陈越分享：字节跳动主机安全建设实践与关键技术

"字节跳动主机安全建设分享由陈越大佬进行深入探讨，主要围绕ElkeidProject这一平台展开。分享内容分为四个部分：Elkeid端上能力建设、Elkeid策略能力建设、Elkeid溯源能力建设以及对主机安全建设的进一步思考。 首先，Elkeid的端上能力建设强调了OneAgent的强大功能，这是一个能够进行百万级验证的内核级主机入侵检测系统(HIDS)，具备天然的对抗Rootkit和ProcessInject等高级威胁的能力。OneAgent通过采集数据，包括进程、文件操作、网络连接等信息，全面捕捉主机活动。 接着，策略能力建设着重于如何实现精准的威胁识别。通过制定细致的规则，如日常行为与异常行为的对比（例如，携带刀具的行为），以及使用Kill-Chain模型来分析威胁链，确保策略的有效性和针对性。 Elkeid的溯源能力则涉及到对威胁的深度追踪，不仅关注主机上的进程、文件、网络活动，还结合外部数据源如威胁情报、业务层数据以及与其他系统的联动，例如沙箱和蜜罐，进行综合分析，提供了具体的案例展示。 安全的本质被定义为在预设环境中执行预期的逻辑，并通过基线检测和入侵检测确保系统的正常运行。与传统的MAC（强制访问控制）相比，Elkeid方案具有更好的性能，它将业务权限直接映射到系统层面，降低了根权限依赖，使得在老旧物理机和云原生环境中也能有效应用。 分享的最后部分是感谢与联系方式，提供了个人微信和飞书交流群供参与者交流和获取更多支持。整体来看，这次分享旨在分享字节跳动在主机安全领域的实践和创新，提供了一套既全面又高效的安全解决方案。"