更新时间:2022-08-30 GMT+08:00

快速提升主机安全性

数据、程序都是运行在主机上,一旦主机系统被黑客成功入侵,企业的数据将面临被窃取或被篡改的风险,企业的业务会中断,造成重大损失,所以主机安全是企业业务安全的重中之重。

企业主机安全提供事前预防、事中防护、实时/每日告警的全方位保护措施,提高主机的安全性,保护企业的业务安全。

本文档可以指导您如何使用HSS提升主机安全性,轻松发现并处理主机上存在的安全问题,提高工作效率。

步骤一:购买配额并开启防护

为了提升主机安全性,请购买企业主机安全配额,并开启防护,如图1所示。

图1 购买配额并开启防护
  1. 请根据您实际的业务场景,购买企业主机安全配额
    表1 配额版本推荐

    业务场景

    推荐配额

    APT攻击检测、应对护网行动、安全运营必备、自定义安全策略

    旗舰版企业主机安全配额

    安全风险预防、病毒木马查杀、主机漏洞管理、满足等保合规

    企业版企业主机安全配额

    官网防篡改、网站防暗链、网站服务器安全、关键文件防篡改

    网页防篡改版企业主机安全配额

  2. 在云主机上安装Agent

    HSS提供的Agent,用于执行检测任务,全量扫描主机;实时监测主机的安全状态,并将收集的主机信息上报给云端防护中心。

    关于Agent的更多信息请参见什么是HSS的Agent?

  3. 在HSS管理控制台设置告警通知,以便接收HSS发送的告警通知,及时了解主机/网页内的安全风险。
  4. 完成配额购买、Agent安装、告警通知设置之后可开启防护,详细操作请参见开启防护

    开启防护后,HSS会立即执行一次全量检测,大概30分钟后您可以在控制台查看HSS检测到的全部事件。

步骤二:查看风险总览

您可在企业主机安全 > 总览页面查看主机风险情况,如图2所示,详细说明如表2所示。

帮助您实时了解云主机的安全状态和存在的安全风险。详细信息请参见主机风险总览

图2 主机安全总览
表2 风险统计

风险类别

风险说明

主机风险统计

为开启防护的云服务器发现的各类风险的个数(基线检查、入侵检测和漏洞风险)。

主机的防护统计

开启基础版防护、企业版防护、旗舰版防护和未开启防护的服务器的数量。

最近7天或者30天的风险趋势

统计最近7天、近30天的资产风险、漏洞风险、基线检测和入侵事件的风险数量趋势。

最近7天的安全运营趋势

统计最近7天的已处理入侵事件和已处理漏洞的数量趋势。

最近7天或者30天的入侵事件统计

统计入侵事件的总个数,以及各类入侵事件分类占比。

最近7天的TOP5风险主机

统计检测出的风险项TOP5的云服务器及各风险项的数量。

实时入侵事件

统计最近24小时内发生的最近的5条“未处理”的入侵事件。

步骤三:处理主机风险

开启主机防护,并处理主机风险,如图3所示。

图3 处理主机风险
  1. 若您的主机没有全部开启主机安全防护,为了保证主机的安全性,请将主机全部开启主机防护,详细操作请参见开启防护
  2. 根据各类告警事件统计,批量处理实时入侵事件,如图4所示。详细操作请参见查看和处理告警事件

    图4 实时入侵事件

    告警事件展示在“事件管理”页面中,事件管理列表仅展示最近30天的告警事件,您可以根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计,并且不在“总览”页展示。

    表3 处理告警事件

    处理方式

    处理方式说明

    忽略

    仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。

    隔离查杀

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件将不会对主机造成威胁。

    您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

    有以下两类告警事件支持线上隔离查杀。

    • 恶意程序(云查杀)
    • 进程异常检测
    说明:

    程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,请在24小时内执行取消隔离/忽略操作。

    手动处理

    选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方便您记录手动处理该告警事件的详细信息。

    加入登录白名单

    如果确认“账号暴力破解”“账户异常登录”类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次登录告警事件加入登录白名单。

    HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后,若再次出现该登录事件,则HSS不会告警。

    加入告警白名单

    如果确认以下类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。

    HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,若再次出现该告警事件,则HSS不会告警。

    • 反弹Shell
    • Webshell检测
    • 进程异常行为检测
    • 进程提权
    • 文件提权
    • 高危命令
    • 恶意程序

  3. 修复漏洞,请根据界面提供的修复建议进行手动修复,如图5所示。

    图5 修复漏洞

    评估漏洞

    企业主机安全可以检测主机漏洞,并参考官方提供的漏洞分值评出修复紧急度,紧急度由高到低依次为:需立即修复、可延后修复、暂可不修复。

    • “需立即修复”的漏洞存在严重的安全风险,建议用户评估漏洞影响性之后尽快修复。
    • “可延后修复”以及“暂可不修复”的漏洞对操作系统安全性没有直接影响,建议用户评估漏洞影响性之后,根据主机操作系统或者软件版本的升级计划来安排漏洞修复计划。
    • “忽略”修复漏洞:某些漏洞只在特定条件下存在风险,如果评估后确认某些漏洞无害,可以忽略该漏洞,无需修复。

      例如:某漏洞必须通过开放端口进行入侵,如果主机系统并未开放该端口,则该漏洞不存在威胁,则忽略该漏洞。

    修复漏洞

    您可以根据漏洞信息判断该漏洞是否存在威胁,并确定该漏洞是否需要修复或者忽略。

    • 若需要修复漏洞,请根据“解决方案”提供的修复建议,进行控制台一键修复漏洞,或者手动修复漏洞,如图5所示。

      关于漏洞修复的详细操作请参见漏洞修复

      为了避免漏洞修复失败导致数据丢失,请在执行漏洞修复前备份主机中的数据和配置信息。

    • 若需要忽略漏洞,请单击“影响服务器”页签,查看该漏洞影响的服务器,在受影响服务器所在行单击“忽略”,忽略该漏洞,如图6所示。
      图6 影响的服务器

  4. 处理高危配置风险,进入“基线检查”页面,根据修复建议,逐个对主机进行“口令风险”“配置风险”修复,如图7所示。

    图7 处理高危配置风险

    检测高危配置风险

    企业主机安全提供的基线检测功能将检测主机中的口令复杂度策略,主机系统和关键软件中含有风险的配置信息,并针对所发现的风险为您提供修复建议,帮助您正确地处理服务器内的各种风险配置信息。

    关于基线检查的详细说明请参见基线检查功能介绍

    处理高危配置风险

    表4 解决高危配置风险

    风险项

    风险说明

    解决方法

    存在弱口令

    使用弱口令的账户被破解成功的风险非常高,需要高度重视。弱口令检测可检测出主机系统中使用弱口令的账户,您可以在控制台查看主机中的口令风险。

    弱口令并没有严格和准确的定义,从安全领域来看,容易被猜到或者被暴力破解的口令都是弱口令。

    弱口令通常具有以下特征:

    1. 口令长度太短、太简洁
    2. 口令全部或大部分字符串已经出现在网络中的密码字典中或相关列表中
    3. 口令中携带了个人信息

    如果您的主机被检测出弱口令风险,建议您立即修改为安全性更高的口令。

    详细操作请参见如何设置安全的口令

    口令复杂度策略太简单

    建议用户按照提示修改口令复杂度策略。

    采用更安全的复杂度策略之后,新增或者修改账户的口令时,口令复杂度会按照策略要求执行限制,提高新口令的安全性。

    存在不安全配置项

    系统中的关键应用如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。

    例如:SSH采用了不安全的加密算法;Tomcat服务采用root权限启动。

    请根据“修改建议”处理主机中的异常信息。

    详细操作请参见处理关键配置项

  5. 清点资产,如图8所示。

    每日凌晨定期收集并展示服务器的各项资产信息,包括:账号信息、对外端口监听、进程运行、Web目录、软件信息、自启动项,并对变动信息进行记录,便于用户对资产风险、资产变动进行排查,降低安全风险。

    图8 清点资产
    表5 资产管理

    资产管理项

    解决方法

    账号信息

    根据实时账号数据和历史变动记录,您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号,或者发现有超级权限的账号(拥有root权限),需要排查这些账号是否是正常业务使用,如果不是则建议删除多余账号或者修改账号的权限,避免账号被黑客利用。

    开放端口

    • 手动关闭风险端口

      如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。

      建议您及时优先处理危险程度为“危险”的端口,根据业务实际情况处理危险程度为“未知”的端口。

    • 忽略风险:如果检测出的危险端口是业务正在使用的正常端口,您可以忽略该条告警。忽略之后将不再作为危险项进行记录,也不再发送告警。

    进程信息

    根据进程检测结果中的详细信息,您可以快速查看主机中可疑的应用进程,并及时终止可疑的应用进程。

    Web目录

    HSS能够检测出主机中存在的Web目录,您可以根据检测结果及时发现主机中可能含有风险的Web目录,及时删除可疑的Web目录并终止可疑的进程。

    软件信息

    根据实时软件数据和历史变动记录,您可以统一管理所有主机中的软件信息。若发现主机中的软件版本过低或存在可疑的软件,您可以及时升级低版本的软件或删除可疑和无需使用的软件。

    自启动

    您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间,及时发现并清除木马程序问题。

步骤四:验证主机安全性

检测主机风险

以上安全威胁修复完成后,为了确认主机是否依然存在安全威胁,您可以通过以下方式进行验证,如表6所示。
表6 验证主机风险

验证方式

推荐适用检测场景

检查项目

操作方式

手动检测

需要尽快知道修复结果

一键手动检测:
  • 软件信息检测
  • 漏洞检测
  • 网站后门检测
  • 口令风险检测
  • 配置检测

选择“主机管理”,单击页面右上角“手动检测”

单项目手动检测:
  • 软件信息检测
  • 漏洞检测
  • 口令风险检测
  • 配置检测

选择“主机管理”,在云服务器列表的“操作”列中,单击“查看详情”,进入指定主机的详情页面。

  • 选择“资产管理”,在“软件信息”页签中,手动检测主机中的不合规的软件信息。
  • 选择“漏洞管理”,手动检测主机中的软件、系统和Web-CMS漏洞信息。
  • 选择“基线检查”,在“口令风险”页签中,手动检测主机中的口令风险。
  • 选择“基线检查”,在“配置风险”页签中,手动检测主机中不安全的配置项。

自动检测

不急于知道修复结果。

  • 以下检测项HSS每日凌晨自动执行全面检测,检测完成后可查看修复结果。
    • 软件信息检测
    • 漏洞检测
    • 网站后门检测
    • 口令风险检测
    • 配置检测
  • 其他检测项HSS会实时检测主机中的风险和异常操作,修复后可直接查看结果。

HSS在每日凌晨执行全面检测,检测主机中的风险和异常操作。

查看风险总览

检测完成后,您可以在“总览”页查看各项风险统计。

“总览”页查看主机安全风险统计结果,如图9所示。
图9 主机安全总览
  • 主机风险统计

    确认主机资产风险、基线检查、入侵检测和漏洞风险数据是否降低。

  • 主机防护统计

    确认主机是否已全部开启防护。

  • 安全风险趋势

    确认安全风险趋势是否呈下降趋势。

  • 安全运营趋势

    确认安全运营是否呈下降趋势。

若确保以上数据均有下降趋势,则说明您已成功提升了您主机的安全性。