01 引言

隨著信息技術(shù)的發(fā)展，特別是云計(jì)算時(shí)代各類(lèi)算力資源池交付變得越來(lái)越靈活和開(kāi)放，相應(yīng)的網(wǎng)絡(luò)區(qū)域和安全邊界變得越來(lái)越模糊，單獨(dú)依托網(wǎng)絡(luò)安全域邊界安全防護(hù)已難以完全滿(mǎn)足日益嚴(yán)峻的安全威脅。網(wǎng)絡(luò)攻擊也向著分布化、規(guī)模化、復(fù)雜化的趨勢(shì)發(fā)展，APT高級(jí)攻擊威脅層出不窮、木馬病毒持續(xù)泛濫、0DAY漏洞精準(zhǔn)突襲。主機(jī)作為攻擊者最后的著陸點(diǎn)，是攻擊鏈中無(wú)法繞過(guò)的環(huán)節(jié)，主機(jī)安全在縱深安全防御體系中起到了尤為關(guān)鍵的作用。為此，G行開(kāi)展了基于主機(jī)安全能力框架的安全建設(shè)和運(yùn)營(yíng)，旨在打造具備持續(xù)監(jiān)控分析、安全協(xié)同聯(lián)動(dòng)的主機(jī)安全能力，保障企業(yè)安全的最后一公里。

02 主機(jī)安全能力框架介紹

主流的主機(jī)安全能力框架是基于Gartner在2016年提出的主機(jī)安全能力塔模型，即云工作負(fù)載保護(hù)平臺(tái)（Cloud Workload Protection Platform），主要為現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)中工作負(fù)載提供保護(hù)策略，并提供對(duì)所有服務(wù)器工作負(fù)載持續(xù)地可視化監(jiān)控。

圖1 主機(jī)安全能力模型

以上為Gartner最新的主機(jī)安全能力金字塔模型，各層措施對(duì)應(yīng)的技術(shù)點(diǎn)如下：

圖片

表1 CWPP控制措施及技術(shù)點(diǎn)

G行基于主機(jī)安全能力模型，結(jié)合國(guó)內(nèi)安全現(xiàn)狀和實(shí)際需求情況，以“先基礎(chǔ)落地、后擴(kuò)展增強(qiáng)”的原則，梳理出如下建設(shè)路徑：

圖片

表2 CWPP建設(shè)路徑規(guī)劃

目前G行第一階段建設(shè)相關(guān)內(nèi)容已完成實(shí)施落地，第二階段建設(shè)正在積極調(diào)研試點(diǎn)中。

03 G行主機(jī)安全能力建設(shè)實(shí)踐

3.1主機(jī)安全平臺(tái)建設(shè)

（1）平臺(tái)架構(gòu)

主機(jī)安全平臺(tái)核心架構(gòu)主要由Agent主機(jī)探針、Server安全引擎和Web控制中心三部分構(gòu)成，提供基礎(chǔ)、靈活、穩(wěn)固的主機(jī)安全能力支持。平臺(tái)主要功能包含資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)、入侵檢測(cè)等。

Agent主機(jī)探針：適配各種物理機(jī)、虛擬機(jī)和云環(huán)境主機(jī)，能夠持續(xù)收集主機(jī)進(jìn)程、端口、賬號(hào)、應(yīng)用配置等信息，并實(shí)時(shí)監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為，與Server端通信，執(zhí)行其下發(fā)的任務(wù)，主動(dòng)發(fā)現(xiàn)主機(jī)側(cè)安全問(wèn)題。

Server安全引擎：Server安全引擎作為核心平臺(tái)的信息處理中樞，實(shí)現(xiàn)人機(jī)交互的主機(jī)安全態(tài)勢(shì)實(shí)時(shí)監(jiān)控、風(fēng)險(xiǎn)分析和平臺(tái)配置管理，通過(guò)Agent主機(jī)探針管理和數(shù)據(jù)交互，持續(xù)進(jìn)行數(shù)據(jù)分析檢測(cè)，從各維度信息中發(fā)現(xiàn)漏洞、弱口令等安全風(fēng)險(xiǎn)和后門(mén)程序、暴力破解、動(dòng)態(tài)蜜罐訪問(wèn)、Web命令執(zhí)行等異常行為，對(duì)入侵行為進(jìn)行實(shí)時(shí)預(yù)警。

Web控制中心：平臺(tái)管理界面以Web控制臺(tái)的形式進(jìn)行交互，展示各項(xiàng)安全檢測(cè)和分析結(jié)果，對(duì)重大威脅進(jìn)行實(shí)時(shí)預(yù)警，提供集中管理的安全工具，便于運(yùn)維安全管理員進(jìn)行系統(tǒng)配置和管理、安全響應(yīng)等相關(guān)操作。

圖2 主機(jī)安全平臺(tái)核心架構(gòu)

（2）部署覆蓋情況

G行主機(jī)安全平臺(tái)已覆蓋包括總行、分行、子公司及信用卡中心生產(chǎn)辦公、開(kāi)發(fā)測(cè)試等環(huán)境的物理機(jī)、虛擬機(jī)和云主機(jī)，通過(guò)系統(tǒng)鏡像母帶安裝、定期差量對(duì)比推送等方式確保各類(lèi)主機(jī)全覆蓋部署，實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)每日清點(diǎn)、安全風(fēng)險(xiǎn)掃描檢測(cè)、威脅行為實(shí)時(shí)監(jiān)測(cè)的主機(jī)安全防護(hù)體系。

3.2 主機(jī)安全資產(chǎn)管理

NIST發(fā)布的《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》中提到IPDRR模型，其中的I(identify識(shí)別)，強(qiáng)調(diào)了首先要對(duì)資產(chǎn)進(jìn)行識(shí)別和管理。GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》中，對(duì)資產(chǎn)識(shí)別的要求如下：

圖3 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)資產(chǎn)識(shí)別要求

可見(jiàn)全量的資產(chǎn)識(shí)別是開(kāi)展安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等活動(dòng)的基礎(chǔ)，是安全工作的前提。對(duì)于主機(jī)安全的認(rèn)知基礎(chǔ)來(lái)源于對(duì)主機(jī)資產(chǎn)的了解程度，資產(chǎn)要求“看得全、理得清、查得到”。

傳統(tǒng)資產(chǎn)主要是系統(tǒng)名稱(chēng)、管理員、IP地址、操作系統(tǒng)類(lèi)型等維度的運(yùn)維資產(chǎn)，攻擊者關(guān)心的資產(chǎn)往往是主機(jī)上運(yùn)行的進(jìn)程、應(yīng)用、數(shù)據(jù)庫(kù)、Web站點(diǎn)框架等業(yè)務(wù)資產(chǎn)，攻防信息的不對(duì)稱(chēng)將導(dǎo)致安全防護(hù)工作不夠聚焦，資產(chǎn)風(fēng)險(xiǎn)未能提前識(shí)別。主機(jī)安全平臺(tái)資產(chǎn)管理功能從安全角度出發(fā)，自動(dòng)化構(gòu)建細(xì)粒度資產(chǎn)信息，通過(guò)對(duì)主機(jī)、系統(tǒng)、應(yīng)用、Web等資產(chǎn)的精準(zhǔn)識(shí)別和動(dòng)態(tài)感知，讓保護(hù)對(duì)象清晰可見(jiàn)。

圖片

表3 資產(chǎn)管理識(shí)別內(nèi)容

（1）資產(chǎn)信息自動(dòng)構(gòu)建

通過(guò)安裝云主機(jī)Agent，可從正在運(yùn)行的主機(jī)環(huán)境中反向自動(dòng)化構(gòu)建主機(jī)業(yè)務(wù)資產(chǎn)結(jié)構(gòu)，對(duì) Web服務(wù)、Web站點(diǎn)、Web框架、數(shù)據(jù)庫(kù)等業(yè)務(wù)型資產(chǎn)進(jìn)行資產(chǎn)建模，與CMDB等行內(nèi)系統(tǒng)信息形成互補(bǔ)。資產(chǎn)信息上報(bào)至Web控制中心，實(shí)現(xiàn)集中統(tǒng)?管理，確保安全覆蓋無(wú)死角。

（2）資產(chǎn)變化實(shí)時(shí)通知

在清點(diǎn)資產(chǎn)后，保持對(duì)資產(chǎn)的持續(xù)監(jiān)控，在主機(jī)賬號(hào)、進(jìn)程、端口、數(shù)據(jù)庫(kù)、Web站點(diǎn)等資產(chǎn)發(fā)生變化時(shí)，平臺(tái)能夠及時(shí)進(jìn)行更新，確保監(jiān)控?cái)?shù)據(jù)與實(shí)際業(yè)務(wù)數(shù)據(jù)?致，實(shí)現(xiàn)資產(chǎn)動(dòng)態(tài)保護(hù)。

（3）資產(chǎn)信息快速定位

結(jié)合通用安全檢查規(guī)范與安全事件的數(shù)據(jù)查詢(xún)需求，形成細(xì)粒度資產(chǎn)清點(diǎn)體系；通過(guò)主機(jī)視角、資產(chǎn)視角、概覽視圖、分級(jí)視圖等多維度視圖和多角度搜索工具，實(shí)現(xiàn)關(guān)鍵資產(chǎn)信息快速定位。

通過(guò)資產(chǎn)管理，自動(dòng)化采集主機(jī)、系統(tǒng)、應(yīng)用、Web等資產(chǎn)相關(guān)信息，實(shí)現(xiàn)資產(chǎn)全量識(shí)別納管；同時(shí)通過(guò)Kafka接口與安全態(tài)勢(shì)感知平臺(tái)對(duì)接，實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)的統(tǒng)一分析。通過(guò)持續(xù)對(duì)不合規(guī)資產(chǎn)、脆弱性資產(chǎn)、可疑資產(chǎn)等進(jìn)行及時(shí)排查和跟蹤，對(duì)高危中間件、Web框架、Jar包等進(jìn)行提前梳理，實(shí)現(xiàn)對(duì)于0day漏洞風(fēng)險(xiǎn)資產(chǎn)的快速排查定位。

3.3 主機(jī)安全風(fēng)險(xiǎn)識(shí)別能力

據(jù)數(shù)據(jù)顯示，90%的攻擊事件都是由漏洞利用產(chǎn)生，隨著攻擊手段的不斷變化及安全漏洞的層出不窮，網(wǎng)絡(luò)安全狀況變得日益嚴(yán)峻。同時(shí)傳統(tǒng)的漏掃設(shè)備多為按季度或按年的周期性?huà)呙瑁谖催M(jìn)行漏掃檢測(cè)期間，新的漏洞存在識(shí)別空窗期，易被黑客利用。主機(jī)安全平臺(tái)通過(guò)持續(xù)性的監(jiān)測(cè)分析，化被動(dòng)為主動(dòng)，及時(shí)發(fā)現(xiàn)系統(tǒng)未安裝的重要補(bǔ)丁、檢測(cè)真實(shí)可利用的系統(tǒng)漏洞、識(shí)別配置缺陷導(dǎo)致的安全風(fēng)險(xiǎn)，深入發(fā)現(xiàn)主機(jī)系統(tǒng)脆弱性，持續(xù)有效地對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)及預(yù)警。

圖4 風(fēng)險(xiǎn)識(shí)別檢測(cè)內(nèi)容

（1）提高攻擊門(mén)檻

在資產(chǎn)細(xì)粒度清點(diǎn)的基礎(chǔ)上，平臺(tái)能夠持續(xù)、全面地發(fā)現(xiàn)潛在漏洞風(fēng)險(xiǎn)及安全薄弱點(diǎn)，同時(shí)根據(jù)多維度風(fēng)險(xiǎn)分析及處理建議，提示管理員及時(shí)處理修復(fù)重要風(fēng)險(xiǎn)，從而提高系統(tǒng)的攻擊門(mén)檻。

（2）風(fēng)險(xiǎn)內(nèi)容可視

持續(xù)性監(jiān)測(cè)所有主機(jī)安全狀況，圖形化展現(xiàn)安全指標(biāo)變化、安全走勢(shì)分析、風(fēng)險(xiǎn)分析結(jié)果和風(fēng)險(xiǎn)處理進(jìn)度等風(fēng)險(xiǎn)場(chǎng)景，提供可視化風(fēng)險(xiǎn)分析報(bào)告，使主機(jī)安全狀況的處置進(jìn)展清晰可衡量。

（3）持續(xù)監(jiān)測(cè)分析

主動(dòng)持續(xù)性地監(jiān)控所有主機(jī)上的軟件漏洞、弱口令、應(yīng)用風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)等，并根據(jù)漏洞威脅等級(jí)進(jìn)行風(fēng)險(xiǎn)分析，定位急需處理的風(fēng)險(xiǎn)，快速解決潛在威脅。持續(xù)更新漏洞特征及漏洞利用方法，不斷提升漏洞檢測(cè)能力。

通過(guò)風(fēng)險(xiǎn)識(shí)別，在主機(jī)內(nèi)部以白盒視角進(jìn)行漏洞和弱口令掃描發(fā)現(xiàn)，有效提高掃描覆蓋效率和準(zhǔn)確率。設(shè)置每日凌晨自動(dòng)進(jìn)行漏洞風(fēng)險(xiǎn)和弱口令檢測(cè)，并對(duì)已修復(fù)情況進(jìn)行統(tǒng)計(jì)更新，便于后續(xù)分析及跟進(jìn)修復(fù)進(jìn)展。

3.4 主機(jī)安全入侵檢測(cè)

當(dāng)前的攻擊手段千變?nèi)f化，但是攻擊者一旦攻擊成功后要做的后續(xù)操作基本一致，攻擊者不管使用多么高級(jí)的攻擊手法，無(wú)論是0day、Nday、還是內(nèi)存馬，只要攻擊產(chǎn)生，就會(huì)在主機(jī)上觸發(fā)對(duì)應(yīng)進(jìn)程、命令操作、文件、內(nèi)存、網(wǎng)絡(luò)連接等相關(guān)數(shù)據(jù)指標(biāo)的變化。主機(jī)安全平臺(tái)通過(guò)對(duì)主機(jī)的暴力破解、反彈shell、系統(tǒng)提權(quán)、Webshell、內(nèi)存后門(mén)等入侵行為進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)黑客行為進(jìn)行多維度監(jiān)測(cè)，能夠快速發(fā)現(xiàn)入侵行為。通過(guò)設(shè)立特征錨點(diǎn)、分析行為模式、建立關(guān)系模型等手段，對(duì)黑客在內(nèi)網(wǎng)的入侵攻擊鏈進(jìn)行多層次監(jiān)測(cè)，實(shí)時(shí)感知入侵事件，發(fā)現(xiàn)失陷主機(jī)。

圖片

圖5 攻擊鏈多瞄點(diǎn)監(jiān)測(cè)

（1）實(shí)時(shí)發(fā)現(xiàn)失陷主機(jī)

通過(guò)多維度的感知疊加能力，對(duì)攻擊路徑的各個(gè)節(jié)點(diǎn)進(jìn)行深入監(jiān)控，具備全方位、高實(shí)時(shí)的攻擊監(jiān)控能力，對(duì)進(jìn)程變化、文件變化、異常登錄等事件洞若觀火，能夠?qū)崟r(shí)發(fā)現(xiàn)失陷主機(jī)，對(duì)入侵行為進(jìn)行預(yù)警。

（2）檢測(cè)未知惡意攻擊

結(jié)合專(zhuān)家經(jīng)驗(yàn)、威脅情報(bào)、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等多種分析方法，通過(guò)對(duì)主機(jī)運(yùn)行環(huán)境的實(shí)時(shí)監(jiān)控，能夠發(fā)現(xiàn)包括“0Day”在內(nèi)的未知異常行為，彌補(bǔ)基于攻擊特征的檢測(cè)能力不足，應(yīng)對(duì)突發(fā)的新型漏洞和未知的攻擊手段。

（3）業(yè)務(wù)系統(tǒng)“零”影響

Agent以輕量高效的特性運(yùn)行，實(shí)時(shí)感知主機(jī)性能負(fù)載，動(dòng)態(tài)調(diào)整運(yùn)行狀態(tài)，在保證對(duì)主機(jī)安全監(jiān)控的前提下，不會(huì)對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行產(chǎn)生影響，為主機(jī)安全提供高效持續(xù)的保護(hù)。

（4）主機(jī)蜜罐大作用

在具體運(yùn)維安全建設(shè)實(shí)踐中，結(jié)合網(wǎng)絡(luò)、完全和系統(tǒng)層面技術(shù)規(guī)范配置，建立主機(jī)蜜罐，擴(kuò)大異常檢測(cè)范圍，快速定位攻擊源頭。通過(guò)主機(jī)入侵檢測(cè)能力，建立基于攻擊打點(diǎn)、執(zhí)行、持久化、橫向滲透等黑客攻擊路徑上的多瞄點(diǎn)追蹤技術(shù)，實(shí)現(xiàn)對(duì)于可疑命令執(zhí)行、Web后門(mén)等互聯(lián)網(wǎng)打點(diǎn)攻擊實(shí)時(shí)監(jiān)測(cè)，應(yīng)對(duì)代理穿透、遠(yuǎn)控木馬、文件篡改等主機(jī)持久化攻擊操作；同時(shí)通過(guò)主機(jī)高危端口蜜罐、暴力破解、異常登錄監(jiān)控等識(shí)別橫向滲透攻擊。

04 總結(jié)與展望

在“打造一流財(cái)富管理銀行”戰(zhàn)略愿景和“123+N”數(shù)字銀行發(fā)展體系的指導(dǎo)下，G行互聯(lián)網(wǎng)線上化業(yè)務(wù)越來(lái)越多，攻擊暴露面也隨之變大，運(yùn)維安全工作的重心也由單一邊界堡壘式防御轉(zhuǎn)向基于對(duì)互聯(lián)網(wǎng)資產(chǎn)全面梳理后的各類(lèi)威脅檢測(cè)、云主機(jī)入侵檢測(cè)識(shí)別分析和溯源響應(yīng)等維度。本文從主機(jī)安全能力金字塔模型角度介紹了G行主機(jī)安全運(yùn)營(yíng)建設(shè)實(shí)踐，后續(xù)將結(jié)合科技運(yùn)營(yíng)維護(hù)工作實(shí)際，持續(xù)調(diào)研和創(chuàng)新，不斷優(yōu)化和完善縱深安全防御體系，護(hù)航業(yè)務(wù)系統(tǒng)高質(zhì)量發(fā)展。