信息安全-終端檢測(cè)響應(yīng)平臺(tái)EDR解決方案

第一章概述二十一世紀(jì)以計(jì)算機(jī)和網(wǎng)絡(luò)通信為代表的信息化技術(shù)迅速發(fā)展，現(xiàn)代政府部門(mén)、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)等組織的日常辦公對(duì)信息系統(tǒng)以及計(jì)算機(jī)終端愈發(fā)依賴，信息技術(shù)幾乎滲透到了世界的各行各業(yè)及工作生活的方方面面。組織機(jī)構(gòu)的正常運(yùn)行高度依賴于信息系統(tǒng)，而針對(duì)其所承載的服務(wù)和數(shù)據(jù)的安全保護(hù)就顯得尤為重要，如數(shù)據(jù)的安全性、完整性，終端計(jì)算機(jī)的可靠性、可用性等方面出現(xiàn)缺陷，將會(huì)給組織機(jī)構(gòu)帶來(lái)不可計(jì)量的損失。而如今，全球化的互聯(lián)網(wǎng)使得組織機(jī)構(gòu)不僅依賴信息系統(tǒng)，還不可避免地通過(guò)計(jì)算機(jī)與外部的信息系統(tǒng)建立密切聯(lián)系。面對(duì)來(lái)自外部以及內(nèi)部的威脅，對(duì)信息系統(tǒng)及系統(tǒng)終端的保護(hù)需求則更為突出。面對(duì)日益嚴(yán)峻的安全風(fēng)險(xiǎn)，大部分組織機(jī)構(gòu)通過(guò)以邊界安全網(wǎng)關(guān)類(lèi)設(shè)備為基礎(chǔ)構(gòu)建信息系統(tǒng)安全防護(hù)體系，并在一定程度上抵御來(lái)自外部的攻擊，然而內(nèi)部信息系統(tǒng)是不斷變化發(fā)展的，系統(tǒng)環(huán)境在任何時(shí)刻都會(huì)呈現(xiàn)開(kāi)放、共享等特點(diǎn)，不應(yīng)以孤島形式存在，外部威脅只是安全風(fēng)險(xiǎn)的一部分，作為辦公環(huán)境的重要組成，開(kāi)放的信息系統(tǒng)及辦公計(jì)算機(jī)終端環(huán)境將面臨更為嚴(yán)峻的內(nèi)部威脅挑戰(zhàn)。正因如此，終端的安全性顯得格外重要且又是容易被忽略的安全薄弱環(huán)節(jié)。XX終端計(jì)算機(jī)具有點(diǎn)數(shù)多、覆蓋面大、難管理等特點(diǎn)，加之XX信息安全人員人手有限，終端分布環(huán)境復(fù)雜，威脅風(fēng)險(xiǎn)事件較多，使信息安全人員對(duì)終端安全工作處于被動(dòng)狀態(tài)。在終端安全方面，一旦出現(xiàn)病毒感染、惡意破壞傳播、數(shù)據(jù)丟失等事件，將會(huì)給XX造成嚴(yán)重?fù)p失，后果不堪設(shè)想。現(xiàn)由于XX各部門(mén)及員工對(duì)計(jì)算機(jī)的合規(guī)使用、對(duì)終端安全以及病毒防范的意識(shí)和能力參差不齊，已嚴(yán)重影響到計(jì)算機(jī)信息系統(tǒng)安全性。正因如此，全方位做好XX信息系統(tǒng)的終端安全防護(hù)工作，在XX建設(shè)一套終端安全檢測(cè)與響應(yīng)系統(tǒng)，以確保乂乂的日常辦公安全、穩(wěn)定、高效運(yùn)行。第二章應(yīng)用場(chǎng)景與風(fēng)險(xiǎn)分析防病毒應(yīng)用概況信息化飛速發(fā)展，組織內(nèi)部人員的正常辦公，與計(jì)算機(jī)終端密不可分，它為使用者帶來(lái)便利同時(shí)，亦產(chǎn)生了層出不窮的安全威脅。這其中就以計(jì)算機(jī)病毒最為致命，它具有破壞性強(qiáng)、傳播途徑多樣等特點(diǎn)，一旦感染將會(huì)給XX造成巨大損失。針對(duì)于此，XX在現(xiàn)有信息系統(tǒng)中通過(guò)部署**防病毒產(chǎn)品，用以防御已知威脅，這在一定程度上確實(shí)能夠提升終端安全防護(hù)水平，但就目前信息化技術(shù)發(fā)展來(lái)說(shuō)，如勒索病毒大范圍感染傳播事件，攻擊者的免殺技術(shù)不斷升級(jí)，傳統(tǒng)防病毒產(chǎn)品已無(wú)法及時(shí)有效的應(yīng)對(duì)新的高級(jí)威脅?，F(xiàn)狀及風(fēng)險(xiǎn)分析人工運(yùn)維加劇威脅防御成本傳統(tǒng)終端安全產(chǎn)品以策略、特征為基礎(chǔ)，輔以組織規(guī)定以及人員操作制度驅(qū)動(dòng)威脅防御，勒索病毒等高級(jí)威脅一旦產(chǎn)生，將會(huì)在內(nèi)部不可控的感染傳播。信息系統(tǒng)的恢復(fù)工作，需要逐臺(tái)逐點(diǎn)完成，大量人工成本呈幾何增長(zhǎng)態(tài)勢(shì)。另外針對(duì)新型病毒而言，需要充分研究其技術(shù)特點(diǎn)，以針對(duì)性的防御措施進(jìn)行加固，這就對(duì)企業(yè)運(yùn)維人員的專(zhuān)業(yè)性要求極高，那么面對(duì)層出不窮的新型威脅，現(xiàn)階段以傳統(tǒng)防病毒產(chǎn)品為基礎(chǔ)進(jìn)行有效應(yīng)對(duì)難度較大?；谔卣髌ヅ錃⒍緹o(wú)法有效抵御新型病毒已有防病毒產(chǎn)品基于病毒特征庫(kù)方式進(jìn)行殺毒，在高級(jí)威脅持續(xù)產(chǎn)生的大環(huán)境下，呈現(xiàn)被動(dòng)、后知后覺(jué)等檢測(cè)特點(diǎn)，無(wú)法及時(shí)有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征庫(kù)數(shù)量受存儲(chǔ)、性能、資源等多方面影響，現(xiàn)有本地特征庫(kù)文件規(guī)模無(wú)法滿足已知病毒的查殺需求。病毒特征庫(kù)數(shù)量增長(zhǎng)加重主機(jī)運(yùn)算資源伴隨著已知病毒樣本的不斷增加，本地病毒特征庫(kù)數(shù)量日益增多，現(xiàn)已嚴(yán)重加劇終端存儲(chǔ)、運(yùn)算資源成本，查殺病毒過(guò)程會(huì)出現(xiàn)卡頓、假死等現(xiàn)象，嚴(yán)重影響用戶日常辦公。而信息系統(tǒng)環(huán)境亦會(huì)伴隨著信息技術(shù)更新而迭代，現(xiàn)有防病毒產(chǎn)品已無(wú)法適配如云化等新的特定場(chǎng)景。殺毒處置方式落后無(wú)法適應(yīng)病毒新的傳播方式與環(huán)境如信息系統(tǒng)內(nèi)某臺(tái)終端發(fā)現(xiàn)病毒，防病毒產(chǎn)品將采取基于文件隔離的方式進(jìn)行處置，此種方式相對(duì)落后，如文件隔離失敗情況產(chǎn)生，單點(diǎn)威脅將快速輻射到面，因此傳統(tǒng)防毒產(chǎn)品已經(jīng)無(wú)法適應(yīng)新的病毒傳播方式及環(huán)境。終端間訪問(wèn)控制應(yīng)用概況一直以來(lái),企業(yè)廣泛的采用縱深防御技術(shù)(defensindepth)和最小權(quán)限邏輯(leastprivilege)來(lái)進(jìn)行企業(yè)網(wǎng)絡(luò)安全管理。而隔離是實(shí)現(xiàn)這兩個(gè)理念的基本方式，例如傳統(tǒng)安全管理中，通過(guò)邊界部署防火墻來(lái)實(shí)現(xiàn)可信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離，內(nèi)部不同安全級(jí)別間劃分安全域，域間通過(guò)防火墻實(shí)現(xiàn)隔離，并通過(guò)設(shè)置安全策略按需賦予訪問(wèn)權(quán)限。現(xiàn)狀及風(fēng)險(xiǎn)分析終端間缺少基本的訪問(wèn)控制體系從近年來(lái)的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉(zhuǎn)變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟(jì)目的為主的高級(jí)可持續(xù)攻擊。無(wú)論從著名的 LockheedMartinCyberKillChain(洛克希德-馬丁公司提出的網(wǎng)絡(luò)攻擊殺傷鏈)，還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點(diǎn)，一旦邊界的防線被攻破或繞過(guò)，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動(dòng)，而中心內(nèi)部基本沒(méi)有安全控制的手段可以阻止攻擊。這也突出了傳統(tǒng)安全的一個(gè)主要弱點(diǎn)，復(fù)雜的安全策略、巨大的資金和技術(shù)都用于了邊界防護(hù)，而同樣的安全級(jí)別并不存在于內(nèi)部。終端間訪問(wèn)關(guān)系無(wú)法有效可視對(duì)終端間訪問(wèn)關(guān)系的梳理必不可少，若通過(guò)路由表單等靜態(tài)報(bào)表很難看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問(wèn)關(guān)系展示以及訪問(wèn)記錄，也無(wú)法通過(guò)可視化的方式看到每個(gè)業(yè)務(wù)域之間的訪問(wèn)關(guān)系展示以及每個(gè)業(yè)務(wù)域的流量狀態(tài)、訪問(wèn)趨勢(shì)、流量排行設(shè)備聯(lián)動(dòng)應(yīng)用現(xiàn)狀XX網(wǎng)絡(luò)的建設(shè)伊始及后續(xù)應(yīng)用，就與外部網(wǎng)絡(luò)存在密不可分的連通性，資料查閱、信息交流、數(shù)據(jù)共享等行為普遍存在，這使得XX辦公人員大大增加了工作便捷性。然而，網(wǎng)絡(luò)化辦公增加工作效率同時(shí)，由此產(chǎn)生的外部威脅、非法操作行為即隨之而來(lái)，正因如此，XX在現(xiàn)有信息系統(tǒng)中通過(guò)部署深信服下一代防火墻AF、行為管控AC、安全感知平臺(tái)SIP等設(shè)備，以便達(dá)到抵御外部攻擊威脅、規(guī)范化組織用戶上網(wǎng)行為、感知網(wǎng)絡(luò)威脅等效果，這些技術(shù)措施的良好運(yùn)用，有效增強(qiáng)了信息系統(tǒng)安全性。然而安全體系的建設(shè)應(yīng)呈現(xiàn)一體化形態(tài)，各安全設(shè)備分散應(yīng)用、各自為戰(zhàn)，無(wú)法有效實(shí)現(xiàn)安全防護(hù)工作的進(jìn)一步增值，病毒威脅一旦感染至終端，前期所做一切工作將形同虛設(shè)?，F(xiàn)狀及風(fēng)險(xiǎn)分析未構(gòu)成整體安全防護(hù)體系傳統(tǒng)安全防護(hù)工作的建立，必然與各安全設(shè)備形成密不可分的關(guān)系，但術(shù)業(yè)有專(zhuān)攻，目前各安全設(shè)備只可達(dá)到職責(zé)范圍內(nèi)的對(duì)應(yīng)防護(hù)效果，即各系統(tǒng)只可對(duì)其涉及的對(duì)象進(jìn)行安全管理，查看相應(yīng)信息、檢測(cè)對(duì)應(yīng)流量、收集安全日志，各系統(tǒng)的功能及信息均呈現(xiàn)分散特點(diǎn)，未有效整合安全防御能力，并形成整體化的安全防護(hù)體系。缺乏設(shè)備間有效聯(lián)動(dòng)機(jī)制安全威脅的產(chǎn)生不會(huì)因?yàn)榉烙夹g(shù)的升級(jí)而終止，面對(duì)層出不窮的威脅，諸多安全設(shè)備各司其職、各自為戰(zhàn)，安全設(shè)備間未形成有效的聯(lián)動(dòng)機(jī)制，威脅一旦在某點(diǎn)爆發(fā)將快速影響到面，然而現(xiàn)階段，有效應(yīng)對(duì)及響應(yīng)手段只可依靠人工。安全防護(hù)能力不可延伸至端點(diǎn)前期已建設(shè)的深信服AC、AF、SIP等系統(tǒng)，在安全防護(hù)能力方面，更多偏重于網(wǎng)絡(luò)層面，無(wú)法延伸至端點(diǎn)。然而就終端而言，其有效使用與XX用戶日常工作密不可分，終端作為安全防護(hù)工作的最后一公里，重要程度不言而喻，新型勒索病毒等威脅一旦出現(xiàn)，將不可控的感染至終端，而此時(shí)維護(hù)工作量大、恢復(fù)難度高、感染覆蓋面廣等等問(wèn)題均全面暴露，給XX造成不可預(yù)估的損失。

第三章建設(shè)思路綜上所述，XX已在信息系統(tǒng)內(nèi)部建立防病毒、防火墻、上網(wǎng)行為管理、安全感知的系統(tǒng)，但以新型威脅、終端安全等角度為出發(fā)點(diǎn)，仍存在諸多不足。本方案將設(shè)計(jì)通過(guò)深信服終端檢測(cè)與響應(yīng)系統(tǒng)（以下簡(jiǎn)稱(chēng)“EDR”）進(jìn)行XX終端安全防護(hù)項(xiàng)目建設(shè)，EDR是深信服公司提供的一套綜合性終端安全解決方案，方案由輕量級(jí)的端點(diǎn)安全軟件和管理平臺(tái)軟件共同組成。EDR以具有自主知識(shí)產(chǎn)權(quán)的創(chuàng)新型SAVE人工智能引擎為核心，通過(guò)預(yù)防、防御、檢測(cè)、響應(yīng)賦予終端更為精準(zhǔn)、持續(xù)的檢測(cè)、快速處置能力，應(yīng)對(duì)高級(jí)威脅同時(shí)實(shí)施聯(lián)動(dòng)協(xié)同、威脅情報(bào)共享、智能響應(yīng)機(jī)制，可以實(shí)現(xiàn)威脅快速檢測(cè)、有效處置終端一系列安全問(wèn)題，構(gòu)建全新智能化的下一代終端安全系統(tǒng)，為XX提供行之有效的整體安全防御體系?；贏IMNPQRWbffMdVingu-irU應(yīng)用創(chuàng)新微隔離技術(shù)

的基于AIMNPQRWbffMdVingu-irU應(yīng)用創(chuàng)新微隔離技術(shù)

的動(dòng)態(tài)防護(hù)體系基于AI的多維度智能威脅槌測(cè)機(jī)制■好堆度il4型的螞R■斯森謝網(wǎng)”端”云協(xié)同聯(lián)動(dòng)

與高效威脅處置圖3-1項(xiàng)目建設(shè)思路構(gòu)建多維度威脅防御體系通過(guò)EDR的全面部署應(yīng)用，提供全網(wǎng)終端病毒、木馬、入侵攻擊等威脅防御能力，通過(guò)EDR人工智能SAVE引擎、全網(wǎng)信譽(yù)庫(kù)、云查引擎、行為分析等技術(shù)，全面應(yīng)對(duì)威脅，有效防御新型未知病毒的感染與傳播，解決現(xiàn)有信息系統(tǒng)安全問(wèn)題，構(gòu)建百分百多維度威脅防御體系。建設(shè)多平臺(tái)立體防御壁壘通過(guò)EDR的全面部署應(yīng)用，提供多安全平臺(tái)聯(lián)動(dòng)機(jī)制，EDR可與深信服AC、AF、SIP進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)威脅情報(bào)的共享與接收效果。EDR在收到其他設(shè)備發(fā)送的威脅情報(bào)時(shí)，可第一時(shí)間進(jìn)行隔離處置，有效縮短威脅響應(yīng)時(shí)間，智能化的處置方式，大大減少管理人員維護(hù)工作量、提升安全防護(hù)水平，并全面形成多平臺(tái)立體防御壁壘。設(shè)計(jì)原則對(duì)于XX網(wǎng)絡(luò)終端安全防護(hù)工作，應(yīng)當(dāng)以威脅風(fēng)險(xiǎn)為核心，以重點(diǎn)保護(hù)為原則，從使用的角度出發(fā)，重點(diǎn)保護(hù)信息系統(tǒng)計(jì)算機(jī)，在項(xiàng)目建設(shè)中應(yīng)當(dāng)遵循以下的原則。適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，在進(jìn)行終端安全防護(hù)建設(shè)中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是項(xiàng)目建設(shè)的初衷，因此在進(jìn)行項(xiàng)目建設(shè)的過(guò)程中，一方面要嚴(yán)格遵循基本要求，另外也要綜合成本的角度，針對(duì)XX終端的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。技術(shù)管理并重原則信息安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為信息安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的信息安全問(wèn)題，因此組織機(jī)構(gòu)后續(xù)還應(yīng)制定有效的管理制度，使技術(shù)與管理相結(jié)合，更有效的保障系統(tǒng)的整體安全性。合規(guī)性原則終端安全防護(hù)應(yīng)當(dāng)考慮與國(guó)家相關(guān)標(biāo)準(zhǔn)的符合性，在本次項(xiàng)目建設(shè)中，采用的EDR必須滿足國(guó)家法律法規(guī)的標(biāo)準(zhǔn)要求。成熟性原則采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗(yàn)確實(shí)能夠解決安全問(wèn)題并在很多項(xiàng)目中有成功應(yīng)用的;綜合治理原則在本項(xiàng)目中，內(nèi)網(wǎng)終端的安全保護(hù)不僅僅是一個(gè)技術(shù)問(wèn)題，各種安全技術(shù)應(yīng)該與運(yùn)行管理機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從多角度綜合考慮。建設(shè)范圍與規(guī)模本項(xiàng)目將為XX信息系統(tǒng)構(gòu)建全網(wǎng)終端安全防護(hù)體系，建設(shè)EDR系統(tǒng)，保證內(nèi)部終端安全、可控、可審計(jì)。本次項(xiàng)目建設(shè)的范圍包含XX全單位、涉及服務(wù)器**點(diǎn)、終端**點(diǎn)。方案設(shè)計(jì)總體架構(gòu)綜上，結(jié)合現(xiàn)狀以及方案建設(shè)思路，本次項(xiàng)目設(shè)計(jì)采用EDR系統(tǒng)進(jìn)行建設(shè)，系統(tǒng)主要由基礎(chǔ)平臺(tái)、核心引擎、系統(tǒng)功能三部分組成：＞基礎(chǔ)平臺(tái)：由主機(jī)代理、惡意文件查殺引擎、WEB控制臺(tái)三部分組成，該平臺(tái)提供EDR系統(tǒng)良好運(yùn)行的基礎(chǔ)支撐，提供終端安全防護(hù)功能的基本運(yùn)行環(huán)境，負(fù)責(zé)功能指令以及消息的接收、發(fā)送、執(zhí)行；＞核心引擎：由人工智能SAVE引擎、云端威脅情報(bào)、第三方引擎所組成，用以實(shí)現(xiàn)病毒有效檢測(cè)以及快速響應(yīng)功能。＞系統(tǒng)功能：系統(tǒng)功能展現(xiàn)則由預(yù)防、防御、檢測(cè)、響應(yīng)四部分組成，通過(guò)上述四部分功能對(duì)終端賦予加固措施，有效抵御病毒木馬等威脅，實(shí)現(xiàn)安全有效的終端防護(hù)效果。系統(tǒng)總體架構(gòu)如下圖所示:

圖4-1總體架構(gòu)產(chǎn)品設(shè)計(jì)理念Gartner自適應(yīng)閉環(huán)架構(gòu)四階段模型,四個(gè)階段共定義了12個(gè)建議項(xiàng)用來(lái)完善四階段模型的各個(gè)防護(hù)階段，深信服EDR是業(yè)界唯一完全滿足12個(gè)建議項(xiàng)的終端安全廠商檢測(cè)、監(jiān)控微隔離勒索誘捕一鍵隔離轉(zhuǎn)移或擊者Divertattacks阻止事件Preventissues強(qiáng)化和隔離系統(tǒng)Hardenandisolatesystems人工智能SAVE引擎主動(dòng)風(fēng)險(xiǎn)分析Proactiveriskanaiys“預(yù)測(cè)攻擊Predictattacks安全接線檎杳 草線系統(tǒng)女主早廷格肯明初儂systems---——.一??■上???????文件修復(fù)檢測(cè)、監(jiān)控微隔離勒索誘捕一鍵隔離轉(zhuǎn)移或擊者Divertattacks阻止事件Preventissues強(qiáng)化和隔離系統(tǒng)Hardenandisolatesystems人工智能SAVE引擎主動(dòng)風(fēng)險(xiǎn)分析Proactiveriskanaiys“預(yù)測(cè)攻擊Predictattacks安全接線檎杳 草線系統(tǒng)女主早廷格肯明初儂systems---——.一??■上???????文件修復(fù)網(wǎng)端聯(lián)動(dòng)設(shè)計(jì)7模式變更持續(xù)迭代口esign/Modelchange修復(fù)與進(jìn)行變更ReEedi司e/Makecliange溯源分析 調(diào)杳與取證麗城“祈InvestigateForensics檢刑事件 文件實(shí)時(shí)監(jiān)控Detecti^ues主動(dòng)掃描終踹圍則式避殺抑制事件Containissues對(duì)嘈險(xiǎn)禁優(yōu)先級(jí)嗎械脅物分類(lèi)Confirmandpfiontjzerisk電應(yīng).調(diào)查陸防、預(yù)測(cè)盥蟻防護(hù)預(yù)防階段通過(guò)【系統(tǒng)漏洞檢測(cè)】1來(lái)進(jìn)行【主動(dòng)風(fēng)險(xiǎn)分析】，明確系統(tǒng)層面的漏洞風(fēng)險(xiǎn)是否為可接受風(fēng)險(xiǎn)1見(jiàn)漏洞補(bǔ)丁管理功能描述4.8＞通過(guò)【人工智能引擎SAVE】2,具有強(qiáng)泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，【預(yù)測(cè)變種攻擊】＞通過(guò)【安全基線核查】3明確等保合規(guī)或者【安全基線】是否達(dá)到預(yù)期防護(hù)階段＞通過(guò)【微隔離】4【強(qiáng)化和隔離系統(tǒng)】，細(xì)粒度管控終端間訪問(wèn)關(guān)系并做到可視化展現(xiàn)＞通過(guò)【勒索誘餌陷阱】5,當(dāng)勒索病毒加密誘餌文件可通過(guò)進(jìn)程回溯病毒文件進(jìn)行查殺，達(dá)到【轉(zhuǎn)移攻擊】的目的＞通過(guò)【一鍵隔離】6阻止感染終端持續(xù)向外擴(kuò)散，阻止【事件升級(jí)】檢測(cè)階段＞通過(guò)【文件實(shí)時(shí)監(jiān)控】7與【主動(dòng)掃描】持續(xù)【檢測(cè)威脅事件】＞通過(guò)【終端圍剿式查殺】8和【終端間訪問(wèn)控制】做到一臺(tái)感染，全網(wǎng)感知，【抑制事件】進(jìn)一步爆發(fā)＞通過(guò)【威脅等級(jí)分類(lèi)】9【確認(rèn)風(fēng)險(xiǎn)優(yōu)先級(jí)】，進(jìn)一步明確內(nèi)網(wǎng)安全情況，并按優(yōu)先級(jí)進(jìn)行處理響應(yīng)階段＞通過(guò)【文件修復(fù)】對(duì)受感染文件進(jìn)行【修復(fù)】，當(dāng)無(wú)法修復(fù)或修復(fù)失敗時(shí)再進(jìn)行隔離＞通過(guò)【云網(wǎng)端協(xié)同聯(lián)動(dòng)】1。對(duì)【全網(wǎng)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行設(shè)計(jì)】，并通過(guò)不斷完善云網(wǎng)端體系和版本升級(jí)進(jìn)行持續(xù)迭代＞通過(guò)EDR針對(duì)攻擊事件進(jìn)行【溯源分析】進(jìn)行【調(diào)查與取證】，對(duì)攻擊鏈條進(jìn)行重新審視，并針對(duì)審視結(jié)果2見(jiàn)AI技術(shù)5慶丫已引擎3見(jiàn)安全基線核查4.4.34見(jiàn)應(yīng)用創(chuàng)新為隔離技術(shù)的動(dòng)態(tài)防護(hù)體系4.55見(jiàn)勒索病毒誘捕4.4.26見(jiàn)訪問(wèn)關(guān)系控制4.5.27見(jiàn)基于多維度威脅防御體系4.48見(jiàn)終端圍剿式查殺4.4.49見(jiàn)全網(wǎng)威脅定位4.131。見(jiàn)網(wǎng)端云協(xié)同聯(lián)動(dòng)與高效威脅處置4.6統(tǒng)一管理平臺(tái)適配全類(lèi)型資產(chǎn)適配全類(lèi)型資產(chǎn)桌面云，傳統(tǒng)pc,筆記本，私有云，服務(wù)器，私有云，公有云全適配終端系統(tǒng)兼容性廣闊與底層虛擬化解耦，適配全部虛擬化底層平臺(tái)4.4基于多維度的智能檢測(cè)技術(shù)檢測(cè)引擎終端上的安全檢測(cè)是核心的技術(shù)，傳統(tǒng)的病毒檢測(cè)技術(shù)使用特征匹配，而特征匹配沒(méi)有泛化能力或泛化能比較弱，當(dāng)病毒經(jīng)過(guò)簡(jiǎn)單的變種，就必須新增加特征規(guī)則，因此，隨著病毒數(shù)量越來(lái)越大，病毒特征庫(kù)也就跟著越來(lái)越大，同時(shí)運(yùn)行所占資源也就越來(lái)越多。而基于AI技術(shù)的查殺引擎，利用深度學(xué)習(xí)的技術(shù)，通過(guò)對(duì)海量樣本數(shù)據(jù)的學(xué)習(xí)，提煉出來(lái)的高維特征，具備有很強(qiáng)的泛化能力，從而可以應(yīng)對(duì)更多的未知威脅。而這些高維特征數(shù)量極少，并且不會(huì)隨著病毒數(shù)同步增長(zhǎng)，因此，AI技術(shù)具有更好檢出效果、更低資源消耗的優(yōu)點(diǎn)。當(dāng)然，僅靠一個(gè)AI殺毒引擎是不夠的，深信服的EDR產(chǎn)品構(gòu)建了一個(gè)多維度、輕量級(jí)的漏斗型檢測(cè)框架，包含文件信譽(yù)檢測(cè)引擎、基因特征檢測(cè)引擎、AI技術(shù)的SAVE引擎行為引擎、云查引擎等。通過(guò)層層過(guò)濾，檢測(cè)更準(zhǔn)確、更高效，資源占用消耗更低。

4.4,1.1文件信譽(yù)檢測(cè)引擎基于傳統(tǒng)的文件hash值建立的輕量級(jí)信譽(yù)檢測(cè)引擎，主要用于加快檢測(cè)速度并有更好的檢出效果，主要有兩種機(jī)制：.本地緩存信譽(yù)檢測(cè)：對(duì)終端主機(jī)本地已經(jīng)檢測(cè)出來(lái)的已知文件檢測(cè)結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測(cè)未知文件。.全網(wǎng)信譽(yù)檢測(cè)：在管理平臺(tái)上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫(kù)，對(duì)單臺(tái)終端上的文件檢測(cè)結(jié)果匯總到平臺(tái)，做到一臺(tái)發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測(cè)重點(diǎn)落到對(duì)未知文件的分析上，減少對(duì)已知文件重復(fù)檢測(cè)的資源開(kāi)消。基因特征檢測(cè)引擎深信服EDR的安全運(yùn)營(yíng)團(tuán)隊(duì)，根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運(yùn)營(yíng)，對(duì)熱點(diǎn)事件的病毒家族進(jìn)行基因特征的提取，洞見(jiàn)威脅本質(zhì)，使之能應(yīng)對(duì)檢測(cè)出病毒家族的新變種。相比一般AI技術(shù)SAVE引擎SAVE(SangforAI-basedVanguardEngine)是由深信服創(chuàng)新研究院的博士團(tuán)隊(duì)聯(lián)合EDR產(chǎn)品的安全專(zhuān)家，以及安全云腦的大數(shù)據(jù)運(yùn)營(yíng)專(zhuān)家，共同打造的人工智能惡意文件檢測(cè)引擎。該引擎利用深度學(xué)習(xí)技術(shù)對(duì)數(shù)億維的原始特征進(jìn)行分析和綜合，結(jié)合安全專(zhuān)家的領(lǐng)域知識(shí),最終挑選了數(shù)千維最有效的高維特征進(jìn)行惡意文件的鑒定。基于人工智能技術(shù)，擁有強(qiáng)大的泛化能力，能夠識(shí)別未知病毒或者已知病毒的新變種；對(duì)勒索病毒檢測(cè)效果達(dá)到業(yè)界領(lǐng)先，包括影響廣泛的WannaCry、BadRabbit等病毒。2018年10月新發(fā)現(xiàn)的GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7勒索病毒，使用9月已經(jīng)合入產(chǎn)品并發(fā)布的SAVE1.0.0可以全部檢出和查殺。對(duì)非勒索病毒也有較好的檢出效果；云+邊界設(shè)備+端聯(lián)動(dòng)，依托于深信服安全云腦海量的安全數(shù)據(jù)，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測(cè)能力，從而形成傳統(tǒng)引擎、人工智能檢測(cè)引擎和云端檢測(cè)引擎的完美結(jié)合，構(gòu)成了深信服的安全云腦+安全網(wǎng)關(guān)AF/SIP/AC+終端安全EDR的整體解決方案。行為引擎?zhèn)鹘y(tǒng)靜態(tài)引擎，是基于靜態(tài)文件的檢測(cè)方式，對(duì)于加密和混淆等代碼級(jí)惡意對(duì)抗，輕易就被繞過(guò)。而基于行為的檢測(cè)技術(shù)，實(shí)際上是讓可執(zhí)行程序運(yùn)行起來(lái)，“虛擬沙盒”捕獲行為鏈數(shù)據(jù)，通過(guò)對(duì)行為鏈的分析而檢測(cè)出威脅。因此，不管使用哪種加密或混淆方法，都無(wú)法繞過(guò)檢測(cè)。最后，執(zhí)行的行為被限制在“虛擬沙盒”中，檢測(cè)完畢即被無(wú)痕清除，不會(huì)真正影響到系統(tǒng)環(huán)境。行為引擎在分層漏斗檢測(cè)系統(tǒng)結(jié)構(gòu)中，與云查引擎處于最低層，僅有少量的文件到達(dá)該層進(jìn)行鑒定，因此，總體資源消耗較少。云查引擎針對(duì)最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術(shù)，進(jìn)行云端查詢。云端的安全云腦中心，使用大數(shù)據(jù)分析平臺(tái)，基于多維威脅情報(bào)、云端沙箱技術(shù)、多引擎擴(kuò)展的檢測(cè)技術(shù)等，秒級(jí)響應(yīng)未知文件的檢測(cè)結(jié)果。勒索病毒誘捕裝載在終端系統(tǒng)上的EDR客戶端，在系統(tǒng)關(guān)鍵目錄及隨機(jī)目錄放置誘餌文件，當(dāng)病毒調(diào)用加密進(jìn)程對(duì)終端文件加密，當(dāng)加密到誘餌文件時(shí)，誘餌文件將加密進(jìn)程反饋至EDR客戶端，EDR客戶端立即殺掉加密進(jìn)程阻止加密，并根據(jù)調(diào)用進(jìn)程的病毒源文件進(jìn)行查殺，有效阻止勒索病毒對(duì)關(guān)鍵目錄文件的進(jìn)一步的加密和擴(kuò)散1~1口1~1口R上端客P停SOS相一R相正在?包 奉旭ta/ 軌Hit匕Rt 匕*-zTr二二二品而后！J屈屈rEMElJlBduB品局局OSEl終端安全基線核查圖4-4安全合規(guī)審查終端的安全合規(guī)性是重中之重，信息系統(tǒng)中終端一旦不合規(guī)將產(chǎn)生不可預(yù)知的安全風(fēng)險(xiǎn)，正因如此，無(wú)論是國(guó)家法律法規(guī)，還是組織內(nèi)部的規(guī)章指引，對(duì)于主機(jī)方面都具有明確的安全要求，本方案將通過(guò)全面部署應(yīng)用深信服終端檢測(cè)與響應(yīng)系統(tǒng)，對(duì)內(nèi)部終端進(jìn)行安全合規(guī)審查，依據(jù)等級(jí)保護(hù)的主機(jī)安全要求進(jìn)行設(shè)計(jì)，對(duì)身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范等策略進(jìn)行合規(guī)性審查，滿足企業(yè)建設(shè)等級(jí)保護(hù)系統(tǒng)的主機(jī)安全要求。全網(wǎng)終端圍剿式查殺當(dāng)某一臺(tái)終端發(fā)現(xiàn)病毒文件，基于文件信譽(yù)引擎立即將此病毒文件的md5特征值進(jìn)行全網(wǎng)通報(bào)，做到一臺(tái)發(fā)現(xiàn)，全網(wǎng)感知，在全網(wǎng)進(jìn)行圍剿式查殺應(yīng)用創(chuàng)新微隔離技術(shù)的動(dòng)態(tài)防護(hù)體系創(chuàng)新微隔離技術(shù)EDR微隔離方案提出了一種基于安全域應(yīng)用角色之間的流量訪問(wèn)控制解決方法，系統(tǒng)可實(shí)現(xiàn)基于主機(jī)應(yīng)用角色之間的訪問(wèn)控制，做到可視化的安全訪問(wèn)策略配置，簡(jiǎn)單高效地對(duì)應(yīng)用服務(wù)之間訪問(wèn)進(jìn)行隔離控制。優(yōu)先對(duì)所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對(duì)業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對(duì)不同應(yīng)用角色之間服務(wù)訪問(wèn)進(jìn)行控制配置，減少了非法人員對(duì)物理、虛擬服務(wù)器攻擊機(jī)會(huì)，集中統(tǒng)一管理服務(wù)器的訪問(wèn)控制策略。并且基于安裝輕量級(jí)主機(jī)Agent軟件的微隔離訪問(wèn)控制，不受虛擬化平臺(tái)、物理機(jī)器和虛擬機(jī)器影響。另一方面，微隔離功能的應(yīng)用，可在發(fā)生病毒感染情況下，將威脅放置在可控范圍內(nèi)，從而有效提升安全防護(hù)水平。終端間訪問(wèn)關(guān)系控制在東西向訪問(wèn)關(guān)系控制上，優(yōu)先對(duì)所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對(duì)業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對(duì)不同應(yīng)用角色之間服務(wù)訪問(wèn)進(jìn)行訪問(wèn)控制配置，減少了對(duì)物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)，集中統(tǒng)一管理服務(wù)器的訪問(wèn)控制策略。并且基于安裝輕量級(jí)主機(jī)Agent軟件的訪問(wèn)控制，不受虛擬化平臺(tái)的影響，不受物理機(jī)器和虛擬機(jī)器的影響。

通過(guò)全面部署應(yīng)用深信服終端檢測(cè)與響應(yīng)系統(tǒng)，可全面解決信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)互訪不可控問(wèn)題，規(guī)范化主機(jī)、業(yè)務(wù)等網(wǎng)內(nèi)不同對(duì)象的網(wǎng)絡(luò)訪問(wèn)行為。利用應(yīng)用角色之間的主機(jī)流量訪問(wèn)控制的技術(shù)，提供對(duì)業(yè)務(wù)安全域之間、業(yè)務(wù)安全域內(nèi)不同應(yīng)用角色之間、業(yè)務(wù)安全域內(nèi)相同應(yīng)用角色之間的訪問(wèn)控制策略配置，提供簡(jiǎn)單可視化的安全訪問(wèn)策略配置，提高安全管理效率。業(yè)務(wù)安全域應(yīng)用提供者應(yīng)用服務(wù)應(yīng)用使用者策略動(dòng)作門(mén)戶網(wǎng)站業(yè)務(wù)域WEB應(yīng)用角色Apache（Http，80）All允許門(mén)戶網(wǎng)站業(yè)務(wù)域DB應(yīng)用角色MySQL（TCP，3306）WEB應(yīng)用角色允許門(mén)戶網(wǎng)站業(yè)務(wù)域ALLALLALL拒絕OA業(yè)務(wù)域DB應(yīng)用角色MySQL（TCP，3306）郵件應(yīng)用角色允許OA業(yè)務(wù)域ALLALLALL拒絕表4-1微隔離角色訪問(wèn)控制例如門(mén)戶網(wǎng)站業(yè)務(wù)域的WEB應(yīng)用角色服務(wù)器組提供Apache應(yīng)用服務(wù)，策略動(dòng)作允許門(mén)戶網(wǎng)站業(yè)務(wù)域內(nèi)所有主機(jī)的訪問(wèn)，而DB應(yīng)用角色服務(wù)器組提供的MySQL應(yīng)用服務(wù)，策略動(dòng)作只允許門(mén)戶網(wǎng)站業(yè)務(wù)域內(nèi)的WEB應(yīng)用角色服務(wù)器組的訪問(wèn)。門(mén)戶網(wǎng)站業(yè)務(wù)域內(nèi)WEB應(yīng)用角色之間的主機(jī)，由于沒(méi)有訪問(wèn)需求，配置為隔離拒絕策略。終端訪問(wèn)關(guān)系可視化在訪問(wèn)關(guān)系可視化中，采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問(wèn)關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問(wèn)關(guān)系展示以及訪問(wèn)記錄，也可以看到每個(gè)業(yè)務(wù)域之間的訪問(wèn)關(guān)系展示以及每個(gè)業(yè)務(wù)域的流量狀態(tài)、訪問(wèn)趨勢(shì)、流量排行，同時(shí)可以根據(jù)每個(gè)訪問(wèn)關(guān)系會(huì)生成訪問(wèn)關(guān)系控制策略,讓用戶決定是否啟用該策略，減少了手動(dòng)新增策略的工作量,提高了安全管理的效率IOQmu創(chuàng)新微隔離技術(shù)，有效應(yīng)對(duì)高級(jí)威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系IEfiSUS內(nèi)可占用3rCPVEWHFT0TCP.&a「□TicatFFTR5IOQmu創(chuàng)新微隔離技術(shù)，有效應(yīng)對(duì)高級(jí)威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系IEfiSUS內(nèi)可占用3rCPVEWHFT0TCP.&a「□TicatFFTR530%A力果錄Mitt統(tǒng)環(huán)境可控性大大提高。網(wǎng)端云協(xié)同聯(lián)動(dòng)深信服EDR產(chǎn)品能與NGAF（下一代防火墻）、AC（上網(wǎng)行為管理）、SIP（態(tài)勢(shì)感知）安全云腦等產(chǎn)品進(jìn)行協(xié)同聯(lián)動(dòng)響應(yīng)，形成涵蓋云、邊界、端點(diǎn)上中下立體防御架構(gòu)，內(nèi)外部威脅情報(bào)可實(shí)時(shí)共享。EDR產(chǎn)品可與安全云腦協(xié)同響應(yīng)，關(guān)聯(lián)在線數(shù)十萬(wàn)臺(tái)安全設(shè)備的云反饋威脅情報(bào)數(shù)據(jù)，以及第三方合作伙伴交換的威脅情報(bào)數(shù)據(jù)，智能分析精準(zhǔn)判斷，超越傳統(tǒng)的黑白名單和靜態(tài)特征庫(kù)，為已知/未知威脅檢測(cè)提供有力支持?？膳c防火墻NGAF、SIP產(chǎn)品進(jìn)行關(guān)聯(lián)檢測(cè)、取證、響應(yīng)、溯源等防護(hù)措施，與AC產(chǎn)品進(jìn)行合規(guī)認(rèn)證審查、安全事件響應(yīng)等防護(hù)措施，形成應(yīng)對(duì)威脅的云管端立體化縱深防護(hù)閉環(huán)體系。

極大縮短威脅駐留時(shí)間多維度、快速響應(yīng)極大縮短威脅駐留時(shí)間多維度、快速響應(yīng)城脅上報(bào)與接收或脅情報(bào)接收自動(dòng)處置威脅上報(bào)與接收任務(wù)指冬推送深信服下一代防火墻與EDR終端檢測(cè)響應(yīng)平臺(tái)深信服認(rèn)為網(wǎng)絡(luò)及終端的安全要從整體來(lái)建設(shè)才會(huì)充分保障業(yè)務(wù)的價(jià)值，網(wǎng)絡(luò)與終端要進(jìn)行充分聯(lián)動(dòng)，基于網(wǎng)絡(luò)及終端各自的優(yōu)勢(shì)，網(wǎng)絡(luò)可通過(guò)惡意流量特征進(jìn)行深度檢測(cè)與防御，而終端有豐富的威脅上下文信息，兩者協(xié)同聯(lián)動(dòng)可充分定位泛化的惡意威脅。優(yōu)勢(shì)互補(bǔ)，信息共享，深度解析，快速閉環(huán)，最終為用戶交付最佳的威脅防御能力。全面威脅防御網(wǎng)端縱深防御：通過(guò)網(wǎng)絡(luò)域和終端域的安全防御全覆蓋，構(gòu)建系統(tǒng)化防御能力抵御不同介入點(diǎn)風(fēng)險(xiǎn)，構(gòu)建由端點(diǎn)到網(wǎng)絡(luò)的縱深防御能力全面的風(fēng)險(xiǎn)可視化能力：對(duì)威脅的完整可見(jiàn)，通過(guò)邊界安全設(shè)備對(duì)貫穿網(wǎng)絡(luò)的南北向惡意內(nèi)容進(jìn)行檢測(cè)與防御，同時(shí)對(duì)終端的東西橫向威脅進(jìn)行檢測(cè)與防御，構(gòu)建基于主機(jī)的橫向及外聯(lián)攻擊畫(huà)像，提供全面完整的風(fēng)險(xiǎn)可視化能力快速處置閉環(huán)熱點(diǎn)攻擊處置：基于網(wǎng)絡(luò)域及端點(diǎn)域威脅上下文的深度關(guān)聯(lián)有效改變企業(yè)安全現(xiàn)狀，網(wǎng)絡(luò)流量層分析威脅的特征，在端點(diǎn)上實(shí)現(xiàn)惡意載體的深度行為分析、取證，威脅可在網(wǎng)絡(luò)、端點(diǎn)的威脅信息共享下實(shí)現(xiàn)二次確認(rèn)，精準(zhǔn)定位諸如無(wú)文件攻擊、勒索病毒、挖礦病毒等熱點(diǎn)攻擊威脅處置閉環(huán)：策略級(jí)細(xì)粒度集成，一個(gè)安全域識(shí)別到的威脅可以動(dòng)態(tài)調(diào)整另一個(gè)安全域的安全配置，增強(qiáng)整體防御能力，有效抵御威脅，如在流量層發(fā)現(xiàn)惡意流量，可以溯源攻擊主機(jī)，并向該域發(fā)起全局掃描、分析、取證、閉環(huán)處置的系列動(dòng)作；在終端域發(fā)生遠(yuǎn)控行為，可以在流量層對(duì)遠(yuǎn)控主機(jī)進(jìn)行網(wǎng)絡(luò)域的聯(lián)動(dòng)封鎖便捷運(yùn)維管理統(tǒng)一管理提升運(yùn)維效率：相對(duì)于網(wǎng)絡(luò)與終端割裂式的部署及各自為政的管理方式，在威脅來(lái)臨時(shí)依然各自為戰(zhàn)，構(gòu)建網(wǎng)端一體化統(tǒng)一管理平臺(tái)，全局預(yù)警有效防御、降低管理開(kāi)銷(xiāo)及安全能力的擁有成本安全風(fēng)險(xiǎn)一鍵處置：網(wǎng)端智能協(xié)同，當(dāng)發(fā)生威脅時(shí)，可通過(guò)統(tǒng)一管理平臺(tái)的一鍵處置，將終端域風(fēng)險(xiǎn)迅速隔離，并在網(wǎng)絡(luò)域自動(dòng)生成聯(lián)動(dòng)封鎖規(guī)則，全面封鎖惡意威脅深信服安全感知平臺(tái)與EDR終端檢測(cè)響應(yīng)平臺(tái)深信服安全感知平臺(tái)基于大數(shù)據(jù)關(guān)聯(lián)分析與深度挖掘技術(shù)快速定位出內(nèi)網(wǎng)失陷主機(jī)和高級(jí)威脅，對(duì)于來(lái)自于互聯(lián)網(wǎng)或邊界的攻擊行為，通過(guò)聯(lián)動(dòng)深信服￡口口終端檢測(cè)響應(yīng)平臺(tái)下發(fā)安全策略，及時(shí)阻斷相應(yīng)的攻擊行為。對(duì)于服務(wù)器與終端的失陷主機(jī)，通過(guò)聯(lián)動(dòng)EDR管理平臺(tái)下發(fā)一鍵掃描策略，快速查殺惡意程序，并利用EDR客戶端的微隔離功能，封堵主機(jī)的攻擊行為，防止威脅的進(jìn)一步擴(kuò)散。

網(wǎng)端溯源分析，精準(zhǔn)的高級(jí)威脅檢測(cè)SIP和EDR內(nèi)置輕量級(jí)人工智能的檢測(cè)引擎SAVE,通過(guò)創(chuàng)新人工智能無(wú)特征技術(shù)，準(zhǔn)確檢測(cè)勒索病毒。未知病毒檢出率高達(dá)97.8%,對(duì)已知病毒檢出率高于99%°Wannacry、Badrabit、Globelmposter及其變種99.9%檢出查殺。通過(guò)SIP對(duì)流量側(cè)智能的閉環(huán)響應(yīng)體系方案通過(guò)SIP智能聯(lián)動(dòng)EDR實(shí)現(xiàn)協(xié)同響應(yīng)，并提供專(zhuān)業(yè)的安全響應(yīng)服務(wù)，從而實(shí)現(xiàn)威脅發(fā)現(xiàn)到處置的閉環(huán)安全效果。全網(wǎng)安全監(jiān)測(cè)預(yù)警能力方案采集全網(wǎng)流量和系統(tǒng)日志，對(duì)整體網(wǎng)絡(luò)安全進(jìn)行有效檢測(cè)，快速梳理資產(chǎn)信息，實(shí)時(shí)監(jiān)測(cè)異常訪問(wèn)行為，對(duì)外部攻擊、服務(wù)器主動(dòng)外聯(lián)、內(nèi)部橫向滲透等行為進(jìn)行實(shí)時(shí)檢測(cè)和告警,一旦出現(xiàn)安全事件能夠快速告警和處置，保護(hù)專(zhuān)網(wǎng)整體安全有效運(yùn)行。4.6.1深信服上網(wǎng)行為管理與EDR終端檢測(cè)響應(yīng)平臺(tái)深信服上網(wǎng)行為管理AC與終端安全檢測(cè)響應(yīng)平臺(tái)EDR，產(chǎn)品深度融合，幫助客戶構(gòu)建綠色安全、高效、易用的上網(wǎng)環(huán)境；保障接入身份安全實(shí)現(xiàn)有線無(wú)線網(wǎng)絡(luò)接入認(rèn)證，AC支持802.1x、旁路無(wú)感知、無(wú)線Portal等多種接入認(rèn)證方式；支持AD域、短信、微信等29種認(rèn)證方式，根據(jù)上網(wǎng)場(chǎng)景靈活選擇；全面外發(fā)審計(jì)深信服AC具備業(yè)界專(zhuān)業(yè)的內(nèi)容識(shí)別與審計(jì)技術(shù)，通過(guò)EDR內(nèi)置的審計(jì)插件，能對(duì)各種上網(wǎng)行為和多種外發(fā)數(shù)據(jù)進(jìn)行有效審計(jì)，包含網(wǎng)頁(yè)、郵箱、網(wǎng)盤(pán)、微信、QQ等外發(fā)內(nèi)容審計(jì)。通過(guò)各類(lèi)外發(fā)審計(jì)分析發(fā)現(xiàn)泄密異常行為，及時(shí)預(yù)警泄密風(fēng)險(xiǎn)，快速定位泄密事件。終端安全準(zhǔn)入，保障接入終端安全統(tǒng)一安裝終端安全軟件，AC認(rèn)證后可強(qiáng)制推送安裝終端￡口口軟件；終端安全性準(zhǔn)入檢查，包括系統(tǒng)漏洞掃描、殺軟安裝、開(kāi)放接口等情況，只允許符合安全要求的終端接入網(wǎng)絡(luò)；定期進(jìn)行終端漏洞掃描，漏洞掃描后可自動(dòng)修復(fù)和上報(bào)；網(wǎng)端智能聯(lián)動(dòng)，加強(qiáng)威脅防護(hù)能力深信服AC支持惡意URL過(guò)濾、網(wǎng)絡(luò)殺毒檢測(cè)、僵尸主機(jī)檢測(cè)等，保護(hù)上網(wǎng)安全；深信服終端EDR以人工智能算法為核心，大幅提升終端病毒安全查殺效果，可全面查殺勒索病毒的新型病毒威脅。通過(guò)云網(wǎng)端聯(lián)動(dòng)，AC發(fā)現(xiàn)的終端威脅和攻擊，可及時(shí)聯(lián)動(dòng)EDR進(jìn)行終端安全掃描和修復(fù)。全網(wǎng)資產(chǎn)盤(pán)點(diǎn)現(xiàn)信息系統(tǒng)中服務(wù)器、PC終端、應(yīng)用等資產(chǎn)隨著業(yè)務(wù)的增加而增加，資產(chǎn)的所有者與資產(chǎn)的關(guān)聯(lián)關(guān)系不夠清晰，安全責(zé)任難以落地。圍繞資產(chǎn)的自身安全防護(hù)措施難以執(zhí)行。對(duì)此，本方案將通過(guò)全面部署應(yīng)用深信服終端檢測(cè)與響應(yīng)系統(tǒng)，實(shí)現(xiàn)全網(wǎng)終端資產(chǎn)的全面管理功能，管理對(duì)象包含業(yè)務(wù)服務(wù)器主機(jī)和用戶PC終端。盤(pán)點(diǎn)每臺(tái)終端設(shè)備的名稱(chēng)、IP地址、MAC地址、所屬組織、責(zé)任人、資產(chǎn)編號(hào)、資產(chǎn)位置等信息。使每臺(tái)終端資產(chǎn)信息清晰展示，每個(gè)安全事件責(zé)任到人，從而將安全管理工作落實(shí)到位。漏洞補(bǔ)丁管理補(bǔ)丁檢測(cè)極大地簡(jiǎn)化了管理員甄別終端資產(chǎn)漏洞的流程，EDR產(chǎn)品支持各種類(lèi)型不同的操作系統(tǒng)以及不同版本的操作系統(tǒng)的補(bǔ)丁規(guī)則庫(kù)的更新，可以做到最新漏洞的實(shí)時(shí)檢測(cè)與防御，并提供了漏洞檢測(cè)與處置的功能，可以指定不同的終端進(jìn)行全部、高?；蛘咧付┒吹臋z測(cè)，得到每一臺(tái)終端的全部漏洞信息，并且可指定漏洞進(jìn)行修復(fù)或者忽略處理。終端根據(jù)最新的補(bǔ)丁規(guī)則庫(kù)進(jìn)行系統(tǒng)補(bǔ)丁檢測(cè)，匹配來(lái)判斷當(dāng)前是否已經(jīng)進(jìn)行補(bǔ)丁的安裝，同時(shí)終端支持多種方式來(lái)獲取最新的補(bǔ)丁安裝包，包括微軟補(bǔ)丁服務(wù)器、深信服官方補(bǔ)丁服務(wù)器、管理平臺(tái)以及自定義服務(wù)器。保證在網(wǎng)絡(luò)隔離環(huán)境下，終端也可以通過(guò)管理平臺(tái)來(lái)進(jìn)行補(bǔ)丁的務(wù)器升級(jí)。EDR產(chǎn)品的漏洞檢測(cè)、補(bǔ)丁更新，大大提高了管理效率，增強(qiáng)了終端資產(chǎn)的安全性補(bǔ)丁更新務(wù)器升級(jí)。EDR產(chǎn)品的漏洞檢測(cè)、補(bǔ)丁更新，大大提高了管理效率，增強(qiáng)了終端資產(chǎn)的安全性補(bǔ)丁更新補(bǔ)丁包導(dǎo)入管理平臺(tái)暴力破解檢測(cè)與響應(yīng)服務(wù)器密碼安全問(wèn)題即突出亦普遍存在，許多高級(jí)威脅的感染傳播也正是運(yùn)用此點(diǎn)，傳統(tǒng)解決辦法是通過(guò)使用邊界防護(hù)設(shè)備，針對(duì)外部對(duì)內(nèi)部的密碼爆破嘗試行為進(jìn)行阻斷。但伴隨著黑客技術(shù)的不斷更新迭代、服務(wù)器邊界的模糊化，來(lái)自內(nèi)部或服務(wù)器之間（橫向快速移動(dòng)）的密碼爆破亦逐漸增多。本方案將通過(guò)全面部署應(yīng)用深信服終端檢測(cè)與響應(yīng)系統(tǒng)，用以端點(diǎn)agent在服務(wù)器之上持續(xù)監(jiān)控密碼爆破行為，如發(fā)現(xiàn)非法人員進(jìn)行密碼爆破，EDR將提供響應(yīng)手段，系統(tǒng)可設(shè)置對(duì)特定IP進(jìn)行基于時(shí)間維度的自動(dòng)封停操作，有效避免服務(wù)器被非法人員爆破成功。僵尸網(wǎng)絡(luò)檢測(cè)本方案將通過(guò)全面部署應(yīng)用深信服終端檢測(cè)與響應(yīng)系統(tǒng)，對(duì)僵尸網(wǎng)絡(luò)進(jìn)行有效檢測(cè)，EDR可對(duì)報(bào)文的會(huì)話、報(bào)文netflow信息進(jìn)行分析，檢測(cè)主機(jī)是否有被木馬程序控制并形成僵尸網(wǎng)絡(luò)，系統(tǒng)可全面展現(xiàn)僵尸網(wǎng)絡(luò)主機(jī)的詳細(xì)信息，如顯示僵尸網(wǎng)絡(luò)文件檢測(cè)產(chǎn)生的事件日志，例如惡意文件名稱(chēng)、文件名稱(chēng)、操作動(dòng)作、發(fā)現(xiàn)時(shí)間等，另系統(tǒng)還可支持顯示僵尸網(wǎng)絡(luò)文件檢測(cè)過(guò)程的詳情內(nèi)容，例如文件路徑、文件大小、文件創(chuàng)建時(shí)間、進(jìn)程ID、父進(jìn)程、進(jìn)程模塊、網(wǎng)絡(luò)行為等信息。

基于Web后門(mén)的綜合檢測(cè)技術(shù)傳統(tǒng)的WebShell文件檢測(cè)是基于特征碼的檢測(cè)技術(shù)，嚴(yán)重依賴于特征庫(kù)，很難及時(shí)檢測(cè)新的變種，檢測(cè)效率也隨著特征庫(kù)的變大而迅速降低。采用機(jī)器學(xué)習(xí)的檢測(cè)方法，通過(guò)先利用語(yǔ)法分析器生成語(yǔ)法樹(shù)，基于語(yǔ)法樹(shù)提取出危險(xiǎn)特征以及正常特征，特征包含數(shù)量統(tǒng)計(jì)特征、字符串熵、運(yùn)算符號(hào)統(tǒng)計(jì)等，再學(xué)習(xí)已標(biāo)記樣本特征數(shù)據(jù)來(lái)構(gòu)建檢測(cè)模型，然后利用此模型對(duì)樣本進(jìn)行檢測(cè)判定，該方法不僅可以正確檢測(cè)出已有樣本數(shù)據(jù)，對(duì)未知樣本也有很好的檢測(cè)效果。對(duì)WebShell文件的檢測(cè)綜合利用文件信譽(yù)庫(kù)、靜態(tài)分析、機(jī)器學(xué)習(xí)等手段對(duì)文件進(jìn)行判斷，相比流量側(cè)的防御，檢測(cè)方案將會(huì)更全面地分析文件。I訓(xùn)練樣本危險(xiǎn)特征語(yǔ)法分析