终端安全解决方案

风险分析

• 人工运维加剧威胁防御成本

    传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。

    另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。

• 基于特征匹配杀毒无法有效抵御新型病毒

    已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。

• 终端间缺少基本的访问控制体系

    从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。

• 未构成整体安全防护体系

    传统安全防护工作的建立，必然与各安全设备形成密不可分的关系，但术业有专攻，目前各安全设备只可达到职责范围内的对应防护效果，即各系统只可对其涉及的对象进行安全管理，查看相应信息、检测对应流量、收集安全日志，各系统的功能及信息均呈现分散特点，未有效整合安全防御能力，并形成整体化的安全防护体系。

• 安全防护能力不可延伸至端点

    已建设的防护墙、IPS、防病毒网关等系统，在安全防护能力方面，更多偏重于网络层面，无法延伸至端点。然而就终端而言，其有效使用与用户日常工作密不可分，终端作为安全防护工作的最后一公里，重要程度不言而喻，新型勒索病毒等威胁一旦出现，将不可控的感染至终端，而此时维护工作量大、恢复难度高、感染覆盖面广等等问题均全面暴露，给用户造成不可预估的损失。

方案设计

1)系统总体架构

    系统主要由基础平台、核心引擎、系统功能三部分组成：

    基础平台：

        由主机代理、恶意文件查杀引擎、WEB控制台三部分组成，该平台提供系统良好运行的基础支撑，提供终端安全防护功能的基本运行环境，负责功能指令以及消息的接收、发送、执行；

    核心引擎：

        由人工智能引擎、云端威胁情报、第三方引擎所组成，用以实现病毒有效检测以及快速响应功能。

    系统功能：

        系统功能展现则由预防、防御、检测、响应四部分组成，通过上述四部分功能对终端赋予加固措施，有效抵御病毒木马等威胁，实现安全有效的终端防护效果。

    系统总体架构如下图所示：

2)系统设计理念

    系统设计采用gartner自适应闭环架构四阶段模型，四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段

    预防阶段

        通过【系统漏洞检测】来进行【主动风险分析】，明确系统层面的漏洞风险是否为可接受风险

        通过【人工智能引擎】，具有强泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，【预测变种攻击】

        通过【安全基线核查】明确等保合规或者【安全基线】是否达到预期

    防护阶段

        通过【微隔离】【强化和隔离系统】，细粒度管控终端间访问关系并做到可视化展现

        通过【勒索诱饵陷阱】，当勒索病毒加密诱饵文件可通过进程回溯病毒文件进行查杀，达到【转移攻击】的目的

        通过【一键隔离】阻止感染终端持续向外扩散，阻止【事件升级】

    检测阶段

        通过【文件实时监控】与【主动扫描】持续【检测威胁事件】

        通过【终端围剿式查杀】和【终端间访问控制】做到一台感染，全网感知，【抑制事件】进一步爆发

        通过【威胁等级分类】【确认风险优先级】，进一步明确内网安全情况，并按优先级进行处理

    响应阶段

        通过【文件修复】对受感染文件进行【修复】，当无法修复或修复失败时再进行隔离

        通过【云网端协同联动】对【全网网络安全架构进行设计】，并通过不断完善云网端体系和版本升级进行持续迭代

        通过EDR针对攻击事件进行【溯源分析】进行【调查与取证】，对攻击链条进行重新审视，并针对审视结果

方案优势

• 终端安全的合规检查

    每一个组织都有自己的终端安全合规要求，特别是等级保护的合规要求，对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。

• 勒索病毒的实时防御

    勒索病毒通过加密文件的方式，要求中招者支持一定数额的赎金。这种攻击方式越来越流行，每天都有客户反馈中招。深信服 EDR 能够非常精准的识别不同的勒索软件家族，并通过专业分析识别出种种勒索病毒感染行为和加密特征，对最新的勒索软件进行有效的查杀，防止用户感染最新的勒索软件。

• 入侵攻击的主动检测

    终端主机被入侵攻击，导致感染勒索病毒或者挖矿病毒，其中大部分攻击是通过暴力破解的弱口令攻击产生的。深信服的 EDR 主动检测暴力破解行为，并对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为，则主动检测 Web 后门的文件。针对僵尸网络的攻击，则根据僵尸网络的活跃行为，快速定位僵尸网络文件，并进行一键查杀。

• 热点事件的快速响应

    安全云脑通过全球的大数据安全分析，提供热点事件的 IOC 情报，推送情报数据给 EDR 产品。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析，及时发现和响应最新的热点事件，并且根据历史行为数据进行溯源分析，避免组织受到安全事件的通报。

• 访问关系的策略控制

    当前各种感染性病毒大部分都是通过网络进行传播，从而导致大范围内的终端中招，影响范围较广。深信服EDR的微隔离支持网络访问关系策略的配置，可以实现业务域之间或者终端之间的网络隔离，从源头上杜绝病毒的传播，减少用户的损失，进一步保证终端的安全。