信息安全-终端检测响应平台EDR解决方案

第一章概述

二十一世纪以计算机和网络通信为代表的信息化技术迅速发展，现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖，信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统，而针对其所承载的服务和数据的安全保护就显得尤为重要，如数据的安全性、完整性，终端计算机的可靠性、可用性等方面出现缺陷，将会给组织机构带来不可计量的损失。而如今，全球化的互联网使得组织机构不仅依赖信息系统，还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁，对信息系统及系统终端的保护需求则更为突出。

面对日益严峻的安全风险，大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系，并在一定程度上抵御来自外部的攻击，然而内部信息系统是不断变化发展的，系统环境在任何时刻都会呈现开放、共享等特点，不应以孤岛形式存在，外部威胁只是安全风险的一部分，作为办公环境的重要组成，开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此，终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。

XX终端计算机具有点数多、覆盖面大、难管理等特点，加之XX信息安全人员人手有限，终端分布环境复杂，威胁风险事件较多，使信息安全人员对终端安全工作处于被动状态。在终端安全方面，一旦出现病毒感染、恶意破坏传播、数据丢失等事件，将会给XX造成严重损失，后果不堪设想。现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐，已严重影响到计算机信息系统安全性。正因如此，全方位做好XX信息系统的终端安全防护工作，在XX建设一套终端安全检测与响应系统，以确保XX的日常办公安全、稳定、高效运行。

第二章应用场景与风险分析

2.1防病毒应用概况

信息化飞速发展，组织内部人员的正常办公，与计算机终端密不可分，它为使用者带来便利同时，亦产生了层出不穷的安全威胁。这其中就以计算机病毒最

为致命，它具有破坏性强、传播途径多样等特点，一旦感染将会给XX造成巨大损失。针对于此，XX在现有信息系统中通过部署**防病毒产品，用以防御已知威胁，这在一定程度上确实能够提升终端安全防护水平，但就目前信息化技术发展来说，如勒索病毒大范围感染传播事件，攻击者的免杀技术不断升级，传统防病毒产品已无法及时有效的应对新的高级威胁。

2.1.1现状及风险分析

2.1.1.1人工运维加剧威胁防御成本

传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。

另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。

2.1.1.2基于特征匹配杀毒无法有效抵御新型病毒

已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry 勒索病毒。另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。

2.1.1.3病毒特征库数量增长加重主机运算资源

伴随着已知病毒样本的不断增加，本地病毒特征库数量日益增多，现已严重加剧终端存储、运算资源成本，查杀病毒过程会出现卡顿、假死等现象，严重影响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代，现有防病毒产品已无法适配如云化等新的特定场景。

2.1.1.4杀毒处置方式落后无法适应病毒新的传播方式与环境

如信息系统内某台终端发现病毒，防病毒产品将采取基于文件隔离的方式进

行处置，此种方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。

2.2终端间访问控制应用概况

一直以来，企业广泛的采用纵深防御技术（defensin depth）和最小权限逻辑（least privilege）来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。

2.2.1现状及风险分析

2.2.1.1终端间缺少基本的访问控制体系

从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。

2.2.1.2终端间访问关系无法有效可视

对终端间访问关系的梳理必不可少，若通过路由表单等静态报表很难看到每个业务域内部各个终端的访问关系展示以及访问记录，也无法通过可视化的方式看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行

2.3设备联动应用现状

XX网络的建设伊始及后续应用，就与外部网络存在密不可分的连通性，资料查阅、信息交流、数据共享等行为普遍存在，这使得XX办公人员大大增加了工作便捷性。然而，网络化办公增加工作效率同时，由此产生的外部威胁、非法操

作行为即随之而来，正因如此，XX在现有信息系统中通过部署深信服下一代防火墙AF、行为管控AC、安全感知平台SIP等设备，以便达到抵御外部攻击威胁、规范化组织用户上网行为、感知网络威胁等效果，这些技术措施的良好运用，有效增强了信息系统安全性。然而安全体系的建设应呈现一体化形态，各安全设备分散应用、各自为战，无法有效实现安全防护工作的进一步增值，病毒威胁一旦感染至终端，前期所做一切工作将形同虚设。

2.3.1现状及风险分析

2.3.1.1未构成整体安全防护体系

传统安全防护工作的建立，必然与各安全设备形成密不可分的关系，但术业有专攻，目前各安全设备只可达到职责范围内的对应防护效果，即各系统只可对其涉及的对象进行安全管理，查看相应信息、检测对应流量、收集安全日志，各系统的功能及信息均呈现分散特点，未有效整合安全防御能力，并形成整体化的安全防护体系。

2.3.1.2缺乏设备间有效联动机制

安全威胁的产生不会因为防御技术的升级而终止，面对层出不穷的威胁，诸多安全设备各司其职、各自为战，安全设备间未形成有效的联动机制，威胁一旦在某点爆发将快速影响到面，然而现阶段，有效应对及响应手段只可依靠人工。

2.3.1.3安全防护能力不可延伸至端点

前期已建设的深信服AC、AF、SIP等系统，在安全防护能力方面，更多偏重于网络层面，无法延伸至端点。然而就终端而言，其有效使用与XX用户日常工作密不可分，终端作为安全防护工作的最后一公里，重要程度不言而喻，新型勒索病毒等威胁一旦出现，将不可控的感染至终端，而此时维护工作量大、恢复难度高、感染覆盖面广等等问题均全面暴露，给XX造成不可预估的损失。