2020 ⻘藤产品⽩⽪书 V 3.4.0 www.qingteng.cn 让安全更有效 ⻘藤 · 安全新⾼度 ⻘藤万相·主机⾃适应安全平台 ADAPTIVE SECURITY PLATFORM 随着云时代的来临，业务变得越来越开放和复杂，固定的防御边界已经不复存在，⽽⿊客的⼿段却越来越多样化。⼤多数 企业在安全保护⽅⾯，还是优先使⽤拦截和防御以及基于策略的防御控制⼿段将危险拦截在外，但⾼级定向攻击总能轻⽽ 易举地绕过传统防⽕墙和基于⿊⽩名单的预防机制，安全威胁已防不胜防。 ⻘藤万相·主机⾃适应安全平台，采⽤ Gartner 在 2014 年提出的⾃适应安全架构，有效解决传统专注 防御⼿段的被动处境，为系统添加强⼤的实时监控和响应能⼒，帮助企业有效预测⻛险，精准感知威胁， 提升响应效率，保障企业安全的最后⼀公⾥。⾃适应安全架构核⼼理念： 1. 持续监控与分析 当前的防护功能难以应对⾼级定向攻击或持续攻击，“应急响应”已不再是正确的思维模式，企业或 组织要持续、动态地监控⾃身安全，并加强快速分析和响应能⼒。 2. 安全能⼒协同联动 ⾃适应安全体系的构架覆盖防御、监控、回溯和预测这四项关键能⼒，并且各项安全能⼒以智能、 集成和联动的⽅式应对各类攻击。 产品体系 FEATURES ⻘藤万相·主机⾃适应安全平台，通过对主机信息和⾏为进⾏持续监控和分析，快速精准地发现安全威胁和⼊侵事件，并 提供灵活⾼效的问题解决能⼒，将⾃适应安全理念真正落地，为⽤户提供下⼀代安全检测和响应能⼒。 ⻘藤产品体系采⽤模块化的组织形式，实现了各功能的智能集成和协同联动。“资产清点”可主动识别系统内部资产情况， 并与⻛险和⼊侵事件⾃动关联，提供灵活⾼效的回溯能⼒；“⻛险发现”可主动、精准发现系统中存在的安全⻛险，提供持 续的⻛险监测和分析能⼒；“⼊侵检测”可实时发现⼊侵事件，提供快速防御和响应能⼒；“合规基线”构建了由国内信息安 全等级保护要求和 CIS（Center for Internet Security）组成的基准要求，帮助⽤户快速进⾏企业内部⻛险⾃测，发现问题 并及时修复，以满⾜监管部⻔要求的安全条件。 同时，运⾏在底层的⻘藤核⼼平台架构，是下⼀代主机安全能⼒引擎。其插件化的构建⽅式，不仅具备灵活的扩展能⼒， 同时能实现各功能模块之间⽆缝联动；其分布式的部署⽅式，能够应对客户⼤量任务下发和⼤型攻击来临的海量数据分析 处理，并始终保持稳固的性能。 www.qingteng.cn 2 ⻘藤 · 安全新⾼度 核⼼平台 资产清点 ⻛险发现 ⼊侵检测 合规基线 病毒查杀 图 1 - ⻘藤万相 ∙主机⾃适应安全平台产品体系 核⼼架构 ⻘藤的核⼼平台架构，主要由 Agent，Server，Web 三部分构成，为产品服务提供基础的、灵活的、稳固的核⼼能⼒⽀持。 核⼼架构 威胁情报 资产清点 ⻛险发现 ⼊侵检测 合规基线 病毒查杀 主机管理 漏洞检查 后⻔诊断 系统基线 ⾃动查杀 Web 管理 弱⼝令检查 异常登录 应⽤基线 多引擎检测 账号/应⽤管理 配置检查 反弹Shell监测 数据库基线 病毒库更新 进程/端⼝清点 ⻛险⽂件检查 Web RCE监控 ⾃定义基线 防御策略配置 ⾏业趋势分析 配置管理数据库 IT运维⾃动化 数据⼆次元分析 态势感知 扩展能⼒ 图 2 - 持续监控和分析的安全联动平台 1. Agent - 主机探针 Agent 只需⼀条命令就能在主机上完成安装，且⾃动适配各种物理机、虚拟机和云环境。运⾏稳定、消耗低，能够持续 收集主机进程、端⼝、账号、应⽤配置等信息，并实时监控进程、⽹络连接等⾏为，还能与 Server 端通信，并执⾏其 下发的任务，主动发现主机问题。 www.qingteng.cn 3 ⻘藤 · 安全新⾼度 Web 集中管理 搜索监控数据 安全分析 信息、配置等 警报处理 Agent 配置等等 监控 收集 数据库 保 存 信 息 更新 Server 处理 数据分析 传输 ⼤数据 安全检测 配置信息 保存监控信息 任务下发 获取配置、任务等 结果保存 数据传输 (RPC&TLS) 扩展接⼝ API 安全能⼒ 安全运维 图 3 - 核⼼架构 2. Server - 安全引擎 Server 作为核⼼平台的信息处理中枢，⽀持横向扩展分布式部署，能够持续分析检测从各个 Agent 上接收到的信息和 ⾏为并进⾏保存，可从各个维度的信息中发现漏洞、弱密码等安全⻛险和 Webshell 写⼊⾏为、异常登录⾏为、异常⽹ 络连接⾏为、异常命令调⽤⾏为等异常⾏为，从⽽实现对⼊侵⾏为实时预警。 3. Web - 控制中⼼ 以 Web 控制台的形式和⽤户交互，清晰展示各项安全检测和分析的结果，并对重⼤威胁进⾏实时告警，帮助⽤户更好 更快地处理问题，提供集中管理的安全⼯具，⽅便⽤户进⾏系统配置和管理、安全响应等相关操作。 Agent 运⾏保障 安全 • 对 Agent 进⾏加壳防护，防⽌被篡改 • 采⽤加密传输与服务端通信，保证数据安全 稳定 • 通过 50000+ 台服务器的运⾏实践，稳定性⾼达 99.998% • 2 分钟内离线⾃动重启机制，保障系统始终处于监测状态 消耗低 • 正常的系统负载情况下，CPU 占⽤率 <1%，内存占⽤ <40M，消耗极低 • 在系统负载过⾼时，Agent 会主动降级运⾏（CPU 占⽤率 <1%），严格限制对系统资源的占 ⽤，确保业务系统正常运⾏ www.qingteng.cn 4 ⻘藤 · 安全新⾼度 01 资产清点 ASSET INVENTORY 越来越多的公司在数字化转型过程中采⽤混合数据中⼼架构，包括本地环境、虚拟环境、云环境等；同时随着业务规模与 ⽣产环境变化，企业配套 IT 设施也在随时发⽣改变；这些⽆疑对企业体系化安全建设提出严峻挑战。对资产“看得全，理 得清，查得到”，已经成为企业在⽇常安全建设中⾸先需要解决的问题。同时在发⽣安全事件时，全⾯且及时的资产数据⽀ 持，也将⼤⼤缩短排查问题的时间周期，减少企业损失。 ⻘藤资产清点（Asset Inventory），致⼒于帮助⽤户从安全⻆度⾃动化构建细粒度资产信息，⽀持 对业务层资产精准识别和动态感知，让保护对象清晰可⻅。使⽤ Agent-Server 架构，提供 10 余类 主机关键资产清点，800 余类业务应⽤⾃动识别，并拥有良好的扩展能⼒。 1. ⾃动化构建资产信息，资产清晰可⻅ 通过安装 Agent，可在 15 秒内，从正在运⾏的环境中，反向⾃动化构建主机业务资产结构，上 报中央管控平台，集中统⼀管理。⻘藤独特的主机发现系统，随时发现⽹络环境内没有纳⼊安 全保护的主机，确保安全覆盖⽆死⻆；此外，对 Web 资产与数据库资产等⾼价值⾼敏感业务资 产，进⾏了针对性资产建模，能够与⻛险发现和⼊侵检测功能配套提供安全保护。 2. 资产变化实时通知，安全不在落后于业务 ⽣产环境下，业务服务器需要随着业务变化随时扩容或减配，业务资产也随之相应变化。传统 安全⽅案⽆法完全匹配业务变化，其对资产实施保护的时间往往滞后甚⾄遗漏，这就给⿊客组 织可乘之机。平台在清点资产后，将保持对资产持续监控，保证监控数据与实际业务数据的⼀ 致， 对⼀些需要特殊关注的敏感资产(如:账号、进程、端⼝、数据库、Web 站点等)发⽣变化， 将提供实时或定时通知，客户安全团队可进⾏针对性处理，实现资产动态保护。 3. 灵活的检索⽅式，快速定位关键 在企业安全检查时，通常需要提供针对性的信息，但⾯对庞⼤分散的主机数据，信息梳理效率 极低。在发⽣安全事件时，通常需要获得多⻆度、跨时间段的数据综合分析，获取这类数据需 要横跨多个机构、多个系统，且数据结构杂乱⽆章，分析难度极⼤。⻘藤资产清点参考⼤量国 外先进产品经验，结合通⽤安全检查规范与安全事件的数据需求，形成细粒度资产清点体系， 利⽤多维度的视图，引导⽤户轻松获得需要的资产信息。同时，借助多⻆度的搜索⼯具，帮助 ⽤户快速定位关键资产信息。 www.qingteng.cn 5 ⻘藤 · 安全新⾼度 资产清点特⾊功能 FEATURES 1. 主机发现 通过设置检查规则，系统⾃动检查已安装探针主机，所在⽹络空间未纳⼊安全管理的主机，⾃动排除普通⽹络设备。 针对不同⽹络状况，提供多种探查⽅法，包括“ARP 缓存分析”、“Ping 扫描”、“Nmap 扫描”、“连接记录分析”等，客 户可基于实际业务环境，灵活选择对应功能发现主机，减少⽆意义⽹络资源消耗，保证探测与被探测主机正常运转。 图1 - 主机发现 2. 应⽤清点 ⾃动化清点进程、端⼝、账号、中间件、数据库、⼤数据组件、Web 应⽤、Web 框架、Web 站点等⼗余类安全资产， 覆盖通⽤资产。根据每个服务器业务特点，系统针对性识别应⽤，⽬前可识别业务应⽤已覆盖 800 余类，例如Nginx、 Apache、JBoss、Mysql、Memcached、Redis、Hbase等。每个应⽤在⻛险发现与⼊侵检测中，均提供对应安全策略 保护。未来版本中，将允许⾃定义清点对象，可根据业务需要，⾃助清点数据。针对不同清点对象均采⽤单独模块管 理，模块间保持⼀定联动性，确保同时运⾏的清点单元最⼩化，瞬时性能消耗最低。 3. 资产快速检索 对于每类业务资产，系统提供“主机视⻆”和“资产视⻆”两种通⽤维度，聚合展示数据，每个数据表格列均 允许搜索与排序。每个表格额外提供⼤量可选列（不常⽤的数据列被默认隐藏），客户可根据需求灵活显 示的数据，定义⾃⼰的表格显示。在复杂搜索场景下，例如横跨多种资产联合搜索，系统已提供关键资产 （主机、账号、进程等）全系统关联，未来还将提供全局搜索⼯具。 图 2 - 资产快速检索 www.qingteng.cn 6 ⻘藤 · 安全新⾼度 4. 资产⾯板 在获得资产信息后，将结合业务情况，形成“概览视图”与“分级视图”，展示企业整体资产状况。“概览视图”使⽤图形化 的⽅式展示企业的关键资产状况，帮助⽤户直观的了解资产。“分级视图”通过树状结构逐层展示资产信息，并显示关键 资产的数值，引导⽤户找到需要的信息。针对每种特定业务资产，产品提供“分析板”功能，多维度剖析单⼀资产，详细 分析内部情况。此外资产⾯板功能还提供⼀些从安全⻆度出发的特殊资产视⻆，引导客户从安全维度发现⼀些问题。 图 3 - 资产清点概览视图 5. 报表导出与 API ⽀持 所有数据均提供报表导出功能，可任意选择导出的数据列与数据⾏，形成⾃定义报表。所有资产均提供基础 API，可 结合⾃身业务情况，获得清点的数据，进⾏⼆次