上海致博信息科技有限公司-解决方案

终端安全解决方案

来源于:致博科技日期:2022-05-24

1、需求分析
1.1、防病毒
　　信息化飞速发展，组织内部人员的正常办公，与计算机终端密不可分，它为使用者带来便利同时，亦产生了层出不穷的安全威胁。这其中就以计算机病毒最为致命，它具有破坏性强、传播途径多样等特点，一旦感染将会造成巨大损失。针对于此，现有信息系统中通过部署防病毒产品，用以防御已知威胁，这在一定程度上确实能够提升终端安全防护水平，但就目前信息化技术发展来说，如勒索病毒大范围感染传播事件，攻击者的免杀技术不断升级，传统防病毒产品已无法及时有效的应对新的高级威胁。
1.2、终端间访问控制
　　一直以来，企业广泛的采用纵深防御技术（defensin depth）和最小权限逻辑（least privilege）来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。
1.3、设备联动
　　网络的建设伊始及后续应用，就与外部网络存在密不可分的连通性，资料查阅、信息交流、数据共享等行为普遍存在，这使得办公人员大大增加了工作便捷性。然而，网络化办公增加工作效率同时，由此产生的外部威胁、非法操作行为即随之而来，正因如此，在现有信息系统中通过部署下一代防火墙、行为管控、安全感知平台等设备，以便达到抵御外部攻击威胁、规范化组织用户上网行为、感知网络威胁等效果，这些技术措施的良好运用，有效增强了信息系统安全性。然而安全体系的建设应呈现一体化形态，各安全设备分散应用、各自为战，无法有效实现安全防护工作的进一步增值，病毒威胁一旦感染至终端，前期所做一切工作将形同虚设。

2、方案概述
总体架构

EDR适配全类型资产，适配复杂环境

　　综上，结合现状以及方案建设思路，本次项目设计采用EDR系统进行建设，系统主要由基础平台、核心引擎、系统功能三部分组成：
　　• 基础平台：
　　由主机代理、恶意文件查杀引擎、WEB控制台三部分组成，该平台提供EDR系统良好运行的基础支撑，提供终端安全防护功能的基本运行环境，负责功能指令以及消息的接收、发送、执行；
　　• 核心引擎：
　　由人工智能SAVE引擎、云端威胁情报、第三方引擎所组成，用以实现病毒有效检测以及快速响应功能。
　　• 系统功能：
　　系统功能展现则由预防、防御、检测、响应四部分组成，通过上述四部分功能对终端赋予加固措施，有效抵御病毒木马等威胁，实现安全有效的终端防护效果。

　　系统总体架构如下图所示：

总体架构

3、技术优势
3.1、终端资产的全面管理
　　全网终端资产的全面盘点，包含业务服务器的终端和用户 PC 的终端。盘点每台终端设备的名称、IP 地址、MAC 地址、所属组织、责任人、资产编号、资产位置等。每一台的终端上的资产信息清晰，每一个安全事件责任到人，使得安全管理能落实到位。
3.2、终端安全的合规检查
　　每一个组织都有自己的终端安全合规要求，特别是等级保护的合规要求，对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。
3.3、勒索病毒的实时防御
　　勒索病毒通过加密文件的方式，要求中招者支持一定数额的赎金。这种攻击方式越来越流行，每天都有客户反馈中招。EDR 能够非常精准的识别不同的勒索软件家族，并通过专业分析识别出种种勒索病毒感染行为和加密特征，对最新的勒索软件进行有效的查杀，防止用户感染最新的勒索软件。
3.4、入侵攻击的主动检测
　　终端主机被入侵攻击，导致感染勒索病毒或者挖矿病毒，其中大部分攻击是通过暴力破解的弱口令攻击产生的。的 EDR 主动检测暴力破解行为，并对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为，则主动检测 Web 后门的文件。针对僵尸网络的攻击，则根据僵尸网络的活跃行为，快速定位僵尸网络文件，并进行一键查杀。
3.5、热点事件的快速响应
　　安全云脑通过全球的大数据安全分析，提供热点事件的 IOC 情报，推送情报数据给 EDR 产品。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析，及时发现和响应最新的热点事件，并且根据历史行为数据进行溯源分析，避免组织受到安全事件的通报。
3.6、访问关系的策略控制
　　当前各种感染性病毒大部分都是通过网络进行传播，从而导致大范围内的终端中招，影响范围较广。EDR的微隔离支持网络访问关系策略的配置，可以实现业务域之间或者终端之间的网络隔离，从源头上杜绝病毒的传播，减少用户的损失，进一步保证终端的安全。

上一篇：边界安全解决方案下一篇：身份与访问安全解决方案