重保特辑 | 守住最后一道防线，主机安全攻防演练的最佳实践

主机安全是企业云上安全最后一道防线之一。作为企业云上的最后屏障，主机一旦被攻陷，企业核心资产将岌岌可危，甚至会威胁到整个内网的安全。

本文将从资产清点、安全加固、入侵防御、安全运营四个维度为大家深入拆解重保场景下的主机防护最佳实践，帮助企业夯实最后一道防线。

资产清点：摸清家底，管好家当

资产清点是企业攻防最关键的一步。只有明确了防护对象，才能在防守动作中有的放矢，为接下来的安全加固、入侵防御等工作奠定基础。

• 资产统一管理：可将云内云外资产统一纳管，借助腾讯云主机安全自动化资产管理能力，识别影子资产和风险资产。对当前主机的风险及防护状态进行确认，以“最小化”原则对资产进行梳理；

腾讯云主机安全-主机列表：支持混合云管理及主机状态展示

• 资产指纹盘点：借助15种资产指纹清点能力，对主机的资源占用、端口、进程、应用及中间件等资产指纹进行梳理。

腾讯云主机安全-资产指纹：支持15种资产指纹识别

安全加固：漏洞及配置不当风险收敛

明晰防护对象后，企业需对主机的漏洞及配置不当风险进行系统收敛，对蓝军的攻击路径进行封堵。

• 漏洞管理：
  • 将漏洞响应工作常态化，借助腾讯云主机安全一键检测及定时检测能力及时发现严重、高危漏洞风险；           

腾讯云主机安全-漏洞管理：支持应急漏洞、Linux软件漏洞等4种漏洞定时及一键检测

腾讯云主机安全-漏洞管理：支持1600+种漏洞自动修复

腾讯云主机安全-漏洞管理：支持一键开启漏洞防御

• 合规基线检测与弱口令识别：可借助腾讯云主机安全基线管理功能，通过检测策略了解当前的基线通过率及风险情况，参考优先级及处置建议对未授权访问、弱口令、远程代码执行等风险进行收敛。

腾讯云主机安全-基线管理：支持合规基线及弱口令检测

腾讯云主机安全-基线管理：支持自定义检测周期、检测项及应用资产

入侵防御：多维检测，纵深防御

• 攻击前期：结合漏洞入侵拦截、暴力破解阻断和异常登录监控能力，在蓝军攻击早期阶段进行实时检测和主动拦截。
  • 对漏洞利用攻击行为进行实时监控，并借助自动防御能力主动出击，对java类漏洞进行主动防御；

腾讯云主机安全-漏洞管理：支持漏洞利用攻击检测和拦截

腾讯云主机安全-漏洞管理：可对攻击事件影响面、危害及修复建议进行确认

腾讯云主机安全-密码破解：支持自定义设置暴力破解阻断规则

• 攻击中期：结合核心文件监控、恶意文件自动隔离、Java内存马等能力，及恶意外联、高危命令告警，在蓝军持续渗透时期进行有效反制。
  • 开启核心文件监控及恶意文件自动隔离。通过匹配系统规则和用户自定义规则，实现对核心文件实时监控。实时监控挖矿木马、Webshell等恶意文件落盘，自动隔离并杀掉恶意文件相关进程，阻止黑客再次启动；

腾讯云主机安全-核心文件监控：支持文件异常行为及进程树实时监控、上报

腾讯云主机安全-文件查杀：支持木马自动隔离

腾讯云主机安全-Java内存马：支持实时监控与告警

腾讯云主机安全-恶意请求：支持实时监控与告警

腾讯云主机安全-高危命令：支持进程树上报及攻击溯源

• 攻击后期：实时监控本地提权、反弹Shell行为，让进入后渗透时期的隐秘攻击者无处遁逃。

腾讯云主机安全-本地提权：支持实时监控与告警

腾讯云主机安全-反弹Shell：支持进程树上报及攻击溯源

安全运营：留存日志，有效取证溯源

• 攻击溯源：可借助腾讯安全Cyber-Holmes引擎，自动化对威胁告警与可疑样本进行智能分析，以受害者资产视角查看完整攻击溯源链路；覆盖攻击溯源的三个阶段，对当前遭遇何种攻击、被谁攻击，攻击者如何发起的攻击，攻击者实际造成哪些影响进行溯源及可视化；

腾讯云主机安全-攻击溯源：具备威胁自动化溯源分析能力

• 日志留存：对漏洞、基线、入侵检测及所有登录行为事件等多维度的安全日志进行留存。可通过语句进行检索和查询，快速排查和溯源主机上的安全事件，提升运营效率。

腾讯云主机安全-日志分析：支持可视化展示、统计分析及一键导出

以上是我们在攻防演练期间针对主机防护沉淀的治理思考和最佳实践。欢迎更多交流。

腾讯云主机安全功能全景图