青藤云自适应的主机安全解决方案

网络安全现状

随着信息化的迅速发展，业务变得越来越开放和复杂，固定的防御边界已经不复存在;网络攻击行为向着分布化、规模化、复杂化的趋势发展，仅 仅依靠防火墙、入侵检测、防病毒等单一的网络安全防护技术，己不能满足企业安全防护需求，迫切需要新的技术，及时发现网络中的异常事件，实时 掌握网络安全状况。

WannaCry勒索病毒席卷全球

采用古代的城堡式的网络安全体系已经不能适应新兴木马病毒的攻击。勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶 劣、危害极大，一旦感染将给用户带来无法估量的损失。2018年3月，国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程 序变种。

云环境面临的安全风险

主机安全防护存在的挑战

在应用云服务、软件定义的基础设施和移动计算后，您的系统安全吗?
拦截和防御的“城墙”越垒越高，可是下一次的定向攻击或持续攻击，会不会再次绕过防火墙和基于黑白名单的预防机制?

传统安全防御体系痛点

边界模糊
网络规模及网络架构越来越庞大，多层面的网络安全威胁和安 全风险也在不断增加，无法对业务系统进行深度防御.

资产难梳理
绝大多数企业缺乏自身数据资产的清点信息，或者清点不够全 面透彻，企业无法实时掌控数据资产的全面情况.

安全检测频率低
安全频率太低，无法应对瞬息万变的安全内外环境，企业在 完成测试的下一秒，外部安全形势可能就会发生变化.

难溯源
发生安全风险时，一般的日志或审计信息无法确定是人为因素 或是系统自身因素造成的，且无法对安全事件进行溯源和追责.

无法联动
采购的各厂商安全产品无法进行有效联动形成纵深防御体系， 且硬件产品很难快速更迭，很难适应最新的安全攻击特点.

缺乏外部情报
难以形成对资产变化、安全薄弱点和外部安全态势的联动分 析和准确认知，更无法指导未来安全建设的实施推进.

安全建设思路的转变

面对传统的基于流量或规则的检测方式，已经无法检测新型未知威胁或最新的网络病毒;最合理的方案是企业要持续、动态地监控自身安全，并加 强快速分析和响应能力，最终做到安全工作清晰、可衡量。

自适应安全架构

自适应安全是Gartner首次在2014年提出的面向未来的下一代安全架构，理念源自Gartner对美国一线安全厂商未来发展调研;核心思想是从防御转 向持续监控和分析。

主机自适应安全平台

青藤主机自适应安全平台，采用Gartner在2014 年提出的自适应安全架构，有效解决传统专注防御的被动处境，为系统添加强大的实时监控和响应能 力，帮助企业有效预测风险，精准感知威胁，提升响应效率，保障企业安全的最后一公里。

助力等级保护2.0

平台架构

青藤的核心平台架构，主要由Agent，Server，Web 三部分构成，为产品服务提供基础的、灵活的、稳固的核心能力支持。上层组件化产品模块，采 用插件化的系统结构，实现功能的智能协同;底层的核心平台架构，是下一代主机安全能力引擎。

资产清点

目标:实时掌握所有主机情况，快速搭建灵活有效的纵深防御体系。

自动化构建资产信息
通过安装Agent，可在15 秒内，从正在运行的环境中，反向自动化构建主机业务资产结构，上报中央管控平台，集中统一 管理;确保安全覆盖无死角。

资产变化实时通知
平台在清点资产后，将保持对资产持续监控，保证监控数据与实际业务数据一致;对一些需要特殊关注的敏感资产发生变 化，将提供实时或定时通知。

灵活快速检索定位
参考大量国外先进产品经验，结合通用安全检查规范与安全事件的数据需求，形成细粒度资产清点体系;利用多维度的视 图，引导用户轻松获得需要的资产信息;借助多角度的搜索工具，帮助用户快速定位关键资产信息。

资产清点

• 结合通用安全检查规范与安全事件数据需求，构建业务型资产对象
• 支持绝大部分主流操作系统，支持本地环境、虚拟环境、云环境等混合业务架构环境
• 作为数据支撑，已与平台中的风险发现和入侵检测系统全面关联，实现一键查看

风险发现

目标:持续的进行风险检查和修复，将风险控制在较低水平。

提高攻击门槛
全面发现潜在风险及安全薄弱点，根据多维度的风险分析和精确的处理建议，用户可及时处理重要风险以限制黑客接触系 统、发现漏洞和执行恶意代码。

企业风险可视化
持续性监测所有主机的安全状况，图形化展现企业风险场景，为安全管理者动态展示企业安全指标变化、安全走势分析， 使安全状况的改进清晰可衡量。

持续性监控分析
主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等，并结合资产的重要程度进行风险分 析，准确定位最急需处理的风险，帮助企业快速有效解决潜在威胁。

风险发现

1. 全面系统脆弱性发现
   全方位检测 IT 系统存在的脆弱性，发现信息系统存在的安全补丁、安全漏 洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系 统不必要开放的账号、服务、端口，形成整体安全风险报告。
2. 白盒角度发现风险
   Agent 探针式的扫描机制，建立了自内而外的白盒视角。极低的误报率精 准发现软件漏洞、发现更多更全的弱密码账户等。
3. 比传统扫描器更快
   传统的扫描器每次扫描均需要将远程接入各级网络，部署相对麻烦且不能 持续性扫描防护，而基于Agent 由内而外的扫描方式，一条命令即可一键 部署，部署成功后即可持续为企业安全保驾护航。
4. 资产数据自动关联
   基于主机环境资产全面清点的基础上进行的持续性风险扫描，能对主机环 境资产进行持续性防护。支持在发现了风险之后，一键查看对应的资产情 况，为风险的下一步处理提供有效信息。

入侵检测

目标:实时监控系统异常操作行为，第一时间发现入侵行为。

实时发现失陷主机
通过多维度的感知网络叠加能力，对攻击路径的每个节点都进行监控，并提供跨平台多系统的支持能力，保证了能实时发 现失陷主机，对入侵行为进行告警。

发现未知黑客攻击
结合专家经验，威胁情报、大数据、机器学习等多种分析方法，通过对用户主机环境的实时监控和深度了解，有效发现包 括“0day”在内的各种未知黑客攻击。

对业务系统“零”影响
Agent 以其轻量高效的特性，在保证对用户主机安全监控的前提下，不对其业务系统产生影响，为用户的主机安全提供了 高效可靠的保护。

提供最准确的一线信息
在独有的资产管理能力支持下，我们不只能发现入侵，更能够提供深入详细的入侵分析和响应手段，从而让用户精准有效 地解决问题。

APT攻击链发现的设计思路——结合资产状态和风险状态，精准定位APT攻击并实现预警。 青藤的入侵检测技术基于行为模型学习的异常行为识别，通过设立特征锚点、分析行为模式、建立关系模型等手 段，帮助企业在第一时间发现入侵，并联动其他功能模块迅速做出响应处理。

部署方式

青藤云安全产品从部署的方式来看，具有“SaaS(软件即服务)”服务模式和“独立部署”自建模式。 “SaaS”模式适合公有云或能够外网连接 的网络环境客户，“独立部署”自建模式适合安全要求高内网部署的网络环境客户。

方案价值

1. 产品核心
   准确圈定保护范围 -- 以业务端安全为核心，轻 量级、跟随式保护，青藤Agents的CPU占用率 <3%，内存占用率<5%，稳定率高达99.998%
2. 适用环境
   适用于云环境、虚拟机和传统IDC，可以随着工 作负载的启动自动加载
3. 超精细数据
   已涵盖40,000多个软件漏洞，10,000多个 WebShell规则，12,000多个Web漏洞， 100,000多种弱口令及组合，合规检查相多达 11,000个。