青藤巡展旋风席卷上海，构建主机安全华东防线

2019年8月29日，青藤云安全“新一代主机安全趋势”2019年全国巡展|上海站正式举行，来自上海地区100多位合作伙伴、用户代表出席了此次活动，与青藤共话新一代主机安全蓝图，商讨未来主机安全的进化方向和发展趋势。

展位火爆场面

本次巡展，青藤云安全携新一代主机安全架构及15大主机安全场景方案重装亮相。青藤云安全通过五年多技术积累推出的主机自适应安全平台，其两大核心价值是：持续监控与分析，安全能力协同联动。

此次活动，邀请到了大智慧集团安全总监吴守畅，千寻位置资深信息安全工程师余本华，工银瑞信信息科技部网络与安全主管郦冬等业内安全专家，为本次会议带来了精彩演讲。在本次大会演讲中涌现出很多新思想，为此特意摘选了一些精彩观点分享给大家。

活动开始，青藤云安全高级副总裁崔晶炜先生做了开场致词，对青藤五年的发展过程做了清晰总结，希望未来通过更好的产品和服务为政府、企业创造更多价值。

青藤云安全 SVP 崔晶炜

主机安全进化论：持续增强的检测响应和架构适配能力

随着数字加密币的普及，其天然的匿名性、难以追踪等特性令病毒木马黑色产业如获至宝，数字加密币已彻底改变了病毒木马黑色产业。从2018年以来，勒索病毒、挖矿木马成为了企业安全两大核心威胁。除了上述这两种最常见攻击之外，类似终端上无文件攻击也给企业的安全防护带来了巨大的挑战。

攻击者的终极目标是持续在终端上存在

在这样大背景之下，程度先生认为，未来主机安全的进化方向，将会像自适应安全架构那样朝着“持续增强的检测、响应以及架构适配”方向前进。

青藤云安全COO 程度

（1）进化一：提升精准检测能力

如何持续增强检测能力？检测能力从哪来？为此我们需要对攻击有更深的理解，也应该采用一些更细粒度的安全模型。

对信息安全专家来说，用洛克希德-马丁公司的网络杀伤链（Kill Chain）来识别和防止入侵的方法可能并不陌生。但目前，较杀伤链模型更进阶和详细的模型是MITRE的ATT&CK模型。MITRE ATT&CK是一款可以加速检测与响应的最新工具。ATT&CK有助于理解攻击者的行为、技术、战术，帮助安全人员构建检测措施，验证防御措施以及分析策略的有效性。

（2）进化二：自动化的响应能力

当前安全攻防对抗日趋激烈，单纯指望通过防范和阻止的策略已行不通，必须更加注重检测与响应。为最大限度科学、合理、有序地处置网络安全事件，程度先生建议建立完善的响应流程，包括查询、排序、可视化、获取、分析、工作流，总共7个阶段的工作。根据网络安全应急响应总体策略对每个阶段定义适当的目标，明确响应顺序和过程。

提到自动化响应，当下最火一个安全概念当属SOAR（Security Orchestration, Automation and Response），意即安全编排自动化与响应。该技术聚焦安全运维领域，重点解决安全响应的问题。

（3）进化三：新架构的适配能力

以容器、服务网格、微服务、Serverless 为代表的云原生技术，带来一种全新的方式来构建应用。企业 IT 架构也随之发生巨大变化，而业务又深度依赖 IT 能力。这带来了一定程度的复杂性和挑战性，尤其是其安全挑战不可忽视。

   越来越多的企业利用Docker容器来快速构建和维护新服务和新应用。但是，容器本身也存在重大的安全风险，例如Docker宿主机安全、Docker镜像安全、运行环境的安全问题、编排安全等，这都意味着保护容器安全将是一项持续的挑战。

新一代主机安全4大核心技术

张福先生认为，随着业务数字化转型，企业的业务变得越来越开放和灵活，面临的安全挑战也日益增加。在这种多变、开放的场景下，无论安全边界怎么做，都无法阻挡黑客打破边界进入企业内部来窃取核心资产。当下安全对抗以及安全管理的核心，正逐渐从边界转移到核心服务器系统上。

青藤云安全CEO 张福

传统安全事件响应周期很长，想要在入侵初期就及时发现黑客攻击更是困难。青藤云安全作为国内新一代主机安全的践行者，通过五年多时间，上亿研发投入，自主研发出了以保护“工作负载”为核心的主机自适应安全平台，致力于提升对于事件的检测、分析和响应的效率。

青藤产品体系

（1）五年匠心打造的四大核心技术

运行在产品核心平台底层的是新一代主机安全能力引擎。该引擎拥有四大核心技术，分别是Knowledge-Base、脚本引擎、QSL语言、AI增强技术。

第一个核心技术是Knowledge-Base，简称KB系统。通过该技术将安全检测目标抽象成对象，进而封装底层复杂度，使上层安全人员工作变得更简单。

第二个核心技术是脚本引擎。通过C语言和Java语言构建整个系统，但是在C语言内部支持了LUA脚本，在Java这一层支持了Python脚本。脚本引擎使得青藤产品可以实现热更新，也使在产品更易扩展和发布。

第三个核心技术是QSL。这是青藤自主研发的面向安全人员的一套语法，极大提高事件分析和响应能力。

第四个核心技术是AI增强技术。基于机器学习、深度学习，从复杂的现象中提炼规律，让安全更智能。

证券信息行业主机安全建设

证券行业是我国金融领域重点行业之—，随着网络技术的深入发展和应用，证券公司计算机网络日趋复杂，网络安全问题日益突出。对于证券行业而言，部署在服务器上核心业务系统内数据关系着公司生死存亡，不得不防。当前主机安全建设主要存在以下问题：

（1）主机管理方式松散。

（2）运维体系不完善。

（3）安全基础建设不完善。

（4）人员安全意识不足。

      这些问题会给企业主机安全建设带来很大隐患，比如资产信息不完整、弱口令、漏洞等问题。

“当然信息安全建设，离不开公司整体支持，包括人力财力支持、安全运维等团队、制度和体系等各方面支持。”大智慧集团安全总监吴守畅如是说道。

大智慧集团安全总监吴守畅

RPA与主机安全自动化

“相信每一个安全人员理想的主机安全状态一定是：防御有效，能与威胁对抗，全程自动化，甚至可以自愈微小问题，业务持续可用……”千寻位置资深信息安全工程师余本华如是说道。但现实总是残酷的，主机安全运营面临巨大效率挑战。

主机安全运营效率现实困境

甲方安全人员在主机运营过程中，经常存在人工交互太多，费时费力，每当遇到突发事件时会有很多不确定。同时由于资产复杂多样，经常存在跨系统、平台、设备等情况，对安全人员操作技能要求高。即便按照标准SOP进行操作，也无法满足时效性要求。

这应该怎么办？ 余本华先生认为，高效运营主机安全问题是关键，而RPA技术（Robotic process automation）可以较好解决该问题。RPA并不是一种新技术，是基于AI和机器学习的一种新兴的业务过程自动化技术。RPA技术根据已有的主机安全治理手段，格式化运营应急响应人员手动操作过程及SOP为高效可靠的程序，减少运营人员跨系统或不同类型日志的频繁操作，并过滤掉误报告警干扰，输出标准化的因安全事件触发所需要的全链路信息，供运营人员决策，确保主机安全，服务持续可用。

千寻位置资深信息安全工程师余本华

工银瑞信信息安全实践分享

  “工银瑞信依托工行集团优势，目前初步建立了较完善的科技治理体系及制度体系。按照业界最佳实践逐步建立起以资产防护为中心的五横五纵安全技术体系架构。” 工银瑞信信息科技部网络与安全主管郦冬先生这样说道。

工银瑞信信息科技部网络与安全主管 郦冬

工银瑞信在严格遵照网络安全等级保护标准的基础上，根据行业监管和工行集团信息安全要求，借鉴ISO27001、SSE-CMM标准，充分结合基金行业特点，构建了本公司信息安全体系，包括管理体系、运营体系、技术体系三部分。其中管理体系，依托公司信息科技“董事会-管理层-科技治理委员会-信息科技部门”四层科技管理架构，下设公司运营及安全管理子委员会。运营体系，遵循PDCA循坏理论来制定安全策略和构建信息安全中心（SOC）。技术体系，则包括物理安全、网络安全、系统安全、应用安全、数据安全、终端安全、用户安全共7个模块。

工银瑞信信息安全体系

此外，郦冬先生还分享了一次信息安全演练实践经验。前期，从资产清点、安全自查、演练组织、意识培训、网络防护、部门协同六个方面进行准备。同时，从边界防护、内网安全检测、主机安全防护、终端安全防护、集中管控等几个方面构建纵深防御体系。因为前期准备比较充分，在实战演练环节面对攻击方入侵也能快速进行响应。举个简单例子：

（1）早上8点40分，通过青藤的产品发现疑似web后门上传行为。

（2）8点50分确认为后门文件cmd.jsp后紧急隔离服务器。

（3）9点05分按应急预案，对外暂停服务并挂载维护页面。

（4）安全分析排查后确认为shiro反序列化漏洞被利用。

（5）确认问题已整改，启动溯源工作。

（6）提交溯源报告。

当然，三天后我们最终确认是工行安全团队组织的渗透性测试。

应用攻击处置

写在最后

本次巡展活动干货满满，现场座无虚席，除了能够聆听业内安全专家的真知灼见，更能与一线专业人士交流互动。此次巡展活动上海站已经圆满结束。9月19日，全国巡展|深圳站即将开始，期待您的到来。