网络安全-终端防护设备

终端防护设备

终端安全响应系统

终端安全响应系统（Endpoint Detection and Response，EDR）是传统终端安全产品在高级威胁检测和响应方面的扩展与补充，它通过威胁情报、攻防对抗、机器学习等方式，从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险，并以行为引擎为核心，利用威胁情报，缩短威胁从发现到处置的时间，有效降低业务损失，增强可见性，提高整体安全能力。

设备应具备的核心功能

1）提供对终端行为的全面监控与数据采集，包括终端进程、IP访问、DNS访问、IM传输、邮件传输、U盘传输、浏览器下载、文件操作、注册表变更、账户变更等。

2）针对不同阶段的攻击路径，提供深度自动化异常检测能力，包括对PowerShell、wmic等常被利用系统的进程检测以及常用的渗透工具检测。

3）高可视化溯源分析展示，对可疑进程行为的攻击链路进行完整溯源，包括所有的危害动作及影响面。

4）支持威胁情报IOC导入，提供IOC检测告警能力，对利用漏洞攻击行为提供关联CVE信息，并关联受影响终端情况。

5）支持根据自身业务场景需求自行创建自定义异常行为检测条件来触发告警。

6）支持威胁追踪和迹象数据搜索，例如对IM文件传输、邮件日志、DNS访问审计、证书、操作系统信息、终端进程信息、IP访问审计、U盘记录、驱动信息、安装的软件列表等迹象数据的搜索。

7）管理平台界面可对十万级以上客户端进行统一集中管理，包括但不限于对所有终端的配置策略、威胁事件管理、执行处置操作等。

产品在实战中的应用

通过对用户终端中的安全数据进行采集和检测，所有终端安全数据经过压缩、加密后保存于大数据平台，结合云端威胁情报与本地分析平台中的终端行为数据进行对接，从而发现已经感染高级威胁的终端，对终端快速定位并进行全面的安全评估，发现终端威胁的根本原因，触发告警从而自动进行响应，斩断威胁的链条。

在终端部署终端安全响应系统的Agent客户端，对数据进行采集和响应。在服务器端部署终端安全响应系统控制中心（默认控制中心和采集平台是一体的）；对采集数据进行加密，同时对终端Agent进行采集策略的制定、告警通知、威胁追踪等。在内网部署大数据分析平台，实时存储终端的安全数据，对数据与外网威胁情报进行主动检测，以发现沦陷终端。

服务器安全管理系统

服务器安全管理系统是一种服务器安全产品，通过兼容多种虚拟化架构和操作系统，帮助企业高效实现混合数据中心架构下的服务器安全。系统通过服务器端轻量级Agent代理、安全加固服务器系统及应用WAF探针、RASP探针、内核加固探针，实时、有效地检测与抵御已知和未知的恶意代码与黑客攻击；通过融合资产管理、微隔离、攻击溯源、自动化运维、基线检查等功能，高效、安全地运维服务器。

设备应具备的核心功能

1）资产清点：细粒度清点主机、网站、账户、端口、应用等服务器信息资产，并关联对应的安全风险和漏洞，进行事前防御，缩小攻击面。

2）基线检查：内置CIS安全检查、等级保护、系统配置核查等多维度安全基线，并支持自定义设置，进行高效安全自检，及时发现业务风险和合规风险。

3）安全加固：通过内核探针对服务器进行安全加固，实现禁止非法提权、禁止恶意代码执行、禁止加载没有数字签名的驱动、文件防篡改等驱动级安全防护。

4）网络攻击防御：通过Web中间件流量过滤探针，高效检测恶意网络流量，有效抵御CC攻击、SQL注入、XSS跨站等常规网络攻击；基于脚本虚拟机（沙箱）的无签名Webshell检测技术，有效检测各种加密Webshell、变形Webshell等未知安全威胁。

5）运行时应用自我防护：通过RASP技术对应用系统的流量、上下文、行为进行持续监控，有效检测并防御任意文件读写、命令执行、文件上传、反序列化、Struts2漏洞、变形Webshell等已知和未知安全威胁。

6）流可视化与微隔离：流可视化技术能可视化展现业务系统数据流向，帮助安全运维人员实时、准确把握内网服务器的访问关系（端口、应用、访问频率）。微隔离技术基于服务器分布式防火墙技术，可以自定义基于角色、标签的服务器访问控制策略，防止攻击者入侵内部业务网络后的东西向移动。

7）攻击溯源：基于内核探针和应用探针准确定位攻击者入侵轨迹，将安全日志聚合，及时发现服务异常登录、应用漏洞、未知 Webshell等多种类型的安全事件，并提供详细的图形化IOC，包含攻击者IP、攻击目标、操作手段、落地文件等信息，帮助参演单位快速定位黑客入侵点。

** 产品在实战中的应用**

1）服务器异常行为分析：采用服务行为识别和分析技术，通过关联主要服务名称（路径）和端口号对服务器的网络外连、命令执行、文件创建等行为进行监控与学习，并形成行为基线白名单策略。当服务器存在漏洞并被攻击者利用，产生非白名单范围内的网络外连、命令执行、文件创建等行为（偏离行为基线）时，系统可进行阻断或告警。

2）应用动态防护（Runtime application self-protection， RASP）：对Web应用的文件读写、命令执行、数据库操作、网络连接等行为进行监控，当发生异常行为时，通过对Web请求的上下文进行分析，实现对威胁行为的检测及处置。

服务器安全管理系统为软件形态，采用Agent、管理控制中心结合的方式，为用户解决私有云、公有云和单机主机环境中可能遇到的服务器管理问题、安全问题、合规问题。

虚拟化安全管理系统

虚拟化安全管理系统是面向云计算或虚拟化环境的一站式安全产品。产品支持vSphere、XEN、KVM、Hyper-V等虚拟化环境，OpenStack 等云计算平台，提供Hypervisor防护、云主机系统加固、恶意软件防护、应用程序管控等功能，并支持异构虚拟化平台统一管理，为参演单位的云数据中心保驾护航。

设备应具备的心功能

1）恶意软件防护：虚拟化安全管理系统防恶意软件模块可提供恶意软件防护，通过实时扫描、预设扫描及手动扫描，对恶意软件（包括勒索软件、病毒、蠕虫、木马后门等）采取清除、删除、拒绝访问或隔离等处理措施。检测到恶意软件时，可以生成警报日志。

2）虚拟防火墙：虚拟化安全管理系统防火墙模块具有企业级、双向性和状态型特点，可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。

3）入侵防御：虚拟化安全管理系统入侵防御模块能够对暴力破解、缓冲溢出、漏洞利用等网络攻击行为进行检测和拦截。同时，依托全球众测网络和威胁预警平台，紧急情况下可对新发现的漏洞攻击方式提供小时级响应，无须重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上，实现虚拟补丁的功能。

4）安全基线：虚拟化安全管理系统对宿主机及虚拟机通过设定预置检查基线的方式，对目标系统展开安全检查，找出不符合的项目，选择和实施安全措施来控制安全风险，并通过对历史数据的分析获得业务系统安全状态和变化趋势，保障云环境的安全。

5）Webshell检测：虚拟化安全管理系统集成了自研的Webshell扫描引擎，可对各种Webshell后门文件进行扫描与隔离，有效对主机进行安全加固，抵御来自外来Web漏洞利用的攻击。

产品在实战中的应用

可部署在物理服务器、虚拟化、容器、私有云、公有云，为云工作负载和物理服务器提供统一的安全防护。管理中心接收安全组件上传的安全事件和网络流量日志，通过多维度、细粒度的大数据分析，以可视化的形式展现，从而帮助用户对已知威胁进行溯源，并对未知威胁进行预警。

终端安全准入系统

终端安全准入系统（Networks Access Control，NAC）主要用于解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题，避免网络资源受到非法终端接入所引起的安全威胁。该系统提供从接入感知、资产发现、访客管理、身份认证、安全检查、隔离修复、访问控制到入网追溯的一站式准入控制流程，有效管理用户和终端的接入行为，保障终端入网的安全可信，使内部网络接入变得安全、透明、可控，同时满足信息安全等级保护法规要求。

设备应具有的核心功能

1）核心资源访问准入控制：支持多种入网控制策略，防止非法终端访问核心业务资源。

2）网络边界接入层准入控制：支持标准802.1x认证，根据身份授权确定终端的网络访问权限，具备从认证授权、入网检查、隔离修复、访问控制到入网追溯的一站式网络边界准入控制管理能力。

3）入网安全检查：支持多种入网合规检查策略，包括杀毒软件是否安装、应用软件是否安装、风险端口检查、非法外连检查、进程及注册表检查、防火墙是否启用、账号安全检查、U盘是否开启自动运行、远程桌面是否开启、文件共享是否开启等，全面隔离“危险”终端，并支持安全检查，对不合规的终端进行隔离后，自动修复及引导修复的管理流程。

4）资产发现：支持网络资产的发现和统计。通过资产扫描，对网络中设备的类型和数量进行分类统计，能够识别网内接入设备的类型、品牌、操作系统、网络信息（IP、MAC）、位置信息、开放端口、运行服务等，以便信息管理人员更加全面地认识资产情况及风险。

5）访客管理：提供访客入网管理流程。访客申请注册账号、通过管理员授权后，才可访问网络资源。可针对不同访客角色进行资源访问权限控制、访问有效时间设置等操作。

6）安全域与访问控制管理：基于动态检测技术和安全策略管理，可针对认证用户和终端进行网络访问控制和安全域划分，满足不同强度的访问控制要求。

7）认证绑定管理：支持多种条件绑定认证，可将用户和终端、交换机、VLAN、ACL、端口、认证关联执行程序等进行绑定认证，并可设置入网有限期和用户在线数量控制等，提高入网安全强度。

8）认证联动管理：认证支持本地用户管理库系统，并可扩展多种第三方认证源联动认证，例如AD认证、LDAP认证、E-mail认证、HTTP 认证、集成认证等，适应多种网络环境，满足实名制、统一认证管理要求。

9）日志报表：支持详尽的接入认证和安全检查日志报表，可提供接入认证日志和报表、安检日志和报表、安全检查统计分析等多维度信息数据的查询审计。管理员可通过日志数据追溯及分析全网终端的接入安全状况。

产品在实战中的应用

准入系统可以有效防止近源攻击时攻击人员通过网络直接接入网络的情况。准入系统在各类型终端设备接入前先要经过设备身份识别，只有符合相关安全标准的设备才被允许正常进行上行数据传输和信令交互。准入系统将为每一个接入混合网的终端设备自动学习模型，建立设备指纹身份，并将身份和配置与行为进行绑定管理。通过行为感知、指纹识别等技术，当有非法终端仿冒摄像头接入网络时，准入系统能够迅速发现并通过制定安全策略等手段进行处置，防止 IP、MAC伪造；通过指纹特征信息，防止设备层面的伪造，杜绝非法接入和仿冒行为。

终端安全准入系统支持集中管理和多级管理来满足不同组织的管理需求，设备支持集中式和分布式部署来适应多样的接入网络环境。设备区域部署将实现区域接入网络的资产可见、活动可知、设备可控。

终端安全管理系统

终端安全管理系统是一体化终端安全解决方案，集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体，兼容不同操作系统和计算平台，帮助企业实现平台一体化、功能一体化、数据一体化的终端安全立体防护。

设备应具有的核心功能

1）病毒查杀：集成多种病毒检测引擎，可支持对蠕虫病毒、恶意软件、勒索软件、引导区病毒、木马等恶意文件的有效查杀。针对漏洞攻击，提供针对指令控制流的检测技术，可从系统底层发现漏洞攻击代码的执行，且对于0day漏洞也有着显著的防护效果。

2）资产管理：可按需收集终端的软硬件信息，包括硬件信息、操作系统信息、终端登记信息；支持统一展示，支持企业按需筛选并产生报表，方便企业进行资产的收集与统计。

3）补丁管理：解决企业多网络环境下的补丁下载与安全更新问题，提供云端下载和离线下载工具。可针对漏洞进行多维关联，提供按需修复策略，有效提升企业信息系统的整体漏洞防护等级。

4）安全运维管控：支持对终端应用程序、网络防护、违规外连、外设使用、桌面加固等多个维度进行安全管控，避免发生安全事件，并对终端尝试的违规动作给出告警信息。

5）移动存储管控：给予不同的移动存储介质相应的授权适用范围和读写权限，同时支持设备状态的追踪与管理，实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全。

6）安全网络准入控制：支持旁路镜像应用准入、802.1x认证、 Portal认证、AD认证、复合认证等多种网络认证技术，适应各种复杂

网络环境下的接入部署，支持大型多分支机构的网络部署。

7）安全审计：通过分组、时间、文档类型等多视角、多维度、多层次，对终端文件的操作行为、输出行为、打印行为、光盘刻录行为、邮件收发行为进行完善的审计。

8）报表管理：支持对终端安全日志、漏洞修复日志、病毒日志、软硬件变更日志、审计日志、资产日志等进行汇总，并进行报表统计。能够从终端、全网、分组等多维度以及图表、数据等多视图角度进行统计与展现，帮助企业对日常安全防护、安全运维工作进行分析与评估。

产品在实战中的应用

终端是一切恶意攻击的“着陆点”，而网络边界是恶意攻击要突破的第一道防线，作为安全防护体系部署的重要阵地，部署于终端与网络边界的安全措施应实现数据共享、协同防御及联动处置。

终端安全管理系统应与下一代防火墙（NGFW）、互联网控制网关（ICG）等产品实现深度的终端数据共享，为边界安全产品提供多维的访问控制决策支撑，实现端网协同防控。

此外，终端安全管理系统也可基于标准接口，接收并执行由威胁感知系统、安全运营中心下发的威胁处置指令，实现网络侧及终端侧的协同处置，大幅提升对攻击事件的响应效率。

在产品部署方面，在网络内部署管理中心，在线安装或者通过离线安装包安装客户端。管理中心通过互联网连接到云端的升级服务器进行升级、更新，然后客户端通过管理中心统一进行升级、更新及策略下发，可以极大节省企业总出口带宽。

客户端会根据管理中心下发的安全策略，进行体检、杀毒和漏洞修复等安全操作。可以设定终端是从管理中心更新病毒库、补丁库还是从互联网更新。

终端可连接云端进行云查杀，极大提高对终端病毒的查杀能力。

威胁情报系统

单纯采用基于攻击特征或者漏洞的防御方式往往防不胜防。需要基于威胁的视角，了解攻击者可能攻击的目标、使用的攻击工具和方法，以及所掌握的传输武器的互联网基础设施情况，有针对性地进行防御、检测、响应和预防，这就需要收集足够多的威胁情报。依靠分析威胁情报得出的威胁可见性以及对网络风险和威胁的全面理解，可以快速发现攻击事件，采取迅速、果断的行动应对威胁。威胁情报搜集及分析已经成为网络安全中不可或缺的一环。

设备应具有的核心功能

1）报警研判：通过集成多方的威胁情报和基础网络数据，使安全人员可以对报警有比较明确的判断。具体的威胁情报和基础网络数据包括相关域名、IP历史上是否被发现恶意攻击行为，是否有与域名和 IP相关的已知恶意软件，访问来源是否可疑（如IDC服务器作为终端来访问Web应用，通过Tor、VPN、代理的访问）等。

2）攻击定性：可以通过多种方式获得与攻击相关的目的、危害、技战术等方面的信息，例如已知IOC的详细上下文、聚合的主要安全厂商安全报告及博客、关联网络基础设施所有者其余IT资源的标注上下文信息等。

3）关联分析：攻击者在进行攻击的时候，可能会在多次攻击中使用相同的IT资源，因此，通过关联分析把握黑客手中的其他IT资源，就能够知道黑客进行的其他攻击事件。这种关联分析方式不但有助于对报警IP、域名的判别以及对攻击上下文的了解，还能更全面地掌握黑客的攻击目的及历史行为等，甚至溯源到攻击者的社会身份。

4）结合多AV引擎检测、虚拟环境行为分析、威胁情报关联、自动化文件标签、启发式检测等技术，提供更精准的检测结果、更具体的威胁类别及更直观的分析结果，可以满足多个场景下对恶意软件的检测、研判和分析需求。

产品在实战中的应用

威胁情报系统平台基于云端大数据提供SaaS服务的系统，可通过用户名、密码、验证码登录，对情报进行查询和使用通过对不限于 IP、域名、样本文件的分析结果，能够为安全运营人员基于二次分析、报警研判、攻击定性、黑客画像及持续跟踪等提供有力支持。

1）APT情报：通过对第三方公开的APT事件和对已有APT团伙的持续跟踪，监控组织是否被APT攻击影响，并确定内部受控主机，防止重大损失发生。

2）失陷情报：通过对僵尸网络、蠕虫木马、后门软件、黑客工具等恶意事件的检测，发现内部被黑客控制的主机，防止个人及组织信息泄露或成为攻击跳板。

3）文件信誉情报：通过本地查杀、云查杀，结合主动防御、沙箱技术、非白即黑的先进防御技术，提供可靠的文件信誉判定结果。

4）IP信誉情报：如是否有历史攻击行为（包括是否是僵尸网络），是否进行了暴力破解，是否进行了DDoS攻击，是否进行了扫描或者垃圾邮件攻击等，用以过滤出优先级较高（或较低）的攻击事件，或了解攻击者的背景信息。

5）URL信誉情报：基于URL行业信息、地理位置、在线状态、恶意网址类别等多维度情报信息，对出站流量进行检测。通过恶意研判和关联威胁，帮助用户自动化分析来自终端访问互联网业务的URL是否存在风险，是否被黑产和其他网络攻击团伙使用，及早发现内部可能遭受攻击的主机，并实时告警，确认是否拦截。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南