主机安全服务的20个痛点和未来主机安全进化方向

微信公众号：计算机与网络安全

ID：Computer-network

来源：腾讯安全

近日，腾讯安全与腾讯标准联合中国产业互联网发展联盟（IDAC）、青藤云安全等生态伙伴共同发布《2019中国主机安全服务报告》（以下简称“报告”）。报告由腾讯基础安全主机团队与青藤云安全团队联合主笔，站在宏观角度对2019年主机安全行业现状和未来发展趋势进行了研究与解读。

本报告将从主机资产概况、主机风险分析、主机入侵检测、主机合规分析四个方面详细分析2019年主机安全的整体概况。

一、清点拥有哪些资产

如果没有完整的、详细的主机资产清单，安全运维团队将无法确保组织机构的安全，因为任何人都无法保护“未知”事物的安全性。本报告通过分析大量的企业级主机核心资产情况，从而为各企业制定安全防护策略提供支持和帮助。

通过统计分析发现，在企业级客户中，超过81.45%的主机使用都是Linux操作系统，只有18.55%主机使用的是Windows操作系统。这其中原因有很多，比如Linux兼容性更好、模块化、资源消耗少等等原因，让很多客户都会选择Linux系统。

图1：不同主机操作系统的使用比例

通过对样本数据的分析可知，74%的主机上都存在UID为0、GID为0、Root/Administrator账号、Sudo权限等特殊账号。这些特殊账号，往往会成为备受黑客青睐的资产，属于高危重点保护资产。

图2：主机特殊账号的使用情况

此外，在样本数据分析中，发现在Linux系统中，使用最多的Web服务应用是Tomcat服务，高达58%，其次是Nginx，使用率达到了32%。

图3：Linux Top5 Web服务的使用情况

而在Windows环境下，IIS使用最多，达到47%，其次是Tomcat，达到36%。另外，Apache和Nginx的使用也占到了一定比例。

图4：Windows Top5 Web服务的使用情况

二、评估存在什么风险

为了在黑客入侵前发现系统风险点，安全人员需要通过专业的风险评估工具，对风险进行检测、移除和控制，来减小攻击面，包括安全补丁、漏洞、弱密码、应用风险、账号风险等。

基于漏洞所影响的主机数量，发现2019年影响范围最大的TOP10漏洞，有很多都是前几年的漏洞。尤其是针对那些老旧资产，补丁修复更是严重不足，因此，这些漏洞就成为了黑客入侵的突破口。

图5：2019年影响主机TOP10的漏洞

除了漏洞风险之外，在对Web服务器等互联网空间资产做空间测绘后发现，有大量的资产开放了高危端口，存在较高的安全隐患。例如，很多黑客攻击者很喜欢尝试入侵22、3389端口。如果主机存在弱密码登录的情况，很容易就被暴破成功，进而服务器被黑客控制。特别是今年曝光的 BlueKeep（CVE-2019-0708）、Windows RDS（CVE-2019-1181） ，均是Windows 远程桌面服务的漏洞并且危害巨大，而3389又是Windows远程桌面的默认端口，开放3389的Windows服务器更容易受到入侵攻击。建议服务器修改默认的远程连接端口，如无必要，可关闭该端口。

图6：常见高危端口的开放情况

此外，不同服务都有一些具有各自服务特色的弱口令，有一部分是安装时的默认密码。比如MySQL数据库的默认密码为空。通过分析发现，主机软件弱密码主要集中在MySQL、SSH、SVN、Redis、vsftpd这五类应用上，其中MySQL和SSH弱密码问题更是超过了30%。

图7：主机软件弱密码盘点

木马病毒也是主机中最常见的风险，风险木马类软件在各行业的染毒事件中占比最高（40%以上），科技行业相对其他行业感染风险木马软件的比例更小。由于风险木马软件的感染主要是不良的上网习惯及缺乏安全意识引起的（如使用盗版软件或外挂工具等），可能科技行业从业人员的上网安全意识相对更高。

感染型木马在教育行业感染比例相对较高，可能和该行业频繁的文件交互传输有关。

图8：不同行业感染病毒类型分布

后门远控类木马是除了风险软件之外感染量最大的染毒类型，占比在20%左右。后门远控类木马有着极高的隐蔽性，接受远程指令执行信息窃取、截屏、文件上传等操作，对金融科技等信息敏感行业可造成极大危害。

三、检测存在什么攻击

通过对暴露在公网的服务器做抽样分析发现，在常见的攻击类型中，远程代码执行（RCE）、SQL注入、XSS攻击类型比例较高，同时黑客为了获取服务器、网站的基本信息，常见的探测性扫描（Probe Scan）量同样非常高。

图9：常见主机漏洞

2019年，全国企业用户服务器病毒木马感染事件超百万起。其中Webshell恶意程序感染事件占73.27%；Windows恶意程序感染事件占18.05%；Linux恶意程序感染事件占8.68%。 

图10：主机感染病毒木马的情况

从感染主机中，总共发现超1万种木马病毒，其中Webshell 约占27%，Windows木马病毒约占61%，Linux木马病毒约占12%。

图11：病毒木马种类分布

由上文可知，2019年Webshell恶意程序感染事件为近80万起，占所有感染事件的70%。从被感染服务器的数量来看，Windows服务器感染Webshell占所有Windows服务器的约44%，Linux服务器感染Webshell占所有Linux服务器的约0.2%。这说明Windows服务器更容易受到Webshell的攻击。

从感染的Webshell语言类型来看，PHP类型的Webshell是最多的，其次是ASP语言。

图12：Webshell语言类型的比例分布

此外，在本报告中，根据不同操作系统样本数据进行分析，总共发现超过3000台Windows服务器感染了挖矿木马，其中超2000台Linux服务器感染了挖矿木马。

通过对被感染的主机进行分析，发现挖矿木马主要挖比特币与门罗币。猜测其原因，可能是比特币是数字货币的开创者，其价值非常高，当仁不让地成为黑客的重点关注对象。而门罗币则是新兴的数字货币，由于主要使用CPU进行挖矿，所以黑产团伙喜欢利用入侵服务器进行挖矿。从入侵挖矿时间的角度来看：

Windows平台挖矿事件主要出现的年初（1月-3月）和年底（12月）如下图所示：

图13：Windows平台挖矿事件月度统计

但是，Linux平台挖矿事件主要集中在年中（4月-6月）和年底（11月-12月）：

图14：Linux平台挖矿事件月度统计

可以看出，无论Windows平台还是Linux平台，年底都是挖矿入侵事件的高发时期，这段时间需要重点关注服务器是否出现CPU占用过高的情况。

四、判断是否满足合规

所有企事业单位的网络安全建设都需要满足国家或监管单位的安全标准，如等保2.0、CIS安全标准等。安全标准，也称为“安全基线”。安全基线的意义在于为达到最基本的防护要求而制定一系列基准，在金融、运营商、互联网等行业的应用范围非常广泛。通过合规基线进行自查和自加固可以更好地帮助企业认清自身风险现状和漏洞隐患。

主机账号安全性的重要性不言而喻，但是在样本分析过程中，我们仍然发现很多账号存在不合规情况，例如未设置密码尝试次数锁定、未设置密码复杂度限制等，这不符合国家等级保护相关要求。在等保2.0通用基本要求的身份验证控制项中明确要求“应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换”、“应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施”。

图15：主机账号的不合规情况

此外，主机服务器上承载了非常多的应用，如果应用中存在不合规的情况，例如配置错误、未修补的漏洞补丁等。那么黑客通过应用就能进入主机系统内部，这将带来极大风险。

图16：常见应用的配置风险

当然，如果没有对主机底层的操作系统进行适当配置，就会引发许多安全问题。建议安全运维人员能够谨慎配置主机来满足组织机构的安全需求，并能够根据需求重新配置。通过研究分析样本数据，发现GRUB密码设置、UMASK值异常、未开启SYN COOKIE这三类问题是所有主机系统风险中所占比例最多的三类。

图17：主机系统不合规的情况分析

五、3个层面解读未来主机安全进化方向

正如达尔文《进化论》说，进化来源于突变，而安全面对的正是“不可预知的未来”。主机安全作为网络安全领域中的重要分支，面对难以预测黑客攻击手段，传统的防范、阻止策略已经行不通。

一方面， 攻击者和防守者处于天然不对等的地位，传统基于报警或已存在的威胁特征的检测技术，包括防火墙、IPS、杀毒、沙箱等被动防御手段，更是让这种不平等愈发严重。很多被黑客攻陷的企业组织，虽然已经构建了一定的安全防御体系，但仍然没能及时发现或阻止威胁，将损失降到最低。主要是因为当下检测体系在应对未知威胁过程中存在一些不足，表现为以下几个方面：

检测技术单一：基于签名检测技术无法检测未知威胁，更无法定位失陷主机。

缺乏持续检测：只能做阶段性检测，无法覆盖威胁的全生命周期。

无法进行联动：各安全检测产品独立工作，攻击告警信息割裂，无法联动。

另一方面，当前安全攻防对抗日趋激烈，单纯指望通过防范和阻止的策略已行不通，必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下，构建集防御、检测、响应和预防于一体的全新安全防护体系。这从2019年6月网络演习的规则也能看得出来，不强制要求系统不被入侵，而是强调入侵之后的快速响应能力。

最后，随着云计算的快速发展，多云和云原生趋势渐渐成为主流，面对多云、云原生等新型架构也不断涌现，原有的主机安全产品如何适配新的架构，也成为了企业不得不考虑的话题。

为了应对外在环境的不断演进，主机安全防护软件也在不断更新迭代，衍生出了一系列细分领域的主机安全产品。从主机安全产品发展级别来看，大体上可以概括为“基础性的主机安全产品”、“以应用为核心的主机安全产品”、“以检测响应为核心的主机安全产品”、“以主动防御为核心的主机安全产品”、“新形态下的主机安全产品”五个阶段。

图18：主机安全成熟度曲线

我们可以洞见，未来，作为企业基础建设的必需品，主机安全产品只有向“持续检测、快速响应、全面适配”方向发展，才能助力企业更好地应对不可知的未来。