2019中国主机安全服务报告.pdf

2019 WORKLOAD SECURITY SERVICE REPORT OF CHINA中国产业互联网发展联盟腾讯标准腾讯安全青藤云安全联合出品让安全之光照亮互联网的每一个角落qingtengS ?Z 中国产业互联网发展联盟是从事产业互联网融合创新的企业、科研院所、大学院校和协会联盟自愿组成的全国性非营利社会组织。该联盟设立的宗旨是基于“平等自愿、优势互补、资源共享、共同发展”的原则，围绕工信部的中心工作，整合联盟内企业、行业内企业的专家、技术、服务、平台等资源，发挥“官产学研资”协同优势，促进产业互联网新应用、新模式、新业态的创新发展，推动传统产业的转型升级。腾讯高度重视标准化研究与应用的工作，为适应外部环境的挑战，满足内部产品与服务的需求，于2016年起组建专业的标准化团队，以“通过标准化助力互联网服务提质增效“为使命，以”立足战略、聚焦业务、开放生态“为原则，专注于跟踪政策标准、获取资质认证、参与标准研究、牵头标准制定等方面工作，助力业务发展、体现责任担当、推动行业共识。-S腾讯安全依托 20 年多业务安全运营及黑灰产对抗经验，凭借行业顶尖安全专家、最完备安全大数据及 AI 技术积累，提供紧贴业务需要的安全最佳实践，构建了一套自适应的闭环安全防护体系，包含基础安全防护体系，安全运营中心、业务安全服务体系等，其产品矩阵涉及终端安全、网络安全、云安全、业务安全、数据安全、安全管理、安全服务等多个安全方向，且行业解决方案涵盖了政企、金融、医疗、教育、交通等多个领域。帮助客户从技术和管理角度加强网络安全建设，提升企业竞争力，创造更大价值。- 青藤云安全以主机安全为核心，采用自适应安全架构，将预测、防御、监控和响应能力融为一体，构建基于主机端的安全态势感知平台，为用户提供持续的安全监控、分析和快速响应能力，帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下，实现安全的统一策略管理，有效预测风险，精准感知威胁，提升响应效率，全方位保护企业数字资产的安全与业务的高效开展。, qingtengS ?Z 中国产业互联网发展联盟是从事产业互联网融合创新的企业、科研院所、大学院校和协会联盟自愿组成的全国性非营利社会组织。该联盟设立的宗旨是基于“平等自愿、优势互补、资源共享、共同发展”的原则，围绕工信部的中心工作，整合联盟内企业、行业内企业的专家、技术、服务、平台等资源，发挥“官产学研资”协同优势，促进产业互联网新应用、新模式、新业态的创新发展，推动传统产业的转型升级。腾讯高度重视标准化研究与应用的工作，为适应外部环境的挑战，满足内部产品与服务的需求，于2016年起组建专业的标准化团队，以“通过标准化助力互联网服务提质增效“为使命，以”立足战略、聚焦业务、开放生态“为原则，专注于跟踪政策标准、获取资质认证、参与标准研究、牵头标准制定等方面工作，助力业务发展、体现责任担当、推动行业共识。-S腾讯安全依托 20 年多业务安全运营及黑灰产对抗经验，凭借行业顶尖安全专家、最完备安全大数据及 AI 技术积累，提供紧贴业务需要的安全最佳实践，构建了一套自适应的闭环安全防护体系，包含基础安全防护体系，安全运营中心、业务安全服务体系等，其产品矩阵涉及终端安全、网络安全、云安全、业务安全、数据安全、安全管理、安全服务等多个安全方向，且行业解决方案涵盖了政企、金融、医疗、教育、交通等多个领域。帮助客户从技术和管理角度加强网络安全建设，提升企业竞争力，创造更大价值。- 青藤云安全以主机安全为核心，采用自适应安全架构，将预测、防御、监控和响应能力融为一体，构建基于主机端的安全态势感知平台，为用户提供持续的安全监控、分析和快速响应能力，帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下，实现安全的统一策略管理，有效预测风险，精准感知威胁，提升响应效率，全方位保护企业数字资产的安全与业务的高效开展。, 01CONTENTS02执行摘要EXECUTIVE SUMMARY主机安全状态整体概览主机资产概况04执行摘要0104 不同主机操作系统的安装情况05 特殊账号清点分析06 Top5 Web服务应用分布07 Top10 Web应用框架类型08 Top5数据库应用的分布主机风险总览0909 TOP10主机漏洞攻击11 主机高危端口的开放情况12 主机软件弱密码盘点13 主机账号危险程度分析13 补丁修复状况分析14 不同行业感染病毒类型分布情况主机入侵分析1515 常见主机漏洞攻击类型15 全国主机感染病毒木马的情况17 Webshell恶意程序分析18 暴力破解目标及时间分布18 全国挖矿木马的感染情况21 勒索病毒情况主机合规分析2121 主机账号的合规分析23 主机应用合规分析26 主机系统合规分析OVERVIEW OF WORKLOAD SECURITY STATUS杨志锋中国产业互联网发展联盟秘书长伴随着新冠病毒在全球的蔓延，全世界人民都将经历一段“与毒共舞”的特殊时期。由此带来的在线活动激增，既带动了产业互联网的深入发展，也为一些隐秘活动提供了可趁之机。在可见的未来，无论计算的商业形态如何变化，主机安全仍将是产业互联网时代线上“防疫”的根本。产业互联网的发展之路能走多远，主要取决于我们能否从线下的疫情吸取教训，为主机安全运行提供应急使用的“口罩和防护服”，并依靠“疫苗和特效药”取得最终的胜利。衷心希望这本主机安全报告的发布，能化作产业互联网安全发展的哨音，为线上防疫提供“救治指南”，帮助我们实现更加繁荣美好的线上生活。黎巍腾讯安全副总裁腾讯云安全负责人产业互联网时代，大量的企业业务都将依托在云上，以数据为载体的数字资产也逐渐成为企业的核心资产。与此同时，黑客们也对这些核心资产虎视眈眈。数据攻击和窃取的事件越发频繁，各类攻击手段也层出不穷。面对日益严峻的网络安全形势，企业需要建立强大的安全防御体系以不断增强对恶意攻击的抵抗能力。主机安全作为企业安全最后也是最重要的一道门，需要不断增强对恶意入侵检测的速度和准确率。腾讯安全致力于携手合作伙伴，将积累20多年的能力和经验开放，为云上客户打造更加主动、积极、智慧的安全体系。张福青藤云安全CEO在整个安全体系保护的对象里，主机就是皇冠上的那颗明珠。随着5G、物联网、工业互联网的大发展，越来越多的数据会被存储在主机上，越来越多的业务会以数字化的形态运转在主机上，越来越多的场景会打通虚拟和现实的边界，从线上映射到线下，和人们的生活息息相关。因此，对主机的保护将会变得越来越重要。在未来，安全行业必须解决“最后一公里”的问题，安全的核心战场必然会从网络边界向内转移到主机。如何做好主机安全？如何应对变幻莫测的攻击技术？2019年主机端都遭遇到哪些挑战？希望这本详实的2019中国主机安全服务报告能带给大家一些答案。01CONTENTS02执行摘要EXECUTIVE SUMMARY主机安全状态整体概览主机资产概况04执行摘要0104 不同主机操作系统的安装情况05 特殊账号清点分析06 Top5 Web服务应用分布07 Top10 Web应用框架类型08 Top5数据库应用的分布主机风险总览0909 TOP10主机漏洞攻击11 主机高危端口的开放情况12 主机软件弱密码盘点13 主机账号危险程度分析13 补丁修复状况分析14 不同行业感染病毒类型分布情况主机入侵分析1515 常见主机漏洞攻击类型15 全国主机感染病毒木马的情况17 Webshell恶意程序分析18 暴力破解目标及时间分布18 全国挖矿木马的感染情况21 勒索病毒情况主机合规分析2121 主机账号的合规分析23 主机应用合规分析26 主机系统合规分析OVERVIEW OF WORKLOAD SECURITY STATUS杨志锋中国产业互联网发展联盟秘书长伴随着新冠病毒在全球的蔓延，全世界人民都将经历一段“与毒共舞”的特殊时期。由此带来的在线活动激增，既带动了产业互联网的深入发展，也为一些隐秘活动提供了可趁之机。在可见的未来，无论计算的商业形态如何变化，主机安全仍将是产业互联网时代线上“防疫”的根本。产业互联网的发展之路能走多远，主要取决于我们能否从线下的疫情吸取教训，为主机安全运行提供应急使用的“口罩和防护服”，并依靠“疫苗和特效药”取得最终的胜利。衷心希望这本主机安全报告的发布，能化作产业互联网安全发展的哨音，为线上防疫提供“救治指南”，帮助我们实现更加繁荣美好的线上生活。黎巍腾讯安全副总裁腾讯云安全负责人产业互联网时代，大量的企业业务都将依托在云上，以数据为载体的数字资产也逐渐成为企业的核心资产。与此同时，黑客们也对这些核心资产虎视眈眈。数据攻击和窃取的事件越发频繁，各类攻击手段也层出不穷。面对日益严峻的网络安全形势，企业需要建立强大的安全防御体系以不断增强对恶意攻击的抵抗能力。主机安全作为企业安全最后也是最重要的一道门，需要不断增强对恶意入侵检测的速度和准确率。腾讯安全致力于携手合作伙伴，将积累20多年的能力和经验开放，为云上客户打造更加主动、积极、智慧的安全体系。张福青藤云安全CEO在整个安全体系保护的对象里，主机就是皇冠上的那颗明珠。随着5G、物联网、工业互联网的大发展，越来越多的数据会被存储在主机上，越来越多的业务会以数字化的形态运转在主机上，越来越多的场景会打通虚拟和现实的边界，从线上映射到线下，和人们的生活息息相关。因此，对主机的保护将会变得越来越重要。在未来，安全行业必须解决“最后一公里”的问题，安全的核心战场必然会从网络边界向内转移到主机。如何做好主机安全？如何应对变幻莫测的攻击技术？2019年主机端都遭遇到哪些挑战？希望这本详实的2019中国主机安全服务报告能带给大家一些答案。CONTENTS30 级别1：基础性的主机安全产品31 级别2：以应用为核心的主机安全产品32 级别3：以检测响应为核心的主机安全产品33 级别4：以主动防御为核心的主机安全产品33 级别5：新形态下的主机安全产品03主机安全市场产品形态PRODUCT FORM OF WORKLOADSECURITY MARKET持续检测是基础3637 攻击持久化检测39 提升权限检测40 凭据获取检测41 横向移动检测41 命令和控制入侵的检测快速响应是动力4243 恶意挖矿事件响应44 内网入侵事件响应45 勒索病毒事件响应45 网页挂马事件响应全面适配是未来4647 构建云原生的安全运营中心49 容器安全解决方案51 云工作负载保护平台04主机安全产品技术分析TECHNICAL ANALYSIS OF WORKLOAD SECURITY PRODUCTS58 等保2.0下新一代主机安全实践67 云等保安全合规要求68 建设新基建趋势下的主机安全标准05主机安全领域法律法规LAWS AND REGULATIONS ONWORKLOAD SECURITY75 总结77 参考文献07总结SUMMARY06主机安全建设实践指南WORKLOAD SECURITY CONSTRUCTIONPRACTICE GUIDE70 制定主机安全计划70 底层操作系统安全71 主机运行软件安全73 持续主机安全运维CONTENTS30 级别1：基础性的主机安全产品31 级别2：以应用为核心的主机安全产品32 级别3：以检测响应为核心的主机安全产品33 级别4：以主动防御为核心的主机安全产品33 级别5：新形态下的主机安全产品03主机安全市场产品形态PRODUCT FORM OF WORKLOADSECURITY MARKET持续检测是基础3637 攻击持久化检测39 提升权限检测40 凭据获取检测41 横向移动检测41 命令和控制入侵的检测快速响应是动力4243 恶意挖矿事件响应44 内网入侵事件响应45 勒索病毒事件响应45 网页挂马事件响应全面适配是未来4647 构建云原生的安全运营中心49 容器安全解决方案51 云工作负载保护平台04主机安全产品技术分析TECHNICAL ANALYSIS OF WORKLOAD SECURITY PRODUCTS58 等保2.0下新一代主机安全实践67 云等保安全合规要求68 建设新基建趋势下的主机安全标准05主机安全领域法律法规LAWS AND REGULATIONS ONWORKLOAD SECURITY75 总结77 参考文献07总结SUMMARY06主机安全建设实践指南WORKLOAD SECURITY CONSTRUCTIONPRACTICE GUIDE70 制定主机安全计划70 底层操作系统安全71 主机运行软件安全73 持续主机安全运维&9&$65*7&46.“3:组织机构应当采取合适的主机管理机制 ，包括对主机资产的识别，以及确保信息系统资源的机密性、完整性和可用性。建议采取下列措施：组织机构应该确保主机操作系统的部署、配置和管理满足安全需求。 保护主机安全性的第一步是保护底层操作系统。如果底层服务器的操作系统配置得当，就可以避免许多安全问题。使用安全配置指南或检查列表可以帮助管理员有效地保护服务器。组织机构需要确保主机上安装的应用能够满足安全要求。 最重要的原则是安装最小数量的所需服务，并通过打补丁或升级软件来消除漏洞。保护服务器应用程序通常包括以下步骤：主机可以为内部和外部用户提供各种服务，也可以用来存储或者处理组织机构的敏感信息，根据提供的不同服务可以分为Web服务器、电子邮件服务器、数据库服务器、基础设施管理服务器、文件服务器等。由于主机上承载的数据和服务价值巨大，因而成为黑客最喜欢的攻击目标。以下是几种常见的主机威胁示例：执行摘要攻击者利用主机软件或其底层操作系统中的漏洞来获得未经授权的访问。A.针对服务器的DoS攻击，阻止有效用户使用其服务。B.截获在服务器和客户端之间传输的未加密或弱加密的敏感信息。C.攻击者通过失陷主机获取网络中其它未经授权的资源访问。D.本报告旨在帮助各组织机构更好地保护主机安全，包括如何确保底层操作系统安全、软件配置安全、以及通过补丁、安全测试、日志监控以及操作系统文件备份来维护安全配置。目前，主机安全的技术正在从最初的资产探测、杀毒等，开始向检测响应、隔离控制、行为检测等方向发展，未来一定会朝着主动检测、快速响应、安全适配三个方向进化。例如，基于当下最热门的ATT&CK框架，安全从业者可以从覆盖度、检测点等方面找到自身安全检测能力的改进方向，包括如何根据ATT&CK框架去检查目前安全产品的整体覆盖度，以及如何将ATT&CK所涵盖的技术点融入到产品中。当然，面对日趋猖獗的黑客攻击，单纯地指望通过防御和管控策略已行不通，必须更加注重检测与响应。为最大限度地、科学、合理、有序地处置网络安全事件，建立完善的响应流程尤为重要，组织机构需要根据网络安全应急响应总体策略，在每个阶段制定适当的目标，明确响应顺序和过程。此外，随着新技术的快速发展，以容器、微服务、Serverless 为代表的云原生技术，使得企业 IT 架构发生了巨大变化，其安全挑战不容忽视。总得来说，主机安全最佳实践应该从主机安全管理机制、主机操作系统的安全、主机软件的安全、持续的主机安全运维等角度来构建全方位的安全方案。配置控制管理措施A.持续进行风险评估和管理B.满足合规的要求、标准化的软件配置C.组织机构需要确保服务器的持续安全性 ，需要采取以下行动 ，包括不限于：经常配置、保护和分析日志文件A.经常备份关键信息B.建立回滚策略C.及时测试和应用补丁D.定期测试安全性E.打补丁或升级主机应用程序A.去除不必要的服务或应用B.配置主机用户权限和访问控制C.加大安全意识培训D.建立应急计划、业务连续性和灾难恢复计划E.配置主机资源控制D.测试主机应用的安全性E.WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 0201 WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG &9&$65*7&46.“3:组织机构应当采取合适的主机管理机制 ，包括对主机资产的识别，以及确保信息系统资源的机密性、完整性和可用性。建议采取下列措施：组织机构应该确保主机操作系统的部署、配置和管理满足安全需求。 保护主机安全性的第一步是保护底层操作系统。如果底层服务器的操作系统配置得当，就可以避免许多安全问题。使用安全配置指南或检查列表可以帮助管理员有效地保护服务器。组织机构需要确保主机上安装的应用能够满足安全要求。 最重要的原则是安装最小数量的所需服务，并通过打补丁或升级软件来消除漏洞。保护服务器应用程序通常包括以下步骤：主机可以为内部和外部用户提供各种服务，也可以用来存储或者处理组织机构的敏感信息，根据提供的不同服务可以分为Web服务器、电子邮件服务器、数据库服务器、基础设施管理服务器、文件服务器等。由于主机上承载的数据和服务价值巨大，因而成为黑客最喜欢的攻击目标。以下是几种常见的主机威胁示例：执行摘要攻击者利用主机软件或其底层操作系统中的漏洞来获得未经授权的访问。A.针对服务器的DoS攻击，阻止有效用户使用其服务。B.截获在服务器和客户端之间传输的未加密或弱加密的敏感信息。C.攻击者通过失陷主机获取网络中其它未经授权的资源访问。D.本报告旨在帮助各组织机构更好地保护主机安全，包括如何确保底层操作系统安全、软件配置安全、以及通过补丁、安全测试、日志监控以及操作系统文件备份来维护安全配置。目前，主机安全的技术正在从最初的资产探测、杀毒等，开始向检测响应、隔离控制、行为检测等方向发展，未来一定会朝着主动检测、快速响应、安全适配三个方向进化。例如，基于当下最热门的ATT&CK框架，安全从业者可以从覆盖度、检测点等方面找到自身安全检测能力的改进方向，包括如何根据ATT&CK框架去检查目前安全产品的整体覆盖度，以及如何将ATT&CK所涵盖的技术点融入到产品中。当然，面对日趋猖獗的黑客攻击，单纯地指望通过防御和管控策略已行不通，必须更加注重检测与响应。为最大限度地、科学、合理、有序地处置网络安全事件，建立完善的响应流程尤为重要，组织机构需要根据网络安全应急响应总体策略，在每个阶段制定适当的目标，明确响应顺序和过程。此外，随着新技术的快速发展，以容器、微服务、Serverless 为代表的云原生技术，使得企业 IT 架构发生了巨大变化，其安全挑战不容忽视。总得来说，主机安全最佳实践应该从主机安全管理机制、主机操作系统的安全、主机软件的安全、持续的主机安全运维等角度来构建全方位的安全方案。配置控制管理措施A.持续进行风险评估和管理B.满足合规的要求、标准化的软件配置C.组织机构需要确保服务器的持续安全性 ，需要采取以下行动 ，包括不限于：经常配置、保护和分析日志文件A.经常备份关键信息B.建立回滚策略C.及时测试和应用补丁D.定期测试安全性E.打补丁或升级主机应用程序A.去除不必要的服务或应用B.配置主机用户权限和访问控制C.加大安全意识培训D.建立应急计划、业务连续性和灾难恢复计划E.配置主机资源控制D.测试主机应用的安全性E.WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 0201 WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 主机安全状态整体概览07&37*&80803,-0“%4&$63*5:45“564主机作为承载公司业务及内部运转的底层平台，其稳定、安全地运行是公司正常运转的前提保障。由于主机上运行着各种各样的业务，会存在着各类漏洞及安全问题。攻击者以此为目标，通过对主机进行攻击来获利，但这将会给公司发展造成严重的危害和损失。因此，主机层面的安全问题绝不容忽视，本报告将从主机资产、主机风险、主机入侵分析、主机合规分析四个方面详细分析2019年主机安全的整体概况。主机资产概况如果没有完整的、详细的主机资产清单，安全运维团队将无法确保组织机构的安全，因为任何人都无法保护“未知”事物的安全性。虽然在过去封闭的IT环境中，通过对所有硬件、软件和网络元素进行统计和监视，安全性还是可控的。但是随着云计算、移动设备、物联网等技术的快速发展，传统网络边界已经不复存在。因此，编制一份完整的资产清单并随时进行更新，这一点愈发困难和复杂。随着资产盲点在网络环境中成倍增加，黑客入侵、数据泄露、恶意软件感染以及不合规的风险也在成倍增加。本报告通过分析大量的企业级主机核心资产情况，从而为各企业制定安全防护策略提供支持和帮助。 不同主机操作系统的安装情况常见的主机操作系统有很多，比如Windows、Linux、Unix等，而在企业级主机上经常使用的都是Windows和Linux系统。通过统计分析发现，在企业级客户中，超过81.45%的主机使用都是Linux操作系统，只有18.55%主机使用的是Windows操作系统。这其中原因有很多，比如Linux兼容性更好、模块化、资源消耗少等等原因，让很多客户都会选择Linux系统。图2-1：不同主机操作系统的使用比例Windows 18.55%Linux 81.45%操作系统01WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 0403 WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG