中国信通院：青藤云安全&主机安全能力建设指南（2022年）（38页）.pdf

1、WHZUJ4tabcaps lockAQ主机安全能力建设指南(2022年)青藤云安全中国信息通信研究院云计算与大数据研究所2022年6月1目录1. 概述.12. 主机安全能力发展态势.22.1 持续检测是基础. 22.2 快速响应是动力. 32.3 架构适配是未来. 42.3.1 云工作负载保护平台.52.3.2 全生命周期的云原生安全体系.63. 主机安全关键能力及技术要求.73.1 基础级.93.1.1 资产清点.93.1.2 风险发现.103.1.3 入侵检测.113.1.4 合规基线.133.2 增强级.143.2.1 病毒查杀.153.2.2 文件完整性.163.2.3 内存马检测.

2、173.2.4 主机型蜜罐.193.3 先进级.203.3.1 供应链安全.2023.3.2 微隔离.223.3.3 威胁狩猎.244. 重点行业主机安全能力需求分析.255. 主机安全能力建设流程.295.1 主机安全平台评估. 295.2 资质评估.315.2.1 企业资质.315.2.2 产品资质.325.2.3 测试报告.325.2.4 知识产权.325.3 成本评估.335.4 合同签订.336. 出版单位介绍.346.1 青藤云安全简介. 346.2 中国信息通信研究院云计算与大数据研究所简介.35主机安全能力建设指南11. 概述主机承载了企业越来越多的业务资产， 成为攻击者的主要

3、目标。 攻击者通过各类工具利用系统脆弱性突破企业防线，入侵主机内部完成攻击目的。守卫安全最后一公里，主机安全成为关键。据统计，在亚洲，80%以上企业被入侵后，需要数月时间才能发现入侵痕迹，而想要了解攻击者如何入侵成功以及入侵后开展了哪些行为，则还需要数周调查时间。此外，后期的漏洞修复和处置也将耗费数天完成，建立高效的主机安全检测与响应机制十分必要。随着企业数字化转型的推进，业务变得更加开放和灵活，安全挑战也日益复杂，利用安全边界保障主机的方式存在瓶颈，企业安全对抗和管理核心逐渐从边界转移至主机系统内。为此，能够及时检测、保护主机工作负载安全的“主机安全平台”成为企业安全架构的重要组成。企业基于

4、“主机安全平台”构建与现有安全工具协同工作的防御体系架构，以降低入侵成功可能性，缩短恢复和处置时间。目前市场上主机安全类产品数量多，能力良莠不齐，企业在选择产品时，需对现有的 IT 策略、安全策略、安全标准、安全基线和成本进行详细、透彻的分析，充分考虑产品能力、安全性和业务需求。为此，青藤与中国信息通信研究院云计算与大数据研究所联合推出国内首个主机安全能力建设指南，旨在帮助企业梳理主机安全能力需求、产品评估阶段流程，为选择主机安全产品、建设自适应的主机安全能力提供更好的策略指导。本指南对主机安全能力发展态势和关键技术要求进行分析， 梳理了重点行业主机安全能力建设时的需求优先级和关键点， 进一步

5、明确了主机安全建设流程和评估要素， 以帮助企业选择满足其需求的产品，构建高效的主机安全能力体系。主机安全能力建设指南22. 主机安全能力发展态势达尔文进化论认为进化来源于突变，而安全面对的正是“不可预知的未来”。未知威胁层出不穷成为安全进化的动力。 主机安全作为该领域最重要的一个分支， 也在快速进化以应对全新的威胁。2.1 持续检测是基础攻击者和防守者处于不对等地位， 传统基于报警或已存在的威胁特征的检测技术， 包括防火墙、IPS、杀毒、沙箱等被动防御手段，在应对未知威胁过程中存在一些不足，表现为以下几个方面：检测技术单一：基于签名检测技术无法检测未知威胁，更无法定位失陷主机；缺乏持续检测：仅

6、支持阶段性检测，无法覆盖威胁入侵的全生命周期；无法进行联动：各安全检测产品单兵作战，攻击告警信息割裂，无法联动。为了增强持续检测能力， 防守方需要对攻击有深入的理解， 并采用更加细粒度的安全模型。MITRE ATT&CK 提供了一个复杂框架，覆盖攻击者在攻击过程中使用的 14 项战术、190 多项技术和 380 多项子技术，其中包括特定技术和通用技术，以及有关知名攻击组织及其攻击活动的背景信息和攻击中所使用的战术、技术。简单来说，MITRE ATT&CK 是一个对抗行为知识库，可以帮助安全人员构建检测措施、验证防御措施并分析策略的有效性。ATT&CK 每一个战术类别包括了一系列的攻击技术，并提