本報告將從主機資產概況、主機風險分析、主機入侵檢測、主機合規分析四個方面詳細分析2019年主機安全的整體概況。

如果沒有完整的、詳細的主機資產清單，安全運維團隊將無法確保組織機構的安全，因為任何人都無法保護“未知”事物的安全性。本報告通過分析大量的企業級主機核心資產情況，從而為各企業制定安全防護策略提供支持和幫助。

通過統計分析發現，在企業級客戶中，超過81.45%的主機使用都是Linux操作系統，只有18.55%主機使用的是Windows操作系統。這其中原因有很多，比如Linux兼容性更好、模塊化、資源消耗少等等原因，讓很多客戶都會選擇Linux系統。

圖一：不同主機操作系統的使用比例

 通過對樣本數據的分析可知，74%的主機上都存在UID為0、GID為0、Root/Administrator賬號、Sudo權限等特殊賬號。這些特殊賬號，往往會成為備受黑客青睞的資產，屬于高危重點保護資產。

圖二：主機特殊賬號的使用情況

此外，在樣本數據分析中，發現在Linux系統中，使用最多的Web服務應用是Tomcat服務，高達58%，其次是Nginx，使用率達到了32%。

圖三：Linux Top5 Web服務的使用情況

而在Windows環境下，IIS使用最多，達到47%，其次是Tomcat，達到36%。另外，Apache和Nginx的使用也占到了一定比例。

圖四：Windows Top5 Web服務的使用情況

為了在黑客入侵前發現系統風險點，安全人員需要通過專業的風險評估工具，對風險進行檢測、移除和控制，來減小攻擊面，包括安全補丁、漏洞、弱密碼、應用風險、賬號風險等。

基于漏洞所影響的主機數量，發現2019年影響范圍最大的TOP10漏洞，有很多都是前幾年的漏洞。尤其是針對那些老舊資產，補丁修復更是嚴重不足，因此，這些漏洞就成為了黑客入侵的突破口。

圖五：2019年影響主機TOP10的漏洞

除了漏洞風險之外，在對Web服務器等互聯網空間資產做空間測繪后發現，有大量的資產開放了高危端口，存在較高的安全隱患。例如，很多黑客攻擊者很喜歡嘗試入侵22、3389端口。如果主機存在弱密碼登錄的情況，很容易就被暴破成功，進而服務器被黑客控制。特別是今年曝光的 BlueKeep（CVE-2019-0708）、Windows RDS（CVE-2019-1181） ，均是Windows 遠程桌面服務的漏洞并且危害巨大，而3389又是Windows遠程桌面的默認端口，開放3389的Windows服務器更容易受到入侵攻擊。建議服務器修改默認的遠程連接端口，如無必要，可關閉該端口。

圖六：常見高危端口的開放情況

此外，不同服務都有一些具有各自服務特色的弱口令，有一部分是安裝時的默認密碼。比如MySQL數據庫的默認密碼為空。通過分析發現，主機軟件弱密碼主要集中在MySQL、SSH、SVN、Redis、vsftpd這五類應用上，其中MySQL和SSH弱密碼問題更是超過了30%。

圖七：主機軟件弱密碼盤點

木馬病毒也是主機中最常見的風險，風險木馬類軟件在各行業的染毒事件中占比最高（40%以上），科技行業相對其他行業感染風險木馬軟件的比例更小。由于風險木馬軟件的感染主要是不良的上網習慣及缺乏安全意識引起的（如使用盜版軟件或外掛工具等），可能科技行業從業人員的上網安全意識相對更高。

感染型木馬在教育行業感染比例相對較高，可能和該行業頻繁的文件交互傳輸有關。

圖八：不同行業感染病毒類型分布

后門遠控類木馬是除了風險軟件之外感染量最大的染毒類型，占比在20%左右。后門遠控類木馬有著極高的隱蔽性，接受遠程指令執行信息竊取、截屏、文件上傳等操作，對金融科技等信息敏感行業可造成極大危害。

通過對暴露在公網的服務器做抽樣分析發現，在常見的攻擊類型中，遠程代碼執行（RCE）、SQL注入、XSS攻擊類型比例較高，同時黑客為了獲取服務器、網站的基本信息，常見的探測性掃描（Probe Scan）量同樣非常高。

圖九：常見主機漏洞

2019年，全國企業用戶服務器病毒木馬感染事件超百萬起。其中Webshell惡意程序感染事件占73.27%；Windows惡意程序感染事件占18.05%；Linux惡意程序感染事件占8.68%。 

圖十：主機感染病毒木馬的情況

從感染主機中，總共發現超1萬種木馬病毒，其中Webshell 約占27%，Windows木馬病毒約占61%，Linux木馬病毒約占12%。

圖十一：病毒木馬種類分布

由上文可知，2019年Webshell惡意程序感染事件為近80萬起，占所有感染事件的70%。從被感染服務器的數量來看，Windows服務器感染Webshell占所有Windows服務器的約44%，Linux服務器感染Webshell占所有Linux服務器的約0.2%。這說明Windows服務器更容易受到Webshell的攻擊。

從感染的Webshell語言類型來看，PHP類型的Webshell是最多的，其次是ASP語言。

圖十二：Webshell語言類型的比例分布

此外，在本報告中，根據不同操作系統樣本數據進行分析，總共發現超過3000臺Windows服務器感染了挖礦木馬，其中超2000臺Linux服務器感染了挖礦木馬。

通過對被感染的主機進行分析，發現挖礦木馬主要挖比特幣與門羅幣。猜測其原因，可能是比特幣是數字貨幣的開創者，其價值非常高，當仁不讓地成為黑客的重點關注對象。而門羅幣則是新興的數字貨幣，由于主要使用CPU進行挖礦，所以黑產團伙喜歡利用入侵服務器進行挖礦。從入侵挖礦時間的角度來看：

Windows平臺挖礦事件主要出現的年初（1月-3月）和年底（12月）如下圖所示：

圖十三：Windows平臺挖礦事件月度統計

但是，Linux平臺挖礦事件主要集中在年中（4月-6月）和年底（11月-12月）：

圖十四：Linux平臺挖礦事件月度統計

可以看出，無論Windows平臺還是Linux平臺，年底都是挖礦入侵事件的高發時期，這段時間需要重點關注服務器是否出現CPU占用過高的情況。

所有企事業單位的網絡安全建設都需要滿足國家或監管單位的安全標準，如等保2.0、CIS安全標準等。安全標準，也稱為“安全基線”。安全基線的意義在于為達到最基本的防護要求而制定一系列基準，在金融、運營商、互聯網等行業的應用范圍非常廣泛。通過合規基線進行自查和自加固可以更好地幫助企業認清自身風險現狀和漏洞隱患。

主機賬號安全性的重要性不言而喻，但是在樣本分析過程中，我們仍然發現很多賬號存在不合規情況，例如未設置密碼嘗試次數鎖定、未設置密碼復雜度限制等，這不符合國家等級保護相關要求。在等保2.0通用基本要求的身份驗證控制項中明確要求“應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換”、“應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施”。

圖十五：主機賬號的不合規情況

此外，主機服務器上承載了非常多的應用，如果應用中存在不合規的情況，例如配置錯誤、未修補的漏洞補丁等。那么黑客通過應用就能進入主機系統內部，這將帶來極大風險。

圖十六：常見應用的配置風險

當然，如果沒有對主機底層的操作系統進行適當配置，就會引發許多安全問題。建議安全運維人員能夠謹慎配置主機來滿足組織機構的安全需求，并能夠根據需求重新配置。通過研究分析樣本數據，發現GRUB密碼設置、UMASK值異常、未開啟SYN COOKIE這三類問題是所有主機系統風險中所占比例最多的三類。

圖十七：主機系統不合規的情況分析

正如達爾文《進化論》說，進化來源于突變，而安全面對的正是“不可預知的未來”。主機安全作為網絡安全領域中的重要分支，面對難以預測黑客攻擊手段，傳統的防范、阻止策略已經行不通。

一方面， 攻擊者和防守者處于天然不對等的地位，傳統基于報警或已存在的威脅特征的檢測技術，包括防火墻、IPS、殺毒、沙箱等被動防御手段，更是讓這種不平等愈發嚴重。很多被黑客攻陷的企業組織，雖然已經構建了一定的安全防御體系，但仍然沒能及時發現或阻止威脅，將損失降到最低。主要是因為當下檢測體系在應對未知威脅過程中存在一些不足，表現為以下幾個方面：

• 檢測技術單一：基于簽名檢測技術無法檢測未知威脅，更無法定位失陷主機。

• 缺乏持續檢測：只能做階段性檢測，無法覆蓋威脅的全生命周期。

• 無法進行聯動：各安全檢測產品獨立工作，攻擊告警信息割裂，無法聯動。

另一方面，當前安全攻防對抗日趨激烈，單純指望通過防范和阻止的策略已行不通，必須更加注重檢測與響應。企業組織要在已遭受攻擊的假定前提下，構建集防御、檢測、響應和預防于一體的全新安全防護體系。這從2019年6月網絡演習的規則也能看得出來，不強制要求系統不被入侵，而是強調入侵之后的快速響應能力。

最后，隨著云計算的快速發展，多云和云原生趨勢漸漸成為主流，面對多云、云原生等新型架構也不斷涌現，原有的主機安全產品如何適配新的架構，也成為了企業不得不考慮的話題。

為了應對外在環境的不斷演進，主機安全防護軟件也在不斷更新迭代，衍生出了一系列細分領域的主機安全產品。從主機安全產品發展級別來看，大體上可以概括為“基礎性的主機安全產品”、“以應用為核心的主機安全產品”、“以檢測響應為核心的主機安全產品”、“以主動防御為核心的主機安全產品”、“新形態下的主機安全產品”五個階段。

我們可以洞見，未來，作為企業基礎建設的必需品，主機安全產品只有向“持續檢測、快速響應、全面適配”方向發展，才能助力企業更好地應對不可知的未來。