解读腾讯《2019中国主机安全服务报告》：加固产业安全的最后一道“门”

在5G、人工智能、工业互联网、物联网高速发展的过程中，以信息基础设施为代表的“新基建”正在拉动新一代材料器件、工艺和技术的研发应用。面临2020年突如其来的疫情，新型基础设施的作用进一步凸显，加快建设新型基础设施的呼声和共识更加强烈。安全可靠地推进新型基础设施的建设，是新基建快速推进的基础保障;无论是物理网、人工智能还是5G通信设施，安全可靠的主机能力都是必选项。

然而受到全球经济下行、疫情等多重因素的影响，工业制造、车联网、医疗健康、金融科技等各行各业在数字化发展的起跑阶段就面临着前所未有的挑战——信息安全边界正在逐步扩大、与黑产的攻防对抗愈演愈烈，以数据为载体的企业数字资产面临极大威胁;主机作为企业数字资产最后，也是最重要的一道门，其承载的安全责任尤为重要、面临的安全风险挑战也更加多面化。

主机安全不容忽视，如何在主机安全的前提下开展效率革命，如何及时应对不同环境、不同阶段的安全风险，成为企业开展业务前必须思考的问题。近日，中国产业互联网发展联盟、腾讯安全、腾讯标准、青藤云安全等安全领域领导者与参与者共同发布了《2019中国主机安全服务报告》，站在宏观角度对2019年主机安全行业现状和未来发展趋势进行了研究与解读，通过盘点目前主机领域的主要风险场景、产品类型和技术要点，为企业的全周期防护实践提供了指导建议。

风险升级，主机安全攻击面正呈几何级递增

作为承载公司业务及内部运转的底层平台，主机既可以为内部和外部用户提供各种服务，也可以用来存储或者处理组织机构的敏感信息，其所承载的数据和服务价值不言而喻。

近年来，随着新技术、新应用的相继落地以及虚拟化技术的出现，主机应用的新场景不断演化、细分，企业的主机资产急剧增加，部署在服务器上的应用更是成倍数增长，主机安全的资产、配置、流程等盲点带来了前所未有的多重攻击面，这吸引了众多趋利黑客的青睐。密歇根大学的一项研究表明：一台有开放端口或漏洞的主机连网后，在23分钟内就会被攻击者扫描，在56分钟内开始被漏洞探测，第一次被彻底入侵平均时间是19小时。

《报告》通过大量的企业级主机核心资产样本入手分析，从主机资产、主机风险、主机入侵分析、主机合规分析四个方面对整个2019年主机安全情况进行了系统的扫描诊断，列举了主机安全领域中较为突出、危害程度较高的几种风险场景：主机漏洞风险、高危端口的开放、软件弱密码、默认或特色化账号、病毒感染、补丁未及时修复、系统或应用配置不合规等。这些风险均有很大几率引发企业业务中断、数据被破坏、加密勒索或服务器不稳定等事故，最终造成经济损失。

通过报告清晰可见，主机安全正遭遇艰难的“新老交替”过渡期——对新场景、新技术的攻击层出不穷，老旧设备和系统漏洞等也是黑客最为常用的突破口，整个攻击面呈“哑铃型”的发展趋势，两端的攻击砝码逐步加重，现有用以支撑和保护的安全管理环节难以为继。此外，从《报告》展示的数据上看，部分主机安全风险类型的严重程度已突破企业的常规认知，未来有可能成为重大安全事故的引爆点。例如2019年全国企业用户服务器病毒木马感染事件超百万起;主机系统账号普遍存在各类风险，超过95%的账号都属于高危账号;根据样本数据分析，未修补的高危漏洞高达45.77%。这些风险危机的根源往往在于：一是在技术层面，尤企业自身掌握的技术能力较薄弱，无法全面覆盖主机全体系或应对突发的黑客高级别攻击;二是在意识层面，对主机安全并没有直观的认知或者简单地认为物理或网络隔离即可达到防御效果。筑牢主机安全防护体系、加固企业安全的“最后一道门”，已经刻不容缓。

加强主动防御，快速响应和全面适配成未来趋势

“新基建”背景下，以容器、微服务、Serverless为代表的云原生技术使得企业IT架构发生了巨大变化，主机安全进入了“无人区”。面临更为复杂和严峻的安全风险，传统的漏洞修复和入侵检测等安全手段显得捉襟见肘;企业需要及时升级防护思路，以“缩小攻击面、将主机攻击防御于未然”为导向，构建覆盖主机安全全生命周期的防护体系，包括事前做好漏洞管理、基线合规、权限管理等安全运维工作，事中、事后提供应用管理、EDR、行为实时监控、防火墙等防御阻断能力。

对此，《报告》指出，面对不可预知的未来，主机安全需要像自适应安全架构那样继续朝着“持续增强的检测、响应以及架构适配”方向前进——持续检测是基础、快速响应是动力、全面适配是未来。过去，由于技术单一、缺乏持续检测、无法联合行动等种种原因，很多企业即使构筑了一定的安全防御体系依然无法及时、有效地阻止威胁。未来的主机安全防护体系需要一方面加强持续检测、及时预警，一方面强调入侵后的快速响应能力，构建集防御、检测、响应和预防于一体的全新安全防护体系。多云、云原生等新型架构的出现也促使正在转型的企业组织使用能充分适配这些新架构的主机安全产品。是否全面具备检测能力、响应能力、架构适配能力、满足合规要求能力将成为企业遴选主机产品的核心参考指标。

安全关乎企业的生产和发展，主机安全作为企业安全最后也是最重要的一道大门，需要通过持续的产品优化和技术完善来夯实企业的基础安全保障。面对不断变化的风险环境，基于20年来在业务实践中沉淀的超500个业务场景所积累的黑灰产数据样本和每天数百P的数据运算能力，腾讯安全投入超过3500名的安全专家和技术人员，不断探索新的技术并将先进的安全技术运用到以腾讯T-Sec主机安全为代表的主机安全产品之中，实现一站式全网威胁情报预警、漏洞快速响应、低资源占用和资产管理智能化，帮助企业构建集“制定主机安全计划、底层操作系统安全、主机运行软件安全、持续主机运维”于一体的全方位防护体系。未来，腾讯安全将继续联合生态伙伴在更多的领域探索，为主机安全发展输送更多技术和研究成果，护航产业互联网高速发展。