安全挑戰

當前全球網絡安全形勢嚴峻,網絡攻擊層出不窮,且攻擊來源、攻擊目的、攻擊方法以及攻擊規模都在發生着巨大的變化,尤其針對終端系統的主動入侵、漏洞利用、勒索病毒、未知威脅、非法接入、違規操作、信息泄密、存儲介質隨意使用等安全問題頻發。

1.原有終端安全建設集成度弱

目前多數政企單位在安全建設過程中,由於受條件和其它因素限制,可能部署了多套系統,而這些系統往來自不同廠商,彼此獨立完成不同的功能,這就帶來了新的問題:

1)終端被各種軟件佔據,資源耗費巨大

各軟件均有獨立的數據庫、內存加載項、數據掃描行為等一系列資源需求,包括對磁盤存儲需求、內存需求、CPU需求等,這些資源需求往往處於自身軟件設計的考慮,極易導致對整體終端系統資源的較大消耗,影響用户實際使用體驗,干擾用户正常業務工作。

2)系統之間容易產生衝突

終端安全軟件實現方式往往採用進程注入、API掛載、驅動掛載等系統級的處理方式,使得安全軟件之間或安全軟件與其它軟件的兼容性出現問題。

3)系統之間獨立,無法聯動

安全從過去的孤立針對某個方面的防護已經全面進入大數據階段,通過各種數據的整合、分析、處置是應對新型威脅的有效辦法。而過去安全建設所產生的多種安全防護體系彼此孤立,無論從系統層面還是數據層面都無法進行有效整合,從而造成實際防護效果大打折扣,在應對未知威脅時捉襟見肘。

4)管理維護困難

多個安全系統的存在造成要針對每個系統有不同的運維管理的工作量,如系統的安全策略的定義、細化、調優、更改,系統的更新,系統日誌管理、數據庫管理等一系列工作。這無疑給安全管理人員提出來非常高的要求,增加了工作量和確保對系統的設置不會出錯。


2.缺乏防禦各類威脅能力

1)病毒防護問題

目前各政企單位持續面臨木馬、蠕蟲和勒索病毒等威脅,且由於大量終端處於辦公網內,造成交叉感染現象嚴重,又很難徹底清除某些感染性較強的病毒。

2)高級威脅分析溯源問題

針對於企業的高級威脅則更加複雜,無法對高級威脅的各個階段進行有效的關聯檢測,導致針對高級威脅一無所知,無法確認它潛伏的時間、進入的途徑、造成的影響和範圍。

3)停服系統加固問題

隨着Windows系統不斷髮展和迭代過程,微軟相繼發佈停止對XP、WIN7以及Server 2008等系統補丁升級服務,而各單位仍存在大量以上系統終端,在遷移至更高版本之前,這些系統漏洞將會成為較大安全隱患。


3. 缺少終端安全准入控制

企業內部網絡包含着多種多樣的網絡設備和網絡終端,內部服務器和PC搭載着許多重要的應用平台和數據,而如果外來終端可以隨便接入企業網絡,由於外來使用者的防範意識普遍偏低,防毒措施往往不到位,一旦發生病毒感染,往往擴散到全網絡,令網絡陷於癱瘓狀態。


4.缺少統一安全運維處置能力

儘管各政企單位均制定了相應的終端安全管理制度,但由於缺乏有效的技術執行措施,需要面對各種合規管控難題,主要表現在:

• 非辦公終端隨意接入工作網絡

• 內網的業務終端違規外連

USB、藍牙等設備任意連接辦公終端

• 娛樂、炒股等非辦公軟件屢禁不止

• 終端安全基線缺乏自動化的檢查措施


5.整體安全決策力未形成閉環

安全威脅的產生是動態的過程,對其監控管理卻是靜態過程;一方面,大部分安全思想都是基於攻防對抗思想,防禦總是落後於攻擊,所以一旦攻擊發生,在消除攻擊的同時其實已經對整個系統帶來了危害。深入分析整個現狀的本質,主要是因為缺少有效的一體化整體安全決策解決方案,無法看到終端更多維度的數據,從而無法基於數據進行安全態勢分析,繼而無法基於分析進行安全運營,最終無法基於安全運營進行安全決策。

解決方案

奇安信終端安全管理解決方案(以下簡稱天擎)是奇安信結合多年安全技術經驗及實踐要求,自主研發的以安全防禦為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務為保障的全方位終端安全解決方案。

方案為用户構建能夠有效抵禦已知、未知病毒和APT攻擊的新一代終端安全防禦體系,提供統一終端安全防禦、統一終端合規管理、統一終端運維管理及終端安全運營與協調等功能。

1.統一終端安全防禦

1)終端安全一體化

採用多元、包容、開放的架構設計,實現在平台一體化、功能一體化、數據一體化。

平台一體化體現在跨平台的統一管理,兼容各類終端及服務器Windows、Linux、國產操作系統、MacOS X,同時支持雲桌面和服務器虛擬化。

功能一體化方面,集終端防病毒和安全管控於一體,真正解決多客户端、終端資源佔用高、兼容性等問題。

數據一體化體現在數據結構設計方面,採用全新的Skyler2標準架構,將各個模塊的數據標準化,進而實現高效的數據交互,提高軟件的運行效率。

2)病毒防禦

天擎採用雲查殺引擎、QOWL貓頭鷹引擎、人工智能引擎、主防引擎等多種引擎,能夠有效攔截已知和未知病毒,並應用了入口防護、系統防護、網絡防護及應用防護等主動防禦技術。通過海量病毒樣本數據的自學習,天擎的人工智能引擎無需頻繁更新特徵庫,實現較高病毒檢出率。

3)高級威脅檢測能力

天擎EDR模塊在利用已有的經驗和技術來阻止已知威脅的前提下,通過雲端威脅情報能力、攻防對抗能力、機器學習等方式,來快速發現並阻止先進的惡意軟件和零日漏洞等威脅事件。同時基於終端的背景數據、惡意軟件的行為以及完整的高級威脅生命週期等多個角度,對高級威脅進行全面的檢測和響應,實現快速、自動化的阻止、補救、取證,對終端進行有效的防護。

4)停服系統加固

WIN7和XP等停服系統,避免因微軟停服而增加的安全隱患。“天狗”引擎應用全新的技術與解決方案,擺脱了傳統安全技術對文件、流量、數據、行為等特徵的依賴,採用了內存指令控制流檢測技術,並與人工智能、機器學習技術深度結合,可從更底層監測漏洞攻擊代碼的執行,不依賴已知漏洞特徵和已知攻擊代碼的特徵,可發現利用未知漏洞發起的攻擊。
2.統一終端合規管理

1)同台管理准入方案

基於天擎“一體化”管理平台,業務模塊的聯動和數據情報的共享,在實現准入控制的同時,也構建了一道從終端、應用一直到網絡的多層安全防護體系,實現從終端安全的檢測,到核心應用的防護、網絡接入的授權,層層確保終端的安全規範入網,NAC也實時監測始終保障天擎安全防護點的存在,避免終端變成裸奔、非可信狀態,同時也防止天擎安全防護點的違規卸載和去化率過高,保障入網終端始終在安全可控範圍內,並實時上報安全動態及入網數據,供風險分析。


2)軟硬件資產統一管理

實現對軟硬件資產信息收集,對終端硬件變動,軟件變動產生告警信息,終端自助資產登記,設置必填項以及輸入類型,最大限度的提供用户一個便利的使用場景。

3.統一終端運維管理

奇安信結合服務於萬家政企用户的終端運維管理實戰經驗,向政企單位提供成熟穩定的補丁及軟件分發功能、硬件資產管理及運行監控功能和遠程桌面加固功能,幫助政企單位有效降低終端運維工作量。


4.終端安全運營與協調體系

天擎具備終端實時數據的採集能力、存儲能力,可對政企單位終端進行淪陷終端檢測及響應、終端態勢信息收集,採用完善的分析模型對實時數據進行處理,根據定製的量化指標量化態勢信息,以易懂的圖形化界面展示全單位終端態勢信息,幫助政企單位建立終端安全運營與協調體系。

方案特點
1.病毒防禦多維化

• 多引擎技術:採用雲查殺引擎、OWL貓頭鷹引擎、主防引擎、人工智能引擎,有效查殺已知和未知病毒

• 立體化主防:採用隔離防護、5層入口防護、7層系統防護及8層應用防護等主動防禦技術。

• 智能自學習:通過海量病毒樣本數據自學習,人工智能引擎無需頻繁更新特徵庫。

2.產品聯動方案立體化

本身具有終端安全防禦雲端公有/私有云查殺的功能特性,同時支持和多種網絡安全設備聯動數據分析並協同處置,包括防火牆、天眼分析平台和NGSOC態勢感知平台,構成了“雲+端+邊界”的整體防禦體系。

應用價值
1.    全面滿足合規要求

通過一體化的終端管理平台,能夠對等級保護等合規要求中的惡意代碼防範、訪問控制、非法外聯管理、資源控制、資產管理、介質管理、安全審計等控制點進行全面覆蓋。

2.實現強大的終端安全管理能力

方案擁有強大的終端安全管理功能,方便用户通過管理平台對內網終端進行高效管理,提供補丁分發、終端系統優化、終端藍屏修復、終端硬件資產與狀態監控、終端體檢、終端升級、終端系統修復、終端軟件管理、企業級軟件商店等幾十個安全管理功能,統一下發安全策略,針對不同狀態的終端執行不同的安全策略,並進行精準管理。正在被超過萬家政企用户使用,通過了穩定性、性能方面的全面考驗。

3.良好的用户體驗與易用性

方案在用户體驗方面得到了國內萬家以上政企用户的一致認可:絕大多數功能設計都要求一鍵完成,包括一鍵修復、一鍵升級、一鍵體檢等等;具備靈活的分組管理,批量策略下發、分時掃描、終端強制控制、軟件靜默安裝、一對一遠程協助等易用功能;從產品設計到開發過程中全面貼合企業及管理員的安全管理需求,更大程度降低安全管理運維成本,提高員工工作效率。

應用場景

適合政府、央企、教育、金融、製造業等多種企事業單位的終端安全應用場景,以下是天擎部分典型成功案例: