隨著云計算的普及，云主機因強勁的性能、較低的成本成為大量傳統企業上云和新興業務快速擴張過程中的主流選擇。

企業上云的范圍非常廣泛，既包括IT資源、安全防護、辦公協同等基礎系統上云，也包括管理、業務上云等復雜的步驟。云主機相當于一個建立在云上的“作戰指揮室”，保障云主機安全對于企業業務的穩定至關重要。

如今，云主機安全防護已經可以達到什么水平？企業上云是否真的能保障云主機安全？未來，AI 是否會在云主機安全上發揮更重要的作用？云主機安全防護會有哪些發展趨勢？

我們邀請到騰訊安全云基礎安全總監吳昊，與大家分享云主機安全防護過程的實戰經驗。

作為早在2007年就加入騰訊的老兵，吳昊在終端攻防、業務安全、數據安全及云基礎安全方面都有非常深厚的積淀，尤其在主機安全領域，積極推動云平臺保障與租戶安全需求的結合。

下面讓我們跟隨吳昊老師來一場主機安全的干貨問答：

能否回顧一下2019年云主機安全的趨勢，以及在這一年里安全防護的主流技術升級？

主機安全作為企業安全最后也是最重要的一道防線，一款優秀的主機安全產品，可以幫助企業及時發現和抵御黑客入侵風險。騰訊云主機安全對2019年全年云主機安全趨勢監控，抽樣百萬主機，分析發現目前主機面臨的風險主要集中在“密碼暴力破解、高危漏洞利用、惡意木馬病毒入侵”。

全年趨勢：

1、 密碼暴力破解：月均檢測到億級爆破攻擊，攻擊來源于約100萬個惡意IP地址，發起暴力破解攻擊的服務器國內與國外各占一半。

2、 漏洞和基線風險：月均檢測漏洞&安全基線數量十萬級，其中安全基線占比60%，系統組件漏洞占比21%，Web應用漏洞占比19%。

3、 木馬病毒：月均新增惡意文件數超十萬，惡意文件攻擊的用戶行業分布，個人用戶占比最大，其次是電商行業、游戲行業、工業云。

針對這三類重要問題，騰訊主機安全產品規劃升級為云負載保護平臺（CWPP），通過“數據驅動+攻防驅動+運營驅動”幫助企業從多維度進行自動檢測和防御，確保企業核心資產安全。

云負載保護平臺（CWPP）架構圖：

是否大部分企業終端存在未修復的高危漏洞？這種普遍現象為何存在，對企業造成哪些傷害？

目前大部分企業的確存在高危漏洞不修復的情況，一個原因在技術層面：如漏洞修復導致系統不穩定或者業務不正常；另一個原因在意識層面：如對高危漏洞并沒有直觀的認知或者簡單的認為網絡隔離即可防御漏洞。

其實高危漏洞對于終端安全的危害特別大，往往很快就可以在網上找到開源（泄露）的攻擊代碼，黑客利用開源的攻擊代碼即可開發出嚴重影響（破壞）終端的惡意程序（Wannacry即是典型的例子）。

所以，利用漏洞入侵是攻擊者最喜歡使用的攻擊手段之一，攻擊者使用漏洞利用代碼，短時間內即可獲得服務器較高的權限，甚至是完全的控制權。對于企業危害巨大，一旦服務器被入侵，可能會產生以下影響：

1、 業務中斷：數據庫、文件被篡改或刪除，導致服務無法訪問或系統癱瘓。

2、 數據竊取：黑客竊取企業數據后公開售賣，客戶隱私數據被泄漏，導致企業品牌受損、用戶流失。

3、 加密勒索：黑客入侵服務器后通過植入不可逆的加密勒索軟件對數據進行加密，對企業進行金錢勒索。

4、 服務不穩定：黑客在服務器中運行挖礦程序、DDoS 木馬程序，消耗大量系統資源，導致服務器不能提供正常服務。

目前攻擊的手法主要有哪些？是否有新出現的、攻擊性更強的攻擊手法？

常見的云上攻擊方式主要有：

目前黑產的攻擊手法主要有漏洞利用、暴力破解、DDoS，挖礦、勒索等。大多攻擊者只是在攻擊的技術手段上有一些更新，比如無文件挖礦，較之前挖礦樣本更具隱蔽性。另外windows成熟的攻擊技術也越來越多的應用到了Linux系統環境，針對Linux樣本檢測，騰訊云主機安全已研發了最新Webshell引擎和AI云查殺引擎，可以高效查殺流行的木馬、病毒樣本。

主機安全問題發生的主要行業有哪些？大、中、小企業發生問題的形態有何區別，又應當如何避免？

攻擊的用戶行業分布，個人用戶占比最大（47%），其次是電商行業（21%）、游戲行業（9%）、工業云（6%）。個人用戶相對企業用戶在處理安全風險時，響應速度相對較慢，安全意識還需要加強。

面對黑客入侵的各種攻擊方式，建議用戶日常需要加強安全意識，提前安裝主機安全類產品，做好相應防御措施，有效規避潛在風險。

一是關注重要安全公告，及時修復披露的漏洞；對于包含“遠程代碼執行”、“未授權訪問”關鍵字的漏洞尤其需要關注，此類漏洞相當于將服務器大門敞開給攻擊者；同時請一定按照官方修復建議進行修復。

二是至少安裝一套安全類軟件，通過安全軟件可以了解服務器安全情況，及時了解漏洞信息，同時可以查殺惡意文件；騰訊云用戶建議安裝“T-sec主機安全”產品。

三是加強安全意識，設置密碼要達到安全要求，不隨意下載運行非官方的程序，尤其是二進制程序，不隨意點擊來歷不明的郵件；對于披露出來的漏洞要加強關注，尤其涉及到個人負責的組件，不能由于“怕麻煩”而放棄或延緩安全修復措施。

四是建立安全評審機制，可定期對服務器進行安全機制評審；如果成本允許，可做安全滲透測試。

企業上云是否能夠有效的抵御主機安全問題？其背后的核心原理是什么？

可以。主機安全其實屬于云安全的關鍵組成部分，在云計算環境下，不再拘泥于原有物理服務器邊界，面臨更為復雜和嚴峻的安全風險。傳統反病毒和入侵檢測等安全手段顯得捉襟見肘，將主機安全升級為云工作負載保護平臺（CWPP），成為云安全的關鍵環節，核心理念是：縮小攻擊面，事前做好漏洞管理、基線合規、權限管理等安全運維工作，事中、事后提供應用管理、EDR、行為實時監控、防火墻等防御阻斷能力。在這個理念的指導下，無論是騰訊云安全，還是其它云安全服務廠商，都投入了更多資源，增強檢測云負載配置的弱項以及系統漏洞，將網絡攻擊抵御在“事前”。云服務廠商構筑的云安全“高墻”將逐漸消滅水桶效應，為云負載上提供統一的最佳安全實踐。

如果對于安全性非常敏感的企業，應當如何選擇足夠安全的云服務商？

建議主要從3個維度考慮，選擇適合自身企業情況的云服務商。

產品體系：云服務商是否具備完善的云安全體系，從網絡側到云負載，從公有云到私有云等場景，是否具有相關安全產品覆蓋全面，并且能形成整體解決方案。

技術儲備：需要評估云服務商的安全資質、技術積累以及功能創新。

服務及響應：例如專家服務、安全托管、應急響應等，是否具備全面的安全能力。

AI技術是否應用在主機安全防護當中？其應用的形式是什么，能夠起到什么作用？

目前騰訊云主機安全在AI方面做了初步的探索與應用，并且部分應用已達到了商業化標準，突破了傳統主機安全產品的技術瓶頸。

以如下AI技術應用場景為例：

AI查殺引擎：通過機器學習，對海量樣本提取特征，讓AI引擎持續跟進病毒的演進，達到能對未知木馬、病毒做精準識別。

AI應用控制（白名單）：通過AI識別用戶常用正常軟件，持續自學習，實現自適應的應用控制。

AI日志分析：通過收集海量云負載日志，運用機器學習技術識別日志中的“異常”行為，靈活的對各種安全數據源進行關聯分析，最終達到安全事件及時預警能力。

面對不斷變化的惡意攻擊行為，騰訊云主機安全團隊正在不斷探索新的技術，并將先進的安全技術運用到產品中，努力為我們的用戶提供云負載安全最佳實踐方案。