一、主機(jī)安全產(chǎn)品指的是什么？

主機(jī)安全產(chǎn)品，顧名思義就是保護(hù)主機(jī)安全的產(chǎn)品。這是一種頗具歷史感的安全產(chǎn)品，在安全界與“防火墻”“DDoS高防”合稱“老三樣”，是保護(hù)主機(jī)的必備良藥。主機(jī)安全產(chǎn)品種類繁多、名目不一，但一般常見的有兩種：

l 一種是NIDS，全稱為Network Intrusion Detection System，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。NIDS通過(guò)測(cè)探進(jìn)入主機(jī)的網(wǎng)絡(luò)流量來(lái)判斷有沒(méi)有發(fā)生攻擊，但這種方式需要消耗的資源比較多，市面上較為少見，本文不做討論。

l 另一種是HIDS，全稱為Host-based Intrusion Detection System，即基于主機(jī)型入侵檢測(cè)系統(tǒng)。HIDS通過(guò)在主機(jī)里安裝Agent來(lái)測(cè)探各種信息以判斷是否有異?；蛘吖舭l(fā)生，這是最通用的一種主機(jī)安全產(chǎn)品。對(duì)云上的用戶來(lái)說(shuō)，云主機(jī)安全產(chǎn)品主要是HIDS，例如，市場(chǎng)上比較有代表性的產(chǎn)品——青藤萬(wàn)相·主機(jī)自適應(yīng)安全平臺(tái)就是典型的HIDS。

形象地說(shuō)，云主機(jī)是個(gè)房子，而HIDS是一個(gè)體系，它首先把一個(gè)攝像頭（專業(yè)術(shù)語(yǔ)叫Agent或者代理）裝在房子里，然后啟動(dòng)攝像頭在云主機(jī)系統(tǒng)里東看看西看看，比如看看系統(tǒng)日志、看看系統(tǒng)文件、看看進(jìn)程、看看系統(tǒng)配置，看誰(shuí)在系統(tǒng)里搞事情、有沒(méi)有留下什么蛛絲馬跡，一旦發(fā)現(xiàn)有人搞事情，HIDS就會(huì)上報(bào)給遠(yuǎn)端的服務(wù)器并發(fā)出告警。

二、HIDS的組成是怎么樣的？

上面說(shuō)到的攝像頭，只是HIDS組件的一個(gè)部分，完整的HIDS產(chǎn)品架構(gòu)圖如下：

它主要由3大部分組成，包括Agent、Engine安全引擎、Console控制中心。其中：

1. Agent：相當(dāng)于主機(jī)里的攝像頭，作用是檢測(cè)系統(tǒng)文件變更、檢測(cè)服務(wù)器狀態(tài)、上傳日志、下發(fā)操作指令等。Agent只需要一條命令就能在主機(jī)上完成安裝，且自動(dòng)適配各種物理機(jī)、虛擬機(jī)和云環(huán)境，運(yùn)行穩(wěn)定、消耗低，能夠持續(xù)收集主機(jī)進(jìn)程、端口和賬號(hào)信息，并實(shí)時(shí)監(jiān)控進(jìn)程、網(wǎng)絡(luò)連接等行為，還能與Server端通信，執(zhí)行其下發(fā)的任務(wù)，主動(dòng)發(fā)現(xiàn)主機(jī)問(wèn)題。

2. Engine安全引擎：作為核心平臺(tái)的信息處理中樞，支持橫向擴(kuò)展分布式部署，能夠持續(xù)分析檢測(cè)從各個(gè)Agent上接收到的信息和行為并進(jìn)行保存，可從各個(gè)維度的信息中發(fā)現(xiàn)漏洞、弱密碼等安全風(fēng)險(xiǎn)和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡(luò)連接行為、異常命令調(diào)用等異常行為，從而實(shí)現(xiàn)對(duì)入侵行為實(shí)時(shí)預(yù)警。

3. Console控制中心：用以給管理人員、運(yùn)維人員執(zhí)行防御策略管理、資源管理、命令下發(fā)等。以Web控制臺(tái)的形式和用戶交互，清晰展示各項(xiàng)安全監(jiān)測(cè)和分析結(jié)果，并對(duì)重大威脅進(jìn)行實(shí)時(shí)告警，幫助用戶更好更快地處理問(wèn)題，提供集中管理的安全工具，方便用戶進(jìn)行系統(tǒng)配置和管理、安全響應(yīng)等相關(guān)操作。

三者之間協(xié)調(diào)配合才能做到實(shí)時(shí)的分析系統(tǒng)狀態(tài)并及時(shí)下發(fā)防御策略，并便于安全人員進(jìn)行日常維護(hù)和運(yùn)營(yíng)。

HIDS是一款很典型的“云安全”產(chǎn)品，它的Agent安裝在每個(gè)云主機(jī)上，但大部分功能都在各種集群里，這樣就使得用戶的計(jì)算資源開銷會(huì)變得很小，因?yàn)楣δ芏荚凇霸啤鄙?，也就是在遠(yuǎn)端的各種服務(wù)器集群上實(shí)現(xiàn)了大部分功能。

三、如何選擇一款合適的主機(jī)安全產(chǎn)品？

目前，隨著網(wǎng)絡(luò)安全上升到國(guó)家戰(zhàn)略高度，國(guó)家日益加強(qiáng)對(duì)攻防實(shí)戰(zhàn)的重視程度，各個(gè)組織機(jī)構(gòu)越來(lái)越重視主機(jī)安全能力建設(shè)。但如何在產(chǎn)品琳瑯滿目、能力也稂莠不齊的主機(jī)安全市場(chǎng)上，選擇一款合適的產(chǎn)品呢？

1. 主機(jī)安全能力評(píng)估

企業(yè)在選擇主機(jī)安全產(chǎn)品時(shí)，首先需要結(jié)合行業(yè)和企業(yè)需求，明確主機(jī)安全平臺(tái)需具備的主機(jī)安全能力。隨著攻擊手段不斷演進(jìn)，主機(jī)安全防護(hù)技術(shù)也在持續(xù)更新迭代，衍生出一系列不同細(xì)分類別的主機(jī)安全產(chǎn)品，其安全能力按照成熟度以及可匹配的用戶需求，可劃分為三個(gè)級(jí)別：基礎(chǔ)級(jí)、增強(qiáng)級(jí)和先進(jìn)級(jí)。基礎(chǔ)級(jí)技術(shù)能力為資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)發(fā)現(xiàn)、入侵檢測(cè)、合規(guī)基線。增強(qiáng)級(jí)在基礎(chǔ)級(jí)能力之上，還包括病毒查殺、文件完整性、內(nèi)存馬檢測(cè)、主機(jī)型蜜罐能力。先進(jìn)級(jí)則在增強(qiáng)級(jí)之上增加了供應(yīng)鏈安全、微隔離和威脅狩獵能力。

理想條件下，企業(yè)具備的主機(jī)安全能力越完善，覆蓋基礎(chǔ)級(jí)、增強(qiáng)級(jí)、先進(jìn)級(jí)中更多的能力，越能為主機(jī)及其承載業(yè)務(wù)提供更好的安全保護(hù)。但在企業(yè)實(shí)際運(yùn)營(yíng)中，不同行業(yè)進(jìn)行安全建設(shè)的驅(qū)動(dòng)因素有所不同，且業(yè)務(wù)關(guān)系面臨的風(fēng)險(xiǎn)程度存在差異，綜合建設(shè)成本、人才技術(shù)基礎(chǔ)等因素，企業(yè)對(duì)各主機(jī)安全能力建設(shè)的優(yōu)先級(jí)也不盡相同，應(yīng)在人力、財(cái)力有限的條件下，優(yōu)先完成最迫切需要的、與業(yè)務(wù)安全要求最匹配的能力建設(shè)。

2. 平臺(tái)性能評(píng)估

企業(yè)在選擇主機(jī)安全平臺(tái)時(shí)，還需要綜合考慮平臺(tái)總體性能，主要包括如下因素：

l 功能豐富性：隨著黑客攻擊方式的不斷迭代，主機(jī)安全產(chǎn)品應(yīng)具有豐富的功能以有效檢測(cè)攻擊者，能夠做到事前防御，事中實(shí)時(shí)監(jiān)控，事后進(jìn)行溯源和研判分析，通過(guò)全面覆蓋攻擊全階段，提供專業(yè)化安全保障。青藤萬(wàn)相采用自適應(yīng)安全架構(gòu)，充分運(yùn)用云、大數(shù)據(jù)、AI等技術(shù)，打造集“預(yù)測(cè)、防御、監(jiān)控和響應(yīng)”一體的安全閉環(huán)。

l 穩(wěn)定性：安全設(shè)備的穩(wěn)定性至關(guān)重要，不能因?yàn)榘踩a(chǎn)品的不穩(wěn)定造成業(yè)務(wù)中斷，讓企業(yè)業(yè)務(wù)遭受損失。輕Agent形態(tài)的主機(jī)安全產(chǎn)品則無(wú)須修改內(nèi)核、不裝驅(qū)動(dòng)，通過(guò)實(shí)時(shí)監(jiān)控與分析來(lái)發(fā)現(xiàn)威脅，為企業(yè)用戶提供告警。青藤萬(wàn)相采用輕Agent形式，穩(wěn)定性高達(dá)99.9999%，正常的系統(tǒng)負(fù)載情況下，CPU占用率<1%，內(nèi)存占用<40M，在系統(tǒng)負(fù)載過(guò)高時(shí)，Agent會(huì)主動(dòng)降級(jí)運(yùn)行，不影響正常業(yè)務(wù)。

l 兼容性：企業(yè)在進(jìn)行主機(jī)安全產(chǎn)品選型時(shí)，需要考慮到該產(chǎn)品是否支持物理主機(jī)、云主機(jī)，是否支持不同的操作系統(tǒng)，是否能夠適用于虛擬機(jī)、容器環(huán)境等不同架構(gòu)。青藤萬(wàn)相通過(guò)自主研發(fā)與創(chuàng)新實(shí)現(xiàn)對(duì)國(guó)產(chǎn)操作系統(tǒng)的支持，包括arm、x86全系列國(guó)產(chǎn)操作系統(tǒng)，更能夠通過(guò)一個(gè)Agent，實(shí)現(xiàn)主機(jī)與容器的全面防護(hù)。

l 易用性：無(wú)論產(chǎn)品的功能如何強(qiáng)大，若企業(yè)中的相關(guān)人員無(wú)法熟練使用，將限制產(chǎn)品價(jià)值發(fā)揮。主機(jī)安全產(chǎn)品應(yīng)該能夠確保用戶操作和控制軟件系統(tǒng)，完成預(yù)期或指定任務(wù)。青藤萬(wàn)相功能完備，界面簡(jiǎn)潔，使用便捷。

l 可維護(hù)性：主機(jī)安全產(chǎn)品的可維護(hù)性直接影響到對(duì)產(chǎn)品的使用體驗(yàn)和安全人員的工作效率，因此，在選擇主機(jī)安全產(chǎn)品時(shí)，需要將可維護(hù)性考慮在內(nèi)。

3. 權(quán)威認(rèn)可

在主機(jī)安全產(chǎn)品選型過(guò)程中，企業(yè)除了需要關(guān)注企業(yè)是否具有相應(yīng)產(chǎn)品的銷售許可資質(zhì)外，還需要關(guān)注產(chǎn)品獲得的權(quán)威認(rèn)可。獲得的權(quán)威認(rèn)可越多、權(quán)威性越大，在一定程度上表明產(chǎn)品的可靠性及技術(shù)性能越高。青藤萬(wàn)相作為主機(jī)安全領(lǐng)域的領(lǐng)跑者，多年來(lái)，獲得了諸多機(jī)構(gòu)的認(rèn)可：

l 在2020-2022年，沙利文發(fā)布的云主機(jī)安全市場(chǎng)報(bào)告中，連續(xù)三年入圍領(lǐng)導(dǎo)者象限，綜合競(jìng)爭(zhēng)力第一，持續(xù)領(lǐng)跑主機(jī)安全領(lǐng)域

l 在IDC發(fā)布的《中國(guó)云工作負(fù)載安全市場(chǎng)份額，2021》報(bào)告中排名第二

l 連續(xù)6年入圍Gartner CWPP報(bào)告

l 在賽迪發(fā)布的《中國(guó)云主機(jī)安全市場(chǎng)研究報(bào)告（2021)》報(bào)告中，市場(chǎng)份額排名第一

l 在國(guó)內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機(jī)構(gòu)數(shù)世咨詢正式發(fā)布的《主機(jī)檢測(cè)與響應(yīng)（HDR）能力指南》及HDR能力指南點(diǎn)陣圖中，青藤獲得應(yīng)用創(chuàng)新力和綜合能力“雙料第一”

4. 技術(shù)積淀

對(duì)于主機(jī)安全產(chǎn)品，技術(shù)積淀的時(shí)間越長(zhǎng)，功能會(huì)越豐富，技術(shù)能力越有深度。在青藤萬(wàn)相推出8年多的時(shí)間里，始終引領(lǐng)國(guó)內(nèi)安全領(lǐng)域的創(chuàng)新方向：全面參與行業(yè)頂層設(shè)計(jì)，參與6項(xiàng)國(guó)標(biāo)、20余項(xiàng)行業(yè)標(biāo)準(zhǔn)編寫工作，獲得50余項(xiàng)發(fā)明專利、80余項(xiàng)軟件著作。同時(shí)，青藤在10余家中文核心期刊，發(fā)表了30余項(xiàng)安全研究論文，并編寫出版多本網(wǎng)安專著，包括全球首部ATT&CK專著《ATT&CK框架實(shí)踐指南》，以及云原生安全專著《云原生安全技術(shù)實(shí)踐指南》，在主機(jī)安全能力的深度與廣度方面進(jìn)行了廣泛的探索與研究。

寫在最后

目前市場(chǎng)上有很多安全產(chǎn)品宣稱可以解決主機(jī)側(cè)的安全問(wèn)題，但大部分都是由其他產(chǎn)品改裝而來(lái)的，很難滿足主機(jī)側(cè)“安全與穩(wěn)定兼顧”的需求，比如針對(duì)PC等終端的EDR等。最有效的主機(jī)安全防護(hù)產(chǎn)品應(yīng)該是針對(duì)主機(jī)專門研發(fā)的，充分考慮了主機(jī)側(cè)穩(wěn)定需求>安全需求的特性，既能對(duì)主機(jī)側(cè)的威脅做到及時(shí)、有效的檢測(cè)，又能保證業(yè)務(wù)的連續(xù)性，結(jié)合相應(yīng)的人工介入來(lái)對(duì)威脅進(jìn)行響應(yīng)，以實(shí)現(xiàn)對(duì)業(yè)務(wù)影響的最小化，建議企業(yè)在進(jìn)行主機(jī)安全產(chǎn)品選型時(shí)，能夠參照以上標(biāo)準(zhǔn)。有關(guān)如何選擇主機(jī)安全產(chǎn)品的更多信息，您可以可進(jìn)入青藤云安全官網(wǎng)下載《主機(jī)安全能力建設(shè)指南》。

青藤云安全主要聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全建設(shè)，為政企客戶提供新一代的安全產(chǎn)品和服務(wù)，覆蓋云安全、數(shù)據(jù)安全、供應(yīng)鏈安全、流量安全等眾多領(lǐng)域。公司擁有數(shù)百人的專業(yè)安全服務(wù)團(tuán)隊(duì)，為100+國(guó)家重大活動(dòng)提供安保服務(wù)支撐，全部實(shí)現(xiàn)安全0事故。目前，青藤已為來(lái)自政府、金融、運(yùn)營(yíng)商、能源、電力、制造、互聯(lián)網(wǎng)等行業(yè)的1000+大型客戶，600萬(wàn)+臺(tái)核心服務(wù)器提供穩(wěn)定、高效的安全防護(hù)。

songjy