近日，头豹研究院联合沙利文（Frost & Sullivan）发布了《2022年中国云主机安全市场报告》，报告从产品能力、市场能力、生态能力和服务能力四个维度对中国市场上的主流云主机安全厂商进行评估。根据评估结果，青藤万相在产品能力、市场能力、服务能力三个维度均排名第一，综合竞争力排名第一。

完整版的《2022年中国云主机安全市场报告》可进入青藤云安全官网或者进入“青藤智库”小程序进行下载。

《2022年中国云主机安全市场报告》采用了Frost MESP Model模型，该模型圆环按“Weak”至“Leader”的逻辑对应由低至高的评分，竞争力由“市场能力”、“产品能力”、“生态能力”、以及“服务能力”得出。从下图中红线所处位置，可以看到青藤万相在四个能力领域均处于“Leader”位置，是云主机安全领域当之无愧的领跑者！

不断增强的业务场景适用性

随着企业数字化转型的推进，业务变得更加开放和灵活，安全挑战也日益复杂，利用安全边界保障主机的方式存在瓶颈，企业安全对抗和管理核心逐渐从边界转移至主机系统内。为此，能够及时检测、保护主机工作负载安全的“主机安全平台”成为企业安全架构的重要组成。

面对企业用户的新安全场景需求，青藤不断增强业务场景的适用性，提供更加丰富的工作负载安全闭环管理方案，针对勒索、挖矿、内存马攻击、漏洞定位、弱密码管理、自定义基线等场景提供更具针对性的防护方案。下面是我们总结的有关主机安全的10个典型场景，以及青藤万相的相应解决方案。

场景1：勒索病毒日益猖獗，如何保证主机免受勒索病毒的困扰？

青藤解决方案：青藤防勒索方案通过深入的分析勒索病毒威胁的规律，旨在强调注重严密性、可落地性，遵循“网络控制、风险梳理、入侵检测、威胁溯源”这四条原则，先隔离被攻击主机的网络，分析勒索病毒的横向渗透路径。确定勒索攻击手法和利用的漏洞之后，开启主机上安装的青藤万相Agent，通过微蜜罐的端口访问请求，确定问题机器的范围，并对风险进行加固。与此同时，梳理出病毒的特点，加入规则库，通过特征值匹配的方式检测哪台机器还存在这类风险。最后撰写溯源报告，完整地呈现勒索攻击的战术、技术和路径。

场景2：挖矿会大量损耗计算机资源，如何快速检测并清理挖矿进程？

青藤解决方案：青藤万相的入侵检测功能，通过集成包括小红伞、ClamAV 等国内外多个主流的病毒查杀引擎，并利用青藤自研发的大数据分析、机器学习和模式行为识别等多种检测模型，为用户提供全面和实时的挖矿病毒检测和防护能力。

此外，青藤还能够提供自动化响应级别的沙箱，把任何样本丢到沙箱内部会自动输出一个处置规则，只需将这个处置规则导入系统就可以清理干净挖矿病毒。因此，被挖矿后想做应急响应，只需一个样本就能够自动生成处置规则，全自动化清理处置掉。

场景3：作为最热门的攻击手段之一，内存马攻击如何有效防御？

青藤解决方案：作为网络攻击界的“当红炸子鸡”，内存马攻击在这几年的攻防演练中已然成为攻击者最常用的手段之一。它一般通过向内存中注入攻击程序，隐藏在进程的内存中执行，本地没有文件产生，隐秘性强，难以发现。因此青藤万相采用了主流的Java Agent插桩技术，利用Instrumentation API从内存中dump出class，然后将class反编译为Java文件，进而检测Java源码文件，持续动态监控注入内存中的攻击行为，一旦发现Webshell或恶意代码，立即上报告警。

场景4：对已发生的攻击，如何实现清理入侵残留，如Webshell、木马等？

青藤解决方案：通过青藤万相检查历史入侵检测告警，结合其他功能及样本分析研判还原攻击流程及影响范围，扫描以往文件，清理入侵残留。然后检查入侵检测白名单，排查是否存在风险白名单。最后，重构白名单，降低漏报风险，根据告警分析的结果清理攻击者留下的Webshell、木马后门等入侵残留，防止被攻击者二次利用及持久控制。

场景5：如何解决主机资产不清和家底不明的难点，避免设备混乱的情况？

青藤解决方案：资产清点是青藤万相的基础功能之一，可自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web 应用、Web 框架、Web 站点等10余类安全资产，覆盖通用资产。它对用户来说，具备以下三大核心价值：

（1）全自动化的资产梳理。可从正在运行的机器上反向生成CMDB，实时同步最新资产，减轻安全人员复杂的管理操作。

（2）让保护对象清晰可见。通过超细粒度识别，大到操作系统，中到应用框架，小到代码组件都能精准发现。

（3）安全不再落后于运维。部署青藤万相之后，安全部门手里的资产信息是整个公司最全和准确的。

场景6：对安全资产本身存在的脆弱性，如何实现有效管理？

青藤解决方案：青藤万相的风险发现功能模块在资产细粒度清点的基础上，可通过强大的漏洞库匹配以及持续、全面、透彻的风险监测和分析能力发现潜在风险及安全薄弱点，包括安全补丁检查、漏洞检测、弱密码发现、应用风险发现、系统风险发现、账号风险发现等9个维度，并给出专业具体的修复建议。

场景7：新高危漏洞出现时，如何快速进行应急检测和处理？

青藤解决方案：针对利用0Day漏洞进行的攻击，通过万相的风险发现功能可以快速进行响应，绝大部分漏洞都可通过资产识别直接定位，对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。

当一个漏洞被精准定位后，万相风险发现能够关联分析这个漏洞相关的补丁，不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用，加载SO和进程本身确认是否被其它业务组件调用，来判断补丁修复是否会影响其它业务。因此，在高危漏洞爆发后，万相能快速帮助客户进行补丁识别和关联，并确认打补丁后是否存在风险。

场景8：如何快速、深度地清理弱密码，并从已经泄露的密码中反向定位影响范围？

青藤解决方案：青藤万相基于Agent的方式进行本地的弱密码检测，无需进行远程登录尝试，通过对各种应用进行剖析，直接从文件中去解析哈希，再对哈希做检测，不仅速度快也无死角。而当某台机器真正被攻击，但是安全人员无法确认密码是否已泄露的时候。通过青藤万相，只需将这个密码配到系统里，通过检测哪些机器有同样密码就可以判断哪些机器是有风险的。青藤提供了一系列定位的工具，安全和运维人员可以清晰知道哪些机器密码是需要修改的。

场景9：如何应对等保合规检查，落实企业基线要求？

青藤解决方案：通过青藤万相合规基线功能，能够在半小时之内把数万台机器的基线分析清楚，对于不符合要求的检测项，提供代码级的修复建议。

（1）结合资产清点，自动识别服务器需检查的基线

在资产细粒度清点的基础上，根据所选服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的系统、应用基线。同时支持一键批量创建基线任务，操作简单易用。

（2）一键任务化检测，基线检查结果可视化呈现

合规基线功能设计了灵活可配置的任务式的扫描机制，用户可快捷创建基线扫描任务。根据检测需要，自行选择需要扫描的主机和基线。检查结果以“检查项视图”和“主机视图”两种方式可视化呈现，针对每一条不合规的Checklist提供精确到命令行的修复建议。

（3）不断丰富完善的Checklist知识库

支持1500+的Checklist知识库，安全研究人员持续关注国内外基线标准，不断丰富基线配置检查系统Checklist知识库。同时可根据不同行业相关基线规范，对知识库实现定制管理，匹配各行业安全配置需求。

（4）支持定时检查，支持自定义基线，满足个性化定制

自动适配操作系统环境、只会显示当前环境存在的基线，基线支持等保二级和三级、CIS level 1和level 2 基线，支持操作系统、数据库、中间件分布式扫描，5秒钟左右就能完成检测。

场景10：针对东西向流量，如何识别内网横向渗透和内部蠕虫传播？

青藤解决方案：万相可以根据用户的实际需求，在原有功能的基础上进行扩展，比如青藤蜜罐，它是复用了Agent的能力来形成的微蜜罐。在每个Agent上设置一些端口，这些端口正常情况下不会被自己员工访问。在主机内只需覆盖15%的微蜜罐范围，几乎就能100%发现内网横向渗透所有攻击。因为黑客每做一次内网探测就有15%的概率被发现，彻底解决了传统蜜罐覆盖问题。发现横向移动行为之后，万相还可以通过微隔离功能模块先隔离失陷主机，将风险范围最小化，然后利用微蜜罐定位内网的蠕虫并将其清除干净。

依托深厚技术积淀，全力推动行业稳健发展

作为中国主机安全领域的先行者，青藤多年来始终坚持“技术创新，科技报国”的初心，注重前沿技术的探索与积淀，通过丰富的一线经验积累，逐步构建了“产品+服务”的实战化安全体系，承担多项重大安全任务，为安全行业的健康稳健发展贡献自己的力量。

依托丰富实践，积累前沿技术成果超百余项

在技术创新方面，青藤输出百余项技术创新孵化成果，打造“三位一体”科技创新孵化机制。一方面，联合境外外顶级产业研究组织，开展广泛科研合作；另一方面，成立三大安全实验室，围绕安全攻防实战，加快创新技术成果应用。青藤全面参与行业顶层设计，参与6项国标、20余项行业标准编写工作，获得50余项发明专利、80余项软件著作。同时，青藤在10余家中文核心期刊，发表了30余项安全研究论文，并编写出版多本网安专著，包括全球首部ATT&CK专著《ATT&CK框架实践指南》，以及云原生安全专著《云原生安全技术实

践指南》。

构筑“产品+服务”的实战化安全体系

2022年，青藤聚合产品能力，丰富安全服务体系，面向云安全、数据安全、流量安全、供应链安全等不同场景网络安全关键问题，输出针对性解决方案，包括全栈云安全解决方案、流量侧精准防护解决方案、应用级数据安全解决方案等。通过安全产品与安全服务配合，形成“产品+服务”安全体系。此外，青藤参与100+国家级、省部级、行业级重保活动，凭借实战化安全服务能力，大化保障客户安全零事故。

承担多项部委重大安全任务，推动产业整体发展

青藤与国家计算机网络应急技术处理协调中心、信通院、公安三所、中国电子技术标准化研究院等机构展开广泛合作，承担部委、行业重大安全任务。同时，青藤与三大运营商、腾讯、中国平安、政务云等产业主体开展生态合作，推动产业创新实践发展。在信创安全领域，青藤协同主流国产操作系统厂商开展产品兼容性测试，落地信创安全防护建设。

持续保有并取得权威认可及资质认证

2022年青藤总计获得2项国家级荣誉、30余项省部级荣誉。在应用侧，青藤安全能力受到用户广泛认可，获得百余封客户感谢信。在产品能力方面，青藤获得多项国际及国家级安全能力资质认证，如获取CMMI 3级国际认证、通过网络安全卓越验证示范中心&泰尔实验室双认证，通过云原生安全成熟度评估等。

未来，青藤将在党的二十大精神指引下，继续加大安全技术创新投入，为数字中国、网络强国事业发展做出更多的贡献。

如果您想获取完整版的《2022年中国云主机安全市场报告》或更多其他主机安全报告，可进入青藤云安全官网或进入“青藤智库”小程序进行下载。