2020年初，一种COVID-19流行病迅速蔓延。这种病毒打破了物理界限，给人类社会的发展带来了不可预测的变数。然而，在陆、海、空、空之外的“第五空间”——赛博空间，随着物理世界和虚拟世界的深度融合，未知威胁不断触及安全红线，防止黑天鹅入侵网络安全迫在眉睫。其中，对于企业来说，主机是承载企业数据和服务的核心，也是抵御网络威胁的最后一道防线。如何解决其安全风险尤为关键。

为了使各行各业的组织充分而清楚地了解当前主机的安全状况以及如何保护主机的安全。近日，青腾云安全与中国工业互联网发展联盟(IDAC)、腾讯标准、腾讯安全联合发布《2019中国主机安全服务报告》。报告以理论与实践相结合为指导思想，通过前期大量的数据调查，分析了我国主机安全的整体状况和主机安全产品的成熟程度，为主机安全未来的发展指明了方向。

从4个维度和20个角度分析主持人的整体情况

本报告将从主机资产概况、主机风险分析、主机入侵检测和主机合规性分析四个方面详细分析2019年主机安全的总体情况。

盘点你拥有的资产

没有完整而详细的主机资产列表，安全运营和维护团队将无法确保组织的安全，因为没有人能够保护“未知”事物的安全。通过分析大量企业级主机的核心资产，该报告为企业制定安全保护策略提供了支持和帮助。

通过统计分析发现，在企业客户中，超过81.45%的主机使用Linux操作系统，只有18.55%的主机使用Windows操作系统。造成这种情况的原因有很多，比如Linux的兼容性好、模块化和资源消耗少，这使得很多客户选择了Linux系统。图1:不同主机操作系统的使用率

根据对样本数据的分析，74%的主机拥有特殊帐户，如UID 0、GID 0、Root/Administrator帐户、Sudo权限等。这些特殊账户往往成为黑客青睐的资产，是高风险的重点保护资产。图2:特殊主机帐户的使用

另外，在对样本数据的分析中发现，Tomcat服务是Linux系统中使用最多的Web服务，使用率高达58%，其次是Nginx，使用率为32%。图Linux五大网络服务的使用

在Windows环境中，IIS的使用率最高，达到47%，其次是Tomcat，达到36%。此外，Apache和Nginx以一定比例使用。图4:视窗五大网络服务的使用

评估存在哪些风险

为了在黑客入侵前发现系统风险点，安全人员需要通过专业的风险评估工具来检测、移除和控制风险，以减少攻击面，包括安全补丁、漏洞、弱密码、应用风险、账户风险等。

根据受漏洞影响的主机数量，我们发现2019年受影响最大的前10个漏洞，其中许多是前几年的。特别是对于那些旧资产，修补是一个严重的短缺。因此，这些漏洞已经成为黑客的突破口。图5:2019年影响主机排名前10的漏洞

除了脆弱性风险外，在对网络服务器等互联网空间资产进行测绘后，发现大量资产开通了高风险端口，具有较高的安全风险。例如，许多黑客喜欢尝试入侵端口22和3389。如果主机有一个弱密码登录，很容易被成功破解，然后服务器被黑客控制。特别是今年暴露的蓝守(CVE-2019-0708)和视窗RDS(CVE-2019-1181)都是漏洞，对视窗远程桌面服务有很大的危害，3389是视窗远程桌面的默认端口，因此带有3389的视窗服务器更容易受到入侵攻击。建议服务器修改默认远程连接端口，如果没有必要，请关闭该端口。图6:开放常见高风险港口

此外，不同的服务有一些弱密码，它们有自己的服务特征，其中一些是安装过程中的默认密码。例如，MySQL数据库的默认密码为空。通过分析发现，主机软件的弱密码主要集中在MySQL、SSH、SVN、Redis和vsftpd，MySQL和SSH的弱密码超过30%。图7:主机软件的弱密码清单

特洛伊病毒也是主机中最常见的风险。风险木马软件在各行业中毒事件中所占比例最高(40%以上)，科技行业感染风险木马软件的比例小于其他行业。因为风险木马软件的感染主要是由于不良的上网习惯和缺乏安全意识(如使用盗版软件或插件工具等)造成的。)，技术行业的员工可能对互联网安全有更高的认识。

教育行业感染木马的感染率相对较高，这可能与该行业文件交互传输频繁有关。图8:病毒类型在不同行业的分布

后门远程控制木马是除风险软件以外感染最多的类型，约占20%。后门远程控制木马隐蔽性极强，通过接受远程指令进行信息窃取、屏幕截图、文件上传等操作，对金融技术等信息敏感行业造成极大危害。

检测存在哪些攻击

通过对暴露在公共网络中的服务器进行抽样分析，发现在常见的攻击类型中，远程代码执行(RCE)、SQL注入和XSS攻击所占比例较高，黑客获取服务器和网站基本信息的常用探测扫描量也很高。图9:常见的主机漏洞

2019年，全国企业用户感染木马的案例超过100万起。其中，Webshell恶意程序感染占73.27%；Windows恶意程序感染占18.05%；Linux中的恶意程序感染占8.68%。图10:主机感染了病毒木马

从受感染的主机中发现了10，000多种木马病毒，其中Webshell病毒约占27%，Windows木马病毒约占61%，Linux木马病毒约占12%。图11:病毒木马的分布

从上面可以看出，2019年有近80万个Webshell恶意程序感染，占所有感染的70%。就受感染的服务器数量而言，Webshell感染约占所有Windows服务器的44%，Webshell感染约占所有Linux服务器的0.2%。这表明视窗服务器更容易受到网络外壳攻击。

从受感染的网络外壳语言类型来看，PHP类型的网络外壳最多，其次是ASP语言。图12:网络外壳语言类型的比例分布

此外，根据本报告对不同操作系统样本数据的分析，发现3000多台Windows服务器感染了挖掘木马，其中2000多台Linux服务器感染了挖掘木马。

通过对被感染主机的分析，发现挖掘木马主要挖掘比特币和门罗币。猜一猜原因，可能是比特币是数字现金的先驱，而且它的价值非常高，所以它成了黑客的焦点。门罗硬币是一种新的数字现金，因为它主要使用中央处理器进行挖掘，所以黑色团伙喜欢使用入侵服务器进行挖掘。从入侵和开采时间来看：

Windows平台上挖掘事件主要发生的年初(1-3月)和年末(12月)如下：图13:Windows平台上挖掘事件的月度统计

但是，Linux平台上的挖掘事件主要集中在年中(4-6月)和年末(11-12月):图14:Linux平台上挖掘事件的月度统计

可以看出，无论是Windows平台还是Linux平台，年底的挖掘入侵发生率都很高，需要注意服务器的CPU是否过高。

确定是否符合要求

所有企事业单位的网络安全建设都需要满足国家或监管部门的安全标准，如equal security 2.0和CIS安全标准。安全标准，也称为“安全基线”。安全基线的意义在于建立一系列满足最基本保护要求的基准，广泛应用于金融、运营商、互联网等行业。自我检查和自我强化

主机账户安全性的重要性不言而喻，但在样本分析过程中，我们仍然发现许多账户不符合要求，如没有密码尝试次数锁定、没有密码复杂度限制等。不符合国家一级保护的相关要求。在equal insurance 2.0的一般基本要求的认证控制项中，明确要求“登录用户必须经过身份识别和认证，身份必须唯一，认证信息必须具有复杂性要求并定期更换”，“提供登录失败处理功能，并配置和启用结束会话、限制非法登录次数、登录连接超时自动退出等相关措施。”图15:主机账号不符合

此外，主机服务器上还有许多应用程序。如果应用程序中存在不符合要求的情况，如配置错误、未修补的漏洞补丁等。然后黑客可以通过应用程序进入主机系统，这将带来很大的风险。图16:常见应用程序的配置风险

当然，如果主机的底层操作系统配置不当，将会出现许多安全问题。建议安全运行维护人员仔细配置主机，以满足组织的安全需求，并可根据需要进行重新配置。通过对样本数据的研究和分析，发现GRUB密码设置、UMASK值异常和无SYN COOKIE是主机系统风险比例最大的三种类型。图17:主机系统不符合性分析

从三个层面解读未来主机安全的发展方向

正如达尔文所说，进化来自突变，安全面临着“不可预测的未来”。主机安全作为网络安全领域的一个重要分支，面临着不可预知的黑客攻击，传统的防范和拦截策略已不再可行。

一方面，攻击者和防御者处于天然的不平等地位，传统的基于警报或现有威胁特征的检测技术，包括防火墙、入侵防御系统、防病毒和沙箱等被动防御手段，使得这种不平等更加严重。许多被黑客捕获的企业组织已经建立了一定的安全防御系统，但他们仍然不能及时发现或阻止威胁，并最大限度地减少损失。主要是因为目前的检测系统在处理未知威胁方面存在一些不足，表现在以下几个方面：

单一检测技术：基于签名的检测技术无法检测未知威胁，也无法定位丢失的主机。

缺乏连续检测：只能进行周期性检测，不能覆盖威胁的整个生命周期。

联动是不可能的：每个安全检测产品都是独立工作的，攻击报警信息是零散的，所以联动是不可能的。

另一方面，当前安全攻防对抗日趋激烈，单纯依靠预防和防范的策略已不再可行，必须更加注重发现和应对。在企业受到攻击的假设下，有必要构建一个集防御、检测、响应和预防为一体的全新的安全防护体系。这也可以从2019年6月的网络演习规则中看出，演习并没有强制系统不被入侵，而是强调入侵后的快速反应能力。

最后，随着云计算的快速发展，云和云原生趋势逐渐成为主流，云和云原生等新架构不断涌现。如何使原有的主机安全产品适应新的架构也成为企业不得不考虑的话题。

为了应对外部环境的不断演变，主机安全防护软件不断更新和迭代，产生了一系列细分领域的主机安全产品。从主机安全产品的发展水平来看，大致可以概括为五个阶段：“基本主机安全产品”、“以应用为中心的主机安全产品”、“以检测-响应为中心的主机安全产品”、“以主动防御为中心的主机安全产品”和“新型主机安全产品”。图18:主机安全性成熟度曲线

我们可以看到，在未来，作为企业基础设施的必需品，企业只有朝着“持续检测、快速响应、全面适应”的方向发展主机安全产品，才能更好地应对未知的未来。

写在最后

《进化论》这一宏大的理论体系不仅促使市场充分了解中国主机安全的现状，也为主机安全的发展指明了方向。未来，作为中国主机安全的领导者，庆腾将继续深化在这一领域的探索和推广，继续帮助政府、金融、互联网、运营商、医疗、教育等不同行业的用户。构筑网络安全的最后一道防线，为中国的网络安全事业输出源源不断的安全免疫力！

有关报告的详细信息，请注意“庆腾云安全信息”的公开号码。