终端安全响应系统
终端安全响应系统(Endpoint Detection and Response,EDR) 是传统终端安全产品在高级威胁检测和响应方面的扩展与补充,它通 过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文 件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心, 利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失, 增强可见性,提高整体安全能力。
设备应具备的核心功能
1)提供对终端行为的全面监控与数据采集,包括终端进程、IP访 问、DNS访问、IM传输、邮件传输、U盘传输、浏览器下载、文件操 作、注册表变更、账户变更等。
2)针对不同阶段的攻击路径,提供深度自动化异常检测能力,包 括对PowerShell、wmic等常被利用系统的进程检测以及常用的渗透工 具检测。
3)高可视化溯源分析展示,对可疑进程行为的攻击链路进行完整 溯源,包括所有的危害动作及影响面。
4)支持威胁情报IOC导入,提供IOC检测告警能力,对利用漏洞攻 击行为提供关联CVE信息,并关联受影响终端情况。
5)支持根据自身业务场景需求自行创建自定义异常行为检测条件 来触发告警。
6)支持威胁追踪和迹象数据搜索,例如对IM文件传输、邮件日 志、DNS访问审计、证书、操作系统信息、终端进程信息、IP访问审 计、U盘记录、驱动信息、安装的软件列表等迹象数据的搜索。
7)管理平台界面可对十万级以上客户端进行统一集中管理,包括 但不限于对所有终端的配置策略、威胁事件管理、执行处置操作等。
产品在实战中的应用
通过对用户终端中的安全数据进行采集和检测,所有终端安全数 据经过压缩、加密后保存于大数据平台,结合云端威胁情报与本地分 析平台中的终端行为数据进行对接,从而发现已经感染高级威胁的终 端,对终端快速定位并进行全面的安全评估,发现终端威胁的根本原 因,触发告警从而自动进行响应,斩断威胁的链条。
在终端部署终端安全响应系统的Agent客户端,对数据进行采集和 响应。在服务器端部署终端安全响应系统控制中心(默认控制中心和 采集平台是一体的);对采集数据进行加密,同时对终端Agent进行采 集策略的制定、告警通知、威胁追踪等。在内网部署大数据分析平 台,实时存储终端的安全数据,对数据与外网威胁情报进行主动检 测,以发现沦陷终端。
服务器安全管理系统
服务器安全管理系统是一种服务器安全产品,通过兼容多种虚拟 化架构和操作系统,帮助企业高效实现混合数据中心架构下的服务器 安全。系统通过服务器端轻量级Agent代理、安全加固服务器系统及应 用WAF探针、RASP探针、内核加固探针,实时、有效地检测与抵御已知 和未知的恶意代码与黑客攻击;通过融合资产管理、微隔离、攻击溯 源、自动化运维、基线检查等功能,高效、安全地运维服务器。
设备应具备的核心功能
1)资产清点:细粒度清点主机、网站、账户、端口、应用等服务 器信息资产,并关联对应的安全风险和漏洞,进行事前防御,缩小攻 击面。
2)基线检查:内置CIS安全检查、等级保护、系统配置核查等多 维度安全基线,并支持自定义设置,进行高效安全自检,及时发现业 务风险和合规风险。
3)安全加固:通过内核探针对服务器进行安全加固,实现禁止非 法提权、禁止恶意代码执行、禁止加载没有数字签名的驱动、文件防 篡改等驱动级安全防护。
4)网络攻击防御:通过Web中间件流量过滤探针,高效检测恶意 网络流量,有效抵御CC攻击、SQL注入、XSS跨站等常规网络攻击;基 于脚本虚拟机(沙箱)的无签名Webshell检测技术,有效检测各种加 密Webshell、变形Webshell等未知安全威胁。
5)运行时应用自我防护:通过RASP技术对应用系统的流量、上下 文、行为进行持续监控,有效检测并防御任意文件读写、命令执行、 文件上传、反序列化、Struts2漏洞、变形Webshell等已知和未知安全 威胁。
6)流可视化与微隔离:流可视化技术能可视化展现业务系统数据 流向,帮助安全运维人员实时、准确把握内网服务器的访问关系(端 口、应用、访问频率)。微隔离技术基于服务器分布式防火墙技术, 可以自定义基于角色、标签的服务器访问控制策略,防止攻击者入侵 内部业务网络后的东西向移动。
7)攻击溯源:基于内核探针和应用探针准确定位攻击者入侵轨 迹,将安全日志聚合,及时发现服务异常登录、应用漏洞、未知 Webshell等多种类型的安全事件,并提供详细的图形化IOC,包含攻击 者IP、攻击目标、操作手段、落地文件等信息,帮助参演单位快速定 位黑客入侵点。
** 产品在实战中的应用**
1)服务器异常行为分析:采用服务行为识别和分析技术,通过关 联主要服务名称(路径)和端口号对服务器的网络外连、命令执行、 文件创建等行为进行监控与学习,并形成行为基线白名单策略。当服 务器存在漏洞并被攻击者利用,产生非白名单范围内的网络外连、命 令执行、文件创建等行为(偏离行为基线)时,系统可进行阻断或告 警。
2)应用动态防护(Runtime application self-protection, RASP):对Web应用的文件读写、命令执行、数据库操作、网络连接等 行为进行监控,当发生异常行为时,通过对Web请求的上下文进行分 析,实现对威胁行为的检测及处置。
服务器安全管理系统为软件形态,采用Agent、管理控制中心结合 的方式,为用户解决私有云、公有云和单机主机环境中可能遇到的服 务器管理问题、安全问题、合规问题。
虚拟化安全管理系统
虚拟化安全管理系统是面向云计算或虚拟化环境的一站式安全产 品。产品支持vSphere、XEN、KVM、Hyper-V等虚拟化环境,OpenStack 等云计算平台,提供Hypervisor防护、云主机系统加固、恶意软件防 护、应用程序管控等功能,并支持异构虚拟化平台统一管理,为参演 单位的云数据中心保驾护航。
设备应具备的心功能
1)恶意软件防护:虚拟化安全管理系统防恶意软件模块可提供恶 意软件防护,通过实时扫描、预设扫描及手动扫描,对恶意软件(包 括勒索软件、病毒、蠕虫、木马后门等)采取清除、删除、拒绝访问 或隔离等处理措施。检测到恶意软件时,可以生成警报日志。
2)虚拟防火墙:虚拟化安全管理系统防火墙模块具有企业级、双 向性和状态型特点,可用于启用正确的服务器运行所必需的端口和协 议上的通信,并阻止其他所有端口和协议,降低对服务器进行未授权 访问的风险。
3)入侵防御:虚拟化安全管理系统入侵防御模块能够对暴力破 解、缓冲溢出、漏洞利用等网络攻击行为进行检测和拦截。同时,依 托全球众测网络和威胁预警平台,紧急情况下可对新发现的漏洞攻击 方式提供小时级响应,无须重新启动系统即可在数分钟内将这些规则 应用到数以千计的服务器上,实现虚拟补丁的功能。
4)安全基线:虚拟化安全管理系统对宿主机及虚拟机通过设定预 置检查基线的方式,对目标系统展开安全检查,找出不符合的项目, 选择和实施安全措施来控制安全风险,并通过对历史数据的分析获得 业务系统安全状态和变化趋势,保障云环境的安全。
5)Webshell检测:虚拟化安全管理系统集成了自研的Webshell扫 描引擎,可对各种Webshell后门文件进行扫描与隔离,有效对主机进行安全加固,抵御来自外来Web漏洞利用的攻击。
产品在实战中的应用
可部署在物理服务器、虚拟化、容器、私有云、公有云,为云工 作负载和物理服务器提供统一的安全防护。管理中心接收安全组件上 传的安全事件和网络流量日志,通过多维度、细粒度的大数据分析, 以可视化的形式展现,从而帮助用户对已知威胁进行溯源,并对未知 威胁进行预警。
终端安全准入系统
终端安全准入系统(Networks Access Control,NAC)主要用于 解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实 名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管 理问题,避免网络资源受到非法终端接入所引起的安全威胁。该系统 提供从接入感知、资产发现、访客管理、身份认证、安全检查、隔离 修复、访问控制到入网追溯的一站式准入控制流程,有效管理用户和 终端的接入行为,保障终端入网的安全可信,使内部网络接入变得安 全、透明、可控,同时满足信息安全等级保护法规要求。
设备应具有的核心功能
1)核心资源访问准入控制:支持多种入网控制策略,防止非法终 端访问核心业务资源。
2)网络边界接入层准入控制:支持标准802.1x认证,根据身份授 权确定终端的网络访问权限,具备从认证授权、入网检查、隔离修 复、访问控制到入网追溯的一站式网络边界准入控制管理能力。
3)入网安全检查:支持多种入网合规检查策略,包括杀毒软件是 否安装、应用软件是否安装、风险端口检查、非法外连检查、进程及 注册表检查、防火墙是否启用、账号安全检查、U盘是否开启自动运 行、远程桌面是否开启、文件共享是否开启等,全面隔离“危险”终 端,并支持安全检查,对不合规的终端进行隔离后,自动修复及引导 修复的管理流程。
4)资产发现:支持网络资产的发现和统计。通过资产扫描,对网 络中设备的类型和数量进行分类统计,能够识别网内接入设备的类 型、品牌、操作系统、网络信息(IP、MAC)、位置信息、开放端口、 运行服务等,以便信息管理人员更加全面地认识资产情况及风险。
5)访客管理:提供访客入网管理流程。访客申请注册账号、通过 管理员授权后,才可访问网络资源。可针对不同访客角色进行资源访 问权限控制、访问有效时间设置等操作。
6)安全域与访问控制管理:基于动态检测技术和安全策略管理, 可针对认证用户和终端进行网络访问控制和安全域划分,满足不同强 度的访问控制要求。
7)认证绑定管理:支持多种条件绑定认证,可将用户和终端、交 换机、VLAN、ACL、端口、认证关联执行程序等进行绑定认证,并可设 置入网有限期和用户在线数量控制等,提高入网安全强度。
8)认证联动管理:认证支持本地用户管理库系统,并可扩展多种 第三方认证源联动认证,例如AD认证、LDAP认证、E-mail认证、HTTP 认证、集成认证等,适应多种网络环境,满足实名制、统一认证管理 要求。
9)日志报表:支持详尽的接入认证和安全检查日志报表,可提供 接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度 信息数据的查询审计。管理员可通过日志数据追溯及分析全网终端的 接入安全状况。
产品在实战中的应用
准入系统可以有效防止近源攻击时攻击人员通过网络直接接入网 络的情况。准入系统在各类型终端设备接入前先要经过设备身份识 别,只有符合相关安全标准的设备才被允许正常进行上行数据传输和 信令交互。准入系统将为每一个接入混合网的终端设备自动学习模 型,建立设备指纹身份,并将身份和配置与行为进行绑定管理。通过 行为感知、指纹识别等技术,当有非法终端仿冒摄像头接入网络时, 准入系统能够迅速发现并通过制定安全策略等手段进行处置,防止 IP、MAC伪造;通过指纹特征信息,防止设备层面的伪造,杜绝非法接 入和仿冒行为。
终端安全准入系统支持集中管理和多级管理来满足不同组织的管 理需求,设备支持集中式和分布式部署来适应多样的接入网络环境。 设备区域部署将实现区域接入网络的资产可见、活动可知、设备可 控。
终端安全管理系统
终端安全管理系统是一体化终端安全解决方案,集防病毒、终端 安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容 不同操作系统和计算平台,帮助企业实现平台一体化、功能一体化、 数据一体化的终端安全立体防护。
设备应具有的核心功能
1)病毒查杀:集成多种病毒检测引擎,可支持对蠕虫病毒、恶意 软件、勒索软件、引导区病毒、木马等恶意文件的有效查杀。针对漏 洞攻击,提供针对指令控制流的检测技术,可从系统底层发现漏洞攻 击代码的执行,且对于0day漏洞也有着显著的防护效果。
2)资产管理:可按需收集终端的软硬件信息,包括硬件信息、操 作系统信息、终端登记信息;支持统一展示,支持企业按需筛选并产 生报表,方便企业进行资产的收集与统计。
3)补丁管理:解决企业多网络环境下的补丁下载与安全更新问 题,提供云端下载和离线下载工具。可针对漏洞进行多维关联,提供 按需修复策略,有效提升企业信息系统的整体漏洞防护等级。
4)安全运维管控:支持对终端应用程序、网络防护、违规外连、 外设使用、桌面加固等多个维度进行安全管控,避免发生安全事件, 并对终端尝试的违规动作给出告警信息。
5)移动存储管控:给予不同的移动存储介质相应的授权适用范围 和读写权限,同时支持设备状态的追踪与管理,实现对移动存储设备 的灵活管控,保证终端与移动存储介质进行数据交换和共享过程中的 信息安全。
6)安全网络准入控制:支持旁路镜像应用准入、802.1x认证、 Portal认证、AD认证、复合认证等多种网络认证技术,适应各种复杂
网络环境下的接入部署,支持大型多分支机构的网络部署。
7)安全审计:通过分组、时间、文档类型等多视角、多维度、多 层次,对终端文件的操作行为、输出行为、打印行为、光盘刻录行 为、邮件收发行为进行完善的审计。
8)报表管理:支持对终端安全日志、漏洞修复日志、病毒日志、 软硬件变更日志、审计日志、资产日志等进行汇总,并进行报表统 计。能够从终端、全网、分组等多维度以及图表、数据等多视图角度 进行统计与展现,帮助企业对日常安全防护、安全运维工作进行分析 与评估。
产品在实战中的应用
终端是一切恶意攻击的“着陆点”,而网络边界是恶意攻击要突 破的第一道防线,作为安全防护体系部署的重要阵地,部署于终端与 网络边界的安全措施应实现数据共享、协同防御及联动处置。
终端安全管理系统应与下一代防火墙(NGFW)、互联网控制网关 (ICG)等产品实现深度的终端数据共享,为边界安全产品提供多维的 访问控制决策支撑,实现端网协同防控。
此外,终端安全管理系统也可基于标准接口,接收并执行由威胁 感知系统、安全运营中心下发的威胁处置指令,实现网络侧及终端侧 的协同处置,大幅提升对攻击事件的响应效率。
在产品部署方面,在网络内部署管理中心,在线安装或者通过离 线安装包安装客户端。管理中心通过互联网连接到云端的升级服务器 进行升级、更新,然后客户端通过管理中心统一进行升级、更新及策 略下发,可以极大节省企业总出口带宽。
客户端会根据管理中心下发的安全策略,进行体检、杀毒和漏洞 修复等安全操作。可以设定终端是从管理中心更新病毒库、补丁库还 是从互联网更新。
终端可连接云端进行云查杀,极大提高对终端病毒的查杀能力。
单纯采用基于攻击特征或者漏洞的防御方式往往防不胜防。需要 基于威胁的视角,了解攻击者可能攻击的目标、使用的攻击工具和方 法,以及所掌握的传输武器的互联网基础设施情况,有针对性地进行 防御、检测、响应和预防,这就需要收集足够多的威胁情报。依靠分 析威胁情报得出的威胁可见性以及对网络风险和威胁的全面理解,可 以快速发现攻击事件,采取迅速、果断的行动应对威胁。威胁情报搜 集及分析已经成为网络安全中不可或缺的一环。
设备应具有的核心功能
1)报警研判:通过集成多方的威胁情报和基础网络数据,使安全 人员可以对报警有比较明确的判断。具体的威胁情报和基础网络数据 包括相关域名、IP历史上是否被发现恶意攻击行为,是否有与域名和 IP相关的已知恶意软件,访问来源是否可疑(如IDC服务器作为终端来 访问Web应用,通过Tor、VPN、代理的访问)等。
2)攻击定性:可以通过多种方式获得与攻击相关的目的、危害、 技战术等方面的信息,例如已知IOC的详细上下文、聚合的主要安全厂 商安全报告及博客、关联网络基础设施所有者其余IT资源的标注上下 文信息等。
3)关联分析:攻击者在进行攻击的时候,可能会在多次攻击中使 用相同的IT资源,因此,通过关联分析把握黑客手中的其他IT资源, 就能够知道黑客进行的其他攻击事件。这种关联分析方式不但有助于 对报警IP、域名的判别以及对攻击上下文的了解,还能更全面地掌握 黑客的攻击目的及历史行为等,甚至溯源到攻击者的社会身份。
4)结合多AV引擎检测、虚拟环境行为分析、威胁情报关联、自动 化文件标签、启发式检测等技术,提供更精准的检测结果、更具体的 威胁类别及更直观的分析结果,可以满足多个场景下对恶意软件的检 测、研判和分析需求。
产品在实战中的应用
威胁情报系统平台基于云端大数据提供SaaS服务的系统,可通过 用户名、密码、验证码登录,对情报进行查询和使用通过对不限于 IP、域名、样本文件的分析结果,能够为安全运营人员基于二次分 析、报警研判、攻击定性、黑客画像及持续跟踪等提供有力支持。
1)APT情报:通过对第三方公开的APT事件和对已有APT团伙的持 续跟踪,监控组织是否被APT攻击影响,并确定内部受控主机,防止重 大损失发生。
2)失陷情报:通过对僵尸网络、蠕虫木马、后门软件、黑客工具 等恶意事件的检测,发现内部被黑客控制的主机,防止个人及组织信 息泄露或成为攻击跳板。
3)文件信誉情报:通过本地查杀、云查杀,结合主动防御、沙箱 技术、非白即黑的先进防御技术,提供可靠的文件信誉判定结果。
4)IP信誉情报:如是否有历史攻击行为(包括是否是僵尸网 络),是否进行了暴力破解,是否进行了DDoS攻击,是否进行了扫描 或者垃圾邮件攻击等,用以过滤出优先级较高(或较低)的攻击事 件,或了解攻击者的背景信息。
5)URL信誉情报:基于URL行业信息、地理位置、在线状态、恶意 网址类别等多维度情报信息,对出站流量进行检测。通过恶意研判和 关联威胁,帮助用户自动化分析来自终端访问互联网业务的URL是否存 在风险,是否被黑产和其他网络攻击团伙使用,及早发现内部可能遭 受攻击的主机,并实时告警,确认是否拦截。
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南