青藤雲安全:2023年,如何爲自己選擇一款合適的雲主機安全產品?
(原標題:青藤雲安全:2023年,如何爲自己選擇一款合適的雲主機安全產品?)
當前,雲計算已經發展成爲企業IT架構的基礎設施。而云主機安全始終是備受關注的領域,企業不再猶豫是否上雲,而是重點關注如何做好雲主機安全,守護好安全的最後一道防線。目前,市場上存在着琳琅滿目的雲主機安全產品,企業該如何選擇一款適合自己的產品呢?
近日,在國際增長諮詢機構沙利文發佈的《2022年中國雲主機安全市場報告》(完整版報告可進入青藤雲安全官網下載)中,青藤萬相憑藉深厚的技術實力,在產品能力、市場能力、服務能力三個維度均排名第一,綜合競爭力排名第一。青藤萬相,會是你的最佳選擇嗎?
一、主機安全產品指的是什麼?
主機安全產品,顧名思義就是保護主機安全的產品。這是一種頗具歷史感的安全產品,在安全界與“防火牆”“DDoS高防”合稱“老三樣”,是保護主機的必備良藥。主機安全產品種類繁多、名目不一,但一般常見的有兩種:
l 一種是NIDS,全稱爲Network Intrusion Detection System,即網絡入侵檢測系統。NIDS通過測探進入主機的網絡流量來判斷有沒有發生攻擊,但這種方式需要消耗的資源比較多,市面上較爲少見,本文不做討論。
l 另一種是HIDS,全稱爲Host-based Intrusion Detection System,即基於主機型入侵檢測系統。HIDS通過在主機裡安裝Agent來測探各種信息以判斷是否有異常或者攻擊發生,這是最通用的一種主機安全產品。對雲上的用戶來說,雲主機安全產品主要是HIDS,例如,市場上比較有代表性的產品——青藤萬相·主機自適應安全平臺就是典型的HIDS。
形象地說,雲主機是個房子,而HIDS是一個體系,它首先把一個攝像頭(專業術語叫Agent或者代理)裝在房子裡,然後啓動攝像頭在雲主機系統裡東看看西看看,比如看看系統日誌、看看系統文件、看看進程、看看系統配置,看誰在系統裡搞事情、有沒有留下什麼蛛絲馬跡,一旦發現有人搞事情,HIDS就會上報給遠端的服務器併發出告警。
二、HIDS的組成是怎麼樣的?
上面說到的攝像頭,只是HIDS組件的一個部分,完整的HIDS產品架構圖如下:
它主要由3大部分組成,包括Agent、Engine安全引擎、Console控制中心。其中:
1. Agent:相當於主機裡的攝像頭,作用是檢測系統文件變更、檢測服務器狀態、上傳日誌、下發操作指令等。Agent只需要一條命令就能在主機上完成安裝,且自動適配各種物理機、虛擬機和雲環境,運行穩定、消耗低,能夠持續收集主機進程、端口和賬號信息,並實時監控進程、網絡連接等行爲,還能與Server端通信,執行其下發的任務,主動發現主機問題。
2. Engine安全引擎:作爲核心平臺的信息處理中樞,支持橫向擴展分佈式部署,能夠持續分析檢測從各個Agent上接收到的信息和行爲並進行保存,可從各個維度的信息中發現漏洞、弱密碼等安全風險和Webshell寫入行爲、異常登錄行爲、異常網絡連接行爲、異常命令調用等異常行爲,從而實現對入侵行爲實時預警。
3. Console控制中心:用以給管理人員、運維人員執行防禦策略管理、資源管理、命令下發等。以Web控制檯的形式和用戶交互,清晰展示各項安全監測和分析結果,並對重大威脅進行實時告警,幫助用戶更好更快地處理問題,提供集中管理的安全工具,方便用戶進行系統配置和管理、安全響應等相關操作。
三者之間協調配合才能做到實時的分析系統狀態並及時下發防禦策略,並便於安全人員進行日常維護和運營。
HIDS是一款很典型的“雲安全”產品,它的Agent安裝在每個雲主機上,但大部分功能都在各種集羣裡,這樣就使得用戶的計算資源開銷會變得很小,因爲功能都在“雲”上,也就是在遠端的各種服務器集羣上實現了大部分功能。
三、如何選擇一款合適的主機安全產品?
目前,隨着網絡安全上升到國家戰略高度,國家日益加強對攻防實戰的重視程度,各個組織機構越來越重視主機安全能力建設。但如何在產品琳琅滿目、能力也稂莠不齊的主機安全市場上,選擇一款合適的產品呢?
1. 主機安全能力評估
企業在選擇主機安全產品時,首先需要結合行業和企業需求,明確主機安全平臺需具備的主機安全能力。隨着攻擊手段不斷演進,主機安全防護技術也在持續更新迭代,衍生出一系列不同細分類別的主機安全產品,其安全能力按照成熟度以及可匹配的用戶需求,可劃分爲三個級別:基礎級、增強級和先進級。基礎級技術能力爲資產清點、風險發現、入侵檢測、合規基線。增強級在基礎級能力之上,還包括病毒查殺、文件完整性、內存馬檢測、主機型蜜罐能力。先進級則在增強級之上增加了供應鏈安全、微隔離和威脅狩獵能力。
理想條件下,企業具備的主機安全能力越完善,覆蓋基礎級、增強級、先進級中更多的能力,越能爲主機及其承載業務提供更好的安全保護。但在企業實際運營中,不同行業進行安全建設的驅動因素有所不同,且業務關係面臨的風險程度存在差異,綜合建設成本、人才技術基礎等因素,企業對各主機安全能力建設的優先級也不盡相同,應在人力、財力有限的條件下,優先完成最迫切需要的、與業務安全要求最匹配的能力建設。
圖4:不同行業對主機安全能力的需求優先級
2. 平臺性能評估
企業在選擇主機安全平臺時,還需要綜合考慮平臺總體性能,主要包括如下因素:
l 功能豐富性:隨着黑客攻擊方式的不斷迭代,主機安全產品應具有豐富的功能以有效檢測攻擊者,能夠做到事前防禦,事中實時監控,事後進行溯源和研判分析,通過全面覆蓋攻擊全階段,提供專業化安全保障。青藤萬相採用自適應安全架構,充分運用雲、大數據、AI等技術,打造集“預測、防禦、監控和響應”一體的安全閉環。
l 穩定性:安全設備的穩定性至關重要,不能因爲安全產品的不穩定造成業務中斷,讓企業業務遭受損失。輕Agent形態的主機安全產品則無須修改內核、不裝驅動,通過實時監控與分析來發現威脅,爲企業用戶提供告警。青藤萬相採用輕Agent形式,穩定性高達99.9999%,正常的系統負載情況下,CPU佔用率<1%,內存佔用<40M,在系統負載過高時,Agent會主動降級運行,不影響正常業務。
l 兼容性:企業在進行主機安全產品選型時,需要考慮到該產品是否支持物理主機、雲主機,是否支持不同的操作系統,是否能夠適用於虛擬機、容器環境等不同架構。青藤萬相通過自主研發與創新實現對國產操作系統的支持,包括arm、x86全系列國產操作系統,更能夠通過一個Agent,實現主機與容器的全面防護。
l 易用性:無論產品的功能如何強大,若企業中的相關人員無法熟練使用,將限制產品價值發揮。主機安全產品應該能夠確保用戶操作和控制軟件系統,完成預期或指定任務。青藤萬相功能完備,界面簡潔,使用便捷。
l 可維護性:主機安全產品的可維護性直接影響到對產品的使用體驗和安全人員的工作效率,因此,在選擇主機安全產品時,需要將可維護性考慮在內。
3. 權威認可
在主機安全產品選型過程中,企業除了需要關注企業是否具有相應產品的銷售許可資質外,還需要關注產品獲得的權威認可。獲得的權威認可越多、權威性越大,在一定程度上表明產品的可靠性及技術性能越高。青藤萬相作爲主機安全領域的領跑者,多年來,獲得了諸多機構的認可:
l 在2020-2022年,沙利文發佈的雲主機安全市場報告中,連續三年入圍領導者象限,綜合競爭力第一,持續領跑主機安全領域
l 在IDC發佈的《中國雲工作負載安全市場份額,2021》報告中排名第二
l 連續6年入圍Gartner CWPP報告
l 在賽迪發佈的《中國雲主機安全市場研究報告(2021)》報告中,市場份額排名第一
l 在國內數字化產業第三方調研與諮詢機構數世諮詢正式發佈的《主機檢測與響應(HDR)能力指南》及HDR能力指南點陣圖中,青藤獲得應用創新力和綜合能力“雙料第一”
4. 技術積澱
對於主機安全產品,技術積澱的時間越長,功能會越豐富,技術能力越有深度。在青藤萬相推出8年多的時間裡,始終引領國內安全領域的創新方向:全面參與行業頂層設計,參與6項國標、20餘項行業標準編寫工作,獲得50餘項發明專利、80餘項軟件著作。同時,青藤在10餘家中文核心期刊,發表了30餘項安全研究論文,並編寫出版多本網安專著,包括全球首部ATT&CK專著《ATT&CK框架實踐指南》,以及雲原生安全專著《雲原生安全技術實踐指南》,在主機安全能力的深度與廣度方面進行了廣泛的探索與研究。
寫在最後
目前市場上有很多安全產品宣稱可以解決主機側的安全問題,但大部分都是由其他產品改裝而來的,很難滿足主機側“安全與穩定兼顧”的需求,比如針對PC等終端的EDR等。最有效的主機安全防護產品應該是針對主機專門研發的,充分考慮了主機側穩定需求>安全需求的特性,既能對主機側的威脅做到及時、有效的檢測,又能保證業務的連續性,結合相應的人工介入來對威脅進行響應,以實現對業務影響的最小化,建議企業在進行主機安全產品選型時,能夠參照以上標準。有關如何選擇主機安全產品的更多信息,您可以可進入青藤雲安全官網下載《主機安全能力建設指南》。
圖5:主機安全能力建設指南
青藤雲安全主要聚焦於關鍵信息基礎設施領域的安全建設,爲政企客戶提供新一代的安全產品和服務,覆蓋雲安全、數據安全、供應鏈安全、流量安全等衆多領域。公司擁有數百人的專業安全服務團隊,爲100+國家重大活動提供安保服務支撐,全部實現安全0事故。目前,青藤已爲來自政府、金融、運營商、能源、電力、製造、互聯網等行業的1000+大型客戶,600萬+臺核心服務器提供穩定、高效的安全防護。