技术干货 | 企业信息安全建设实践之路（七）

2.4  主机安全落地之路

2020年的头号威胁是啥？我相信大家都能异口同声的回答——勒索软件。

从2020年上半年全球十大典型勒索软件开始聊起。

1、勒索软件Maze；2、勒索软件Ryuk；3、勒索软件Sodinokibi/ REvil；4、勒索软件DoppelPaymer；5、勒索软件NetWalker；6、勒索软件CLOP；7、勒索软件EKANS；8、勒索软件Nefilim；9、勒索软件Ragnar Locker；10、勒索软件PonyFinal。

2.4.1. 主机杀毒软件

杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。

杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能，有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能，是计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和恶意软件的查杀程序，入侵预防系统等）的重要组成部分。

杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。“杀毒软件”由国内的老一辈反病毒软件厂商起的名字，后来由于和世界反病毒业接轨统称为“反病毒软件”、“安全防护软件”或“安全软件”。集成防火墙的“互联网安全套装”、“全功能安全套装”等用于消除电脑病毒、特洛伊木马和恶意软件的一类软件，都属于杀毒软件范畴。

物理机：乖乖的在系统之上安装Agent并定期升级，不管你的服务器是Windows、还是 Linux的！然后一定要定期检查，并及时对发现的病毒威胁进行确认。当然这是最基础的了。

虚拟机：建议采购轻代理，甚至无代理类型的杀毒软件，传统Agent及占用CPU及内存，而且在跑数据库和业务的时候，拿流量，简直了！！笔者当时放火墙上见到了上T数据流。

轻代理：在每一台VM主机上安装一个轻量化的代理Agent。轻代理的任务是有控制中心进行统一下发，客户端程序完成病毒扫描任务后，将任务执行状态、发现病毒文件详情日志发送给控制中心。

2.4.2. 主机安全基线检查

2.4.3. HIDS

HIDS全称是Host-based Intrusion Detection System，即基于主机型入侵检测系统。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。

由于HIDS动态地检查网络数据包这一特性，它可以检测到哪一个程序访问了什么资源以及确保文字处理器（Word-Processor）不会突然的、无缘无故的启动并修改系统密码数据库。同样的，不管是往内存、文件系统、日志文件还是其它地方存储信息，HIDS会一直监控系统状态，并且核对他们是否和预期相同。

HIDS运行依赖于这样一个原理：一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样，计算机管理员就可以察觉到一些系统的修改，HIDS亦能检测并报告出检测结果。

一般而言，HIDS使用一个它们所监视的目标系统以及文件系统（非必需）的数据库，HIDS也可以核对内存中未被非法修改的区域。对于每一个正被处理的目标文件来说，HIDS会记录下他们的属性（如权限、大小、修改时间等）然后，如果该文件有其文件内容的话，HIDS将会创建一个校验码（如SHA1，MD5或类似）。这个校验码信息将储存在一个安全的数据库中，即校验码数据库，以便将来的核对。

主机入侵检测关注的重点的是：GetShell的动作以及GetShell成功之后的恶意行为。

常见的可以getshell的web攻击

直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP，甚至使用跨站点脚本(XSS)作为攻击的一部分，甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

webshell的检测

可以通过监控指定目录下的所有文件的创建、修改、重命名等操作。在GitHub上就有这么一个项目：webshell_特征（https://github.com/Neo23x0/signature-base/blob/e264d66a8ea3be93db8482ab3d639a2ed3e9c949/yara/thor-webshells.yar）、某大佬之前写过通过机器学习的方法去检测webshell：初探机器学习检测 PHP Webshell（https://paper.seebug.org/526/）、webshell入侵检测（https://www.freebuf.com/articles/web/183520.html）

HIDS作为传统攻防视角的重要一环，有着不可替代的作用，可以有效的检测到从网络层面难以发现的安全问题。

HIDS架构

目前大部分的HIDS平台建设主要分三大部分：终端Agent监控组件，Dashboard控制面板和与SIEM、运维数据等其他平台对接的接口集合：

1、终端Agent组件：主要作用包括：监控文件变更、监控服务器状态、下发一些操作指令等；

2、DashBoard：用来执行一些策略推送、资源管理方面的操作；

3、MQ && Servers：用来做负载均衡并吞吐数据到数据库；

4、Database：数据库；

5、SIEM APIs：用来将HIDS的数据和SIEM做整合。

2.4.4. EDR

无文件病毒、无文件挖矿、无文件勒索……近年来，一种被称为无文件攻击的渗透形式与日俱增，它的流行给用户的网络安全带来了巨大威胁。因此在端点防护战，EDR (Endpoint Detection & Response )已占C位。

顾名思义，EDR技术聚焦的是高级威胁的检测与响应，它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。从本质上来看，EDR技术通过对操作系统行为高清记录和长期存储，根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测，通过绘制进程事件树实现攻击可视化，对威胁的疑似主机进行远程遏制和修复。

Gartner对于EDR治理高级威胁给出了四项基本定义：检测、遏制、调查和修复能力。

EDR需要具备针对操作系统行为的“内核态”、“用户态”高清记录能力，且行为日志需要储存3 个月以上。其次，EDR还需要实现攻击的可视化，并对无文件攻击和零日漏洞攻击提供IOA/IOC 检测高级威胁，以及提供威胁狩猎（Threat Hunting ）服务。

下图可以说明EPP和EDR的关系。

2.4.5 最后的建议

终端安全是保护业务的核心工作，一旦被打穿，后果就严重了。

1、强化端点防护

　　及时加固终端、服务器，所有服务器、终端应强行实施复杂口令策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装漏洞补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础。

2、关闭不需要的端口和服务

　　严格控制端口管理，尽量关闭不必要的文件共享权限以及关闭不必要的端口。

3、采用多因素认证（MFA）

利用被盗的员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的，或者是从过去的入侵活动中获取的。为了减少攻击的可能性，务必在所有技术解决方案中采用多因素身份验证。

4、全面强化资产细粒度访问

增强资产可见性，细化资产访问控制。员工、合作伙伴和客户均遵循身份和访问管理为中心。合理划分安全域，采取必要的微隔离。落实好最小权限原则。

5、深入掌控威胁态势

持续加强威胁监测和检测能力，依托资产可见能力、威胁情报共享和态势感知能力，形成有效的威胁早发现、早隔离、早处置的机制。

6、制定业务连续性计划

强化业务数据备份，对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性；建立安全灾备预案。同时，做好备份系统与主系统的安全隔离，避免主系统和备份系统同时被攻击，影响业务连续性。业务连续性和灾难恢复（BCDR）解决方案应成为在发生攻击时维持运营的策略的一部分。

7、加强安全意识培训和教育

员工安全意识淡漠，是一个重要问题。必须经常提供网络安全培训，以确保员工可以发现并避免潜在的网络钓鱼电子邮件，这是勒索软件的主要入口之一。将该培训与网络钓鱼演练结合使用，以掌握员工的脆弱点。确定最脆弱的员工，并为他们提供更多的支持或安全措施，以降低风险。

8、定期检查

每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核。通过这些措施不断改善安全计划。及时了解风险，主动防御勒索软件攻击并减轻其影响。

欢迎大家和我一起讨论实际实施中的各类安全细节。