1、业务痛点
当前全球网络安全形势严峻,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化,尤其针对终端系统的主动入侵、漏洞利用、勒索病毒、未知威胁、非法接入、违规操作、信息泄密、存储介质随意使用等安全问题频发。
● 缺乏防御各类威胁能力
(1)病毒防护问题
目前各政企单位持续面临木马、蠕虫和勒索病毒等威胁,且由于大量终端处于办公网内,造成交叉感染现象严重,又很难彻底清除某些感染性较强的病毒。
(2)高级威胁分析溯源问题
针对于企业的高级威胁则更加复杂,无法对高级威胁的各个阶段进行有效的关联检测,导致针对高级威胁一无所知,无法确认它潜伏的时间、进入的途径、造成的影响和范围。
(3)停服系统加固问题
随着Windows系统不断发展和迭代过程,微软相继发布停止对XP、WIN7以及Server 2008等系统补丁升级服务,而各单位仍存在大量以上系统终端,在迁移至更高版本之前,这些系统漏洞将会成为较大安全隐患。
● 缺少终端安全准入控制
企业内部网络包含着多种多样的网络设备和网络终端,内部服务器和PC搭载着许多重要的应用平台和数据,而如果外来终端可以随便接入企业网络,由于外来使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态。
● 缺少统一安全运维处置能力
尽管各政企单位均制定了相应的终端安全管理制度,但由于缺乏有效的技术执行措施,需要面对各种合规管控难题,主要表现在:
1. 非办公终端随意接入工作网络。
2. 内网的业务终端违规外连。
3. USB、蓝牙等设备任意连接办公终端。
4. 娱乐、炒股等非办公软件屡禁不止。
5. 终端安全基线缺乏自动化的检查措施。
● 整体安全决策力未形成闭环
安全威胁的产生是动态的过程,对其监控管理却是静态过程;一方面,大部分安全思想都是基于攻防对抗思想,防御总是落后于攻击,所以一旦攻击发生,在消除攻击的同时其实已经对整个系统带来了危害。深入分析整个现状的本质,主要是因为缺少有效的一体化整体安全决策解决方案,无法看到终端更多维度的数据,从而无法基于数据进行安全态势分析,继而无法基于分析进行安全运营,最终无法基于安全运营进行安全决策。
2、解决方案
随着技术不断更新,目前的端点安全解决方案,已经实现包含整个威胁防御生命周期的安全防御,实现事前、事中、事后的各节点的防护以及处置能力,也保证在预防、防御、检测、响应各个阶段的闭环管理。
目前的终端安全已经可以具有一整套解决方案,主要产品包括:
(1)终端防病毒EPP
EPP是一套端点安全防护方案,简单说就是防病毒系统,用于防止基于文件等的恶意行为的攻击、检测恶意行为并提供实时安全事件和警报功能,目前防病毒能力已经进入第三代(也有五代说),大量采用AI、ML等技术,实现对病毒文件的防护,同时对于部分未知病毒也具有一定的抵御能力;整体流程以“预防”为主。
▲ 防病毒功能
结合传统的特征库、信誉扫描和独一无二的恶意行为监控、智能机器学习、勒索软件防护等多种动静态结合的技术保护机制保护用户免受来自于木马、病毒、蠕虫等恶意软件侵袭。
拥有专业的恶意软件扫描引擎和恶意软件技术分析能力,特征库检测机制依赖于客户端下载的病毒特征码对已知的恶意软件进行扫描查杀,除此之外进行文件和Web信誉快速查询。
▲ 智能机器学习
利用机器学习能力不断收纳已知各类恶意软件特征,进而归纳总结不同恶意软件之间的共通性进而识别未知的恶意软件。
▲ 勒索软件防护
针对勒索软件防护采用多解决方案融合多种技术手段防御拦截各类勒索病毒,勒索软件防护可防止勒索软件威胁对客户端上的文件进行未经授权的修改或加密;终止并尝试隔离恶意程序。
此外,启用自动备份被可疑程序更改的文件,为终端上正加密的文件创建副本。能够为最终用户恢复受影响的文件,且不会丢失任何数据。
▲ 系统合规与加固
对操作系统的安全配置、漏洞补丁、软件安装合规性等方面进行检查和修复,通过契合的安全基线核查、有效的漏洞补丁管理、统一的软件管理,及时进行系统加固,达到收缩暴露面、“强身健体”的目的。
(2)端点检测与响应EDR
是一种基于采集、记录并存储数字环境中各端点行为数据与状态数据,并对数据进行关联分析,以应对威胁的安全能力:通过对端点数据的分析,检测出环境存在的威胁,并能进行隔离、查杀等响应手段;EDR的出现代表了安全理念的一个重要转变:从“预防”到“检测”与“响应”。
▲ 提高威胁追踪能力,实现威胁可视化
通过EDR的监测能力,帮助分析人员快速获取到终端的异常行为数据,再结合上下文数据以及威胁情报推送数据的综合分析,使高级威胁的恶意活动清晰可见,实现对高级威胁追踪。
▲ 强化威胁对抗能力,升维打击高级威胁
通过自动化的智能响应能力,使终端自身可以实现自动攻击阻止、隔离修复、取证分析和追踪溯源,通过单次的积极响应转化成持续的静态规则,进而对高级威胁持续遏制,补齐防病毒软件平台对应高级威胁的能力短板。
▲ 健全调查机制,提高应急响应效率
通过EDR的检测响应能力,配合专业的安全响应流程设计,引导安全运维人员,在网络中搜索以及钻取更多信息的能力,调查高级威胁渗透的真实目的,便于安全人员能够快速确定范围、影响,及时止损,提高应急响应的效率。
(3)终端安全管理系统
是一种保护网络安全的策略式方法,侧重在终端管理、合规、审计等方面,它包括有安全策略管理,端点接入检查、终端入网许可、身份认证系统、网络访问控制、外设管理、补丁管理,涉及终端安全管理,合规性管理等功能。
(4)终端运维管理系统
从安全的角度对终端进行运维管理,监控终端的运行情况,管理企业内的信息资产,为管理员的终端运维提供方便快捷的帮助,为企业安全防护提供基础环境,它包含软件分发、资产管理、运行监控、远程管理等终端运维管理方面的能力。现大多主要体现在“桌管”软件中。
(5)终端安全准入控制系统
通过对访问指定网络设备的终端进行身份验证,有效防止非法终端对企业内部网络进行非法访问,并可避免安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。
网络访问Ò准入控制 | 安全状态Ò合规检查 | 外来访客Ò账号登录 | 防止内部PC脱离管控 |
终端接入企业内部网络对服务器、互联网等访问时,需要经过准入控制系统严格的审核,只有合法的计算机才能连入访问,非法计算机可根据需要将其引导至隔离区进行修复,或者完全阻断其访问。 | 对通过准入控制系统连入网络的PC进行安全状态合规检查(如:是否安装指定软件、杀毒软件,病毒库、系统补丁是否更新等),满足条件则允许接入网络,否则拒绝访问并发出警告提示,并强制其跳转至隔离区进行相关修复。 | 对于临时来访的外来PC,因工作需要接入企业内部网络时,可以设定访客账户,通过WEB浏览器输入账号密码进行身份认证,通过后方可连入网络。 管理员可以对访客账户的访问时间、登陆IP、登录注销等进行日志审计。 | 准入控制系统可以有效防止内部PC通过重装系统、安装多系统、虚拟机等方式脱离管控,保证内网安全策略可以有效的执行。 |
(6)终端安全一体化
伴随企业信息化建设程度的逐步提高,现在安全厂商也逐渐将终端安全进行整合,实现一体化解决各种终端类型在多样的系统环境中所面临的复杂安全威胁,“一套服务器,一个客户端”,包含防病毒、终端检测与响应EDR、终端安全管理、终端运维管理、终端
3、应用价值
全面满足合规要求 | 灵活的方案选择性 | 良好的用户体验与易用性 |
通过终端安全的解决方案,能够对等级保护等合规要求中的恶意代码防范、访问控制、非法外联管理、资源控制、资产管理、介质管理、安全审计等控制点进行全面覆盖。 | 整体解决方案将以客户的终端安全痛点出发,灵活选择对客户有针对性的解决方案。保证客户现有投资,实现真正帮助客户解决现有问题。 | 方案在用户体验方面,绝大多数功能设计都要求一键完成,包括一键修复、一键升级、一键体检等等;具备灵活的分组管理,批量策略下发、分时扫描、终端强制控制、软件静默安装、一对一远程协助等易用功能;从产品设计到开发过程中全面贴合企业及管理员的安全管理需求,更大程度降低安全管理运维成本,提高员工工作效率。 |
详细相关解决方案请咨询爱瑞古德!