信息安全-终端检测响应平台EDR解决方案

第一章概述二十一世纪以计算机和网络通信为代表的信息化技术迅速发展，现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖，信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统，而针对其所承载的服务和数据的安全保护就显得尤为重要，如数据的安全性、完整性，终端计算机的可靠性、可用性等方面出现缺陷，将会给组织机构带来不可计量的损失。而如今，全球化的互联网使得组织机构不仅依赖信息系统，还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁，对信息系统及系统终端的保护需求则更为突出。面对日益严峻的安全风险，大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系，并在一定程度上抵御来自外部的攻击，然而内部信息系统是不断变化发展的，系统环境在任何时刻都会呈现开放、共享等特点，不应以孤岛形式存在，外部威胁只是安全风险的一部分，作为办公环境的重要组成，开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此，终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。XX终端计算机具有点数多、覆盖面大、难管理等特点，加之XX信息安全人员人手有限，终端分布环境复杂，威胁风险事件较多，使信息安全人员对终端安全工作处于被动状态。在终端安全方面，一旦出现病毒感染、恶意破坏传播、数据丢失等事件，将会给XX造成严重损失，后果不堪设想。现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐，已严重影响到计算机信息系统安全性。正因如此，全方位做好XX信息系统的终端安全防护工作，在XX建设一套终端安全检测与响应系统，以确保乂乂的日常办公安全、稳定、高效运行。第二章应用场景与风险分析防病毒应用概况信息化飞速发展，组织内部人员的正常办公，与计算机终端密不可分，它为使用者带来便利同时，亦产生了层出不穷的安全威胁。这其中就以计算机病毒最为致命，它具有破坏性强、传播途径多样等特点，一旦感染将会给XX造成巨大损失。针对于此，XX在现有信息系统中通过部署**防病毒产品，用以防御已知威胁，这在一定程度上确实能够提升终端安全防护水平，但就目前信息化技术发展来说，如勒索病毒大范围感染传播事件，攻击者的免杀技术不断升级，传统防病毒产品已无法及时有效的应对新的高级威胁。现状及风险分析人工运维加剧威胁防御成本传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。基于特征匹配杀毒无法有效抵御新型病毒已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。病毒特征库数量增长加重主机运算资源伴随着已知病毒样本的不断增加，本地病毒特征库数量日益增多，现已严重加剧终端存储、运算资源成本，查杀病毒过程会出现卡顿、假死等现象，严重影响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代，现有防病毒产品已无法适配如云化等新的特定场景。杀毒处置方式落后无法适应病毒新的传播方式与环境如信息系统内某台终端发现病毒，防病毒产品将采取基于文件隔离的方式进行处置，此种方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。终端间访问控制应用概况一直以来,企业广泛的采用纵深防御技术(defensindepth)和最小权限逻辑(leastprivilege)来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。现状及风险分析终端间缺少基本的访问控制体系从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的 LockheedMartinCyberKillChain(洛克希德-马丁公司提出的网络攻击杀伤链)，还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。终端间访问关系无法有效可视对终端间访问关系的梳理必不可少，若通过路由表单等静态报表很难看到每个业务域内部各个终端的访问关系展示以及访问记录，也无法通过可视化的方式看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行设备联动应用现状XX网络的建设伊始及后续应用，就与外部网络存在密不可分的连通性，资料查阅、信息交流、数据共享等行为普遍存在，这使得XX办公人员大大增加了工作便捷性。然而，网络化办公增加工作效率同时，由此产生的外部威胁、非法操作行为即随之而来，正因如此，XX在现有信息系统中通过部署深信服下一代防火墙AF、行为管控AC、安全感知平台SIP等设备，以便达到抵御外部攻击威胁、规范化组织用户上网行为、感知网络威胁等效果，这些技术措施的良好运用，有效增强了信息系统安全性。然而安全体系的建设应呈现一体化形态，各安全设备分散应用、各自为战，无法有效实现安全防护工作的进一步增值，病毒威胁一旦感染至终端，前期所做一切工作将形同虚设。现状及风险分析未构成整体安全防护体系传统安全防护工作的建立，必然与各安全设备形成密不可分的关系，但术业有专攻，目前各安全设备只可达到职责范围内的对应防护效果，即各系统只可对其涉及的对象进行安全管理，查看相应信息、检测对应流量、收集安全日志，各系统的功能及信息均呈现分散特点，未有效整合安全防御能力，并形成整体化的安全防护体系。缺乏设备间有效联动机制安全威胁的产生不会因为防御技术的升级而终止，面对层出不穷的威胁，诸多安全设备各司其职、各自为战，安全设备间未形成有效的联动机制，威胁一旦在某点爆发将快速影响到面，然而现阶段，有效应对及响应手段只可依靠人工。安全防护能力不可延伸至端点前期已建设的深信服AC、AF、SIP等系统，在安全防护能力方面，更多偏重于网络层面，无法延伸至端点。然而就终端而言，其有效使用与XX用户日常工作密不可分，终端作为安全防护工作的最后一公里，重要程度不言而喻，新型勒索病毒等威胁一旦出现，将不可控的感染至终端，而此时维护工作量大、恢复难度高、感染覆盖面广等等问题均全面暴露，给XX造成不可预估的损失。

第三章建设思路综上所述，XX已在信息系统内部建立防病毒、防火墙、上网行为管理、安全感知的系统，但以新型威胁、终端安全等角度为出发点，仍存在诸多不足。本方案将设计通过深信服终端检测与响应系统（以下简称“EDR”）进行XX终端安全防护项目建设，EDR是深信服公司提供的一套综合性终端安全解决方案，方案由轻量级的端点安全软件和管理平台软件共同组成。EDR以具有自主知识产权的创新型SAVE人工智能引擎为核心，通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力，应对高级威胁同时实施联动协同、威胁情报共享、智能响应机制，可以实现威胁快速检测、有效处置终端一系列安全问题，构建全新智能化的下一代终端安全系统，为XX提供行之有效的整体安全防御体系。基于AIMNPQRWbffMdVingu-irU应用创新微隔离技术

的基于AIMNPQRWbffMdVingu-irU应用创新微隔离技术

的动态防护体系基于AI的多维度智能威胁槌测机制■好堆度il4型的蚂R■斯森谢网”端”云协同联动

与高效威胁处置图3-1项目建设思路构建多维度威胁防御体系通过EDR的全面部署应用，提供全网终端病毒、木马、入侵攻击等威胁防御能力，通过EDR人工智能SAVE引擎、全网信誉库、云查引擎、行为分析等技术，全面应对威胁，有效防御新型未知病毒的感染与传播，解决现有信息系统安全问题，构建百分百多维度威胁防御体系。建设多平台立体防御壁垒通过EDR的全面部署应用，提供多安全平台联动机制，EDR可与深信服AC、AF、SIP进行联动，实现威胁情报的共享与接收效果。EDR在收到其他设备发送的威胁情报时，可第一时间进行隔离处置，有效缩短威胁响应时间，智能化的处置方式，大大减少管理人员维护工作量、提升安全防护水平，并全面形成多平台立体防御壁垒。设计原则对于XX网络终端安全防护工作，应当以威胁风险为核心，以重点保护为原则，从使用的角度出发，重点保护信息系统计算机，在项目建设中应当遵循以下的原则。适度安全原则任何信息系统都不能做到绝对的安全，在进行终端安全防护建设中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是项目建设的初衷，因此在进行项目建设的过程中，一方面要严格遵循基本要求，另外也要综合成本的角度，针对XX终端的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此组织机构后续还应制定有效的管理制度，使技术与管理相结合，更有效的保障系统的整体安全性。合规性原则终端安全防护应当考虑与国家相关标准的符合性，在本次项目建设中，采用的EDR必须满足国家法律法规的标准要求。成熟性原则采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的;综合治理原则在本项目中，内网终端的安全保护不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从多角度综合考虑。建设范围与规模本项目将为XX信息系统构建全网终端安全防护体系，建设EDR系统，保证内部终端安全、可控、可审计。本次项目建设的范围包含XX全单位、涉及服务器**点、终端**点。方案设计总体架构综上，结合现状以及方案建设思路，本次项目设计采用EDR系统进行建设，系统主要由基础平台、核心引擎、系统功能三部分组成：＞基础平台：由主机代理、恶意文件查杀引擎、WEB控制台三部分组成，该平台提供EDR系统良好运行的基础支撑，提供终端安全防护功能的基本运行环境，负责功能指令以及消息的接收、发送、执行；＞核心引擎：由人工智能SAVE引擎、云端威胁情报、第三方引擎所组成，用以实现病毒有效检测以及快速响应功能。＞系统功能：系统功能展现则由预防、防御、检测、响应四部分组成，通过上述四部分功能对终端赋予加固措施，有效抵御病毒木马等威胁，实现安全有效的终端防护效果。系统总体架构如下图所示:

图4-1总体架构产品设计理念Gartner自适应闭环架构四阶段模型,四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段，深信服EDR是业界唯一完全满足12个建议项的终端安全厂商检测、监控微隔离勒索诱捕一键隔离转移或击者Divertattacks阻止事件Preventissues强化和隔离系统Hardenandisolatesystems人工智能SAVE引擎主动风险分析Proactiveriskanaiys“预测攻击Predictattacks安全接线檎杳 草线系统女主早廷格肯明初侬systems---——.一・•■上・・・・・・・文件修复检测、监控微隔离勒索诱捕一键隔离转移或击者Divertattacks阻止事件Preventissues强化和隔离系统Hardenandisolatesystems人工智能SAVE引擎主动风险分析Proactiveriskanaiys“预测攻击Predictattacks安全接线檎杳 草线系统女主早廷格肯明初侬systems---——.一・•■上・・・・・・・文件修复网端联动设计7模式变更持续迭代口esign/Modelchange修复与进行变更ReEedi司e/Makecliange溯源分析 调杳与取证丽城“祈InvestigateForensics检刑事件 文件实时监控Detecti^ues主动扫描终踹围则式避杀抑制事件Containissues对嘈险禁优先级吗械胁物分类Confirmandpfiontjzerisk电应.调查陆防、预测盥蚁防护预防阶段通过【系统漏洞检测】1来进行【主动风险分析】，明确系统层面的漏洞风险是否为可接受风险1见漏洞补丁管理功能描述4.8＞通过【人工智能引擎SAVE】2,具有强泛化能力，可以使用半年前引擎模型即可查出最新勒索病毒，【预测变种攻击】＞通过【安全基线核查】3明确等保合规或者【安全基线】是否达到预期防护阶段＞通过【微隔离】4【强化和隔离系统】，细粒度管控终端间访问关系并做到可视化展现＞通过【勒索诱饵陷阱】5,当勒索病毒加密诱饵文件可通过进程回溯病毒文件进行查杀，达到【转移攻击】的目的＞通过【一键隔离】6阻止感染终端持续向外扩散，阻止【事件升级】检测阶段＞通过【文件实时监控】7与【主动扫描】持续【检测威胁事件】＞通过【终端围剿式查杀】8和【终端间访问控制】做到一台感染，全网感知，【抑制事件】进一步爆发＞通过【威胁等级分类】9【确认风险优先级】，进一步明确内网安全情况，并按优先级进行处理响应阶段＞通过【文件修复】对受感染文件进行【修复】，当无法修复或修复失败时再进行隔离＞通过【云网端协同联动】1。对【全网网络安全架构进行设计】，并通过不断完善云网端体系和版本升级进行持续迭代＞通过EDR针对攻击事件进行【溯源分析】进行【调查与取证】，对攻击链条进行重新审视，并针对审视结果2见AI技术5庆丫已引擎3见安全基线核查4.4.34见应用创新为隔离技术的动态防护体系4.55见勒索病毒诱捕4.4.26见访问关系控制4.5.27见基于多维度威胁防御体系4.48见终端围剿式查杀4.4.49见全网威胁定位4.131。见网端云协同联动与高效威胁处置4.6统一管理平台适配全类型资产适配全类型资产桌面云，传统pc,笔记本，私有云，服务器，私有云，公有云全适配终端系统兼容性广阔与底层虚拟化解耦，适配全部虚拟化底层平台4.4基于多维度的智能检测技术检测引擎终端上的安全检测是核心的技术，传统的病毒检测技术使用特征匹配，而特征匹配没有泛化能力或泛化能比较弱，当病毒经过简单的变种，就必须新增加特征规则，因此，随着病毒数量越来越大，病毒特征库也就跟着越来越大，同时运行所占资源也就越来越多。而基于AI技术的查杀引擎，利用深度学习的技术，通过对海量样本数据的学习，提炼出来的高维特征，具备有很强的泛化能力，从而可以应对更多的未知威胁。而这些高维特征数量极少，并且不会随着病毒数同步增长，因此，AI技术具有更好检出效果、更低资源消耗的优点。当然，仅靠一个AI杀毒引擎是不够的，深信服的EDR产品构建了一个多维度、轻量级的漏斗型检测框架，包含文件信誉检测引擎、基因特征检测引擎、AI技术的SAVE引擎行为引擎、云查引擎等。通过层层过滤，检测更准确、更高效，资源占用消耗更低。

4.4,1.1文件信誉检测引擎基于传统的文件hash值建立的轻量级信誉检测引擎，主要用于加快检测速度并有更好的检出效果，主要有两种机制：.本地缓存信誉检测：对终端主机本地已经检测出来的已知文件检测结果缓存处理，加快二次扫描，优先检测未知文件。.全网信誉检测：在管理平台上构建企业全网的文件信誉库，对单台终端上的文件检测结果汇总到平台，做到一台发现威胁，全网威胁感知的效果。并且在企业网络中的检测重点落到对未知文件的分析上，减少对已知文件重复检测的资源开消。基因特征检测引擎深信服EDR的安全运营团队，根据安全云脑和EDR产品的数据运营，对热点事件的病毒家族进行基因特征的提取，洞见威胁本质，使之能应对检测出病毒家族的新变种。相比一般AI技术SAVE引擎SAVE(SangforAI-basedVanguardEngine)是由深信服创新研究院的博士团队联合EDR产品的安全专家，以及安全云脑的大数据运营专家，共同打造的人工智能恶意文件检测引擎。该引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识,最终挑选了数千维最有效的高维特征进行恶意文件的鉴定。基于人工智能技术，拥有强大的泛化能力，能够识别未知病毒或者已知病毒的新变种；对勒索病毒检测效果达到业界领先，包括影响广泛的WannaCry、BadRabbit等病毒。2018年10月新发现的GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7勒索病毒，使用9月已经合入产品并发布的SAVE1.0.0可以全部检出和查杀。对非勒索病毒也有较好的检出效果；云+边界设备+端联动，依托于深信服安全云脑海量的安全数据，SAVE能够持续进化，不断更新模型并提升检测能力，从而形成传统引擎、人工智能检测引擎和云端检测引擎的完美结合，构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全EDR的整体解决方案。行为引擎传统静态引擎，是基于静态文件的检测方式，对于加密和混淆等代码级恶意对抗，轻易就被绕过。而基于行为的检测技术，实际上是让可执行程序运行起来，“虚拟沙盒”捕获行为链数据，通过对行为链的分析而检测出威胁。因此，不管使用哪种加密或混淆方法，都无法绕过检测。最后，执行的行为被限制在“虚拟沙盒”中，检测完毕即被无痕清除，不会真正影响到系统环境。行为引擎在分层漏斗检测系统结构中，与云查引擎处于最低层，仅有少量的文件到达该层进行鉴定，因此，总体资源消耗较少。云查引擎针对最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技术，进行云端查询。云端的安全云脑中心，使用大数据分析平台，基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等，秒级响应未知文件的检测结果。勒索病毒诱捕装载在终端系统上的EDR客户端，在系统关键目录及随机目录放置诱饵文件，当病毒调用加密进程对终端文件加密，当加密到诱饵文件时，诱饵文件将加密进程反馈至EDR客户端，EDR客户端立即杀掉加密进程阻止加密，并根据调用进程的病毒源文件进行查杀，有效阻止勒索病毒对关键目录文件的进一步的加密和扩散1~1口1~1口R上端客P停SOS相一R相正在•包 奉旭ta/ 轨Hit匕Rt 匕*-zTr二二二品而后！J屈屈rEMElJlBduB品局局OSEl终端安全基线核查图4-4安全合规审查终端的安全合规性是重中之重，信息系统中终端一旦不合规将产生不可预知的安全风险，正因如此，无论是国家法律法规，还是组织内部的规章指引，对于主机方面都具有明确的安全要求，本方案将通过全面部署应用深信服终端检测与响应系统，对内部终端进行安全合规审查，依据等级保护的主机安全要求进行设计，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。全网终端围剿式查杀当某一台终端发现病毒文件，基于文件信誉引擎立即将此病毒文件的md5特征值进行全网通报，做到一台发现，全网感知，在全网进行围剿式查杀应用创新微隔离技术的动态防护体系创新微隔离技术EDR微隔离方案提出了一种基于安全域应用角色之间的流量访问控制解决方法，系统可实现基于主机应用角色之间的访问控制，做到可视化的安全访问策略配置，简单高效地对应用服务之间访问进行隔离控制。优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行控制配置，减少了非法人员对物理、虚拟服务器攻击机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的微隔离访问控制，不受虚拟化平台、物理机器和虚拟机器影响。另一方面，微隔离功能的应用，可在发生病毒感染情况下，将威胁放置在可控范围内，从而有效提升安全防护水平。终端间访问关系控制在东西向访问关系控制上，优先对所有的服务器进行业务安全域的逻辑划域隔离，并对业务区域内的服务器提供的服务进行应用角色划分，对不同应用角色之间服务访问进行访问控制配置，减少了对物理、虚拟的服务器被攻击的机会，集中统一管理服务器的访问控制策略。并且基于安装轻量级主机Agent软件的访问控制，不受虚拟化平台的影响，不受物理机器和虚拟机器的影响。

通过全面部署应用深信服终端检测与响应系统，可全面解决信息系统内部网络互访不可控问题，规范化主机、业务等网内不同对象的网络访问行为。利用应用角色之间的主机流量访问控制的技术，提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置，提供简单可视化的安全访问策略配置，提高安全管理效率。业务安全域应用提供者应用服务应用使用者策略动作门户网站业务域WEB应用角色Apache（Http，80）All允许门户网站业务域DB应用角色MySQL（TCP，3306）WEB应用角色允许门户网站业务域ALLALLALL拒绝OA业务域DB应用角色MySQL（TCP，3306）邮件应用角色允许OA业务域ALLALLALL拒绝表4-1微隔离角色访问控制例如门户网站业务域的WEB应用角色服务器组提供Apache应用服务，策略动作允许门户网站业务域内所有主机的访问，而DB应用角色服务器组提供的MySQL应用服务，策略动作只允许门户网站业务域内的WEB应用角色服务器组的访问。门户网站业务域内WEB应用角色之间的主机，由于没有访问需求，配置为隔离拒绝策略。终端访问关系可视化在访问关系可视化中，采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录，也可以看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行，同时可以根据每个访问关系会生成访问关系控制策略,让用户决定是否启用该策略，减少了手动新增策略的工作量,提高了安全管理的效率IOQmu创新微隔离技术，有效应对高级威胁快速传播，将病毒遏制在指定范围之内，使信息系IEfiSUS内可占用3rCPVEWHFT0TCP.&a「□TicatFFTR5IOQmu创新微隔离技术，有效应对高级威胁快速传播，将病毒遏制在指定范围之内，使信息系IEfiSUS内可占用3rCPVEWHFT0TCP.&a「□TicatFFTR530%A力果录Mitt统环境可控性大大提高。网端云协同联动深信服EDR产品能与NGAF（下一代防火墙）、AC（上网行为管理）、SIP（态势感知）安全云脑等产品进行协同联动响应，形成涵盖云、边界、端点上中下立体防御架构，内外部威胁情报可实时共享。EDR产品可与安全云脑协同响应，关联在线数十万台安全设备的云反馈威胁情报数据，以及第三方合作伙伴交换的威胁情报数据，智能分析精准判断，超越传统的黑白名单和静态特征库，为已知/未知威胁检测提供有力支持。可与防火墙NGAF、SIP产品进行关联检测、取证、响应、溯源等防护措施，与AC产品进行合规认证审查、安全事件响应等防护措施，形成应对威胁的云管端立体化纵深防护闭环体系。

极大缩短威胁驻留时间多维度、快速响应极大缩短威胁驻留时间多维度、快速响应城胁上报与接收或胁情报接收自动处置威胁上报与接收任务指冬推送深信服下一代防火墙与EDR终端检测响应平台深信服认为网络及终端的安全要从整体来建设才会充分保障业务的价值，网络与终端要进行充分联动，基于网络及终端各自的优势，网络可通过恶意流量特征进行深度检测与防御，而终端有丰富的威胁上下文信息，两者协同联动可充分定位泛化的恶意威胁。优势互补，信息共享，深度解析，快速闭环，最终为用户交付最佳的威胁防御能力。全面威胁防御网端纵深防御：通过网络域和终端域的安全防御全覆盖，构建系统化防御能力抵御不同介入点风险，构建由端点到网络的纵深防御能力全面的风险可视化能力：对威胁的完整可见，通过边界安全设备对贯穿网络的南北向恶意内容进行检测与防御，同时对终端的东西横向威胁进行检测与防御，构建基于主机的横向及外联攻击画像，提供全面完整的风险可视化能力快速处置闭环热点攻击处置：基于网络域及端点域威胁上下文的深度关联有效改变企业安全现状，网络流量层分析威胁的特征，在端点上实现恶意载体的深度行为分析、取证，威胁可在网络、端点的威胁信息共享下实现二次确认，精准定位诸如无文件攻击、勒索病毒、挖矿病毒等热点攻击威胁处置闭环：策略级细粒度集成，一个安全域识别到的威胁可以动态调整另一个安全域的安全配置，增强整体防御能力，有效抵御威胁，如在流量层发现恶意流量，可以溯源攻击主机，并向该域发起全局扫描、分析、取证、闭环处置的系列动作；在终端域发生远控行为，可以在流量层对远控主机进行网络域的联动封锁便捷运维管理统一管理提升运维效率：相对于网络与终端割裂式的部署及各自为政的管理方式，在威胁来临时依然各自为战，构建网端一体化统一管理平台，全局预警有效防御、降低管理开销及安全能力的拥有成本安全风险一键处置：网端智能协同，当发生威胁时，可通过统一管理平台的一键处置，将终端域风险迅速隔离，并在网络域自动生成联动封锁规则，全面封锁恶意威胁深信服安全感知平台与EDR终端检测响应平台深信服安全感知平台基于大数据关联分析与深度挖掘技术快速定位出内网失陷主机和高级威胁，对于来自于互联网或边界的攻击行为，通过联动深信服£口口终端检测响应平台下发安全策略，及时阻断相应的攻击行为。对于服务器与终端的失陷主机，通过联动EDR管理平台下发一键扫描策略，快速查杀恶意程序，并利用EDR客户端的微隔离功能，封堵主机的攻击行为，防止威胁的进一步扩散。

网端溯源分析，精准的高级威胁检测SIP和EDR内置轻量级人工智能的检测引擎SAVE,通过创新人工智能无特征技术，准确检测勒索病毒。未知病毒检出率高达97.8%,对已知病毒检出率高于99%°Wannacry、Badrabit、Globelmposter及其变种99.9%检出查杀。通过SIP对流量侧智能的闭环响应体系方案通过SIP智能联动EDR实现协同响应，并提供专业的安全响应服务，从而实现威胁发现到处置的闭环安全效果。全网安全监测预警能力方案采集全网流量和系统日志，对整体网络安全进行有效检测，快速梳理资产信息，实时监测异常访问行为，对外部攻击、服务器主动外联、内部横向渗透等行为进行实时检测和告警,一旦出现安全事件能够快速告警和处置，保护专网整体安全有效运行。4.6.1深信服上网行为管理与EDR终端检测响应平台深信服上网行为管理AC与终端安全检测响应平台EDR，产品深度融合，帮助客户构建绿色安全、高效、易用的上网环境；保障接入身份安全实现有线无线网络接入认证，AC支持802.1x、旁路无感知、无线Portal等多种接入认证方式；支持AD域、短信、微信等29种认证方式，根据上网场景灵活选择；全面外发审计深信服AC具备业界专业的内容识别与审计技术，通过EDR内置的审计插件，能对各种上网行为和多种外发数据进行有效审计，包含网页、邮箱、网盘、微信、QQ等外发内容审计。通过各类外发审计分析发现泄密异常行为，及时预警泄密风险，快速定位泄密事件。终端安全准入，保障接入终端安全统一安装终端安全软件，AC认证后可强制推送安装终端£口口软件；终端安全性准入检查，包括系统漏洞扫描、杀软安装、开放接口等情况，只允许符合安全要求的终端接入网络；定期进行终端漏洞扫描，漏洞扫描后可自动修复和上报；网端智能联动，加强威胁防护能力深信服AC支持恶意URL过滤、网络杀毒检测、僵尸主机检测等，保护上网安全；深信服终端EDR以人工智能算法为核心，大幅提升终端病毒安全查杀效果，可全面查杀勒索病毒的新型病毒威胁。通过云网端联动，AC发现的终端威胁和攻击，可及时联动EDR进行终端安全扫描和修复。全网资产盘点现信息系统中服务器、PC终端、应用等资产随着业务的增加而增加，资产的所有者与资产的关联关系不够清晰，安全责任难以落地。围绕资产的自身安全防护措施难以执行。对此，本方案将通过全面部署应用深信服终端检测与响应系统，实现全网终端资产的全面管理功能，管理对象包含业务服务器主机和用户PC终端。盘点每台终端设备的名称、IP地址、MAC地址、所属组织、责任人、资产编号、资产位置等信息。使每台终端资产信息清晰展示，每个安全事件责任到人，从而将安全管理工作落实到位。漏洞补丁管理补丁检测极大地简化了管理员甄别终端资产漏洞的流程，EDR产品支持各种类型不同的操作系统以及不同版本的操作系统的补丁规则库的更新，可以做到最新漏洞的实时检测与防御，并提供了漏洞检测与处置的功能，可以指定不同的终端进行全部、高危或者指定漏洞的检测，得到每一台终端的全部漏洞信息，并且可指定漏洞进行修复或者忽略处理。终端根据最新的补丁规则库进行系统补丁检测，匹配来判断当前是否已经进行补丁的安装，同时终端支持多种方式来获取最新的补丁安装包，包括微软补丁服务器、深信服官方补丁服务器、管理平台以及自定义服务器。保证在网络隔离环境下，终端也可以通过管理平台来进行补丁的务器升级。EDR产品的漏洞检测、补丁更新，大大提高了管理效率，增强了终端资产的安全性补丁更新务器升级。EDR产品的漏洞检测、补丁更新，大大提高了管理效率，增强了终端资产的安全性补丁更新补丁包导入管理平台暴力破解检测与响应服务器密码安全问题即突出亦普遍存在，许多高级威胁的感染传播也正是运用此点，传统解决办法是通过使用边界防护设备，针对外部对内部的密码爆破尝试行为进行阻断。但伴随着黑客技术的不断更新迭代、服务器边界的模糊化，来自内部或服务器之间（横向快速移动）的密码爆破亦逐渐增多。本方案将通过全面部署应用深信服终端检测与响应系统，用以端点agent在服务器之上持续监控密码爆破行为，如发现非法人员进行密码爆破，EDR将提供响应手段，系统可设置对特定IP进行基于时间维度的自动封停操作，有效避免服务器被非法人员爆破成功。僵尸网络检测本方案将通过全面部署应用深信服终端检测与响应系统，对僵尸网络进行有效检测，EDR可对报文的会话、报文netflow信息进行分析，检测主机是否有被木马程序控制并形成僵尸网络，系统可全面展现僵尸网络主机的详细信息，如显示僵尸网络文件检测产生的事件日志，例如恶意文件名称、文件名称、操作动作、发现时间等，另系统还可支持显示僵尸网络文件检测过程的详情内容，例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为等信息。

基于Web后门的综合检测技术传统的WebShell文件检测是基于特征码的检测技术，严重依赖于特征库，很难及时检测新的变种，检测效率也随着特征库的变大而迅速降低。采用机器学习的检测方法，通过先利用语法分析器生成语法树，基于语法树提取出危险特征以及正常特征，特征包含数量统计特征、字符串熵、运算符号统计等，再学习已标记样本特征数据来构建检测模型，然后利用此模型对样本进行检测判定，该方法不仅可以正确检测出已有样本数据，对未知样本也有很好的检测效果。对WebShell文件的检测综合利用文件信誉库、静态分析、机器学习等手段对文件进行判断，相比流量侧的防御，检测方案将会更全面地分析文件。I训练样本危险特征语法分析