HIDS/EDR 的安全方案过时了吗?所有关于Agentless你应该了解的
HIDS/EDR 的安全方案过时了吗?所有关于Agentless你应该了解的
作者:让天下没有难做的安全 | 发布时间:2025年9月2日 11:03
原文链接:微信公众号
一、引言
二、业界Agentless主流实现方案
2.1 对腾讯云、阿里云的 agentless技术架构
2.2 优势和劣势
三、主机安全HIDS的补充关系
一、引言
传统基于Agent的安全防护方案,比如安骑士、青藤云hids、字节 edr,360 天擎在 AI+云环境中长期面临部署复杂、资源消耗大、兼容性差等挑战,单节点费用过百,实施周期以年来计算,还得负担庞大的研发运维团队。
Agentless(无代理)技术作为一种新兴的安全防护范式,通过云原生非侵入式方式,随着 AI 的未来已来,特别契合 AI 降本提效,、成为重要发展方向,国内阿里云安全在大举跟上抢占青藤云混合云的存量用户。
本文将深入分析Agentless快照技术的主流方案、优劣势以及与 AI-SPM 和主机安全HIDS的协同关系,为CISO提供决策科普。
二、业界Agentless主流实现方案
Agentless技术通过不依赖目标系统安装代理程序的方式实现安全监控,分为三类实现方案:
协议扫描架构:通过标准协议(SNMP、WMI、SSH等)远程采集系统信息,比如 Nessus、fscan的方案,兼容异构环境,但依赖网络连通性。
云平台API的CSPM:通过云厂家API直接获取配置状态、元数据和日志信息 ,安多多,还有Wiz、Orca Security、默安尚付都完全依赖云平台原生接口,是CSPM(云安全配置检查)产品形态。
快照分析架构:azure 的Defender for Cloud ,Wiz、安多多利用云平台存储快照功能创建运行时主机的磁盘的快照,在隔离环境中挂载快照进行安全分析,不影响生产环境性能。国内阿里云、安多多是唯二的代表厂家。
不需要安装程序,自然好处颇多,本文只深度解密第三种:基于快照这一新技术场景。
2.1 对腾讯云、阿里云的 agentless技术架构
下面以安多多支持的阿里云、腾讯云平台的流程实现:
在核心技术细节方面,主要是获取主机硬盘、获取硬盘快照、共享快照到安多多、安多多基于快照挂载硬盘,扫描文件级的安全风险,返回到主机安全。
扫描引擎:没有什么特别的,漏洞方面,基于文件版本和文件配置信息检测系统应用漏洞,生成基线报告;
通过恶意文件检测引擎匹配hash 值扫描病毒、木马、勒索、挖矿等恶意软件;
敏感信息扫描服务抽样对接分类分级引擎,识别AK密钥、密码等敏感数据。
性能优化:既然是 agentless 就发挥巨大优势,支持并行处理多个快照、避免业务高峰期创建、结合大模型实现智能风险分析、实时威胁库更新无法下发规则、全region 支持云服务器ECS、云硬盘、文件存储、数据库备份、同 vpc合规处理避免数据外发。
那为什么扫描的是硬盘快照,而不是对主机做一个自定义镜像,做操作系统级别的镜像扫描呢?快照和镜像有什么不同呢?
原因有 2 个,
1 是镜像具备知识产权和使用费用,云厂商不能提供接口共享给其他账户;
2 是镜像一般是系统盘的,不包含数据盘的内容。
2.2 优势和劣势
对于agent 的优势很明显。
部署简便性:无需在目标系统安装任何软件组件,100%云资产覆盖,没有部署环节,1 小时内全网完成扫描;适用于无法安装Agent的特殊环境(如老旧系统、高安全隔离区域)。
降本: 对生产系统性能影响接近于零, 避免Agent带来的CPU、内存、磁盘I/O开销(相比传统 hids 占用 1-3% 的内存,还有引入的 rasp插件注入时会飙升)。特别适合高性能敏感场景,如AI训练集群。
还有 agentless方案本身大量复用了云自身的存储、流量、快照能力,性价比十分高,是中小型企业的首选!
兼容性强:支持跨平台、跨云环境统一管理;兼容虚拟机、容器、Serverless等多种工作负载类型不受操作系统类型限制,(Windows/Linux/Unix)。因为是共享出一份快照出去,永远不会有现网兼容稳定性故障。
本身安全性高:减少攻击面,无Agent程序可被利用(还记得安骑士、360的本地提权漏洞吗?),扫描过程在只读环境中进行,避免对生产数据造成意外修改;支持最小权限原则,仅需云平台只读权限;支持对硬盘加密传输后分析。
聚焦可利用风险:和 CSPM 结合,支持深度攻击路径分析与跨账户风险关联,打通主机、数据库、代码、云配置、安全数据。
客观的说agentless 并不是银弹,wiz 也使用基于 ebpf 的传感器做本地采集。
实时性不足:基于快照的分析存在时间窗口延迟(通常小时级,如果有钱可加快快照采集和分析速度)。无法实时检测进程行为、内存操作等运行时威胁,依赖快照创建频率,难以捕获瞬时安全事件。
检测深度有限:虽然检测 log4j、fastjson、文件木马很强,但是无法获取操作系统内核级深度信息,对加密流量、内存马等高级威胁检测能力不足。
功能覆盖不全:无法实现主动防御功能(如进程阻断、文件隔离),缺乏运行时行为监控能力,依赖云厂家 API 的稳定性。
误报率呢?有人认为比如 fastjson 这样的 fatjar,不如 hids 准确,会有误报率问题。但是对于安全场景可以结合 AI 研判,宁可误报,不要漏报。
三、主机安全HIDS的补充关系
Agentless技术与传统主机入侵检测系统(HIDS)形成互补关系,而不是替代。
在以下场景可以互补
能力维度
Agentless技术
HIDS
互补价值
覆盖范围
全云环境、异构系统
单机深度
广度+深度结合
部署效率
分钟级部署
逐台安装维护
快速覆盖+深度防护
资源消耗
接近零
CPU/内存/磁盘I/O占用
核心系统无影响
实时性
小时级延迟
秒级实时
日常监控+实时响应
检测深度
配置/文件/漏洞
进程/内存/网络行为
静态+动态结合
主动防御
不支持
进程阻断/文件隔离
检测+响应闭环
兼容性
跨平台/跨云
依赖操作系统支持
全环境统一管理
初始环境覆盖:Agentless快速实现全环境资产清点,识别高风险系统部署HIDS进行深度防护。Agentless提供全环境资产清单,HIDS补充主机级详细资产信息。
安全事件响应:Agentless发现配置风险或漏洞,HIDS提供实时行为监控与攻击阻断,关联分析提升检测准确性。
特殊系统保护:无法安装Agent的系统使用Agentless,核心业务系统部署HIDS深度防护,有批量的安全风险,先通过 agentless 快速拉取数据分析。
Agentless快照技术已成为云安全体系的关键组成部分,在多云场景下,优选 agentless 方案,企业应采用分阶段、混合云架构的策略,将其纳入整体安全体系。
安多多持续实现高效、可持续的安全防护,构建更加AI、自动化的云安全防护体系。
安多多-Wiz级多云安全平台,资产真实风险一张图看清,正式开放使用
参考资料:
https://blog.qualys.com/product-tech/2022/11/01/why-is-snapshot-scanning-not-enough
https://patentimages.storage.googleapis.com/20/6e/1a/6612722b99418b/US20200244692A1.pdf https://patents.justia.com/patent/20200244678
https://github.com/tomer-sonenfeld/agentless-security-scan/tree/4-tomer-poc
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/agentless-scanning
欢迎使用安多多,加群交流。