日前，2019青藤云安全全国巡展（北京站）成功召开。来自各行业的领导和专家齐聚一堂，共同探讨新一代主机安全的发展趋势。会上，青藤云安全COO程度先生针对主机安全发展和进化方向，提出了自己独特的看法。

青藤云安全COO程度

达尔文《进化论》说，进化来源于突变，而安全面对的正是“不可预知的未来”。这些层出不穷的未知威胁成为了安全进化的动力。主机安全作为该领域最重要的一个分支，也正在快速进化以应对全新的威胁。

愈演愈烈的终端威胁是主机安全进化的源动力

随着数字加密币的普及，其天然的匿名性、难以追踪等特性令病毒木马黑色产业如获至宝，数字加密币已彻底改变了病毒木马黑色产业。从2018年以来，勒索病毒、挖矿木马成为了企业安全两大核心威胁。勒索软件也早已成为一个产业链，在暗网上只需花300美元就可以买到一套勒索软件，包括执行的脚本等。

此外，攻击者们开始利用“永恒之蓝”漏洞作为WannaCry以及NotPetya等勒索软件攻击的一部分。2017年对企业安全影响最深远的事件是以WannaCry为代表的勒索病毒爆发，给许多企业带来了灭顶之灾。另外，代号为“Petya”的勒索病毒也曾肆虐全球，该病毒除了使用通过漏洞进行传播之外，还具有很强的内网渗透能力。该病毒维护着一个主机密码表，通过CredEnumerateW函数获取用户凭据和使用mimikatz工具获取用户名密码这两种方式对密码表进行填充。一旦把主机上所有用户密码全部搞定，黑客基本上可以畅通无阻。

除了上述这两种最常见攻击之外，类似终端上无文件攻击也给企业的安全防护带来了巨大的挑战。现今的反病毒产品，对于检测磁盘上的恶意文件能够发挥有效作用，但是要想检测到只存在于内存中的恶意代码，往往是事倍功半。内存的易失性、动态性，使得恶意软件很容易地改变形态。同时，可以自由地运行，无需顾忌任何反恶意技术的侦测。

无文件攻击

在这样大背景之下，程度先生认为，未来主机安全的进化方向，将会像自适应安全架构那样朝着“持续增强的检测、响应以及架构适配”方向前进。

进化一：提升精准检测能力

正如上文所说，勒索病毒作为当下企业安全的“二毒”之一，虽然绝大多数“中招”机构都已经构建了一定安全防御体系，但仍然没能及时发现或阻止威胁，将损失降到最低。那到底是防御哪个环节出了问题呢？程度先生认为主要是当下检测体系在应对未知威胁过程中存在一些不足，表现为以下几个方面：

（1）  检测技术单一：基于签名检测技术无法检测未知威胁并无法定位失陷主机。

（2）  缺乏持续检测：只能做阶段性检测，无法覆盖威胁的全生命周期。

（3）  无法进行联动：各安全检测产品独立工作，攻击告警信息割裂，无法联动。

那如何持续增强检测能力？检测能力从哪来？为此我们需要对攻击有更深的理解，也应该采用一些更细粒度的安全模型。

对信息安全专家来说，用洛克希德-马丁公司的网络杀伤链（Kill Chain）来识别和防止入侵的方法可能并不陌生。但目前，较杀伤链模型更进阶和详细的模型是MITRE的ATT&CK模型。MITRE ATT&CK是一款可以加速检测与响应的最新工具。ATT&CK有助于理解攻击者的行为、技术、战术，帮助安全人员构建检测措施，验证防御措施以及分析策略的有效性。ATT&CK包括的战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。每一个战术类别包括了一系列的攻击技术，ATT&CK提供了对每一项技术的细节描述、检测技术和分析方法，以及可能的缓释措施。在行业应用中，该模型能够帮助分析和响应人员更好的了解攻击者。帮助安全人员熟悉真实环境的对抗技巧，增强实战能力，从而更好的组织防御。

ATT&CK针对每项技术细节描述

ATT&CK框架模型对于安全从业者最大价值就是增强其对检测能力的理解，按照其ATT&CK模型覆盖度、检测点，找到自身安全检测能力的改进方向。如何根据ATT&CK框架去检查目前安全产品的整体覆盖度，做全面差异分析，以及如何将ATT&CK所涵盖的技术点融入到产品中等问题值得大家思考。

进化二：自动化的响应能力

当前安全攻防对抗日趋激烈，单纯指望通过防范和阻止的策略已行不通，必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下，构建集防御、检测、响应和预防于一体的全新安全防护体系。这从今年6月*网行动的规则也能看得出来，不强制要求系统不被入侵，而是强调入侵之后的快速响应能力。

为最大限度科学、合理、有序地处置网络安全事件，程度先生建议建立完善的响应流程，包括查询、排序、可视化、获取、分析、工作流，总共7个阶段的工作。根据网络安全应急响应总体策略对每个阶段定义适当的目标，明确响应顺序和过程。

建立完善响应流程之后，还需要有合适工具协助安全人员完成响应工作。当前每个企业机构内部应急响应人员数量有限。如果让安全管理人员每天超负荷地处理安全事件，会让其产生懈怠的情绪并可能忽视真正需要处理的事件。因此通过相应工具自动或半自动地对安全事件进行处理是进行安全响应的必要手段。

提到自动化响应，当下最火一个安全概念当属SOAR（Security Orchestration, Automation and Response），意即安全编排自动化与响应。该技术聚焦安全运维领域，重点解决安全响应的问题。2017 年，Gartner 将SOAR 定义为安全编排自动化与响应，并将其看作是安全编排与自动化 (SOA， Security Orchestration and Automation)、安全事件响应平台 (SIRP, Security Incident Response Platform) 和威胁情报平台 (TIP, Threat Intelligence Platform) 三种技术/工具的融合。Gartner 认为，SOAR 技术仍然在快速演化，内涵未来仍可能会变化，但其围绕安全运维，聚焦安全响应的目标不会改变。

就目前而言，SOAR 的三大核心技术能力分别是安全编排与自动化、安全事件响应平台、威胁情报平台。

（1）安全编排与自动化（SOA）：这是SOAR的核心能力和基本能力

安全编排 (Orchestration) 是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口 (API) 和人工检查点，按照一定的逻辑关系组合到一起，用以完成某个特定安全操作的过程。

安全自动化 (Automation) 在这里特指自动化的编排过程，也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的 API 实现的，那么它就是可以自动化执行的。与自动化编排对应的，还有人工编排和部分自动化（混合）编排。

不论是自动化的编排，还是人工的编排，都可以通过剧本(playbook) 来进行表述。而支撑剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本，SOAR 通常还提供一套可视化的剧本编辑器。

剧本是面向编排管理员的，让其聚焦于编排安全操作的逻辑本身，而隐藏了具体连接各个系统的编程接口及其指令实现。SOAR 通常通过应用 (App) 和动作 (Action) 机制来实现可编排指令与实际系统的对接。应用和动作的实现是面向编排指令开发者的。

（2）安全事件响应平台(SIR)：这是SOAR的关键功能

通常，安全事件响应包括告警管理、工单管理、案件(Case) 管理等功能。告警管理的核心不仅是对告警安全事件的收集、展示和响应，更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量，减少告警的数量。

工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应，并且确保响应过程可记录、可度量、可考核。

案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置，并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行，从而持续化地对一系列安全事件进行追踪处置。

（3）威胁情报平台(TIP)：这是SOAR的重要功能

威胁情报平台是通对多源威胁情报的收集、关联、分类、共享和集成，以及与其它系统的整合，协助用户实现攻击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。

    此外，隔离跟修复，也是响应之后一个重要操作。包括文件隔、文件删除、进程网络隔离、进程杀死/阻塞、进程隔离和基于哈希的阻止等等。

进化三：新架构的适配能力

     云原生不但可以很好的支持互联网应用，也在深刻影响着新的计算架构、新的智能数据应用。以容器、服务网格、微服务、Serverless 为代表的云原生技术，带来一种全新的方式来构建应用。企业 IT 架构也随之发生巨大变化，而业务又深度依赖 IT 能力。这带来了一定程度的复杂性和挑战性，尤其是其安全挑战不可忽视。

   越来越多的企业利用Docker容器来快速构建和维护新服务和新应用。但是，容器本身也存在重大的安全风险，例如Docker宿主机安全、Docker镜像安全、运行环境的安全问题、编排安全等，这都意味着保护容器安全将是一项持续的挑战。

（1）  主机安全：容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机中安装有漏洞的软件可能会导致任意代码执行风险，sudo 的访问权限没有按照密钥的认证方式登录可能会导致暴力破解宿主机。从安全性考虑，容器主机应遵循如最小安装化，不应当安装额外的服务和软件以免增大安全风险，及时给操作系统打补丁等。

（2）  镜像安全：容器镜像是由若干层镜像叠加而成的包括基础的镜像、赋能层、应用层，通过镜像仓库分发和更新的。镜像安全可以从镜像构建安全、仓库安全以及镜像分发安全三个方面加固镜像安全能力。

（3）  运行时安全：容器以进程的形式运行在主机上，运行的容器进程是隔离的，它拥有自己的文件系统、网络以及独立于主机的进程树。有别于传统环境，为了保证容器的稳定运行，在容器环境下需要从主机、容器实例、镜像等多个层面进行监控审计。采用基于信誉行为控制的方式对容器运行时状态进行监控。运行时容器基本上都是单服务，每一个容器只跑一个服务，所以环境足够单纯。每一个容器都像一个采集器，有助于收集数据，然后通过机器学习进行行为分析，一旦发现异常行为就能够及时报警。此外通过容器研究和流量分析也能够建立对应基线。当然也可以采用白名单对工作负载进行微隔离。

（4）  编排安全：容器技术的成熟推动着微服务的发展和落地，越来越多的企业开始采用微服务架构来组建自己的应用，其中，容器编排工具管理着承载各类服务的容器集群。无论是 Kubernetes 社区还是第三方安全机构均针对 Kubernetes 中组件和资源的安全进行了相应改善和安全加固，包括计算资源安全、集群安全及相关组件安全等。这块需要重点考虑是隐私管理、授权管理、身份防控制、编排控制面、网络证书等都需要全面考虑。

写在最后

   威胁没有消失，安全进化就不会停止。因此主机安全技术从最初的资产清点和预防，向检测响应、隔离控制、行为检测等方向发展。如下图所示主机安全成熟度曲线，横坐标是攻击层面类型包括自动化攻击、机会主义、高级攻击，而纵坐标是安全组织级别，级别1主要是临时动作，级别2有一些发展手段，但是不固化，级别3有很明确的流程，级别4是主动考虑一些攻击场景，级别5考虑到供应链，考虑到我们硬件，或者其他能力。从下图可知，主机安全技术也一直在随着外在环境而不断进化。

这个世界，从本质来看是一个进化的世界。因此，用达尔文进化论的眼光去看待网络安全对抗，其实并不意外。网络的硬件、软件、应用程序等的兴衰存亡，无不依赖于进化。当然单纯说“进化”很容易，但是，要搞清楚“到底是如何进化的”就难了，需要安全人员一起共同努力。

新一代主机安全趋势研讨会|全国巡展（上海站）

限额报名中，欢迎扫码参加