2020開(kāi)年，一場(chǎng)新冠疫情迅速蔓延，病毒打破了物理邊界，對(duì)人類社會(huì)的發(fā)展帶來(lái)了不可預(yù)料的變數(shù)。而在陸、海、天、空外的“第五空間”——網(wǎng)絡(luò)空間，隨著物理與虛擬世界的深度融合，未知的威脅不斷觸碰安全紅線，預(yù)防網(wǎng)絡(luò)安全黑天鵝刻不容緩。這其中，對(duì)企業(yè)而言，主機(jī)是承載企業(yè)數(shù)據(jù)和服務(wù)的核心，是抗擊網(wǎng)絡(luò)威脅的最后一公里防線，如何解決其安全隱患尤為關(guān)鍵。

為使各行各業(yè)的組織機(jī)構(gòu)全面而清晰地了解當(dāng)前主機(jī)安全狀況，以及如何守護(hù)主機(jī)安全。近日，青藤云安全攜手中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟(IDAC)、騰訊標(biāo)準(zhǔn)、騰訊安全，共同發(fā)布《2019中國(guó)主機(jī)安全服務(wù)報(bào)告》。該報(bào)告以理論結(jié)合實(shí)踐為指導(dǎo)思想，通過(guò)前期大量數(shù)據(jù)調(diào)研，分析當(dāng)前我國(guó)主機(jī)安全整體狀況、主機(jī)安全產(chǎn)品成熟度，為主機(jī)安全未來(lái)的發(fā)展指明了方向。

4個(gè)維度20個(gè)視角剖析主機(jī)整體狀況

本報(bào)告將從主機(jī)資產(chǎn)概況、主機(jī)風(fēng)險(xiǎn)分析、主機(jī)入侵檢測(cè)、主機(jī)合規(guī)分析四個(gè)方面詳細(xì)分析2019年主機(jī)安全的整體概況。

清點(diǎn)擁有哪些資產(chǎn)

如果沒(méi)有完整的、詳細(xì)的主機(jī)資產(chǎn)清單，安全運(yùn)維團(tuán)隊(duì)將無(wú)法確保組織機(jī)構(gòu)的安全，因?yàn)槿魏稳硕紵o(wú)法保護(hù)“未知”事物的安全性。本報(bào)告通過(guò)分析大量的企業(yè)級(jí)主機(jī)核心資產(chǎn)情況，從而為各企業(yè)制定安全防護(hù)策略提供支持和幫助。

通過(guò)統(tǒng)計(jì)分析發(fā)現(xiàn)，在企業(yè)級(jí)客戶中，超過(guò)81.45%的主機(jī)使用都是Linux操作系統(tǒng)，只有18.55%主機(jī)使用的是Windows操作系統(tǒng)。這其中原因有很多，比如Linux兼容性更好、模塊化、資源消耗少等等原因，讓很多客戶都會(huì)選擇Linux系統(tǒng)。

圖一：不同主機(jī)操作系統(tǒng)的使用比例

通過(guò)對(duì)樣本數(shù)據(jù)的分析可知，74%的主機(jī)上都存在UID為0、GID為0、Root/Administrator賬號(hào)、Sudo權(quán)限等特殊賬號(hào)。這些特殊賬號(hào)，往往會(huì)成為備受黑客青睞的資產(chǎn)，屬于高危重點(diǎn)保護(hù)資產(chǎn)。

圖二：主機(jī)特殊賬號(hào)的使用情況

此外，在樣本數(shù)據(jù)分析中，發(fā)現(xiàn)在Linux系統(tǒng)中，使用最多的Web服務(wù)應(yīng)用是Tomcat服務(wù)，高達(dá)58%，其次是Nginx，使用率達(dá)到了32%。

圖三：Linux Top5 Web服務(wù)的使用情況

而在Windows環(huán)境下，IIS使用最多，達(dá)到47%，其次是Tomcat，達(dá)到36%。另外，Apache和Nginx的使用也占到了一定比例。

圖四：Windows Top5 Web服務(wù)的使用情況

評(píng)估存在什么風(fēng)險(xiǎn)

為了在黑客入侵前發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)點(diǎn)，安全人員需要通過(guò)專業(yè)的風(fēng)險(xiǎn)評(píng)估工具，對(duì)風(fēng)險(xiǎn)進(jìn)行檢測(cè)、移除和控制，來(lái)減小攻擊面，包括安全補(bǔ)丁、漏洞、弱密碼、應(yīng)用風(fēng)險(xiǎn)、賬號(hào)風(fēng)險(xiǎn)等。

基于漏洞所影響的主機(jī)數(shù)量，發(fā)現(xiàn)2019年影響范圍最大的TOP10漏洞，有很多都是前幾年的漏洞。尤其是針對(duì)那些老舊資產(chǎn)，補(bǔ)丁修復(fù)更是嚴(yán)重不足，因此，這些漏洞就成為了黑客入侵的突破口。

圖五：2019年影響主機(jī)TOP10的漏洞

除了漏洞風(fēng)險(xiǎn)之外，在對(duì)Web服務(wù)器等互聯(lián)網(wǎng)空間資產(chǎn)做空間測(cè)繪后發(fā)現(xiàn)，有大量的資產(chǎn)開(kāi)放了高危端口，存在較高的安全隱患。例如，很多黑客攻擊者很喜歡嘗試入侵22、3389端口。如果主機(jī)存在弱密碼登錄的情況，很容易就被暴破成功，進(jìn)而服務(wù)器被黑客控制。特別是今年曝光的 BlueKeep(CVE-2019-0708)、Windows RDS(CVE-2019-1181) ，均是Windows 遠(yuǎn)程桌面服務(wù)的漏洞并且危害巨大，而3389又是Windows遠(yuǎn)程桌面的默認(rèn)端口，開(kāi)放3389的Windows服務(wù)器更容易受到入侵攻擊。建議服務(wù)器修改默認(rèn)的遠(yuǎn)程連接端口，如無(wú)必要，可關(guān)閉該端口。

圖六：常見(jiàn)高危端口的開(kāi)放情況

此外，不同服務(wù)都有一些具有各自服務(wù)特色的弱口令，有一部分是安裝時(shí)的默認(rèn)密碼。比如MySQL數(shù)據(jù)庫(kù)的默認(rèn)密碼為空。通過(guò)分析發(fā)現(xiàn)，主機(jī)軟件弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應(yīng)用上，其中MySQL和SSH弱密碼問(wèn)題更是超過(guò)了30%。

圖七：主機(jī)軟件弱密碼盤點(diǎn)

木馬病毒也是主機(jī)中最常見(jiàn)的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)木馬類軟件在各行業(yè)的染毒事件中占比最高(40%以上)，科技行業(yè)相對(duì)其他行業(yè)感染風(fēng)險(xiǎn)木馬軟件的比例更小。由于風(fēng)險(xiǎn)木馬軟件的感染主要是不良的上網(wǎng)習(xí)慣及缺乏安全意識(shí)引起的(如使用盜版軟件或外掛工具等)，可能科技行業(yè)從業(yè)人員的上網(wǎng)安全意識(shí)相對(duì)更高。

感染型木馬在教育行業(yè)感染比例相對(duì)較高，可能和該行業(yè)頻繁的文件交互傳輸有關(guān)。

圖八：不同行業(yè)感染病毒類型分布

后門遠(yuǎn)控類木馬是除了風(fēng)險(xiǎn)軟件之外感染量最大的染毒類型，占比在20%左右。后門遠(yuǎn)控類木馬有著極高的隱蔽性，接受遠(yuǎn)程指令執(zhí)行信息竊取、截屏、文件上傳等操作，對(duì)金融科技等信息敏感行業(yè)可造成極大危害。

檢測(cè)存在什么攻擊

通過(guò)對(duì)暴露在公網(wǎng)的服務(wù)器做抽樣分析發(fā)現(xiàn)，在常見(jiàn)的攻擊類型中，遠(yuǎn)程代碼執(zhí)行(RCE)、SQL注入、XSS攻擊類型比例較高，同時(shí)黑客為了獲取服務(wù)器、網(wǎng)站的基本信息，常見(jiàn)的探測(cè)性掃描(Probe Scan)量同樣非常高。

圖九：常見(jiàn)主機(jī)漏洞

2019年，全國(guó)企業(yè)用戶服務(wù)器病毒木馬感染事件超百萬(wàn)起。其中Webshell惡意程序感染事件占73.27%;Windows惡意程序感染事件占18.05%;Linux惡意程序感染事件占8.68%。

圖十：主機(jī)感染病毒木馬的情況

從感染主機(jī)中，總共發(fā)現(xiàn)超1萬(wàn)種木馬病毒，其中Webshell 約占27%，Windows木馬病毒約占61%，Linux木馬病毒約占12%。

圖十一：病毒木馬種類分布

由上文可知，2019年Webshell惡意程序感染事件為近80萬(wàn)起，占所有感染事件的70%。從被感染服務(wù)器的數(shù)量來(lái)看，Windows服務(wù)器感染W(wǎng)ebshell占所有Windows服務(wù)器的約44%，Linux服務(wù)器感染W(wǎng)ebshell占所有Linux服務(wù)器的約0.2%。這說(shuō)明Windows服務(wù)器更容易受到Webshell的攻擊。

從感染的Webshell語(yǔ)言類型來(lái)看，PHP類型的Webshell是最多的，其次是ASP語(yǔ)言。

圖十二：Webshell語(yǔ)言類型的比例分布

此外，在本報(bào)告中，根據(jù)不同操作系統(tǒng)樣本數(shù)據(jù)進(jìn)行分析，總共發(fā)現(xiàn)超過(guò)3000臺(tái)Windows服務(wù)器感染了挖礦木馬，其中超2000臺(tái)Linux服務(wù)器感染了挖礦木馬。

通過(guò)對(duì)被感染的主機(jī)進(jìn)行分析，發(fā)現(xiàn)挖礦木馬主要挖比特幣與門羅幣。猜測(cè)其原因，可能是比特幣是數(shù)字貨幣的開(kāi)創(chuàng)者，其價(jià)值非常高，當(dāng)仁不讓地成為黑客的重點(diǎn)關(guān)注對(duì)象。而門羅幣則是新興的數(shù)字貨幣，由于主要使用CPU進(jìn)行挖礦，所以黑產(chǎn)團(tuán)伙喜歡利用入侵服務(wù)器進(jìn)行挖礦。從入侵挖礦時(shí)間的角度來(lái)看：

Windows平臺(tái)挖礦事件主要出現(xiàn)的年初(1月-3月)和年底(12月)如下圖所示：

圖十三：Windows平臺(tái)挖礦事件月度統(tǒng)計(jì)

但是，Linux平臺(tái)挖礦事件主要集中在年中(4月-6月)和年底(11月-12月)：

圖十四：Linux平臺(tái)挖礦事件月度統(tǒng)計(jì)

可以看出，無(wú)論Windows平臺(tái)還是Linux平臺(tái)，年底都是挖礦入侵事件的高發(fā)時(shí)期，這段時(shí)間需要重點(diǎn)關(guān)注服務(wù)器是否出現(xiàn)CPU占用過(guò)高的情況。

判斷是否滿足合規(guī)

所有企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)都需要滿足國(guó)家或監(jiān)管單位的安全標(biāo)準(zhǔn)，如等保2.0、CIS安全標(biāo)準(zhǔn)等。安全標(biāo)準(zhǔn)，也稱為“安全基線”。安全基線的意義在于為達(dá)到最基本的防護(hù)要求而制定一系列基準(zhǔn)，在金融、運(yùn)營(yíng)商、互聯(lián)網(wǎng)等行業(yè)的應(yīng)用范圍非常廣泛。通過(guò)合規(guī)基線進(jìn)行自查和自加固可以更好地幫助企業(yè)認(rèn)清自身風(fēng)險(xiǎn)現(xiàn)狀和漏洞隱患。

主機(jī)賬號(hào)安全性的重要性不言而喻，但是在樣本分析過(guò)程中，我們?nèi)匀话l(fā)現(xiàn)很多賬號(hào)存在不合規(guī)情況，例如未設(shè)置密碼嘗試次數(shù)鎖定、未設(shè)置密碼復(fù)雜度限制等，這不符合國(guó)家等級(jí)保護(hù)相關(guān)要求。在等保2.0通用基本要求的身份驗(yàn)證控制項(xiàng)中明確要求“應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換”、“應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施”。

圖十五：主機(jī)賬號(hào)的不合規(guī)情況

此外，主機(jī)服務(wù)器上承載了非常多的應(yīng)用，如果應(yīng)用中存在不合規(guī)的情況，例如配置錯(cuò)誤、未修補(bǔ)的漏洞補(bǔ)丁等。那么黑客通過(guò)應(yīng)用就能進(jìn)入主機(jī)系統(tǒng)內(nèi)部，這將帶來(lái)極大風(fēng)險(xiǎn)。

圖十六：常見(jiàn)應(yīng)用的配置風(fēng)險(xiǎn)

當(dāng)然，如果沒(méi)有對(duì)主機(jī)底層的操作系統(tǒng)進(jìn)行適當(dāng)配置，就會(huì)引發(fā)許多安全問(wèn)題。建議安全運(yùn)維人員能夠謹(jǐn)慎配置主機(jī)來(lái)滿足組織機(jī)構(gòu)的安全需求，并能夠根據(jù)需求重新配置。通過(guò)研究分析樣本數(shù)據(jù)，發(fā)現(xiàn)GRUB密碼設(shè)置、UMASK值異常、未開(kāi)啟SYN COOKIE這三類問(wèn)題是所有主機(jī)系統(tǒng)風(fēng)險(xiǎn)中所占比例最多的三類。

圖十七：主機(jī)系統(tǒng)不合規(guī)的情況分析

3個(gè)層面解讀未來(lái)主機(jī)安全進(jìn)化方向

正如達(dá)爾文《進(jìn)化論》說(shuō)，進(jìn)化來(lái)源于突變，而安全面對(duì)的正是“不可預(yù)知的未來(lái)”。主機(jī)安全作為網(wǎng)絡(luò)安全領(lǐng)域中的重要分支，面對(duì)難以預(yù)測(cè)黑客攻擊手段，傳統(tǒng)的防范、阻止策略已經(jīng)行不通。

一方面， 攻擊者和防守者處于天然不對(duì)等的地位，傳統(tǒng)基于報(bào)警或已存在的威脅特征的檢測(cè)技術(shù)，包括防火墻、IPS、殺毒、沙箱等被動(dòng)防御手段，更是讓這種不平等愈發(fā)嚴(yán)重。很多被黑客攻陷的企業(yè)組織，雖然已經(jīng)構(gòu)建了一定的安全防御體系，但仍然沒(méi)能及時(shí)發(fā)現(xiàn)或阻止威脅，將損失降到最低。主要是因?yàn)楫?dāng)下檢測(cè)體系在應(yīng)對(duì)未知威脅過(guò)程中存在一些不足，表現(xiàn)為以下幾個(gè)方面：

檢測(cè)技術(shù)單一：基于簽名檢測(cè)技術(shù)無(wú)法檢測(cè)未知威脅，更無(wú)法定位失陷主機(jī)。

缺乏持續(xù)檢測(cè)：只能做階段性檢測(cè)，無(wú)法覆蓋威脅的全生命周期。

無(wú)法進(jìn)行聯(lián)動(dòng)：各安全檢測(cè)產(chǎn)品獨(dú)立工作，攻擊告警信息割裂，無(wú)法聯(lián)動(dòng)。

另一方面，當(dāng)前安全攻防對(duì)抗日趨激烈，單純指望通過(guò)防范和阻止的策略已行不通，必須更加注重檢測(cè)與響應(yīng)。企業(yè)組織要在已遭受攻擊的假定前提下，構(gòu)建集防御、檢測(cè)、響應(yīng)和預(yù)防于一體的全新安全防護(hù)體系。這從2019年6月網(wǎng)絡(luò)演習(xí)的規(guī)則也能看得出來(lái)，不強(qiáng)制要求系統(tǒng)不被入侵，而是強(qiáng)調(diào)入侵之后的快速響應(yīng)能力。

最后，隨著云計(jì)算的快速發(fā)展，多云和云原生趨勢(shì)漸漸成為主流，面對(duì)多云、云原生等新型架構(gòu)也不斷涌現(xiàn)，原有的主機(jī)安全產(chǎn)品如何適配新的架構(gòu)，也成為了企業(yè)不得不考慮的話題。

為了應(yīng)對(duì)外在環(huán)境的不斷演進(jìn)，主機(jī)安全防護(hù)軟件也在不斷更新迭代，衍生出了一系列細(xì)分領(lǐng)域的主機(jī)安全產(chǎn)品。從主機(jī)安全產(chǎn)品發(fā)展級(jí)別來(lái)看，大體上可以概括為“基礎(chǔ)性的主機(jī)安全產(chǎn)品”、“以應(yīng)用為核心的主機(jī)安全產(chǎn)品”、“以檢測(cè)響應(yīng)為核心的主機(jī)安全產(chǎn)品”、“以主動(dòng)防御為核心的主機(jī)安全產(chǎn)品”、“新形態(tài)下的主機(jī)安全產(chǎn)品”五個(gè)階段。

圖十八：主機(jī)安全成熟度曲線

我們可以洞見(jiàn)，未來(lái)，作為企業(yè)基礎(chǔ)建設(shè)的必需品，主機(jī)安全產(chǎn)品只有向“持續(xù)檢測(cè)、快速響應(yīng)、全面適配”方向發(fā)展，才能助力企業(yè)更好地應(yīng)對(duì)不可知的未來(lái)。

寫(xiě)在最后

《2019中國(guó)主機(jī)安全服務(wù)報(bào)告》宏大的理論體系，不僅促進(jìn)了市場(chǎng)全面理解中國(guó)主機(jī)安全的現(xiàn)狀，且為主機(jī)安全的發(fā)展指明了方向。未來(lái)，作為國(guó)內(nèi)主機(jī)安全領(lǐng)導(dǎo)者，青藤將不斷加深該領(lǐng)域的探索與推進(jìn)，持續(xù)助力政府、金融、互聯(lián)網(wǎng)、運(yùn)營(yíng)商、醫(yī)療、教育等不同行業(yè)用戶，筑牢網(wǎng)絡(luò)安全最后一公里防線，為中國(guó)網(wǎng)絡(luò)安全事業(yè)輸出源源不斷的安全免疫力!

請(qǐng)關(guān)注”青藤云安全資訊“公眾號(hào)，了解報(bào)告詳情。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！