没有合适的资源?快使用搜索试试~ 我知道了~
信息安全-终端检测响应平台EDR解决方案.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 115 浏览量
2022-06-09
01:55:21
上传
评论
收藏 2.69MB PDF 举报
温馨提示
信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf信息安全-终端检测响应平台EDR解决方案.pdf
资源推荐
资源详情
资源评论
第一章 概述
二十一世纪以计算机和网络通信为代表的信息化技术迅速发展,现代政府部
门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端
愈发依赖,信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织
机构的正常运行高度依赖于信息系统,而针对其所承载的服务和数据的安全保护
就显得尤为重要,如数据的安全性、完整性,终端计算机的可靠性、可用性等方
面出现缺陷,将会给组织机构带来不可计量的损失。而如今,全球化的互联网使
得组织机构不仅依赖信息系统,还不可避免地通过计算机与外部的信息系统建立
密切联系。面对来自外部以及内部的威胁,对信息系统及系统终端的保护需求则
更为突出。
面对日益严峻的安全风险,大部分组织机构通过以边界安全网关类设备为基
础构建信息系统安全防护体系,并在一定程度上抵御来自外部的攻击,然而内部
信息系统是不断变化发展的,系统环境在任何时刻都会呈现开放、共享等特点,
不应以孤岛形式存在,外部威胁只是安全风险的一部分,作为办公环境的重要组
成,开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正
因如此,终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。
XX 终端计算机具有点数多、覆盖面大、难管理等特点,加之 XX 信息安全人
员人手有限,终端分布环境复杂,威胁风险事件较多,使信息安全人员对终端安
全工作处于被动状态。在终端安全方面,一旦出现病毒感染、恶意破坏传播、数
据丢失等事件,将会给 XX 造成严重损失,后果不堪设想。现由于 XX 各部门及员
工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐,已严
重影响到计算机信息系统安全性。正因如此,全方位做好 XX 信息系统的终端安
全防护工作,在 XX 建设一套终端安全检测与响应系统,以确保 XX 的日常办公安
全、稳定、高效运行。
第二章 应用场景与风险分析
2.1 防病毒应用概况
信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为
使用者带来便利同时,亦产生了层出不穷的安全威胁。这其中就以计算机病毒最
为致命,它具有破坏性强、传播途径多样等特点,一旦感染将会给 XX 造成巨大
损失。针对于此,XX 在现有信息系统中通过部署**防病毒产品,用以防御已知
威胁,这在一定程度上确实能够提升终端安全防护水平,但就目前信息化技术发
展来说,如勒索病毒大范围感染传播事件,攻击者的免杀技术不断升级,传统防
病毒产品已无法及时有效的应对新的高级威胁。
2.1.1 现状及风险分析
2.1.1.1人工运维加剧威胁防御成本
传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱
动威胁防御,勒索病毒等高级威胁一旦产生,将会在内部不可控的感染传播。信
息系统的恢复工作,需要逐台逐点完成,大量人工成本呈几何增长态势。
另外针对新型病毒而言,需要充分研究其技术特点,以针对性的防御措施进
行加固,这就对企业运维人员的专业性要求极高,那么面对层出不穷的新型威胁,
现阶段以传统防病毒产品为基础进行有效应对难度较大。
2.1.1.2基于特征匹配杀毒无法有效抵御新型病毒
已有防病毒产品基于病毒特征库方式进行杀毒,在高级威胁持续产生的大环
境下,呈现被动、后知后觉等检测特点,无法及时有效防御新型病毒,如 WannaCry
勒索病毒。另外,本地特征库数量受存储、性能、资源等多方面影响,现有本地
特征库文件规模无法满足已知病毒的查杀需求。
2.1.1.3病毒特征库数量增长加重主机运算资源
伴随着已知病毒样本的不断增加,本地病毒特征库数量日益增多,现已严重
加剧终端存储、运算资源成本,查杀病毒过程会出现卡顿、假死等现象,严重影
响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代,现有防病毒
产品已无法适配如云化等新的特定场景。
2.1.1.4杀毒处置方式落后无法适应病毒新的传播方式与环境
如信息系统内某台终端发现病毒,防病毒产品将采取基于文件隔离的方式进
行处置,此种方式相对落后,如文件隔离失败情况产生,单点威胁将快速辐射到
面,因此传统防毒产品已经无法适应新的病毒传播方式及环境。
2.2 终端间访问控制应用概况
一直以来,企业广泛的采用纵深防御技术(defensin depth)和最小权限逻辑(least privilege)
来进行企业网络安全管理。而隔离是实现这两个理念的基本方式,例如传统安全管理中,通
过边界部署防火墙来实现可信网络与外部网络的隔离,内部不同安全级别间划分安全域,域
间通过防火墙实现隔离,并通过设置安全策略按需赋予访问权限。
2.2.1 现状及风险分析
2.2.1.1终端间缺少基本的访问控制体系
从近年来的安全事件我们可以看到,攻击者从以破坏为主的攻击逐渐转变为
以特定的政治或经济目的为主的高级可持续攻击。无论从著名的 Lockheed
Martin Cyber Kill Chain(洛克希德-马丁公司提出的网络攻击杀伤链),还是
近年名声大噪的勒索病毒、挖矿病毒,这些攻击都有一些显著特点,一旦边界的
防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部基本没
有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点,复杂的
安全策略、巨大的资金和技术都用于了边界防护,而同样的安全级别并不存在于
内部。
2.2.1.2终端间访问关系无法有效可视
对终端间访问关系的梳理必不可少,若通过路由表单等静态报表很难看到每
个业务域内部各个终端的访问关系展示以及访问记录,也无法通过可视化的方式
看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流
量排行
2.3 设备联动应用现状
XX 网络的建设伊始及后续应用,就与外部网络存在密不可分的连通性,资料
查阅、信息交流、数据共享等行为普遍存在,这使得 XX 办公人员大大增加了工
作便捷性。然而,网络化办公增加工作效率同时,由此产生的外部威胁、非法操
作行为即随之而来,正因如此,XX 在现有信息系统中通过部署深信服下一代防
火墙 AF、行为管控 AC、安全感知平台 SIP 等设备,以便达到抵御外部攻击威胁、
规范化组织用户上网行为、感知网络威胁等效果,这些技术措施的良好运用,有
效增强了信息系统安全性。然而安全体系的建设应呈现一体化形态,各安全设备
分散应用、各自为战,无法有效实现安全防护工作的进一步增值,病毒威胁一旦
感染至终端,前期所做一切工作将形同虚设。
2.3.1 现状及风险分析
2.3.1.1未构成整体安全防护体系
传统安全防护工作的建立,必然与各安全设备形成密不可分的关系,但术业
有专攻,目前各安全设备只可达到职责范围内的对应防护效果,即各系统只可对
其涉及的对象进行安全管理,查看相应信息、检测对应流量、收集安全日志,各
系统的功能及信息均呈现分散特点,未有效整合安全防御能力,并形成整体化的
安全防护体系。
2.3.1.2缺乏设备间有效联动机制
安全威胁的产生不会因为防御技术的升级而终止,面对层出不穷的威胁,诸
多安全设备各司其职、各自为战,安全设备间未形成有效的联动机制,威胁一旦
在某点爆发将快速影响到面,然而现阶段,有效应对及响应手段只可依靠人工。
2.3.1.3安全防护能力不可延伸至端点
前期已建设的深信服 AC、AF、SIP 等系统,在安全防护能力方面,更多偏重
于网络层面,无法延伸至端点。然而就终端而言,其有效使用与 XX 用户日常工
作密不可分,终端作为安全防护工作的最后一公里,重要程度不言而喻,新型勒
索病毒等威胁一旦出现,将不可控的感染至终端,而此时维护工作量大、恢复难
度高、感染覆盖面广等等问题均全面暴露,给 XX 造成不可预估的损失。
第三章 建设思路
综上所述,XX 已在信息系统内部建立防病毒、防火墙、上网行为管理、安全
感知的系统,但以新型威胁、终端安全等角度为出发点,仍存在诸多不足。本方
案将设计通过深信服终端检测与响应系统(以下简称“EDR”)进行 XX 终端安全
防护项目建设,EDR 是深信服公司提供的一套综合性终端安全解决方案,方案由
轻量级的端点安全软件和管理平台软件共同组成。EDR 以具有自主知识产权的创
新型 SAVE 人工智能引擎为核心,通过预防、防御、检测、响应赋予终端更为精
准、持续的检测、快速处置能力,应对高级威胁同时实施联动协同、威胁情报共
享、智能响应机制,可以实现威胁快速检测、有效处置终端一系列安全问题,构
建全新智能化的下一代终端安全系统,为 XX 提供行之有效的整体安全防御体系。
图 3-1 项目建设思路
3.1 构建多维度威胁防御体系
通过 EDR 的全面部署应用,提供全网终端病毒、木马、入侵攻击等威胁防御
能力,通过 EDR 人工智能 SAVE 引擎、全网信誉库、云查引擎、行为分析等技术,
全面应对威胁,有效防御新型未知病毒的感染与传播,解决现有信息系统安全问
题,构建百分百多维度威胁防御体系。
3.2 建设多平台立体防御壁垒
通过 EDR 的全面部署应用,提供多安全平台联动机制,EDR 可与深信服 AC、
AF、SIP 进行联动,实现威胁情报的共享与接收效果。EDR 在收到其他设备发送
剩余26页未读,继续阅读
资源评论
春哥111
- 粉丝: 1w+
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功