随着云计算的普及，云主机因强劲的性能、较低的成本成为大量传统企业上云和新兴业务快速扩张过程中的主流选择。

企业上云的范围非常广泛，既包括IT资源、安全防护、办公协同等基础系统上云，也包括管理、业务上云等复杂的步骤。云主机相当于一个建立在云上的“作战指挥室”，保障云主机安全对于企业业务的稳定至关重要。

如今，云主机安全防护已经可以达到什么水平？企业上云是否真的能保障云主机安全？未来，AI 是否会在云主机安全上发挥更重要的作用？云主机安全防护会有哪些发展趋势？

我们邀请到腾讯安全云基础安全总监吴昊，与大家分享云主机安全防护过程的实战经验。

作为早在2007年就加入腾讯的老兵，吴昊在终端攻防、业务安全、数据安全及云基础安全方面都有非常深厚的积淀，尤其在主机安全领域，积极推动云平台保障与租户安全需求的结合。

下面让我们跟随吴昊老师来一场主机安全的干货问答：

能否回顾一下2019年云主机安全的趋势，以及在这一年里安全防护的主流技术升级？

主机安全作为企业安全最后也是最重要的一道防线，一款优秀的主机安全产品，可以帮助企业及时发现和抵御黑客入侵风险。腾讯云主机安全对2019年全年云主机安全趋势监控，抽样百万主机，分析发现目前主机面临的风险主要集中在“密码暴力破解、高危漏洞利用、恶意木马病毒入侵”。

全年趋势：

1、 密码暴力破解：月均检测到亿级爆破攻击，攻击来源于约100万个恶意IP地址，发起暴力破解攻击的服务器国内与国外各占一半。

2、 漏洞和基线风险：月均检测漏洞&安全基线数量十万级，其中安全基线占比60%，系统组件漏洞占比21%，Web应用漏洞占比19%。

3、 木马病毒：月均新增恶意文件数超十万，恶意文件攻击的用户行业分布，个人用户占比最大，其次是电商行业、游戏行业、工业云。

针对这三类重要问题，腾讯主机安全产品规划升级为云负载保护平台（CWPP），通过“数据驱动+攻防驱动+运营驱动”帮助企业从多维度进行自动检测和防御，确保企业核心资产安全。

云负载保护平台（CWPP）架构图：

是否大部分企业终端存在未修复的高危漏洞？这种普遍现象为何存在，对企业造成哪些伤害？

目前大部分企业的确存在高危漏洞不修复的情况，一个原因在技术层面：如漏洞修复导致系统不稳定或者业务不正常；另一个原因在意识层面：如对高危漏洞并没有直观的认知或者简单的认为网络隔离即可防御漏洞。

其实高危漏洞对于终端安全的危害特别大，往往很快就可以在网上找到开源（泄露）的攻击代码，黑客利用开源的攻击代码即可开发出严重影响（破坏）终端的恶意程序（Wannacry即是典型的例子）。

所以，利用漏洞入侵是攻击者最喜欢使用的攻击手段之一，攻击者使用漏洞利用代码，短时间内即可获得服务器较高的权限，甚至是完全的控制权。对于企业危害巨大，一旦服务器被入侵，可能会产生以下影响：

1、 业务中断：数据库、文件被篡改或删除，导致服务无法访问或系统瘫痪。

2、 数据窃取：黑客窃取企业数据后公开售卖，客户隐私数据被泄漏，导致企业品牌受损、用户流失。

3、 加密勒索：黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密，对企业进行金钱勒索。

4、 服务不稳定：黑客在服务器中运行挖矿程序、DDoS 木马程序，消耗大量系统资源，导致服务器不能提供正常服务。

目前攻击的手法主要有哪些？是否有新出现的、攻击性更强的攻击手法？

常见的云上攻击方式主要有：

目前黑产的攻击手法主要有漏洞利用、暴力破解、DDoS，挖矿、勒索等。大多攻击者只是在攻击的技术手段上有一些更新，比如无文件挖矿，较之前挖矿样本更具隐蔽性。另外windows成熟的攻击技术也越来越多的应用到了Linux系统环境，针对Linux样本检测，腾讯云主机安全已研发了最新Webshell引擎和AI云查杀引擎，可以高效查杀流行的木马、病毒样本。

主机安全问题发生的主要行业有哪些？大、中、小企业发生问题的形态有何区别，又应当如何避免？

攻击的用户行业分布，个人用户占比最大（47%），其次是电商行业（21%）、游戏行业（9%）、工业云（6%）。个人用户相对企业用户在处理安全风险时，响应速度相对较慢，安全意识还需要加强。

面对黑客入侵的各种攻击方式，建议用户日常需要加强安全意识，提前安装主机安全类产品，做好相应防御措施，有效规避潜在风险。

一是关注重要安全公告，及时修复披露的漏洞；对于包含“远程代码执行”、“未授权访问”关键字的漏洞尤其需要关注，此类漏洞相当于将服务器大门敞开给攻击者；同时请一定按照官方修复建议进行修复。

二是至少安装一套安全类软件，通过安全软件可以了解服务器安全情况，及时了解漏洞信息，同时可以查杀恶意文件；腾讯云用户建议安装“T-sec主机安全”产品。

三是加强安全意识，设置密码要达到安全要求，不随意下载运行非官方的程序，尤其是二进制程序，不随意点击来历不明的邮件；对于披露出来的漏洞要加强关注，尤其涉及到个人负责的组件，不能由于“怕麻烦”而放弃或延缓安全修复措施。

四是建立安全评审机制，可定期对服务器进行安全机制评审；如果成本允许，可做安全渗透测试。

企业上云是否能够有效的抵御主机安全问题？其背后的核心原理是什么？

可以。主机安全其实属于云安全的关键组成部分，在云计算环境下，不再拘泥于原有物理服务器边界，面临更为复杂和严峻的安全风险。传统反病毒和入侵检测等安全手段显得捉襟见肘，将主机安全升级为云工作负载保护平台（CWPP），成为云安全的关键环节，核心理念是：缩小攻击面，事前做好漏洞管理、基线合规、权限管理等安全运维工作，事中、事后提供应用管理、EDR、行为实时监控、防火墙等防御阻断能力。在这个理念的指导下，无论是腾讯云安全，还是其它云安全服务厂商，都投入了更多资源，增强检测云负载配置的弱项以及系统漏洞，将网络攻击抵御在“事前”。云服务厂商构筑的云安全“高墙”将逐渐消灭水桶效应，为云负载上提供统一的最佳安全实践。

如果对于安全性非常敏感的企业，应当如何选择足够安全的云服务商？

建议主要从3个维度考虑，选择适合自身企业情况的云服务商。

产品体系：云服务商是否具备完善的云安全体系，从网络侧到云负载，从公有云到私有云等场景，是否具有相关安全产品覆盖全面，并且能形成整体解决方案。

技术储备：需要评估云服务商的安全资质、技术积累以及功能创新。

服务及响应：例如专家服务、安全托管、应急响应等，是否具备全面的安全能力。

AI技术是否应用在主机安全防护当中？其应用的形式是什么，能够起到什么作用？

目前腾讯云主机安全在AI方面做了初步的探索与应用，并且部分应用已达到了商业化标准，突破了传统主机安全产品的技术瓶颈。

以如下AI技术应用场景为例：

AI查杀引擎：通过机器学习，对海量样本提取特征，让AI引擎持续跟进病毒的演进，达到能对未知木马、病毒做精准识别。

AI应用控制（白名单）：通过AI识别用户常用正常软件，持续自学习，实现自适应的应用控制。

AI日志分析：通过收集海量云负载日志，运用机器学习技术识别日志中的“异常”行为，灵活的对各种安全数据源进行关联分析，最终达到安全事件及时预警能力。

面对不断变化的恶意攻击行为，腾讯云主机安全团队正在不断探索新的技术，并将先进的安全技术运用到产品中，努力为我们的用户提供云负载安全最佳实践方案。