安全挑戰(zhàn)
當(dāng)前全球網(wǎng)絡(luò)安全形勢嚴(yán)峻,,網(wǎng)絡(luò)攻擊層出不窮,,且攻擊來源、攻擊目的,、攻擊方法以及攻擊規(guī)模都在發(fā)生著巨大的變化,,尤其針對終端系統(tǒng)的主動入侵、漏洞利用,、勒索病毒,、未知威脅、非法接入,、違規(guī)操作,、信息泄密、存儲介質(zhì)隨意使用等安全問題頻發(fā),。
1.原有終端安全建設(shè)集成度弱
目前多數(shù)政企單位在安全建設(shè)過程中,,由于受條件和其它因素限制,可能部署了多套系統(tǒng),,而這些系統(tǒng)往來自不同廠商,,彼此獨立完成不同的功能,這就帶來了新的問題:
(1)終端被各種軟件占據(jù),,資源耗費巨大
各軟件均有獨立的數(shù)據(jù)庫,、內(nèi)存加載項、數(shù)據(jù)掃描行為等一系列資源需求,包括對磁盤存儲需求,、內(nèi)存需求,、CPU需求等,這些資源需求往往處于自身軟件設(shè)計的考慮,,極易導(dǎo)致對整體終端系統(tǒng)資源的較大消耗,,影響用戶實際使用體驗,干擾用戶正常業(yè)務(wù)工作,。
(2)系統(tǒng)之間容易產(chǎn)生沖突
終端安全軟件實現(xiàn)方式往往采用進(jìn)程注入,、API掛載、驅(qū)動掛載等系統(tǒng)級的處理方式,,使得安全軟件之間或安全軟件與其它軟件的兼容性出現(xiàn)問題,。
(3)系統(tǒng)之間獨立,無法聯(lián)動
安全從過去的孤立針對某個方面的防護(hù)已經(jīng)全面進(jìn)入大數(shù)據(jù)階段,,通過各種數(shù)據(jù)的整合,、分析、處置是應(yīng)對新型威脅的有效辦法,。而過去安全建設(shè)所產(chǎn)生的多種安全防護(hù)體系彼此孤立,,無論從系統(tǒng)層面還是數(shù)據(jù)層面都無法進(jìn)行有效整合,從而造成實際防護(hù)效果大打折扣,,在應(yīng)對未知威脅時捉襟見肘,。
(4)管理維護(hù)困難
多個安全系統(tǒng)的存在造成要針對每個系統(tǒng)有不同的運維管理的工作量,如系統(tǒng)的安全策略的定義,、細(xì)化,、調(diào)優(yōu)、更改,,系統(tǒng)的更新,,系統(tǒng)日志管理、數(shù)據(jù)庫管理等一系列工作,。這無疑給安全管理人員提出來非常高的要求,,增加了工作量和確保對系統(tǒng)的設(shè)置不會出錯。
2.缺乏防御各類威脅能力
(1)病毒防護(hù)問題
目前各政企單位持續(xù)面臨木馬,、蠕蟲和勒索病毒等威脅,,且由于大量終端處于辦公網(wǎng)內(nèi),造成交叉感染現(xiàn)象嚴(yán)重,,又很難徹底清除某些感染性較強(qiáng)的病毒,。
(2)高級威脅分析溯源問題
針對于企業(yè)的高級威脅則更加復(fù)雜,,無法對高級威脅的各個階段進(jìn)行有效的關(guān)聯(lián)檢測,,導(dǎo)致針對高級威脅一無所知,無法確認(rèn)它潛伏的時間、進(jìn)入的途徑,、造成的影響和范圍,。
(3)停服系統(tǒng)加固問題
隨著Windows系統(tǒng)不斷發(fā)展和迭代過程,微軟相繼發(fā)布停止對XP,、WIN7以及Server 2008等系統(tǒng)補(bǔ)丁升級服務(wù),,而各單位仍存在大量以上系統(tǒng)終端,在遷移至更高版本之前,,這些系統(tǒng)漏洞將會成為較大安全隱患,。
3. 缺少終端安全準(zhǔn)入控制
企業(yè)內(nèi)部網(wǎng)絡(luò)包含著多種多樣的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)終端,內(nèi)部服務(wù)器和PC搭載著許多重要的應(yīng)用平臺和數(shù)據(jù),,而如果外來終端可以隨便接入企業(yè)網(wǎng)絡(luò),,由于外來使用者的防范意識普遍偏低,防毒措施往往不到位,,一旦發(fā)生病毒感染,,往往擴(kuò)散到全網(wǎng)絡(luò),令網(wǎng)絡(luò)陷于癱瘓狀態(tài),。
4.缺少統(tǒng)一安全運維處置能力
盡管各政企單位均制定了相應(yīng)的終端安全管理制度,,但由于缺乏有效的技術(shù)執(zhí)行措施,需要面對各種合規(guī)管控難題,,主要表現(xiàn)在:
? 非辦公終端隨意接入工作網(wǎng)絡(luò)
? 內(nèi)網(wǎng)的業(yè)務(wù)終端違規(guī)外連
? USB,、藍(lán)牙等設(shè)備任意連接辦公終端
? 娛樂、炒股等非辦公軟件屢禁不止
? 終端安全基線缺乏自動化的檢查措施
5.整體安全決策力未形成閉環(huán)
安全威脅的產(chǎn)生是動態(tài)的過程,,對其監(jiān)控管理卻是靜態(tài)過程,;一方面,大部分安全思想都是基于攻防對抗思想,,防御總是落后于攻擊,,所以一旦攻擊發(fā)生,在消除攻擊的同時其實已經(jīng)對整個系統(tǒng)帶來了危害,。深入分析整個現(xiàn)狀的本質(zhì),,主要是因為缺少有效的一體化整體安全決策解決方案,無法看到終端更多維度的數(shù)據(jù),,從而無法基于數(shù)據(jù)進(jìn)行安全態(tài)勢分析,,繼而無法基于分析進(jìn)行安全運營,最終無法基于安全運營進(jìn)行安全決策,。
解決方案
奇安信終端安全管理解決方案(以下簡稱天擎)是奇安信結(jié)合多年安全技術(shù)經(jīng)驗及實踐要求,,自主研發(fā)的以安全防御為核心、以運維管控為重點,、以可視化管理為支撐,、以可靠服務(wù)為保障的全方位終端安全解決方案。
方案為用戶構(gòu)建能夠有效抵御已知、未知病毒和APT攻擊的新一代終端安全防御體系,,提供統(tǒng)一終端安全防御,、統(tǒng)一終端合規(guī)管理、統(tǒng)一終端運維管理及終端安全運營與協(xié)調(diào)等功能,。
1.統(tǒng)一終端安全防御
(1)終端安全一體化
采用多元,、包容、開放的架構(gòu)設(shè)計,,實現(xiàn)在平臺一體化,、功能一體化、數(shù)據(jù)一體化,。
平臺一體化體現(xiàn)在跨平臺的統(tǒng)一管理,,兼容各類終端及服務(wù)器Windows、Linux,、國產(chǎn)操作系統(tǒng),、MacOS X,同時支持云桌面和服務(wù)器虛擬化,。
功能一體化方面,,集終端防病毒和安全管控于一體,真正解決多客戶端,、終端資源占用高,、兼容性等問題。
數(shù)據(jù)一體化體現(xiàn)在數(shù)據(jù)結(jié)構(gòu)設(shè)計方面,,采用全新的Skyler2標(biāo)準(zhǔn)架構(gòu),,將各個模塊的數(shù)據(jù)標(biāo)準(zhǔn)化,進(jìn)而實現(xiàn)高效的數(shù)據(jù)交互,,提高軟件的運行效率,。
(2)病毒防御
天擎采用云查殺引擎、QOWL貓頭鷹引擎,、人工智能引擎,、主防引擎等多種引擎,能夠有效攔截已知和未知病毒,,并應(yīng)用了入口防護(hù),、系統(tǒng)防護(hù)、網(wǎng)絡(luò)防護(hù)及應(yīng)用防護(hù)等主動防御技術(shù),。通過海量病毒樣本數(shù)據(jù)的自學(xué)習(xí),,天擎的人工智能引擎無需頻繁更新特征庫,實現(xiàn)較高病毒檢出率,。
(3)高級威脅檢測能力
天擎EDR模塊在利用已有的經(jīng)驗和技術(shù)來阻止已知威脅的前提下,,通過云端威脅情報能力,、攻防對抗能力、機(jī)器學(xué)習(xí)等方式,,來快速發(fā)現(xiàn)并阻止先進(jìn)的惡意軟件和零日漏洞等威脅事件。同時基于終端的背景數(shù)據(jù),、惡意軟件的行為以及完整的高級威脅生命周期等多個角度,,對高級威脅進(jìn)行全面的檢測和響應(yīng),實現(xiàn)快速,、自動化的阻止,、補(bǔ)救、取證,,對終端進(jìn)行有效的防護(hù),。
(4)停服系統(tǒng)加固
WIN7和XP等停服系統(tǒng),避免因微軟停服而增加的安全隱患,?!疤旃贰币鎽?yīng)用全新的技術(shù)與解決方案,擺脫了傳統(tǒng)安全技術(shù)對文件,、流量,、數(shù)據(jù)、行為等特征的依賴,,采用了內(nèi)存指令控制流檢測技術(shù),,并與人工智能、機(jī)器學(xué)習(xí)技術(shù)深度結(jié)合,,可從更底層監(jiān)測漏洞攻擊代碼的執(zhí)行,,不依賴已知漏洞特征和已知攻擊代碼的特征,可發(fā)現(xiàn)利用未知漏洞發(fā)起的攻擊,。
2.統(tǒng)一終端合規(guī)管理
(1)同臺管理準(zhǔn)入方案
基于天擎“一體化”管理平臺,,業(yè)務(wù)模塊的聯(lián)動和數(shù)據(jù)情報的共享,在實現(xiàn)準(zhǔn)入控制的同時,,也構(gòu)建了一道從終端,、應(yīng)用一直到網(wǎng)絡(luò)的多層安全防護(hù)體系,實現(xiàn)從終端安全的檢測,,到核心應(yīng)用的防護(hù),、網(wǎng)絡(luò)接入的授權(quán),層層確保終端的安全規(guī)范入網(wǎng),,NAC也實時監(jiān)測始終保障天擎安全防護(hù)點的存在,,避免終端變成裸奔、非可信狀態(tài),,同時也防止天擎安全防護(hù)點的違規(guī)卸載和去化率過高,,保障入網(wǎng)終端始終在安全可控范圍內(nèi),,并實時上報安全動態(tài)及入網(wǎng)數(shù)據(jù),供風(fēng)險分析,。
(2)軟硬件資產(chǎn)統(tǒng)一管理
實現(xiàn)對軟硬件資產(chǎn)信息收集,,對終端硬件變動,軟件變動產(chǎn)生告警信息,,終端自助資產(chǎn)登記,,設(shè)置必填項以及輸入類型,最大限度的提供用戶一個便利的使用場景,。
3.統(tǒng)一終端運維管理
奇安信結(jié)合服務(wù)于萬家政企用戶的終端運維管理實戰(zhàn)經(jīng)驗,,向政企單位提供成熟穩(wěn)定的補(bǔ)丁及軟件分發(fā)功能、硬件資產(chǎn)管理及運行監(jiān)控功能和遠(yuǎn)程桌面加固功能,,幫助政企單位有效降低終端運維工作量,。
4.終端安全運營與協(xié)調(diào)體系
天擎具備終端實時數(shù)據(jù)的采集能力、存儲能力,,可對政企單位終端進(jìn)行淪陷終端檢測及響應(yīng),、終端態(tài)勢信息收集,采用完善的分析模型對實時數(shù)據(jù)進(jìn)行處理,,根據(jù)定制的量化指標(biāo)量化態(tài)勢信息,,以易懂的圖形化界面展示全單位終端態(tài)勢信息,幫助政企單位建立終端安全運營與協(xié)調(diào)體系,。
方案優(yōu)勢
1.病毒防御多維化
? 多引擎技術(shù):采用云查殺引擎,、OWL貓頭鷹引擎、主防引擎,、人工智能引擎,,有效查殺已知和未知病毒。
? 立體化主防:采用隔離防護(hù),、5層入口防護(hù),、7層系統(tǒng)防護(hù)及8層應(yīng)用防護(hù)等主動防御技術(shù)。
? 智能自學(xué)習(xí):通過海量病毒樣本數(shù)據(jù)自學(xué)習(xí),,人工智能引擎無需頻繁更新特征庫,。
2.產(chǎn)品聯(lián)動方案立體化
本身具有終端安全防御云端公有/私有云查殺的功能特性,同時支持和多種網(wǎng)絡(luò)安全設(shè)備聯(lián)動數(shù)據(jù)分析并協(xié)同處置,,包括防火墻,、天眼分析平臺和NGSOC態(tài)勢感知平臺,構(gòu)成了“云+端+邊界”的整體防御體系,。
應(yīng)用價值
1. 全面滿足合規(guī)要求
通過一體化的終端管理平臺,,能夠?qū)Φ燃壉Wo(hù)等合規(guī)要求中的惡意代碼防范、訪問控制,、非法外聯(lián)管理,、資源控制,、資產(chǎn)管理、介質(zhì)管理,、安全審計等控制點進(jìn)行全面覆蓋,。
2.實現(xiàn)強(qiáng)大的終端安全管理能力
方案擁有強(qiáng)大的終端安全管理功能,方便用戶通過管理平臺對內(nèi)網(wǎng)終端進(jìn)行高效管理,,提供補(bǔ)丁分發(fā),、終端系統(tǒng)優(yōu)化、終端藍(lán)屏修復(fù),、終端硬件資產(chǎn)與狀態(tài)監(jiān)控、終端體檢,、終端升級,、終端系統(tǒng)修復(fù)、終端軟件管理,、企業(yè)級軟件商店等幾十個安全管理功能,,統(tǒng)一下發(fā)安全策略,針對不同狀態(tài)的終端執(zhí)行不同的安全策略,,并進(jìn)行精準(zhǔn)管理,。正在被超過萬家政企用戶使用,通過了穩(wěn)定性,、性能方面的全面考驗,。
3.良好的用戶體驗與易用性
方案在用戶體驗方面得到了國內(nèi)萬家以上政企用戶的一致認(rèn)可:絕大多數(shù)功能設(shè)計都要求一鍵完成,包括一鍵修復(fù),、一鍵升級,、一鍵體檢等等;具備靈活的分組管理,,批量策略下發(fā),、分時掃描、終端強(qiáng)制控制,、軟件靜默安裝,、一對一遠(yuǎn)程協(xié)助等易用功能;從產(chǎn)品設(shè)計到開發(fā)過程中全面貼合企業(yè)及管理員的安全管理需求,,更大程度降低安全管理運維成本,,提高員工工作效率。
適合政府,、央企,、教育、金融,、制造業(yè)等多種企事業(yè)單位的終端安全應(yīng)用場景,,以下是天擎部分典型成功案例: