奇安信椒图李栋勒索攻击泛滥服务器安全实战化要求提升

　　创新技术的应用推动着企业数字化进程的加速，与之相伴的是前所未有的安全威胁和更多未知的安全风险，勒索病毒、0day漏洞、僵尸木马、恶意攻击扑面而来，网络攻击手段越来越多，无处不存在漏洞，无处不是攻击入口。万物互联使得虚拟世界与物理世界之间的边界正在逐渐打通，一次通过基础物联网设备发起的攻击将直接触达系统的核心。
　　对企业而言，服务器既是承载公司业务及内部运转的底层平台，也是承载企业数据和创新服务的核心，其稳定、安全的运行是公司正常运转的前提保障，如何解决其安全隐患尤为关键。
　　奇安信椒图服务器安全管理系统是中国用户总量领先的主机安全产品， 市场排名在IDC《中国云工作负载安全市场份额报告，2021：云原生与安全左移驱动技术持续创新》、赛迪顾问《中国服务器安全市场研究报告（2022）》均名列第一，是一款广泛符合各级政企客户和商业组织合规安全、实战安全需求的主机安全产品。
　　安全419以服务器安全市场需求及趋势发展调研为出发，在与奇安信资深服务器安全专家李栋进行充分沟通之后，为大家带来以下观察发现：服务器安全的重要性 勒索攻击泛滥 实战化要求提升
　　如果说什么最能直观展现服务器安全的重要性，最近几年没有什么比勒索软件攻击更有代表性。最近几年媒体频繁报道可以看到，勒索软件攻击事件特别频繁，且事件发生之后影响也极其严重。
　　美国石油管道受勒索软件攻击事件就是一件常被安全企业拿来说教客户的一次严重的勒索软件攻击，针对一国政府关键基础设施的网络攻击，直接导致北美十几个州同时的断电断油。
　　李栋还关注了前不久刚刚发生的两起勒索软件攻击事件，其一是针对法国知名军工生产企业泰雷兹的攻击，以及针对亚洲航空集团的攻击。其中前者不仅在军工领域颇具盛名，其安全防务业务最近几年也在拓展网络安全领域。
　　这两起勒索软件攻击为企业带来的最大问题在于可怕的数据泄露问题，即数字时代，企业存储在服务器上的数据的安全性至关重要，前者已有9.5GB关键资料被勒索组织泄露至公网，后者则有500万客户资料存在安全隐患。
　　勒索软件在国内的情况也不容乐观，李栋的关注点与安全419在2022年第三季度盘点勒索软件攻击趋势时相一致，视野也放到了针对国内大型制造企业，以及知名IT厂商的勒索攻击事件当中。其观点也非常明确，勒索软件攻击在国内的情况同样常见。
　　勒索软件攻击的威胁代表性是显见且直接的，这种黑客攻击威胁与过去的破坏型电脑病毒完全不同，它更具目的性。也就是说，针对服务器的勒索软件攻击经济目的性是明确的，且在不断发展，从加密数据到窃取数据，到威胁泄露数据，都是其典型目的性的勒索特征。
　　鉴于勒索软件攻击威胁的真实性，以及明确的指向性，在李栋看来，这也是企业为什么一定要在服务器端去做好安全防护工作，因为一旦失守，随着企业所属行业的不同，所要承担的损失将是不可承受的，甚至要高于安全投入千倍万倍。
　　李栋还指出了一个问题，那就是国内还是存在大量对安全重视不够，或者遇到安全问题处置混乱的民企，这方面还是需要政府、媒体出面加强引导。
　　在政企市场上最近几年以实战为先情况正在不断向好，大规模的实战演练不仅要求政企单位看得见，更要防得住。＂这要求政企单位不仅要有网络安全方面的威胁感知能力，更要针对IT资产各级负载实施严密防护，受此驱动，一些头部安全厂商也迎来了业务爆发。＂
　　总结来看，李栋认为以上两点是趋势上直观展现的服务器安全重要性的两大因素，其一是勒索软件攻击对服务器端威胁的真实性和广泛性，其二是攻防演练工作要求正转向以防得住实战化为前提。
　　从另外一个广泛的已知趋势上来看，信创国产化将在2023年进一步的全面提升应用，覆盖度从试点到全覆盖，信创环境的安全性也需要全面评估和检测。即信创生态当中，第三方安全也将是这个生态的重要组成部分。服务器安全趋势演变 应以客户视角实战为前提主动求变
　　作为一名互联网及信息安全老兵，李栋见证了整个服务器安全的发展，从最初的托管服务商拔网线式的＂保安全不要业务＂粗暴处置，来干预商业因素的恶意攻击，到政策上的合规要求，服务器端开始出现各种形态的安全产品。
　　服务器安全的发展，也是人类开掘现代社会经济动作基本方式的一个缩影，从信息化到现在的数字化，都是基于发展不断变化的基础设施服务运作形式。从云的出现，到云的加速普及应用，服务器安全也从过去的简单定义，到精细化定义。
　　＂服务器安全不能像PC那样，我只要把流行的病毒防住并杀掉就够了，在服务器端这远远不够。＂从云的出现，以及云所承载的时代上的变迁，服务器的安全问题才正式被企业所重视，并且随着云的普及应用，服务器安全也才被正式统一。
　　调研机构对于云工作负载保护平台（Cloud Workload Protection Platform,简称CWPP）技术的定义，在于李栋看来，是服务器安全发展的里程碑事件。因为CWPP统一了服务器安全的产品形态，从底层的运维习惯，到系统的防护、应用的防护等等，如今安全市场上的服务器安全产品，也大多采用这一系统架构来设计。
　　从趋势来看，李栋认为服务器安全需要用一个相对比较简单的产品，去满足客户更多的需求。需求的变化，也决定了产品的防护面，以及进一步安全方法论的升级。
　　比如服务器安全同样适用现在非常火的安全运营方向——攻击面管理，这项技术理解起来就是不断缩减黑客攻防上的信息差，站在黑客的角度来看自身的薄弱点，在其没有攻击之前，提前收敛系统漏洞。
　　＂黑客如果能够入侵到你的服务器，实际上就是你攻击面没有做好。＂李栋认为，将攻击面管理技术应用到服务器安全领域，可以进一步强调以实战出发的防御效果。
　　比如，攻击面管理技术加持的服务器安全产品，可以帮助企业迅速摸清旗下IT资产情况。比如企业现在有多少台服务器，这些服务器有哪些漏洞没有修复，开放了哪些危险端口，是否存在弱口令等等。
　　如果企业管理的服务器数量较少，这一工作对于技术应用可能并没有深刻感知，但云时代的特点，以及现在还有更多的企业开始拥抱云原生架构，企业的IT资产管理就一定不会再像以前那样简单。
　　＂在以前的数据中心业务当中，客户一次上个100台机器，那绝对算得上是大客户了。现在，从虚拟机到容器，企业管理的服务器资产动辄几千几万，在一些重点行业业务场景下，以及规模较大的集团公司当中，甚至要达到几十万、几百万业务主机，要把这么多资产全面的保护起来，实际上对于企业自身来说也很难。＂
　　而从攻击面管理的角度来理解服务器安全，在一些真实的案例当中，受攻击的一方初始黑入点可能不会是核心的业务系统，而是一些影子资产，因为核心业务通常会有＂重兵把守＂。攻击面管理技术在于企业的IT管理人员精力难以兼顾影子资产，能够实现全面的且及时的隐患排查，攻击面缩减。
　　摸清资产是服务器安全的第一个入脚点，这项工作要想做好，还要收集更多的攻击面信息，再根据情报，自动化地实现脆弱面修复。从另外一个角度理解的话，攻击面管理其实就是从黑客视角对自身业务系统的全面体检，从而降低入侵风险。
　　当然，仅仅把攻击面管理做好，将自身暴露面、脆弱面收敛得足够好，只能阻止一部分黑客攻击，却无法阻止高阶黑客的APT攻击。再回到CWPP系统架构，李栋指出，攻击面管理可对应CWPP架构下的Dev开发环境检测，而要获得一致的可视性和可控性，面向高阶攻击的Ops运行时保护则是另外一部分同样重要的组成部分。奇安信椒图服务器安全优势 拥抱创新 实践创新
　　从奇安信椒图服务器安全管理系统来看，这是一款遵循CWPP架构开发的一套服务器安全系统，产品搭建了Dev开发环境检测与Ops运行时保护全链路安全检测，对应前文解释的攻击面管理技术概念的应用，该创新技术应用于实践时可降低服务器80%以上的受攻击情况，剩余部分则用于高阶的运行时保护予以解决。
　　作为一家扎根于安全圈多年的传统安全厂商，奇安信椒图在攻击面管理技术实践上的理解同样不亚于攻击面管理专业赛道上的那些创新公司，其多维度资产清点，可实现18大类，400多项核心资产上的摸底排查。攻击面管理技术的应用，相较过去，其＂事前＂的检测能力已经提升了20%。
　　＂服务器安全产品不能把自己定义成漏扫工具，更要为客户交付一种能力闭环。＂
　　把资产全面摸清之后，最关键的问题是解决可能存在的漏洞，对于面向生产经营环境的重要角色服务器来说，业内广泛采用虚拟补丁技术，来实现免重启防护。据李栋分享，奇安信椒图在过去一年时间内在虚拟补丁方面又有明显提升，其中仅数量方面已经接近了1万条，数量提升了一倍有余，可面向全行业实现＂资产-漏洞发现-实体补丁-虚拟补丁＂的闭环管理。
　　虚拟补丁技术是应用场景上的技术，类似的技术也在不断地输送给客户，比如新版本椒图为客户服务器的恶意代码攻击检测方面，提供了两套智能切换方案，在场景应用资源较充沛的前提达成下，可由工作负载本地查杀，反之，则可利用管理中心远程查杀的方式适配客户业务。
　　在运行时保护方面，奇安信椒图通过遵循CWPP架构，搭建了基于服务器深层次防御模型，实现对业务运行时的有效防护，为基于客户的业务实现不同抗体的注入，从而对抗未知威胁，实现安全能力的无限进化。
　　奇安信椒图通过内置IN-APP WAF，实现安全内生，该WAF具有误报较低不无频繁策略调整等优势，且可实现对加密流量的检测和过滤，其原理是通过代理http请求来匹配waf规则，可以有效防御已知Web攻击。在云原生的容器化时代，该技术的应用将更加地匹配企业业务快速上线需求，将最大化避免业务上线但安全滞后的情况发生。
　　WAF也是存在天花板的，其主要问题是基于规则的防护，所以应对未知威胁，仅靠规则还不够。奇安信椒图还引入了新型检测引擎——RASP，用以捕捉未知攻击。RASP应用运行时自我保护技术通过监控应用脚本的行为及函数调用信息，及时发现恶意代码和漏洞利用行为。
　　＂攻击后背对应着同级的非法操作，非法操作一定会触发一些危险行为。RASP就是对应攻击行为实现安全的一种对应方式，在于基于规则检测之外的未知攻击能力的补足,其对抗0day攻击方面非常有效。＂
　　椒图是国内服务器安全领域内最早引入RASP的安全企业，在此之外，通过在服务器系统应用中插入探针，可以实时监控无文件攻击检测。在更多的差异化能力方面，奇安信椒图的运行时防护方面的系统防护能力进一步细化，通过以安全视角下的系统加固进一步提升系统安全能力。
　　李栋指出，在操作系统安全方面，国内走的是两条路线，一个是重建国产化的操作系统，另一个就是对系统进行底层的驱动层安全加固。椒图属于后者，且有着多年的独立的安全基因和经验，其服务器安全产品也直接移植了这套方案，所在以国内具有极高的领先性。
　　奇安信椒图服务器安全产品还加入了人的力量，在监控方面，安服团队的加入将产品服务化，也是他们的优势之一。＂安服团队的参与，为客户提供了进一步的实战化攻防经验。＂其重点解决的是避免纸上谈兵，避免误报等问题。
　　误报是安全监测类产品常见的弊端问题，但如果存在着大量误报问题，在任何企业应用来看，都是接受不了的。＂所以我们这两年，除了不断提升产品性能之外，我们也努力地去降低我们的误报。因为海量的误报，对客户来讲是一个很大的负担。＂而椒图现在能将误报率控制在非常低的水平，在业界领先。
　　李栋将＂整体作战＂作为最后一项突出能力也作了相应介绍，这方面的优势在于齐安信作为国内一线的安全能力大厂，和综合安全厂商，其拥有成熟安全产品体系。如此一来，其椒图所在的服务器安全领域，还可以调用其他内部安全模块的能力，所以单从产品方面的协防联动方面，其椒图在交付给客户之后也是无其他竞品能与之匹敌。
　　如此前为冬奥做的网络安全防护方案中，就部署了自身9大类55款的安全产品，在整个方案中，这些安全产品通过协同联动，支撑了从安全运营、感知、研判、防护、处置的全面闭环安全能力。也就是说，客户在应用椒图之后，不仅能获得行业领先的服务器安全能力，还可以将其作为跳板，随时补足其他方面的联动能力。战未来 优化安全场景应用 持续提升产品安全能力
　　在谈到奇安信椒图未来能力提升方面，李栋从大量的用户基础应用调研总结认为，在不同负载所要求的不同场景下，其能力也不仅仅要求＂大而全＂，也要有＂小而精＂的准备。
　　所以椒图在未来一方面还要不断优化服务器安全管理产品的综合能力，但同时也会推出一些＂小而精＂的产品，这种产品最大的优势在于可以减小客户平台的资源占用，再针对不同客户的需求，去定制专门的版本。
　　李栋也强调，能力拆分是基于客户需求为前提的，但能力拆分不会影响椒图整体能力的持续提升，他们也将保证主版本椒图能力持续提升。然后再根据不同的客户使用场景，不同的客户需求去定制，专门的版本。
　　在主版本的能力提升方面，李栋也指出，随着企业拥抱云原生方面的速度加快，服务器安全也需要不断调整，以应对未来趋势应用。主机安全的早期阶段可能只是杀杀毒，到过渡阶段单品泛滥，再到现在成熟阶段的标准化阶段，而随着云原生的应用，CWPP模型也将会被CNAPP模型所替代，安全厂商要做的工作就是要不断向前挺进，不断满足客户基于场景应用下的安全需要。
　　＂不仅是互联网厂商在做云原生改造，现在央国企也同样在做大规模的云原生改造，趋势上已势不可挡。＂趋势定义威胁，调研机构定义的云原生应用程序保护平台（Cloud-Native Application Protection Platform,CNAPP）将成为服务器安全的未来发展趋势。
　　李栋也分享了奇安信内部团队已经着手未来基于CNAPP架构下的安全产品和解决方案的立项规划情况。李栋强调，在之前，业内对于CNAPP的认定还处于未来可能，但现在，＂可能＂二字可以去掉了，他就是未来。
　　#奇安信##网络安全#