网空间资产开放了22、1900、3389等高危端口,督查的企业样本中,甚至有高达45.77%的企业用户都存在未修补的高危漏洞,存在极高的安全隐患。
为此,主机安全作为企业安全最后的防线,选择好一款适宜的主机安全产品,将极大的提高发觉和抗击黑客入侵风险的能力。
企业用户应当怎样选用主机安全产品?
随着阵雨、云原生等新型构架的出现,安全的外在环境在不断进化,衍生下来的安全需求在不断升级,主机安全产品也已经从基础的被动防御向主机全生命周期、全流程的主动防护方向持续进化。
一款主机安全产品是否拥有持续的测量能力、应急响应能力、多云构架下的适配能力,以及满足合规的能力,这一系列标准已然成为企业用户选用主机安全产品时须要评估的重要参考指标。
腾讯安全主机安全产品负责人谢奕智觉得,企业选择主机安全服务须要同时考虑企业云上业务规模和业务敏感情况。假如企业在云端的业务规模较大,或则是业务类型愈加敏感,相应的就应当选择成熟度更高的主机安全产品,来提高主机安全的防御等级,同时对云上资产进行精细管理。
相反,假如云上业务的重要性不高,业务规模不大,则可以按照企业的实际需求情况去筛选相应产品,也可以选择安装一些开源的主机安全产品来进行安全防护。
另外,选用安全产品时还须要考虑解决轻量化的问题,采用轻量化Agent探针技术的主机安全产品才能极大程度上降低对CPU和显存的占用量,同时轻量化Agent探针就能在不同的云环境中轻松安装布署,在几乎不影响业务系统稳定的前提条件下保护主机安全。
目前在国外有多家厂商都早已构筑了优秀的主机安全产品和解决方案,其中,自研轻量化Agent探针技术的腾讯云T-Sec主机安全产品与青藤万相·主机自适应安全平台都早已成为主机安全领域中的佼佼者。
腾讯T-Sec主机安全产品
腾讯安全的漏洞发觉能力仍然以来备受用户信赖,其T-Sec主机安全产品在漏洞发觉和风险检测方面也已遥遥领先,在主机安全市场产生了显著的优势。
基于庞大的恐吓情报数据源,腾讯T-Sec主机安全产品才能实时感知黑客功击行为,借助机器学习为用户提供黑客入侵检查和漏洞风险预警等安全防护服务,为用户实现一站式全网恐吓情报预警、漏洞快速响应、低资源占用和资产管理智能化,建立集“制定主机安全计划、底层操作系统安全、主机运行软件安全、持续主机运维”于一体的全方位防护体系。
T-Sec主机安全产品早已产生了一套成熟的漏洞测量与响应体系,在高危漏洞披露的第一时间即可检查发觉并将其修补,其前端集成了腾讯笔记本管家新一代TAV反病毒引擎及哈勃剖析系统,和基于机器学习的检查引擎,就能急速响应未知风险,有效对抗加密变型类恶意脚本。腾讯主机安全服务采用“云+端”防护构架,自研轻量顾客端,不但安全可靠,还能达到低资源消耗的疗效。T-Sec主机安全产品绝大部份估算和防护都在云端进行,安全策略云端手动更新,无需人工维护各类安全检查脚本文件,让用户更便捷更省心。
目前腾讯的主机安全服务早已覆盖了金融、互联网、政府、新零售、传统企业等多个领域的一万余家企业,装机服务器超过200万台并完善了百亿级的样本库,还能为各行各业的企业顾客提供强有力的技术支持。
青藤万相·主机自适应安全平台
青藤万相主机自适应安全平台以轻量级Agent主机探针、安全引擎和控制中心为核心,主打以资产清点、入侵检查、风险发觉、合规基线和病毒查杀五大核心功能。才能以极细细度的清点方法将资产信息逐层分解,进行低格的梳理后汇总到资产清点的数据库中,便于及时对安全风险进行排查。
基于细细度的资产清点,再结合十分丰富和完整的漏洞补丁等数据库,青藤万相·主机自适应安全平台可以手动化点关联匹配资产和风险,极大的提升安全扫描效率。
据悉,青藤万相·主机自适应安全平台的轻量级Agent探针才能做到手动适配各类化学机、虚拟机和云环境,正常的系统负载情况下,CPU和显存占用消耗极低。在系统负载过高时,Agent主机探针还能否主动降级运行,严格限制对系统资源的占用,真正在技术角度实现让企业稳定而安全。
主机安全作为企业安全最后一道防线,传统的防御方法和阻断策略早已无法抵挡不可预知的黑客功击手段。面对不断升级的网路安全恐吓和复杂的网路安全形势,各家企业依然须要持续探求更广泛更前瞻的发展方向。