【安全研究】从资产视角看主机安全

伴随着数字化转型的持续加速，企业中承载重要数据的主机数量开始急剧增加，部署在服务器上的应用更是呈几何级增长，传统网络边界不复存在，资产暴露面变得不可控制，数据暴露风险逐步累积，逼近危险的阈值。

主机作为数字化时代最为重要的业务承载主体，关系着重要业务运行、核心数据存储等任务，做好主机安全防御是保障企业核心资产安全及业务正常运转的基础。

主机安全防御的第一步是做好资产的采集、评估及风险检测，及时检测发现资产异常行为，才能规避资产可能带来的风险。

资产的重要性在哪些场景中体现呢？

场景一：供应链攻击

供应链攻击是一种以软件开发人员和供应商为目标的一种威胁, 攻击者通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制从而达到对开发人员和供应商进行攻击的目的。

产品供应链安全。攻击最终用户，如用户所用应用软件、网络设备或安全设备等，利用其存在的漏洞或弱口令等脆弱性风险，绕过边界防护进入内网实施破坏，造成用户利益损失。

与其它攻击形式相比，供应链攻击往往牵涉到更多的企业，且更具破坏性。

针对供应链攻击，企业可以在资产管理阶段多做准备，包括资产的采集清点、风险监控、风险评估等等。

日常运维阶段，需要做到持续监控，既要反复对所用主机进行漏洞扫描、口令检查等安全检测，尤其需要关注热点漏洞、0day漏洞，发现问题及时修补加固；

又要持续对暴露面资产进行风险监控，及时发现并处理恶意代码等病毒，以及对外开放的端口服务和通道路径；

还要清晰的梳理网络资产台账，及时发现未知资产、问题资产等。否则，它会比其他攻击带来更大的损伤，甚至会给整个行业带来巨大的影响。

在HW行动开展的过程中，企业需要耗费大量人力物力且精力高度集中应对，否则一旦进攻方攻破防守方网络并留下标记，则会被判定为HW行动失败。

HW行动一旦失败，就意味着单位的网络安全防护工作不到位，后续将面临一系列整改，还会被相关部门及上级点名批评。

做好资产管理能够及时感知入侵威胁并加以防护、加固，对于护网行动而言是重要的一环。

下面来看看资产采集和资产风险评估的作用：

资产采集是资产管理中重要的一环。从采集到的资产信息中，分析具体风险源，是现阶段应对外部威胁最为基础的安全运营能力。这样才能判定：主机是否存在风险；CPU使用率是否异常；是否存在反弹shell；是否存在弱口令；是否定期更换密码；是否具有高危漏洞；是否存在异常进程、是否存在恶意代码等异常行为。

资产风险评估为何如此重要？攻击形式的多样化使得传统的主机被动安全防护措施已不再适用，在攻击过程中，攻击者往往企图绕过主机安全防护设备来获取主机资产信息进而获取漏洞、进行渗透攻击，实现傀儡进程、隐藏端口、隐藏进程、挖矿木马植入等行为。当攻击者能够突破层层防护来到主机交互流量的入口，已然证明了攻击者的狡猾，会变身、善伪装、走后门、使用暴力等等，不按常理出牌，对主机产生了巨大的威胁。

优秀的主机守护者既要识别攻击者的把戏，又要灵敏感知攻击者的行为。因此，及时监控资产状态，判断入侵事件，了解未知威胁，全面感知入侵风险才能协助企业管理者做到有的放矢。

传统的资产清点仅仅统计了资产数量，而不是站在安全角度进行清点，仅了解资产多少并不能有效防范入侵威胁，更不能进行进行风险评估，优炫操作系统安全增强系统RS-CDPS的资产功能：

优炫RS-CDPS主机资产模块具备细粒度资产信息采集能力，可对主机系统资产、应用资产、Web资产、数据库资产等进行全面清点，并且从这些资产中发现安全隐患，支持对单个主机进行资产管理、合规管理、主机防御、访问控制策略配置。方便客户快速掌握主机资产安全状态，及时对安全风险高的主机进行风险加固、安全策略配置，提高主机的安全性、抗攻击性。

具有哪些优势呢？

l 资产实时更新，统计“过期资产”毫无价值

l 主机自定义体检，提前发现风险资产及组件

l 资产采集“看得清”、“看得全”，快速定位风险资产及组件

支持采集国内外主流数据库、中间件；是否root权限、无密码、密码过期、弱密码等多类型帐号；进程路径、进程号、父进程号、所属用户、状态、虚拟内存、实际内存、CPU等全面进程信息；服务、协议等多维度端口信息。

l 标签化管理，方便用户快速梳理业务关系

l 细粒度资产指纹，双维度了解资产详情

l 多种类设备发现，赋能安全运营

l 报表导出、从统计视图、概览视图等多维度梳理主机资产，安全态势、安全评分、告警情况、性能信息、风险状态清晰可见

l 资产运维能力、安全能力兼顾