信息安全-终端检测响应平台EDR解决方案

第一章概述
二十一世纪以计算机和网络通信为代表的信息化技术迅速发展，现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖，信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。

组织机构的正常运行高度依赖于信息系统，而针对其所承载的服务和数据的安全保护就显得尤为重要，如数据的安全性、完整性，终端计算机的可靠性、可用性等方面出现缺陷，将会给组织机构带来不可计量的损失。

而如今，全球化的互联网使得组织机构不仅依赖信息系统，还不可避免地通过计算机与外部的信息系统建立密切联系。

面对来自外部以及内部的威胁，对信息系统及系统终端的保护需求则更为突出。

面对日益严峻的安全风险，大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系，并在一定程度上抵御来自外部的攻击，然而内部信息系统是不断变化发展的，系统环境在任何时刻都会呈现开放、共享等特点，不应以孤岛形式存在，外部威胁只是安全风险的一部分，作为办公环境的重要组成，开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。

正因如此，终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。

XX终端计算机具有点数多、覆盖面大、难管理等特点，加之XX信息安全人员人手有限，终端分布环境复杂，威胁风险事件较多，使信息安全人员对终端安全工作处于被动状态。

在终端安全方面，一旦出现病毒感染、恶意破坏传播、数据丢失等事件，将会给XX造成严重损失，后果不堪设想。

现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐，已严重影响到计算机信息系统安全性。

正因如此，全方位做好XX信息系统的终端安全防护工作，在XX建设一套终端安全检测与响应系统，以确保XX的日常办公安全、稳定、高效运行。

第二章应用场景与风险分析
2.1防病毒应用概况
信息化飞速发展，组织内部人员的正常办公，与计算机终端密不可分，它为使用者带来便利同时，亦产生了层出不穷的安全威胁。

这其中就以计算机病毒最
为致命，它具有破坏性强、传播途径多样等特点，一旦感染将会给XX造成巨大损失。

针对于此，XX在现有信息系统中通过部署**防病毒产品，用以防御已知威胁，这在一定程度上确实能够提升终端安全防护水平，但就目前信息化技术发展来说，如勒索病毒大范围感染传播事件，攻击者的免杀技术不断升级，传统防病毒产品已无法及时有效的应对新的高级威胁。

2.1.1现状及风险分析
2.1.1.1人工运维加剧威胁防御成本
传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。

信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。

另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。

2.1.1.2基于特征匹配杀毒无法有效抵御新型病毒
已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry 勒索病毒。

另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。

2.1.1.3病毒特征库数量增长加重主机运算资源
伴随着已知病毒样本的不断增加，本地病毒特征库数量日益增多，现已严重加剧终端存储、运算资源成本，查杀病毒过程会出现卡顿、假死等现象，严重影响用户日常办公。

而信息系统环境亦会伴随着信息技术更新而迭代，现有防病毒产品已无法适配如云化等新的特定场景。

2.1.1.4杀毒处置方式落后无法适应病毒新的传播方式与环境
如信息系统内某台终端发现病毒，防病毒产品将采取基于文件隔离的方式进
行处置，此种方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。

2.2终端间访问控制应用概况
一直以来，企业广泛的采用纵深防御技术（defensin depth）和最小权限逻辑（least privilege）来进行企业网络安全管理。

而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。

2.2.1现状及风险分析
2.2.1.1终端间缺少基本的访问控制体系
从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。

无论从著名的Lockheed Martin Cyber Kill Chain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。

这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。

2.2.1.2终端间访问关系无法有效可视
对终端间访问关系的梳理必不可少，若通过路由表单等静态报表很难看到每个业务域内部各个终端的访问关系展示以及访问记录，也无法通过可视化的方式看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行
2.3设备联动应用现状
XX网络的建设伊始及后续应用，就与外部网络存在密不可分的连通性，资料查阅、信息交流、数据共享等行为普遍存在，这使得XX办公人员大大增加了工作便捷性。

然而，网络化办公增加工作效率同时，由此产生的外部威胁、非法操
作行为即随之而来，正因如此，XX在现有信息系统中通过部署深信服下一代防火墙AF、行为管控AC、安全感知平台SIP等设备，以便达到抵御外部攻击威胁、规范化组织用户上网行为、感知网络威胁等效果，这些技术措施的良好运用，有效增强了信息系统安全性。

然而安全体系的建设应呈现一体化形态，各安全设备分散应用、各自为战，无法有效实现安全防护工作的进一步增值，病毒威胁一旦感染至终端，前期所做一切工作将形同虚设。

2.3.1现状及风险分析
2.3.1.1未构成整体安全防护体系
传统安全防护工作的建立，必然与各安全设备形成密不可分的关系，但术业有专攻，目前各安全设备只可达到职责范围内的对应防护效果，即各系统只可对其涉及的对象进行安全管理，查看相应信息、检测对应流量、收集安全日志，各系统的功能及信息均呈现分散特点，未有效整合安全防御能力，并形成整体化的安全防护体系。

2.3.1.2缺乏设备间有效联动机制
安全威胁的产生不会因为防御技术的升级而终止，面对层出不穷的威胁，诸多安全设备各司其职、各自为战，安全设备间未形成有效的联动机制，威胁一旦在某点爆发将快速影响到面，然而现阶段，有效应对及响应手段只可依靠人工。

2.3.1.3安全防护能力不可延伸至端点
前期已建设的深信服AC、AF、SIP等系统，在安全防护能力方面，更多偏重于网络层面，无法延伸至端点。

然而就终端而言，其有效使用与XX用户日常工作密不可分，终端作为安全防护工作的最后一公里，重要程度不言而喻，新型勒索病毒等威胁一旦出现，将不可控的感染至终端，而此时维护工作量大、恢复难度高、感染覆盖面广等等问题均全面暴露，给XX造成不可预估的损失。

第三章建设思路
综上所述，XX已在信息系统内部建立防病毒、防火墙、上网行为管理、安全感知的系统，但以新型威胁、终端安全等角度为出发点，仍存在诸多不足。

本方案将设计通过深信服终端检测与响应系统（以下简称“EDR”）进行XX终端安全防护项目建设，EDR是深信服公司提供的一套综合性终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。

EDR以具有自主知识产权的创新型SAVE人工智能引擎为核心，通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力，应对高级威胁同时实施联动协同、威胁情报共享、智能响应机制，可以实现威胁快速检测、有效处置终端一系列安全问题，构建全新智能化的下一代终端安全系统，为XX提供行之有效的整体安全防御体系。

图3-1 项目建设思路
3.1构建多维度威胁防御体系
通过EDR的全面部署应用，提供全网终端病毒、木马、入侵攻击等威胁防御能力，通过EDR人工智能SAVE引擎、全网信誉库、云查引擎、行为分析等技术，全面应对威胁，有效防御新型未知病毒的感染与传播，解决现有信息系统安全问题，构建百分百多维度威胁防御体系。

3.2建设多平台立体防御壁垒
通过EDR的全面部署应用，提供多安全平台联动机制，EDR可与深信服AC、AF、SIP进行联动，实现威胁情报的共享与接收效果。

EDR在收到其他设备发送
的威胁情报时，可第一时间进行隔离处置，有效缩短威胁响应时间，智能化的处置方式，大大减少管理人员维护工作量、提升安全防护水平，并全面形成多平台立体防御壁垒。

3.3设计原则
对于XX网络终端安全防护工作，应当以威胁风险为核心，以重点保护为原则，从使用的角度出发，重点保护信息系统计算机，在项目建设中应当遵循以下的原则。

3.3.1适度安全原则
任何信息系统都不能做到绝对的安全，在进行终端安全防护建设中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

适度安全也是项目建设的初衷，因此在进行项目建设的过程中，一方面要严格遵循基本要求，另外也要综合成本的角度，针对XX终端的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

3.3.2技术管理并重原则
信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此组织机构后续还应制定有效的管理制度，使技术与管理相结合，更有效的保障系统的整体安全性。

3.3.3合规性原则
终端安全防护应当考虑与国家相关标准的符合性，在本次项目建设中，采用的EDR必须满足国家法律法规的标准要求。

3.3.4成熟性原则
采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的；
3.3.5综合治理原则
在本项目中，内网终端的安全保护不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从多角度综合考虑。

3.4建设范围与规模
本项目将为XX信息系统构建全网终端安全防护体系，建设EDR系统，保证内部终端安全、可控、可审计。

本次项目建设的范围包含XX全单位、涉及服务器**点、终端**点。

第四章方案设计
4.1总体架构
综上，结合现状以及方案建设思路，本次项目设计采用EDR系统进行建设，系统主要由基础平台、核心引擎、系统功能三部分组成：
➢基础平台：
由主机代理、恶意文件查杀引擎、WEB控制台三部分组成，该平台提供EDR 系统良好运行的基础支撑，提供终端安全防护功能的基本运行环境，负责功能指令以及消息的接收、发送、执行；
➢核心引擎：
由人工智能SAVE引擎、云端威胁情报、第三方引擎所组成，用以实现病毒有效检测以及快速响应功能。

➢系统功能：
系统功能展现则由预防、防御、检测、响应四部分组成，通过上述四部分功能对终端赋予加固措施，有效抵御病毒木马等威胁，实现安全有效的终端防护效果。

系统总体架构如下图所示：
图4-1 总体架构
4.2产品设计理念
Gartner自适应闭环架构四阶段模型，四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段，深信服EDR是业界唯一完全满足12个建议项的终端安全厂商
4.2.1预防阶段
➢通过【系统漏洞检测】1来进行【主动风险分析】，明确系统层面的漏洞风险是否为可接受风险
1见漏洞补丁管理功能描述4.8
➢通过【人工智能引擎SAVE】2，具有强泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，【预测变种攻击】
➢通过【安全基线核查】3明确等保合规或者【安全基线】是否达到预期
4.2.2防护阶段
➢通过【微隔离】4【强化和隔离系统】，细粒度管控终端间访问关系并做到可视化展现➢通过【勒索诱饵陷阱】5，当勒索病毒加密诱饵文件可通过进程回溯病毒文件进行查杀，达到【转移攻击】的目的
➢通过【一键隔离】6阻止感染终端持续向外扩散，阻止【事件升级】
4.2.3检测阶段
➢通过【文件实时监控】7与【主动扫描】持续【检测威胁事件】
➢通过【终端围剿式查杀】8和【终端间访问控制】做到一台感染，全网感知，【抑制事件】进一步爆发
➢通过【威胁等级分类】9【确认风险优先级】，进一步明确内网安全情况，并按优先级进行处理
4.2.4响应阶段
➢通过【文件修复】对受感染文件进行【修复】，当无法修复或修复失败时再进行隔离➢通过【云网端协同联动】10对【全网网络安全架构进行设计】，并通过不断完善云网端体系和版本升级进行持续迭代
➢通过EDR针对攻击事件进行【溯源分析】进行【调查与取证】，对攻击链条进行重新审视，并针对审视结果
2见AI技术SAVE引擎4.4.1.3
3见安全基线核查4.4.3
4见应用创新为隔离技术的动态防护体系4.5
5见勒索病毒诱捕4.4.2
6见访问关系控制4.5.2
7见基于多维度威胁防御体系4.4
8见终端围剿式查杀4.4.4
9见全网威胁定位4.13
10见网端云协同联动与高效威胁处置4.6
4.3统一管理平台适配全类型资产
适配全类型资产
➢桌面云，传统PC，笔记本，私有云，服务器，私有云，公有云全适配
➢终端系统兼容性广阔
➢与底层虚拟化解耦，适配全部虚拟化底层平台
4.4基于多维度的智能检测技术
4.4.1检测引擎
终端上的安全检测是核心的技术，传统的病毒检测技术使用特征匹配，而特征匹配没有泛化能力或泛化能比较弱，当病毒经过简单的变种，就必须新增加特征规则，因此，随着病毒数量越来越大，病毒特征库也就跟着越来越大，同时运行所占资源也就越来越多。

而基于AI技术的查杀引擎，利用深度学习的技术，通过对海量样本数据的学习，提炼出来的高维特征，具备有很强的泛化能力，从而可以应对更多的未知威胁。

而这些高维特征数量极少，并且不会随着病毒数同步增长，因此，AI技术具有更好检出效果、更低资源消耗的优点。

当然，仅靠一个AI杀毒引擎是不够的，深信服的 EDR 产品构建了一个多维度、轻量级的漏斗型检测框架，包含文件信誉检测引擎、基因特征检测引擎、AI 技术的 SAVE 引擎、行为引擎、云查引擎等。

通过层层过滤，检测更准确、更高效，资源占用消耗更低。

4.4.1.1文件信誉检测引擎
基于传统的文件hash值建立的轻量级信誉检测引擎，主要用于加快检测速度并有更好的检出效果，主要有两种机制：
1.本地缓存信誉检测：对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。

2.全网信誉检测：在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。

并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开消。

4.4.1.2基因特征检测引擎
深信服EDR的安全运营团队，根据安全云脑和EDR产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞见威胁本质，使之能应对检测出病毒家族的新变种。

相比一般的静态特征，基因特征提取更丰富的特征，家族识别更精准。

4.4.1.3AI技术SAVE引擎
SAVE（Sangfor AI-based Vanguard Engine）是由深信服创新研究院的博士团队联合 EDR 产品的安全专家，以及安全云脑的大数据运营专家，共同打造的人工智能恶意文件检测引擎。

该引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。

●基于人工智能技术，拥有强大的泛化能力，能够识别未知病毒或者已知病毒的新变种；
●对勒索病毒检测效果达到业界领先，包括影响广泛的 WannaCry、BadRabbit等病毒。

2018
年 10 月新发现的 GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7 勒索病毒，使用 9 月已经合入产品并发布的 SAVE1.0.0可以全部检出和查杀。

对非勒索病毒也有较好的检出效果；
●云+边界设备+端联动，依托于深信服安全云脑海量的安全数据，SAVE 能够持续进化，
不断更新模型并提升检测能力，从而形成传统引擎、人工智能检测引擎和云端检测引擎的完美结合，构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全 EDR 的整体解决方案。

4.4.1.4行为引擎
传统静态引擎，是基于静态文件的检测方式，对于加密和混淆等代码级恶意对抗，轻易就被绕过。

而基于行为的检测技术，实际上是让可执行程序运行起来，“虚拟沙盒”捕获行为链数据，通过对行为链的分析而检测出威胁。

因此，不管使用哪种加密或混淆方法，都无法绕过检测。

最后，执行的行为被限制在“虚拟沙盒”中，检测完毕即被无痕清除，不会真正影响到系统环境。

行为引擎在分层漏斗检测系统结构中，与云查引擎处于最低层，仅有少量的文件到达该层进行鉴定，因此，总体资源消耗较少。

4.4.1.5云查引擎
针对最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技术，进行云端查询。

云端的安全云脑中心，使用大数据分析平台，基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等，秒级响应未知文件的检测结果。

4.4.2勒索病毒诱捕
装载在终端系统上的EDR客户端，在系统关键目录及随机目录放置诱饵文件，当病毒调用加密进程对终端文件加密，当加密到诱饵文件时，诱饵文件将加密进程反馈至EDR客户端，EDR客户端立即杀掉加密进程阻止加密，并根据调用进程的病毒源文件进行查杀，有效阻止勒索病毒对关键目录文件的进一步的加密和扩散
4.4.3终端安全基线核查
图4-4 安全合规审查
终端的安全合规性是重中之重，信息系统中终端一旦不合规将产生不可预知的安全风险，正因如此，无论是国家法律法规，还是组织内部的规章指引，对于主机方面都具有明确的安全要求，本方案将通过全面部署应用深信服终端检测与响应系统，对内部终端进行安全合规审查，依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。

4.4.4全网终端围剿式查杀
当某一台终端发现病毒文件，基于文件信誉引擎立即将此病毒文件的md5特征值进行全网通报，做到一台发现，全网感知，在全网进行围剿式查杀
4.5应用创新微隔离技术的动态防护体系
4.5.1创新微隔离技术
EDR微隔离方案提出了一种基于安全域应用角色之间的流量访问控制解决方法，系统可实现基于主机应用角色之间的访问控制，做到可视化的安全访问策略配置，简单高效地对应用服务之间访问进行隔离控制。

优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行控制配置，减少了非法人员对物理、虚拟服务器攻击机会，集中统一管理服务器的访问控制策略。

并且基于安装轻量级主机Agent软件的微隔离访问控制，不受虚拟化平台、物理机器和虚拟机器影响。

另一方面，微隔离功能的应用，可在发生病毒感染情况下，将威胁放置在可控范围内，从而有效提升安全防护水平。

4.5.2终端间访问关系控制
在东西向访问关系控制上，优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制配置，减少了对物理、虚拟的服务器被攻击的机会，集中统一管理服务器的访问控制策略。

并且基于安装轻量级主机 Agent 软件的访问控制，不受虚拟化平台的影响，不受物理机器和虚拟机器的影响。

通过全面部署应用深信服终端检测与响应系统，可全面解决信息系统内部网络互访不可控问题，规范化主机、业务等网内不同对象的网络访问行为。

利用应用角色之间的主机流量访问控制的技术，提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置，提供简单可视化的安全访问策略配置，提高安全管理效率。

表4-1 微隔离角色访问控制
例如门户网站业务域的WEB应用角色服务器组提供Apache应用服务，策略动作允许门户网站业务域内所有主机的访问，而DB应用角色服务器组提供的MySQL应用服务，策略动作只允许门户网站业务域内的WEB应用角色服务器组的访问。

门户网站业务域内WEB应用角色之间的主机，由于没有访问需求，配置为隔离拒绝策略。