2019年主机安全行业现状和未来发展趋势研究与解读

近日，腾讯安全与腾讯标准联合中国产业互联网发展联盟（IDAC）、青藤云安全等生态伙伴共同发布《2019中国主机安全服务报告》（以下简称“报告”）。报告由腾讯基础安全主机团队与青藤云安全团队联合主笔，站在宏观角度对2019年主机安全行业现状和未来发展趋势进行了研究与解读。《报告》详细阐述了目前主机领域的资产安全问题与主要风险场景，系统地梳理在市场需求侧主机安全的产品类型和相关技术分析，同时也为企业在等保2.0、云环境下主机安全的合规标准判定以及全周期防护实践提供了指导建议。

《报告》指出，在5G、人工智能、工业互联网、物联网高速发展过程中，信息安全边界正在逐步扩大、与黑产的攻防对抗愈演愈烈，以数据为载体的企业数字资产面临极大威胁，主机作为企业数字资产最后也是最重要的一道门，其安全不容忽视。目前，主机安全正随着市场环境变化向检测响应、隔离控制、行为检测的方向转型；未来，主动检测、快速响应、安全适配会成为主机安全防护方式的进化趋势。

主机安全风险研究：漏洞和病毒成为黑客的突破口

主机作为承载公司业务及内部运转的底层平台，既可以为内部和外部用户提供各种服务，也可以用来存储或者处理组织机构的敏感信息，所承载的数据和服务价值使其成为备受黑客青睐的攻击对象。随着产业互联网的发展和新技术的广泛应用，传统安全边界逐渐消失，网络环境中的主机资产盲点成倍增加，黑客入侵、数据泄露、恶意软件感染以及不合规的风险也在随之攀升。

通过大量的企业级主机核心资产样本分析，《报告》从主机资产、主机风险、主机入侵分析、主机合规分析四个方面对整个2019年主机安全情况进行了系统的扫描诊断。其中指出，由配置错误、代码问题、软件缺陷等原因引发的漏洞问题，已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一；尤其是针对老旧资产，补丁修复严重不足，因此这些漏洞成为了黑客入侵的突破口。

除了漏洞风险以外，高危端口的开放、软件的弱密码、不合规配置的高危账号和各种病毒也是严重威胁主机安全的诸多因素。值得一提的是，风险软件和后门远控类木马在染毒事件中分别占比40%和20%，因上网不良习惯及缺乏安全意识造成的风险软件对教育行业影响较大，具有较高隐蔽性、能接受远程指令的后门远控木马则对金融科技等信息敏感行业造成严重危害。

综上所述，安全运维人员需要通过满足合规标准的主机安全防护产品和风险评估工具，对安全补丁、漏洞、弱密码、应用风险、账号风险等进行检测、移除和控制，以减少黑客的攻击面。

主机安全产品扫描：核心能力逐步迁移 构建完整产品体系

进入产业互联网时代，一方面，企业被动防御和阻止模式的防护体系已无法完全抵御高速演进的黑客攻击手段和复杂多变的主机安全风险，另一方面，产业生态系统任何一个价值链被攻破都有可能引发整个生态系统的连锁损失，而主机作为企业的底层平台几乎全程抗压——为实现有效防护，随着外在环境的不断进化，主机安全产品也在持续地更新迭代，逐渐形成了一套体系健全、有针对性的产品矩阵。

按防护策略和安全技术的从低到高，主机安全的产品核心能力出现了四次迁移。《报告》描绘了从一开始仅具备资产探测和杀毒软件的基础型主机安全产品，到以应用为核心、以检测响应为核心、以主动防御为核心、最后满足新形态下的精细化主机安全产品，主机安全产品正从基础的被动防御向全生命周期、全流程的主动防护方向进化。

未来，随着产品成熟度不断提高，以“检测能力、响应能力、架构适配能力、满足合规要求能力”为核心的四大主机产品能力将成为用户进行产品选型的核心参考指标和产品发展的关键方向。

主机安全技术：持续检测、快速响应、全面适配

5G、人工智能、工业互联网、物联网共同构架的“新基建”正在以蓬勃之势发展，以容器、微服务、Serverless为代表的云原生技术使得企业 IT 架构发生了巨大变化，这给各行各业数字化转型带来前所未有的机遇和挑战，产业安全进入了“无人区”。面对不可预知的未来，主机安全需要像自适应安全架构那样继续朝着“持续增强的检测、响应以及架构适配”方向前进。

1.持续检测是基础。研究表明，网络攻击者平均在99天内不会被发现，超过53%的受害者是在外部通知后才知道被攻击的。与攻击驻留时间相对应的是防御发现时间，防守者平均需要170天才能检测到一个高级威胁。过去，由于检测技术单一、缺乏持续检测、无法联合行动等种种原因，很多企业即使构筑了一定的安全防御体系依然无法及时发现或有效阻止威胁。《报告》以ATT&CK框架为例，分析攻击者在攻击主机时经常采用的一些套路和建议应对措施。

2.快速响应是动力。强调入侵后的快速响应能力，在当前日趋激烈的安全攻防对抗中显得尤为关键。企业组织要在已遭受攻击的假定前提下，构建集防御、检测、响应和预防于一体的全新安全防护体系。例如遭遇恶意挖矿、内网入侵、勒索病毒、网页挂马等事件，快速响应作为安全的“吹哨者”能帮助企业在第一时间展开防御能力的释放、最大程度降低损失。建立完善的响应流程，包括查询、排序、可视化、获取、分析、工作流七大阶段的工作。

3.全面适配是未来。随着云计算市场快速发展，多云、云原生等新型架构的出现让主机安全直面新挑战——各大云服务商、安全厂商、企业组织都在积极转型应对，这就导致原有的主机安全产品势必也要适配这些新的架构。《报告》遴选并深入解读了云原生的安全运营中心、容器安全解决方案和云工作负载的保护三个方面对新型架构下的主机安全的适配能力。

主机安全驶入标准轨道 四步加速安全防护实践落地

近年来为加速建设数字中国，互联网管理和建设正日趋完善。《报告》提到，新型基础设施的应用将带来大量的工作和生活形式甚至个人身份信息化的变化，云计算、物联网、人工智能、5G通信设施等新技术对于主机如何保障应用安全、数据安全、个人信息保护带来了更高层面的安全挑战。“道路千万条，安全第一条”，各项互联网法律法规的制定实施构筑了一条标准轨道，保障企业驶入安全可控的道路，加快数字化转型进程。等保2.0、云等保合规、建设“新基建”趋势下的新型主机安全标准等相关政策法规的出台，为主机安全防护设定了基准线，以适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求。

《报告》还对主机安全的防护实践提出了运营建议。《报告》从主机安全的不同层面出发，强调企业应针对制定主机安全计划、底层操作系统安全、主机运行软件安全、持续主机运维这四步有条不紊地推进，构建全方位防护体系，加速主机安全的落地实践。相关示例的实践最佳方法对于各企业的主机安全防护具有一定的指导和借鉴作用。

产业互联网时代，5G、AI、云计算等新一代信息技术与应用不断深化，加速了各行业数字化和产业升级的进程。安全关乎企业的生产和发展。面对复杂的网络安全形势，主机安全作为企业安全最后也是最重要的一道门，需要通过持续的产品优化和技术完善来建立全面适配、全生命周期防护的安全体系。腾讯安全将继续依托自身深入产业互联网实践所积累的技术、人才与生态优势进行能力释放，并联合生态伙伴在更多的领域探索，提供出更多的主机安全能力应用和技术建设标准，为新型基础设施建设贡献腾讯智慧“科技向善”。

责任编辑：gt