《2019中國主機安全服務報告》釋出

本報告將從主機資產概況、主機風險分析、主機入侵檢測、主機合規分析四個方面詳細分析2019年主機安全的整體概況。

如果沒有完整的、詳細的主機資產清單，安全運維團隊將無法確保組織機構的安全，因為任何人都無法保護“未知”事物的安全性。本報告透過分析大量的企業級主機核心資產情況，從而為各企業制定安全防護策略提供支援和幫助。

透過統計分析發現，在企業級客戶中，超過81.45%的主機使用都是Linux作業系統，只有18.55%主機使用的是Windows作業系統。這其中原因有很多，比如Linux相容性更好、模組化、資源消耗少等等原因，讓很多客戶都會選擇Linux系統。

圖一：不同主機作業系統的使用比例

 透過對樣本資料的分析可知，74%的主機上都存在UID為0、GID為0、Root/Administrator賬號、Sudo許可權等特殊賬號。這些特殊賬號，往往會成為備受駭客青睞的資產，屬於高危重點保護資產。

圖二：主機特殊賬號的使用情況

此外，在樣本資料分析中，發現在Linux系統中，使用最多的Web服務應用是Tomcat服務，高達58%，其次是Nginx，使用率達到了32%。

圖三：Linux Top5 Web服務的使用情況

而在Windows環境下，IIS使用最多，達到47%，其次是Tomcat，達到36%。另外，Apache和Nginx的使用也佔到了一定比例。

圖四：Windows Top5 Web服務的使用情況

為了在駭客入侵前發現系統風險點，安全人員需要透過專業的風險評估工具，對風險進行檢測、移除和控制，來減小攻擊面，包括安全補丁、漏洞、弱密碼、應用風險、賬號風險等。

基於漏洞所影響的主機數量，發現2019年影響範圍最大的TOP10漏洞，有很多都是前幾年的漏洞。尤其是針對那些老舊資產，補丁修復更是嚴重不足，因此，這些漏洞就成為了駭客入侵的突破口。

圖五：2019年影響主機TOP10的漏洞

除了漏洞風險之外，在對Web伺服器等網際網路空間資產做空間測繪後發現，有大量的資產開放了高危埠，存在較高的安全隱患。例如，很多駭客攻擊者很喜歡嘗試入侵22、3389埠。如果主機存在弱密碼登入的情況，很容易就被暴破成功，進而伺服器被駭客控制。特別是今年曝光的 BlueKeep（CVE-2019-0708）、Windows RDS（CVE-2019-1181） ，均是Windows 遠端桌面服務的漏洞並且危害巨大，而3389又是Windows遠端桌面的預設埠，開放3389的Windows伺服器更容易受到入侵攻擊。建議伺服器修改預設的遠端連線埠，如無必要，可關閉該埠。

圖六：常見高危埠的開放情況

此外，不同服務都有一些具有各自服務特色的弱口令，有一部分是安裝時的預設密碼。比如MySQL資料庫的預設密碼為空。透過分析發現，主機軟體弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應用上，其中MySQL和SSH弱密碼問題更是超過了30%。

圖七：主機軟體弱密碼盤點

木馬病毒也是主機中最常見的風險，風險木馬類軟體在各行業的染毒事件中佔比最高（40%以上），科技行業相對其他行業感染風險木馬軟體的比例更小。由於風險木馬軟體的感染主要是不良的上網習慣及缺乏安全意識引起的（如使用盜版軟體或外掛工具等），可能科技行業從業人員的上網安全意識相對更高。

感染型木馬在教育行業感染比例相對較高，可能和該行業頻繁的檔案互動傳輸有關。

圖八：不同行業感染病毒型別分佈

後門遠控類木馬是除了風險軟體之外感染量最大的染毒型別，佔比在20%左右。後門遠控類木馬有著極高的隱蔽性，接受遠端指令執行資訊竊取、截圖、檔案上傳等操作，對金融科技等資訊敏感行業可造成極大危害。

透過對暴露在公網的伺服器做抽樣分析發現，在常見的攻擊型別中，遠端程式碼執行（RCE）、SQL隱碼攻擊、XSS攻擊型別比例較高，同時駭客為了獲取伺服器、網站的基本資訊，常見的探測性掃描（Probe Scan）量同樣非常高。

圖九：常見主機漏洞

2019年，全國企業使用者伺服器病毒木馬感染事件超百萬起。其中Webshell惡意程式感染事件佔73.27%；Windows惡意程式感染事件佔18.05%；Linux惡意程式感染事件佔8.68%。 

圖十：主機感染病毒木馬的情況

從感染主機中，總共發現超1萬種木馬病毒，其中Webshell 約佔27%，Windows木馬病毒約佔61%，Linux木馬病毒約佔12%。

圖十一：病毒木馬種類分佈

由上文可知，2019年Webshell惡意程式感染事件為近80萬起，佔所有感染事件的70%。從被感染伺服器的數量來看，Windows伺服器感染Webshell佔所有Windows伺服器的約44%，Linux伺服器感染Webshell佔所有Linux伺服器的約0.2%。這說明Windows伺服器更容易受到Webshell的攻擊。

從感染的Webshell語言型別來看，PHP型別的Webshell是最多的，其次是ASP語言。

圖十二：Webshell語言型別的比例分佈

此外，在本報告中，根據不同作業系統樣本資料進行分析，總共發現超過3000臺Windows伺服器感染了挖礦木馬，其中超2000臺Linux伺服器感染了挖礦木馬。

透過對被感染的主機進行分析，發現挖礦木馬主要挖比特幣與門羅幣。猜測其原因，可能是比特幣是數字貨幣的開創者，其價值非常高，當仁不讓地成為駭客的重點關注物件。而門羅幣則是新興的數字貨幣，由於主要使用CPU進行挖礦，所以黑產團伙喜歡利用入侵伺服器進行挖礦。從入侵挖礦時間的角度來看：

Windows平臺挖礦事件主要出現的年初（1月-3月）和年底（12月）如下圖所示：

圖十三：Windows平臺挖礦事件月度統計

但是，Linux平臺挖礦事件主要集中在年中（4月-6月）和年底（11月-12月）：

圖十四：Linux平臺挖礦事件月度統計

可以看出，無論Windows平臺還是Linux平臺，年底都是挖礦入侵事件的高發時期，這段時間需要重點關注伺服器是否出現CPU佔用過高的情況。

所有企事業單位的網路安全建設都需要滿足國家或監管單位的安全標準，如等保2.0、CIS安全標準等。安全標準，也稱為“安全基線”。安全基線的意義在於為達到最基本的防護要求而制定一系列基準，在金融、運營商、網際網路等行業的應用範圍非常廣泛。透過合規基線進行自查和自加固可以更好地幫助企業認清自身風險現狀和漏洞隱患。

主機賬號安全性的重要性不言而喻，但是在樣本分析過程中，我們仍然發現很多賬號存在不合規情況，例如未設定密碼嘗試次數鎖定、未設定密碼複雜度限制等，這不符合國家等級保護相關要求。在等保2.0通用基本要求的身份驗證控制項中明確要求“應對登入的使用者進行身份標識和鑑別，身份標識具有唯一性，身份鑑別資訊具有複雜度要求並定期更換”、“應具有登入失敗處理功能，應配置並啟用結束會話、限制非法登入次數和當登入連線超時自動退出等相關措施”。

圖十五：主機賬號的不合規情況

此外，主機伺服器上承載了非常多的應用，如果應用中存在不合規的情況，例如配置錯誤、未修補的漏洞補丁等。那麼駭客透過應用就能進入主機系統內部，這將帶來極大風險。

圖十六：常見應用的配置風險

當然，如果沒有對主機底層的作業系統進行適當配置，就會引發許多安全問題。建議安全運維人員能夠謹慎配置主機來滿足組織機構的安全需求，並能夠根據需求重新配置。透過研究分析樣本資料，發現GRUB密碼設定、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機系統風險中所佔比例最多的三類。

圖十七：主機系統不合規的情況分析

正如達爾文《進化論》說，進化來源於突變，而安全面對的正是“不可預知的未來”。主機安全作為網路安全領域中的重要分支，面對難以預測駭客攻擊手段，傳統的防範、阻止策略已經行不通。

一方面， 攻擊者和防守者處於天然不對等的地位，傳統基於報警或已存在的威脅特徵的檢測技術，包括防火牆、IPS、防毒、沙箱等被動防禦手段，更是讓這種不平等愈發嚴重。很多被駭客攻陷的企業組織，雖然已經構建了一定的安全防禦體系，但仍然沒能及時發現或阻止威脅，將損失降到最低。主要是因為當下檢測體系在應對未知威脅過程中存在一些不足，表現為以下幾個方面：

• 檢測技術單一：基於簽名檢測技術無法檢測未知威脅，更無法定位失陷主機。

• 缺乏持續檢測：只能做階段性檢測，無法覆蓋威脅的全生命週期。

• 無法進行聯動：各安全檢測產品獨立工作，攻擊告警資訊割裂，無法聯動。

另一方面，當前安全攻防對抗日趨激烈，單純指望透過防範和阻止的策略已行不通，必須更加註重檢測與響應。企業組織要在已遭受攻擊的假定前提下，構建集防禦、檢測、響應和預防於一體的全新安全防護體系。這從2019年6月網路演習的規則也能看得出來，不強制要求系統不被入侵，而是強調入侵之後的快速響應能力。

最後，隨著雲端計算的快速發展，多雲和雲原生趨勢漸漸成為主流，面對多雲、雲原生等新型架構也不斷湧現，原有的主機安全產品如何適配新的架構，也成為了企業不得不考慮的話題。

為了應對外在環境的不斷演進，主機安全防護軟體也在不斷更新迭代，衍生出了一系列細分領域的主機安全產品。從主機安全產品發展級別來看，大體上可以概括為“基礎性的主機安全產品”、“以應用為核心的主機安全產品”、“以檢測響應為核心的主機安全產品”、“以主動防禦為核心的主機安全產品”、“新形態下的主機安全產品”五個階段。

圖十八：主機安全成熟度曲線

我們可以洞見，未來，作為企業基礎建設的必需品，主機安全產品只有向“持續檢測、快速響應、全面適配”方向發展，才能助力企業更好地應對不可知的未來。