企業動態

奇安信天擎終端安全管理系統可滿足防守隊從備戰到實戰不同階段的差異化防守需求，助力防守隊攻克終端安全防禦難題。目前，天擎已助力國內5萬餘家政企單位部署終端安全工作，是防守隊守好終端安全的利器。

在實戰攻防演習過程中，終端歷來是攻防雙方的必爭之地。終端安全防禦難，一方面受到終端數量龐大、操作系統各異、用户安全意識薄弱等問題牽制；另一方面，終端又是所有網絡攻擊的“着陸點”，針對終端系統的攻擊手段複雜、多樣。在這一背景下，防守隊該如何在攻防演習中守好終端安全？

作為奇安信面向政企單位推出的一體化終端安全產品解決方案，終端安全管理系統（以下簡稱“天擎”）集防病毒、終端安全管控、終端准入、EDR等功能於一體，在實戰攻防演習中全面發揮防禦能力，從演習的三個不同階段入手，助力防守隊攻克終端安全防禦難題。

下面具體來看，天擎在演習過程中為防守隊獻上的錦囊妙計。

階段一：盤清資產、識別風險

在實戰攻防演習正式啓動前的第一個備戰階段，核心目標是梳理全網終端資產的狀態，識別高風險資產，從而確定網內的風險點和暴露面。

這一階段，防守隊可利用天擎“終端發現”的掃描、監聽等能力，並結合網絡准入設備，首先對全網資產進行全面掃描，並重點識別未確認、不活動中高端。

未確認終端主要包括近期新入網尚未進行資產識別的終端、未進行實名認證及登記的終端、以及系統無法準確識別的終端等。由於此類設備在網運行期間缺乏有效的資產識別和信息獲取，使其成為不折不扣的“黑户”，給安全策略落地、安全責任到人帶來了較大阻力，是實戰演習前需要解決的首要風險點。

不活動終端通常包括臨時啓用的業務服務器、長期開機但不常態使用的計算機終端等，此類終端猶如“幽靈”般存在，往往長期不受關注並疏於管理，給防守留下了較大的暴露面。演習前夕，需全面識別此類終端，並結合業務實際需求，及時採取關停或納入統一管理等安全措施

在消除了“黑户”和“幽靈”後，防守隊已經基本做到了“盤清資產”。接下來，防守隊需針對終端列表進行深入分析，並利用天擎的“綜合評估”模塊，識別並標記相關安全配置不符合基線要求的終端、保存大量敏感數據的終端、重要部門核心人員使用的終端、停服系統終端等高風險終端。

“綜合評估”模塊共包含三項能力，分別為：

1. 配置脆弱性評估
天擎通過檢查終端身份鑑別、安全審計、訪問控制、資源控制、入侵防護的配置狀態，評估其配置脆弱程度，並判斷其是否符合實戰攻防演習背景下的終端安全管控標準。

2. 數據價值評估
防守隊可自定義“高價值數據”的典型特徵，並針對全網終端指定路徑下的各類文件進行內容掃描，基於檢測到的高價值數據情況，將在網終端劃分為普通數據終端、敏感數據終端、核心數據終端等，並進行分類標記。

3. 淪陷跡象評估

淪陷跡象評估主要針對主機的系統帳號變化、終端U盤使用、IE瀏覽器訪問、文檔打開、搜索、共享訪問等記錄進行分析評估，確定可能已被侵入並受到惡意控制的終端。
至此，在天擎的協助下，防守隊就可以達成“盤清資產、識別風險”的目的，第一階段備戰結束。

階段二：加固戰壕、精準防控

第二個備戰階段，則以縮小網絡暴露面，最大程度消除隱患為核心目標。

防守隊可利用天擎的“一體化”特性，再次評估終端漏洞修補、全盤病毒查殺、開啓實時防護、使能主動防禦、部署運維管控措施等防護管理手段效果，並進行必要的策略優化和調整，以加強“戰時”的總體防控強度。

除此之外，針對上一階段所識別出的關鍵風險點，則需重點加強其防控措施，實現精準防控，建議防守隊採取的主要措施包括：

1. 停服系統加固

通過啓用天擎的“XP系統加固”和“Win7系統加固”模塊，基於內存指令控制流檢測技術、智能權限分析與設置技術，重點防護針對停服系統進程的遠程代碼執行漏洞攻擊、針對瀏覽器漏洞的網頁掛馬行為攻擊、針對常用文檔編輯程序漏洞的釣魚攻擊等。

2. 軟件安裝統一控制

通過天擎內置的“軟件管家”，建立統一的軟件管理中心。在演習期間，全網終端僅可安裝經過軟件中心安全鑑定的程序，禁止運行其他未被鑑定、授權或非可信來源的安裝文件，從而規避常用軟件夾帶惡意程序植入的風險。

3. 移動存儲管控

隨着利用U盤等移動存儲設備傳播惡意程序的新型攻擊出現，天擎可對所有企業自用U盤進行登記管理，並對文件存儲進行高輕度加密，非可信的移動存儲設備則無法在終端設備上使用。

4. 違規外聯管控
針對隔離內網用户，開啓違規外聯監控及告警措施，重點監控無互聯網訪問權限終端通過自建網絡連接互聯網，或使用不可信互聯網連接訪問互聯網的情況。

至此，第二階段備戰結束。

階段三：持續監測、及時響應

1. 基於告警信息進行分析和調查

EDR系統可基於持續的IOC和IOA檢測，對惡意行為進行識別併發出告警，防守隊則通過EDR提供的威脅調查工具，對線索中的可疑事件、IP、文件等進行信息檢索及關聯分析，從而快速洞察威脅全貌，是對傳統防護手段的有力補充。

2. 對確定的威脅事件進行快速定位

在演習期間，防守隊會持續獲取各類通報信息。對於一些已確定的攻擊事件，防守隊往往已經掌握了攻擊的部分特徵，需要在最短的時間內查清威脅全貌並確定受影響範圍，以採取響應措施。此時，EDR可以作為調查工具，把終端上發生的所有行為以元數據的形式記錄下來。在此基礎上，防守隊可快速檢索出與威脅相關的IP、主機、進程、命令參數等，這一過程類似於使用“搜索引擎”。

3. 加強戰時的“機動巡邏”

基於“戰時”的需要，部分用户還可利用EDR所支持的高級查詢規則，自定義與業務相關的威脅行為特徵，並在全網終端大數據中檢索。此類應用是在一系列自動化告警機制之外的補充，主要起到了“機動巡邏”的作用。

4. 終端威脅集中處置

當威脅及其影響範圍被確定後，防守隊可通過EDR的統一控制枱，針對全網或限定範圍的終端進行進程中斷、網絡隔離等操作，從而在短時間內遏制威脅的破壞。值得強調的是，天擎EDR可與奇安信旗下的天眼、NGSOC等產品實現聯動處置，防守隊則可藉此特性，實現網絡側、終端側的協同響應。

以上就是天擎在攻防演習三個階段所發揮的防禦能力，滿足防守隊從備戰到實戰不同階段的差異化防守需求。在網絡實戰攻防演習的常態化趨勢下，越來越多的政企單位加入其中，攻防雙方的演習程度不斷白熱化，想要守好終端安全，天擎這個制勝武器每一個防守隊都值得擁有！