泛終端的精細化智能防禦體系建設

終端安全按照「本體防護、責任落實、統一準入、安全可視、在運合規」的管控原則，採取終端防病毒、泛終端准入控制、桌面終端管理、DNS安全監測分析、終端威脅分析以及基於威脅的多維分析和集中管理等技術手段，通過採集終端側的防病毒數據、桌管數據、EDR數據和網路層面的全流量威脅分析數據和范終端准入數據，以及DNS 解析數據，結合終端的威脅情報數據，實現從終端層面、網路分析層面到全局監測層面的多維數據打通和綜合分析，做到針對終端的全局化的全流量的可視化綜合分析與預警。實現針對網路終端設備的身份明確化、風險度量化、分析智能化和管理可視化的目標。

(1) 身份明確化

精確的設備可見性是安全實踐的基石。對所有在線設備進行掃描和深入識別，獲取終端的網路地址、系統網路指紋、系統開發埠和服務指紋，並根據積累和運營的指紋庫裁定每個終端的類型、操作系統、廠商信息。並根據所獲取的設備指紋信息，採用智能識別和唯一性演算法為每個終端建議指紋身份信息。作為終端生命周期管理的唯一性依據。

(2) 風險度量化

對終端硬體資產、軟體與操作系統、網路配置變動的監控，還提供終端體檢與系統修復、升級與補丁分發、流量管理、系統優化與加速、企業級軟體商店等幾十項安全管理功能。可以根據企業單位內部要求、行業管理規定、終端風險等級下發統一安全策略，針對不同狀態的終端執行特殊安全策略，實施手術刀似的精準管理。通過細粒度的統計與詳盡的日誌報表可以縱觀全網終端的安全態勢，包括病毒查殺趨勢、高危漏洞修復態勢、文件風險等級劃分等，對全網終端風險做到量化觀測，高效管理，全面監控。採用大數據分析技術，持續收集持續收集用戶和設備的環境數據、用戶的業務訪問行為數據，並進行風險建模和關聯分析，度量潛在的安全風險。

(3) 分析智能化

將分散的終端行為數據、 終端防病毒數據、業務訪問行為數據、准入審計數據、設備資產數據、網路流量解析數據和DNS域名檢測數據進行統一收集，形成以終端-業務-行為為中心的行為畫像，以大數據分析技術和多維分析技術，進行以威脅視角的關聯分析，及時得到受害目標、 攻擊者、攻擊手法、漏洞情況、惡意樣本、傳播方式等威脅詳情，針對分析的威脅結果，通過威脅的驗證，判斷威脅真實性和影響面。

(4) 管理可視化

資產管理可視化通過DNS安全域名監測系統、終端防病毒系統、終端桌面管理系統、網路准入控制系統等多個系統的告警信息提取，實現資產導入、資產標籤化、資產組合等，並根據其告警所涵蓋的風險，實現資產與風險的關聯，並形成完整資產庫。

風險可視化以威脅全生命周期的維度，通過多種威脅檢測手段對威脅進行可視化展示。根據設定的動作進行自動化通知下發告警，提升日常運營工作的效率。在部署終端防病毒和桌面管理的辦公計算機，對其進行威脅情報告警的通報以推動相關EDR處置模塊的運行。

建設任務

構建終端多維綜合威脅分析系統，需要從終端接入控制、終端授權控制、終端行為分析、終端防病毒控制以及網路流量分析等多個維度的數據分析，同時，從內部運營的管理視角和外部威脅的視角等視角進行威脅告警和響應。通過安全接入網關係統，不僅有效的檢測所有的泛終端資產，還將PC終端的安全防護措施平滑遷移至泛終端，使泛終端具備安全核查、安全評估、准入控制、接入防護等技防能力。通過與終端殺毒軟體和桌管系統進行協同，可以實現安全防護系統的一體化管理和資源整合，實現安全防護策略的統一管理，建立全面、集中、統一的終端安全管理體系。通過終端安全響應系統（EDR）、DNS安全監測系統和網路高級威脅全流量分析等協同綜合分析，可以實現針對終端安全事件的精確定位和詳細攻擊手段溯源。通過終端本體的安全監測和行為分析，結合網路全流量分析和DNS安全監測分析，實現從事前安全控制，事中的全面審計和監測，到事後的追蹤溯源的安全事件全過程的可管可控，精細防護，智能防禦。

(1) 全面的終端接入控制能力

針對泛終端進行接入控制，針進行終端發現、用戶註冊、認證授權、安全檢查、隔離修復、訪問控制、入網追溯等「一站式」的入網控制管理，實現終端統一安全准入及防護，完善終端體系下的安全保障體系建設。

終端接入與資產發現

針對終端PC辦公和移動辦公設備，通過聯動接入網路設備的事件管理和數據查詢，實時的發現網路中有接入的行為和流量感知，實時感知終端設備的內部通信和網間通信的行為，實現接入即感知和訪問即感知。對所有在線設備進行網路掃描和深入識別，獲取終端的網路地址、系統網路指紋、系統開發埠和服務指紋，並根據積累和運營的指紋庫裁定每個終端的類型、操作系統、廠商信息。

身份認證完成後，對準入客戶端將自動對終端進行環境安全檢查，檢查項包括系統弱密碼、漏洞、共享安全、U盤自啟動、必裝軟體、終端防火牆等10餘項評估項。只有各項檢查均通過的終端，才允許進入網路，防止不合規終端入網，給網路帶來安全風險。對於環境安全檢查未通過的終端，准入客戶端將引導其進行修復，修復完成並重新檢查通過後，方可進入網路。

終端認證與授權控制

網路終端設備種類多，情況複雜，部分設備有完整的操作系統，可以採用多種認證方式，部分設備的系統的特殊性，在認證上手段具有局限性。所以在終端設備的認證支持多種認證方式包含：用戶名密碼、數字證書、Ukey、簡訊碼、設備唯一識別碼、終端指紋、二維碼、一次性令牌。短息支持短息貓和簡訊平台等多種方式。

不同的終端設備和使用環境，需要基於時間、終端、接入點、接入方式等場景條件的認證約束策略。根據用戶的屬性信息（角色、分組、標識、類型）、終端（類型、操作系統、安全狀態）、接入點和接入類型（有線或者無線、ip地址、埠）、訪問目的、認證類型定義場景並自動選擇匹配的認證源，並進行場景的授權。

終端合規檢測與監控

終端設備分布廣泛，具有多種使用場景和環境，並且數量大，容易造成安全隱患。終端設備的安全程度，對於整體網路安全至關重要，需要保障不同類型和不同場景的終端設備進入安全合規，並且對終端進行實時的監控，及時發現淪陷設備和高危行為，快響應和處置，提升終端的安全能力。

終端合規檢測項目應該覆蓋：操作系統、系統配置、網路配置服務、應用程序部署配置與運行等內容。其中有客戶端或者可以部署AGENT的終端合規檢測包含：殺毒軟體、關鍵文件、補丁檢查、操作系統情況、賬號密碼複雜度、賬號活躍情況、基礎配置情況、註冊表、服務檢查、網路配置和防護情況、違規外聯情況、軟體檢查；其他終端，如攝像頭、印表機、考勤機、食堂刷卡機、專業行業終端、工業控制終端等，不具備部署agent的能力，合規檢測內容包含：終端網路埠與服務風險檢查、統風險與弱口令、網路連接方式異常、異常流量與行為異常檢測和進程檢查等。

用戶進行認證時驅動安檢模塊進行檢查，並將安檢結果上報給認證伺服器，認證伺服器根據策略確定是否需要強制終端安檢通過。如果安檢不通過，提示用戶訪問失敗的原因，並提示用戶後續的操作。每次安全檢查後與上一次安檢結果進行比較，如果發生變化將通知認證模塊重新進行認證。

一體化智能防禦

通過結合桌管系統和終端殺毒軟體進行協同，可以實現安全防護系統的一體化管理和資源整合，實現安全防護策略的統一管理，建立全面、集中、統一的終端安全管理體系。實現防病毒管理、補丁分發管理、移動介質管理、非法外聯管理、終端准入管理、主機監控審計管理、終端信息管理、安全策略管理、日誌報表管理等功能。

(2) 全面的行為和流量檢測能力

攻擊通常都會在內網的各個角落留下蛛絲馬跡，在網路的流量、終端的操作、DNS 解析中都可以發現安全事件的真相。從威脅攻擊的視角看安全事件，通過各個階段進行有效的檢測，根據上文的分析，從各個維度的數據中找到有價值的信息，發現攻擊行為或攻擊特徵相關的新生威脅。從安全運營的視角，在高級威脅不斷的今天，對所有網路流量行為進行檢測，提升網路透明度及可視性，對終端的整體安全狀態有全局的把控，實現誰在什麼時間什麼地點以什麼樣的方式做了什麼。聚焦在及時發現和處理異常，可以快速對終端威脅進行準確定位和溯源，牢牢掌握終端安全工作的主導位置。

網路流量實時分析和監測

通過對網路流量進行解碼還原出真實流量提取網路層、傳輸層和應用層的頭部信息，甚至是重要負載信息，這些信息將通過加密通道傳送到分析平台進行統一處理。通過對終端網路行為流量的深入分析，感知並檢查終端是否為NAT方式接入，並嘗試分析NAT前的終端數量和操作系統信息。對無人值守終端的默認行為進行學習建模，包括入站管理行為和出站訪問行為。學習建模後對其出入站網路流量進行檢查，判斷其行為是否發生異常。業務網路流量進行基於時間和流向的規律學習建模，對異常偏差流量進行振幅異常的檢測，以判斷其流量模式的異常。無代理能力終端無法感知其內在系統和應用的變化，系統會監控其網路連接狀態的變化、管理與行為變化、終端身份變化，在出現異常事件時立刻出發合規檢測。無變化狀態的合規檢測也會嚴格控制器時效周期，強制終端的定期合規確認。

針對對文件類型的威脅檢測，通過沙箱使用靜態檢測、動態檢測、沙箱檢測等一系列無簽名檢測方式發現網路中的威脅行為，並將威脅相關情況以報告行為提供給安全管理人員。相關告警也可發送至分析平台實現告警的統一管理和後續的進一步分析。

終端行為分析和監測

終端按照終端能否部署防病毒軟體、桌面管理系統和EDR等軟體可以進行終端行為數據採集的可以分為兩類，部署了防病毒軟體、桌面管理系統和EDR等軟體可以進行全網終端的安全數據進行採集和監測，實時收集IM文件傳輸信息、驅動信息、操作系統信息、進程信息、DNS訪問審計、IP訪問記錄、U盤使用記錄、軟體安裝信息、郵件日誌信息、證書相關信息等。將採集到的終端安全數據會匯總到數據採集平台上進行統一的數據分析。

對可以部署採集軟體的終端可以實現一下目標：

持續監測：持續記錄終端上的所有行為，將靜態和動態的終端數據實時推送到大數據分析平台進行統一的存儲和管理。

主動檢測：實時接收大數據威脅情報、鑒定中心等告警線索信息，在大數據分析平台中主動檢索、定位符合條件的威脅終端。

全面評估：針對於威脅終端進行全面的安全評估，結合終端背景數據，對於終端的安全漏洞、威脅的攻擊步驟進行分析評估，發現整個攻擊鏈與終端淪陷的根本原因。

自動響應：針對不同類型的終端威脅提供相應的自動響應手段，結合終端、業務、系統等因素提供補救手段，提升安全基線，防止同類型攻擊再次發生。

對於不能部署終端數據採集軟體的終端，如攝像頭、印表機、專業行業終端、工業控制終端等，通過准入控制的審計檢測，獲取終端身份仿冒接入、終端網路埠與服務風險檢查、操作系統風險與弱口令、網路連接方式、異常流量與行為異常檢測、外聯情況等信息，實時的提供給分析平台。

DNS安全檢測和分析

DNS是互聯網和物聯網（IOT）的「神經系統」，是連接網路的第一步動作，DNS系統是一個基於C/S結構的巨型分散式資料庫系統，實現域名到IP地址的轉換，對用戶訪問各種互聯網應用至關重要。思科2016年度安全報告指出，近91.3%的「已知不良」惡意軟體被發現使用DNS作為主要手段，通過研究DNS流量或數據，可以發現網路的安全攻擊以及異常行為。

統針對DNS層面的網路安全威脅，鏡像的DNS流量，根據DNS請求流量數據，將域名解析記錄在不同周期尺度上（每天、每周、每月）建立解析基線，計算當前周期與已有基線的偏離程度，以判定當前周期的域名請求內容、請求次數是否異常。利用某些惡意軟體的多個C&C會形成DNS查詢序列的特點，通過模型計算可以發現惡意軟體的各種網路行為。利用威脅情報庫，或攻擊特徵（特徵可包括域名結構、域名活動周期、域名解析結果等）將具有關聯的攻擊進行聚類，並對攻擊鏈路進行關聯分析深度挖掘，還原攻擊全貌，洞悉高級威脅。通過機器學習，DNS異常檢測發現DNS隱秘隧道，有效發現攻擊線索，與其它數據關聯分析，可以發現高級或隱藏威脅。根據殭屍網路域名的特性和相關的IP屬性、端點屬性，將C&C域名分組，有助於準確分析殭屍終端感染情況，可視化展現殭屍終端的感染範圍，挖掘殭屍網路端點，及時發現殭屍終端，提升網路邊界和終端安全防護水平。將DNS 安全檢測數據實時發送給分析平台進行分析，作為終端安全分析的重要數據支撐。

(3) 多維數據的智能分析能力

多維度數據的智能分析，同時採集本地數據，結合第三方數據與情報，實現雲端和本地相結合的各類安全事件監測、資源監測，獲得多種數據來源和精確實時的分析結果。主要提供針對海量數據的實時處理能力，數據可視化能力，與終端業務緊密貼合的工作模型。實現安全可看見，可監管，可響應。

資產維度分析

以資產的維度，實時的以資產為核心，跟蹤硬體資產變更，幫助管理員及時獲取硬體資產的變更記錄，硬體新增、丟失情況，對硬體變更準確監控，及時預警，輕鬆構建專業的企業硬體資產監控與審計平台。展示全省的終端的安全現狀，如：終端數量、體檢得分、漏洞數、病毒木馬、終端防病毒安裝數量、安裝率，終端定位信息等，上報給二級中心，二級中心經過匯總後，上報到總中心，總中心進行地市或者縣為單位展示。

風險維度分析

信息安全問題技術複雜、牽涉極多，往往顯得非常神秘，既不被上級領導理解，也不被自己掌控，安全管理往往像是在黑暗中的摸索。結合線索可視化分析技術，實現安全問題的可視化、安全分析的可視化，直觀呈現全局安全趨勢、變化、對比。通過與防病毒軟體進行聯動，通過EDR模塊細粒度地採集終端的進程socket事件、進程dns事件、帶附件郵件發送接收事件、出入文件事件和接收上傳附件事件等日誌信息集中上傳到分析平台，通過全流量威脅分析的威脅情報、大數據分析能力和深度檢測技術發現本地未知威脅的惡意行為。針對該威脅的處理建議和相關威脅情報信息發送給分析平台，由安全專員參考該建議通過客戶端、准入網關和防火牆對有危害的終端威脅進行處理。構建對以終端的威脅、終端異常行為、高危行為和入侵攻擊等風險從精確檢測到深度防禦的縱深防範閉環體系。

多場景的可視化分析

隨著攻擊日益縝密和不斷演進，靜態技術無法與時俱進。阻止網路攻擊和應對未知威脅需要足夠的情報和精準度。以業務發展為基礎，以事件核查為線索，以能力提升為關鍵，以持續優化為根本，跟進業務發展並提供細化分工的安全服務並持續提升。結合終端在網路中使用環境不同的特點，以不同的場景進行終端安全建模，實現基於場景特點的安全可視化，滿足不同業務、不同環境的安全需求。

(4) 終端可視化安全運營能力

安全運營是對安全運維的繼承式發展，是以業務發展為基礎，以事件核查為線索，以能力提升為關鍵，以持續優化為根本，跟進業務發展並提供細化分工的安全服務並持續提升。需要與時俱進的安全對抗經驗的更新和豐富的安全業務經驗積累。通過安全情報的建設可以很好的解決安全對抗經驗的更新問題，而安全業務的經驗的積累，則需要在終端安全大數據檢測與響應平台融入專業的安全業務流程設計。

*

本文作者：good1205，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！