信息安全-终端检测响应平台EDR解决方案

第一章概述二十一世纪以计算机和网络通信为代表的信息化技术迅速发展，现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖，信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统，而针对其所承载的服务和数据的安全保护就显得尤为重要，如数据的安全性、完整性，终端计算机的可靠性、可用性等方面出现缺陷，将会给组织机构带来不可计量的损失。而如今，全球化的互联网使得组织机构不仅依赖信息系统，还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁，对信息系统及系统终端的保护需求则更为突出。面对日益严峻的安全风险，大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系，并在一定程度上抵御来自外部的攻击，然而内部信息系统是不断变化发展的，系统环境在任何时刻都会呈现开放、共享等特点，不应以孤岛形式存在，外部威胁只是安全风险的一部分，作为办公环境的重要组成，开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此，终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。XX终端计算机具有点数多、覆盖面大、难管理等特点，加之XX信息安全人员人手有限，终端分布环境复杂，威胁风险事件较多，使信息安全人员对终端安全工作处于被动状态。在终端安全方面，一旦出现病毒感染、恶意破坏传播、数据丢失等事件，将会给XX造成严重损失，后果不堪设想。现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐，已严重影响到计算机信息系统安全性。正因如此，全方位做好XX信息系统的终端安全防护工作，在XX建设一套终端安全检测与响应系统，以确保XX的日常办公安全、稳定、高效运行。第二章应用场景与风险分析2.1防病毒应用概况信息化飞速发展，组织内部人员的正常办公，与计算机终端密不可分，它为使用者带来便利同时，亦产生了层出不穷的安全威胁。这其中就以计算机病毒最为致命，它具有破坏性强、传播途径多样等特点，一旦感染将会给XX造成巨大损失。针对于此，XX在现有信息系统中通过部署**防病毒产品，用以防御已知威胁，这在一定程度上确实能够提升终端安全防护水平，但就目前信息化技术发展来说，如勒索病毒大范围感染传播事件，攻击者的免杀技术不断升级，传统防病毒产品已无法及时有效的应对新的高级威胁。2.1.1现状及风险分析2.1.1.1人工运维加剧威胁防御成本传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。2.1.1.2基于特征匹配杀毒无法有效抵御新型病毒已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。2.1.1.3病毒特征库数量增长加重主机运算资源伴随着已知病毒样本的不断增加，本地病毒特征库数量日益增多，现已严重加剧终端存储、运算资源成本，查杀病毒过程会出现卡顿、假死等现象，严重影响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代，现有防病毒产品已无法适配如云化等新的特定场景。2.1.1.4杀毒处置方式落后无法适应病毒新的传播方式与环境如信息系统内某台终端发现病毒，防病毒产品将采取基于文件隔离的方式进行处置，此种方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。2.2终端间访问控制应用概况一直以来，企业广泛的采用纵深防御技术（defensindepth）和最小权限逻辑（leastprivilege）来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。2.2.1现状及风险分析2.2.1.1终端间缺少基本的访问控制体系从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的LockheedMartinCyberKillChain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。2.2.1.2终端间访问关系无法有效可视对终端间访问关系的梳理必不可少，若通过路由表单等静态报表很难看到每个业务域内部各个终端的访问关系展示以及访问记录，也无法通过可视化的方式看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行2.3设备联动应用现状XX网络的建设伊始及后续应用，就与外部网络存在密不可分的连通性，资料查阅、信息交流、数据共享等行为普遍存在，这使得XX办公人员大大增加了工作便捷性。然而，网络化办公增加工作效率同时，由此产生的外部威胁、非法操作行为即随之而来，正因如此，XX在现有信息系统中通过部署深信服下一代防火墙AF、行为管控AC、安全感知平台SIP等设备，以便达到抵御外部攻击威胁、规范化组织用户上网行为、感知网络威胁等效果，这些技术措施的良好运用，有效增强了信息系统安全性。然而安全体系的建设应呈现一体化形态，各安全设备分散应用、各自为战，无法有效实现安全防护工作的进一步增值，病毒威胁一旦感染至终端，前期所做一切工作将形同虚设。2.3.1现状及风险分析2.3.1.1未构成整体安全防护体系传统安全防护工作的建立，必然与各安全设备形成密不可分的关系，但术业有专攻，目前各安全设备只可达到职责范围内的对应防护效果，即各系统只可对其涉及的对象进行安全管理，查看相应信息、检测对应流量、收集安全日志，各系统的功能及信息均呈现分散特点，未有效整合安全防御能力，并形成整体化的安全防护体系。2.3.1.2缺乏设备间有效联动机制安全威胁的产生不会因为防御技术的升级而终止，面对层出不穷的威胁，诸多安全设备各司其职、各自为战，安全设备间未形成有效的联动机制，威胁一旦在某点爆发将快速影响到面，然而现阶段，有效应对及响应手段只可依靠人工。2.3.1.3安全防护能力不可延伸至端点前期已建设的深信服AC、AF、SIP等系统，在安全防护能力方面，更多偏重于网络层面，无法延伸至端点。然而就终端而言，其有效使用与XX用户日常工作密不可分，终端作为安全防护工作的最后一公里，重要程度不言而喻，新型勒索病毒等威胁一旦出现，将不可控的感染至终端，而此时维护工作量大、恢复难度高、感染覆盖面广等等问题均全面暴露，给XX造成不可预估的损失。第三章建设思路综上所述，XX已在信息系统内部建立防病毒、防火墙、上网行为管理、安全感知的系统，但以新型威胁、终端安全等角度为出发点，仍存在诸多不足。本方案将设计通过深信服终端检测与响应系统（以下简称“EDR”）进行XX终端安全防护项目建设，EDR是深信服公司提供的一套综合性终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。EDR以具有自主知识产权的创新型SAVE人工智能引擎为核心，通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力，应对高级威胁同时实施联动协同、威胁情报共享、智能响应机制，可以实现威胁快速检测、有效处置终端一系列安全问题，构建全新智能化的下一代终端安全系统，为XX提供行之有效的整体安全防御体系。图3-1项目建设思路3.1构建多维度威胁防御体系通过EDR的全面部署应用，提供全网终端病毒、木马、入侵攻击等威胁防御能力，通过EDR人工智能SAVE引擎、全网信誉库、云查引擎、行为分析等技术，全面应对威胁，有效防御新型未知病毒的感染与传播，解决现有信息系统安全问题，构建百分百多维度威胁防御体系。3.2建设多平台立体防御壁垒通过EDR的全面部署应用，提供多安全平台联动机制，EDR可与深信服AC、AF、SIP进行联动，实现威胁情报的共享与接收效果。EDR在收到其他设备发送的威胁情报时，可第一时间进行隔离处置，有效缩短威胁响应时间，智能化的处置方式，大大减少管理人员维护工作量、提升安全防护水平，并全面形成多平台立体防御壁垒。3.3设计原则对于XX网络终端安全防护工作，应当以威胁风险为核心，以重点保护为原则，从使用的角度出发，重点保护信息系统计算机，在项目建设中应当遵循以下的原则。3.3.1适度安全原则任何信息系统都不能做到绝对的安全，在进行终端安全防护建设中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是项目建设的初衷，因此在进行项目建设的过程中，一方面要严格遵循基本要求，另外也要综合成本的角度，针对XX终端的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。3.3.2技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此组织机构后续还应制定有效的管理制度，使技术与管理相结合，更有效的保障系统的整体安全性。3.3.3合规性原则终端安全防护应当考虑与国家相关标准的符合性，在本次项目建设中，采用的EDR必须满足国家法律法规的标准要求。3.3.4成熟性原则采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的；3.3.5综合治理原则在本项目中，内网终端的安全保护不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从多角度综合考虑。3.4建设范围与规模本项目将为XX信息系统构建全网终端安全防护体系，建设EDR系统，保证内部终端安全、可控、可审计。本次项目建设的范围包含XX全单位、涉及服务器**点、终端**点。第四章方案设计4.1总体架构综上，结合现状以及方案建设思路，本次项目设计采用EDR系统进行建设，系统主要由基础平台、核心引擎、系统功能三部分组成：基础平台：由主机代理、恶意文件查杀引擎、WEB控制台三部分组成，该平台提供EDR系统良好运行的基础支撑，提供终端安全防护功能的基本运行环境，负责功能指令以及消息的接收、发送、执行；核心引擎：由人工智能SAVE引擎、云端威胁情报、第三方引擎所组成，用以实现病毒有效检测以及快速响应功能。系统功能：系统功能展现则由预防、防御、检测、响应四部分组成，通过上述四部分功能对终端赋予加固措施，有效抵御病毒木马等威胁，实现安全有效的终端防护效果。系统总体架构如下图所示：图4-1总体架构4.2产品设计理念Gartner自适应闭环架构四阶段模型，四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段，深信服EDR是业界唯一完全满足12个建议项的终端安全厂商4.2.1预防阶段通过【系统漏洞检测】1来进行【主动风险分析】，明确系统层面的漏洞风险是否为可接受风险通过【人工智能引擎SAVE】2，具有强泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，【预测变种攻击】通过【安全基线核查】3明确等保合规或者【安全基线】是否达到预期4.2.2防护阶段通过【微隔离】4【强化和隔离系统】，细粒度管控终端间访问关系并做到可视化展现通过【勒索诱饵陷阱】5，当勒