信息安全-终端检测响应平台EDR解决方案.docVIP

概述 二十一世纪以计算机和网络通信为代表的信息化技术迅速发展，现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖，信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统，而针对其所承载的服务和数据的安全保护就显得尤为重要，如数据的安全性、完整性，终端计算机的可靠性、可用性等方面出现缺陷，将会给组织机构带来不可计量的损失。而如今，全球化的互联网使得组织机构不仅依赖信息系统，还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁，对信息系统及系统终端的保护需求则更为突出。 面对日益严峻的安全风险，大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系，并在一定程度上抵御来自外部的攻击，然而内部信息系统是不断变化发展的，系统环境在任何时刻都会呈现开放、共享等特点，不应以孤岛形式存在，外部威胁只是安全风险的一部分，作为办公环境的重要组成，开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此，终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。 XX终端计算机具有点数多、覆盖面大、难管理等特点，加之XX信息安全人员人手有限，终端分布环境复杂，威胁风险事件较多，使信息安全人员对终端安全工作处于被动状态。在终端安全方面，一旦出现病毒感染、恶意破坏传播、数据丢失等事件，将会给XX造成严重损失，后果不堪设想。现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐，已严重影响到计算机信息系统安全性。正因如此，全方位做好XX信息系统的终端安全防护工作，在XX建设一套终端安全检测与响应系统，以确保XX的日常办公安全、稳定、高效运行。 应用场景与风险分析 防病毒应用概况 信息化飞速发展，组织内部人员的正常办公，与计算机终端密不可分，它为使用者带来便利同时，亦产生了层出不穷的安全威胁。这其中就以计算机病毒最为致命，它具有破坏性强、传播途径多样等特点，一旦感染将会给XX造成巨大损失。针对于此，XX在现有信息系统中通过部署**防病毒产品，用以防御已知威胁，这在一定程度上确实能够提升终端安全防护水平，但就目前信息化技术发展来说，如勒索病毒大范围感染传播事件，攻击者的免杀技术不断升级，传统防病毒产品已无法及时有效的应对新的高级威胁。 现状及风险分析 人工运维加剧威胁防御成本 传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。 另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。 基于特征匹配杀毒无法有效抵御新型病毒 已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。 病毒特征库数量增长加重主机运算资源 伴随着已知病毒样本的不断增加，本地病毒特征库数量日益增多，现已严重加剧终端存储、运算资源成本，查杀病毒过程会出现卡顿、假死等现象，严重影响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代，现有防病毒产品已无法适配如云化等新的特定场景。 杀毒处置方式落后无法适应病毒新的传播方式与环境 如信息系统内某台终端发现病毒，防病毒产品将采取基于文件隔离的方式进行处置，此种方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。 终端间访问控制应用概况 一直以来，企业广泛的采用纵深防御技术（defensin depth）和最小权限逻辑（least privilege）来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。 现状及风险分析 终端间缺少基本的访问控制体系 从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据