安全挑战

当前全球网络安全形势严峻,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化,尤其针对终端系统的主动入侵、漏洞利用、勒索病毒、未知威胁、非法接入、违规操作、信息泄密、存储介质随意使用等安全问题频发。

1.原有终端安全建设集成度弱

目前多数政企单位在安全建设过程中,由于受条件和其它因素限制,可能部署了多套系统,而这些系统往来自不同厂商,彼此独立完成不同的功能,这就带来了新的问题:

1)终端被各种软件占据,资源耗费巨大

各软件均有独立的数据库、内存加载项、数据扫描行为等一系列资源需求,包括对磁盘存储需求、内存需求、CPU需求等,这些资源需求往往处于自身软件设计的考虑,极易导致对整体终端系统资源的较大消耗,影响用户实际使用体验,干扰用户正常业务工作。

2)系统之间容易产生冲突

终端安全软件实现方式往往采用进程注入、API挂载、驱动挂载等系统级的处理方式,使得安全软件之间或安全软件与其它软件的兼容性出现问题。

3)系统之间独立,无法联动

安全从过去的孤立针对某个方面的防护已经全面进入大数据阶段,通过各种数据的整合、分析、处置是应对新型威胁的有效办法。而过去安全建设所产生的多种安全防护体系彼此孤立,无论从系统层面还是数据层面都无法进行有效整合,从而造成实际防护效果大打折扣,在应对未知威胁时捉襟见肘。

4)管理维护困难

多个安全系统的存在造成要针对每个系统有不同的运维管理的工作量,如系统的安全策略的定义、细化、调优、更改,系统的更新,系统日志管理、数据库管理等一系列工作。这无疑给安全管理人员提出来非常高的要求,增加了工作量和确保对系统的设置不会出错。


2.缺乏防御各类威胁能力

1)病毒防护问题

目前各政企单位持续面临木马、蠕虫和勒索病毒等威胁,且由于大量终端处于办公网内,造成交叉感染现象严重,又很难彻底清除某些感染性较强的病毒。

2)高级威胁分析溯源问题

针对于企业的高级威胁则更加复杂,无法对高级威胁的各个阶段进行有效的关联检测,导致针对高级威胁一无所知,无法确认它潜伏的时间、进入的途径、造成的影响和范围。

3)停服系统加固问题

随着Windows系统不断发展和迭代过程,微软相继发布停止对XP、WIN7以及Server 2008等系统补丁升级服务,而各单位仍存在大量以上系统终端,在迁移至更高版本之前,这些系统漏洞将会成为较大安全隐患。


3. 缺少终端安全准入控制

企业内部网络包含着多种多样的网络设备和网络终端,内部服务器和PC搭载着许多重要的应用平台和数据,而如果外来终端可以随便接入企业网络,由于外来使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态。


4.缺少统一安全运维处置能力

尽管各政企单位均制定了相应的终端安全管理制度,但由于缺乏有效的技术执行措施,需要面对各种合规管控难题,主要表现在:

• 非办公终端随意接入工作网络

• 内网的业务终端违规外连

USB、蓝牙等设备任意连接办公终端

• 娱乐、炒股等非办公软件屡禁不止

• 终端安全基线缺乏自动化的检查措施


5.整体安全决策力未形成闭环

安全威胁的产生是动态的过程,对其监控管理却是静态过程;一方面,大部分安全思想都是基于攻防对抗思想,防御总是落后于攻击,所以一旦攻击发生,在消除攻击的同时其实已经对整个系统带来了危害。深入分析整个现状的本质,主要是因为缺少有效的一体化整体安全决策解决方案,无法看到终端更多维度的数据,从而无法基于数据进行安全态势分析,继而无法基于分析进行安全运营,最终无法基于安全运营进行安全决策。

解决方案

奇安信终端安全管理解决方案(以下简称天擎)是奇安信结合多年安全技术经验及实践要求,自主研发的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。

方案为用户构建能够有效抵御已知、未知病毒和APT攻击的新一代终端安全防御体系,提供统一终端安全防御、统一终端合规管理、统一终端运维管理及终端安全运营与协调等功能。

1.统一终端安全防御

1)终端安全一体化

采用多元、包容、开放的架构设计,实现在平台一体化、功能一体化、数据一体化。

平台一体化体现在跨平台的统一管理,兼容各类终端及服务器Windows、Linux、国产操作系统、MacOS X,同时支持云桌面和服务器虚拟化。

功能一体化方面,集终端防病毒和安全管控于一体,真正解决多客户端、终端资源占用高、兼容性等问题。

数据一体化体现在数据结构设计方面,采用全新的Skyler2标准架构,将各个模块的数据标准化,进而实现高效的数据交互,提高软件的运行效率。

2)病毒防御

天擎采用云查杀引擎、QOWL猫头鹰引擎、人工智能引擎、主防引擎等多种引擎,能够有效拦截已知和未知病毒,并应用了入口防护、系统防护、网络防护及应用防护等主动防御技术。通过海量病毒样本数据的自学习,天擎的人工智能引擎无需频繁更新特征库,实现较高病毒检出率。

3)高级威胁检测能力

天擎EDR模块在利用已有的经验和技术来阻止已知威胁的前提下,通过云端威胁情报能力、攻防对抗能力、机器学习等方式,来快速发现并阻止先进的恶意软件和零日漏洞等威胁事件。同时基于终端的背景数据、恶意软件的行为以及完整的高级威胁生命周期等多个角度,对高级威胁进行全面的检测和响应,实现快速、自动化的阻止、补救、取证,对终端进行有效的防护。

4)停服系统加固

WIN7和XP等停服系统,避免因微软停服而增加的安全隐患。“天狗”引擎应用全新的技术与解决方案,摆脱了传统安全技术对文件、流量、数据、行为等特征的依赖,采用了内存指令控制流检测技术,并与人工智能、机器学习技术深度结合,可从更底层监测漏洞攻击代码的执行,不依赖已知漏洞特征和已知攻击代码的特征,可发现利用未知漏洞发起的攻击。
2.统一终端合规管理

1)同台管理准入方案

基于天擎“一体化”管理平台,业务模块的联动和数据情报的共享,在实现准入控制的同时,也构建了一道从终端、应用一直到网络的多层安全防护体系,实现从终端安全的检测,到核心应用的防护、网络接入的授权,层层确保终端的安全规范入网,NAC也实时监测始终保障天擎安全防护点的存在,避免终端变成裸奔、非可信状态,同时也防止天擎安全防护点的违规卸载和去化率过高,保障入网终端始终在安全可控范围内,并实时上报安全动态及入网数据,供风险分析。

终端安全管理解决方案

2)软硬件资产统一管理

实现对软硬件资产信息收集,对终端硬件变动,软件变动产生告警信息,终端自助资产登记,设置必填项以及输入类型,最大限度的提供用户一个便利的使用场景。

3.统一终端运维管理

奇安信结合服务于万家政企用户的终端运维管理实战经验,向政企单位提供成熟稳定的补丁及软件分发功能、硬件资产管理及运行监控功能和远程桌面加固功能,帮助政企单位有效降低终端运维工作量。

终端安全管理解决方案

4.终端安全运营与协调体系

天擎具备终端实时数据的采集能力、存储能力,可对政企单位终端进行沦陷终端检测及响应、终端态势信息收集,采用完善的分析模型对实时数据进行处理,根据定制的量化指标量化态势信息,以易懂的图形化界面展示全单位终端态势信息,帮助政企单位建立终端安全运营与协调体系。

方案特点
1.病毒防御多维化

• 多引擎技术:采用云查杀引擎、OWL猫头鹰引擎、主防引擎、人工智能引擎,有效查杀已知和未知病毒

• 立体化主防:采用隔离防护、5层入口防护、7层系统防护及8层应用防护等主动防御技术。

• 智能自学习:通过海量病毒样本数据自学习,人工智能引擎无需频繁更新特征库。

2.产品联动方案立体化

本身具有终端安全防御云端公有/私有云查杀的功能特性,同时支持和多种网络安全设备联动数据分析并协同处置,包括防火墙、天眼分析平台和NGSOC态势感知平台,构成了“云+端+边界”的整体防御体系。

应用价值
1.    全面满足合规要求

通过一体化的终端管理平台,能够对等级保护等合规要求中的恶意代码防范、访问控制、非法外联管理、资源控制、资产管理、介质管理、安全审计等控制点进行全面覆盖。

2.实现强大的终端安全管理能力

方案拥有强大的终端安全管理功能,方便用户通过管理平台对内网终端进行高效管理,提供补丁分发、终端系统优化、终端蓝屏修复、终端硬件资产与状态监控、终端体检、终端升级、终端系统修复、终端软件管理、企业级软件商店等几十个安全管理功能,统一下发安全策略,针对不同状态的终端执行不同的安全策略,并进行精准管理。正在被超过万家政企用户使用,通过了稳定性、性能方面的全面考验。

3.良好的用户体验与易用性

方案在用户体验方面得到了国内万家以上政企用户的一致认可:绝大多数功能设计都要求一键完成,包括一键修复、一键升级、一键体检等等;具备灵活的分组管理,批量策略下发、分时扫描、终端强制控制、软件静默安装、一对一远程协助等易用功能;从产品设计到开发过程中全面贴合企业及管理员的安全管理需求,更大程度降低安全管理运维成本,提高员工工作效率。

应用场景

适合政府、央企、教育、金融、制造业等多种企事业单位的终端安全应用场景,以下是天擎部分典型成功案例:

终端安全管理解决方案