綠盟一體化終端安全管理系統+CWPP理念，助力提升企業安全防護能力

近年來，CWPP（Cloud Workload Protection Platform，即雲工作負載安全防護平臺）成為雲安全領域的關注熱點。Gartner在2021年釋出了《Market Guide for Cloud Workload Protection Platforms》（雲工作負載保護平臺（CWPP）市場指南）。報告指出美國2021年CWPP市場規模將達到16.99億美元。目前中國市場規模要遠低於這個數字，國內市場還沒有徹底釋放。報告還提到了以下核心觀點：

1、雲原生應用程式在開發過程中就需要考慮雲原生安全，尤其是容器和無伺服器PaaS要更早地加入CWPP理念。

2、76%的企業正在使用多個公共雲平臺（IaaS），但仍有本地部署的工作負載需要保護，客戶業務環境處於混合、多雲架構下仍是常態，使用IaaS最大的挑戰是安全風險增加。

隨著企業上雲的步伐越來越緊密，以及多雲的部署形式成為一種趨勢，其安全刻不容緩，它區別於傳統的網路安全，安全一旦出現風險其影響面之廣，所以更加需要成體系的解決方案。

基於CWPP理念——綠盟一體化終端安全管理系統

基於雲上的安全風險，Gartner提出的CWPP涵蓋了工作負載整個生命週期的安全需求，涉及的控制點較多。Gartner同時將CWPP的能力做了分層，明確了核心能力和附加能力。

從上圖可以看出CWPP的核心保護策略是加固和防護，包括漏洞利用防護/記憶體防護、應用程式控制/白名單、系統完整性保護、微隔離與流量視覺化、加固配置和漏洞管理。下面以綠盟一體化終端安全管理系統為例，分析一下產品能力和CWPP契合度以及在CWPP架構中發揮的作用。

加固、配置、漏洞管理

這項能力也是CWPP最底層的核心能力，同樣是安全運營中重要工作之一，但是打補丁、修漏洞一直是業界比較頭疼的問題，綠盟一體化終端安全管理系統提供漏洞分析和攻擊誘捕能力可以有效應對。

漏洞分析：將識別到的主機資訊，補丁資訊，應用資訊，檔案資訊等進行上傳管理平臺後，最後將漏洞資料上傳並進行主機脆弱性統計與分析。

攻擊誘捕：Agent會在工作負載上關鍵磁碟目錄進行建立檔案和目錄，偽裝成服務，監聽可能被攻擊的埠，以用來捕獲攻擊者行為。單獨攻擊誘捕視角呈現誘捕情況，統計分析誘捕事件，協助使用者加強漏洞的管理、配置及加固。

網路防火牆，可視性及微隔離

微隔離主要防禦內網滲透，如今在內網環境下，埠訪問管理工作存在安全風險，一旦一臺工作負載淪陷，以它為跳板進行漏掃、爆破，橫向移動將輕而易舉。綠盟一體化終端安全管理系統提供的流量微隔離能力可以對流量進行精細化管理，可以有效應對東西向橫移威脅。

流量微隔離：提供針對雲主機的東西向流量採集，可基於微隔離策略的細顆粒度響應進行處置，其產品擁有強大的檢測能力，其中包括：入侵檢測、Web攻擊檢測、惡意檔案檢測、Webshell攻擊檢測、威脅情報、檔案沙箱、異常行為等，能夠快速狙擊APT威脅。

系統信任保證

主要指工作負載中系統核心檔案的防護，目前比較好的防護思路是對檔案/目錄的執行狀態和完整性做監控和限制防止系統目錄的檔案被惡意修改或者惡意檔案執行。綠盟一體化終端安全管理系統在此項要求上提供狀態監控能力，對工作負載執行狀態進行實時監控。

狀態監控：採集行為審計日誌，及相關資產指紋主要包括了程式監控與網路連線監控，資源使用率等。環境感知包含對主機的使用者賬戶配置許可權變化感知、使用者密碼修改感知、軟體安裝感知、硬體變化感知，並且使用者可自定義關鍵路徑安全稽核項，提供使用者可配置多個檔案目錄與登錄檔路徑稽核項，對關鍵資訊進行全方位的實時監控。

應用程式控制白名單

工作負載中會有部分應用存在過高許可權的情況，如資料庫具備建立可執行檔案的許可權等，容易被攻擊者利用，綠盟一體化終端安全管理系統具備應用程式控制，能夠對系統啟動項、程式、應用進行監測和防護。

反惡意軟體

反病毒作為CWPP附加安全策略其地位也是非常重要的。綠盟一體化終端安全管理系統，在此項能力要求下整合了綠盟科技自有的防毒能力，支援透過病毒查殺策略，可選擇查殺方式、指定查殺物件以及查殺時間，其中查殺方式包括快速查殺以及全盤查殺等多種查殺方式。

客戶價值

1、提升企業安全防護能力

透過完善的弱點分析能力，包括漏洞、合規、弱口令快速分析，充分感知獲取客戶環境的脆弱性資訊；佈置一些作為誘餌的主機、網路服務或者資訊，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，瞭解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地瞭解他們所面對的安全威脅，並透過技術和管理手段來增強實際系統的安全防護能力。

配置多種檢測防護策略覆蓋了EDR場景，主要包含駭客程式告警、危險程式告警、可疑行為告警、挖礦程式查殺等一系列基於行為的檢測，並且內建輕量病毒查殺引擎，並含有當下最熱門最易攻擊的病毒特徵，方便快速查殺雲工作負載關鍵位置及執行中的檔案程式。

2、智慧威脅建模，提高安全事件分析能力

綠盟一體化終端安全管理系統將攻擊鏈模型、ATT&CK模型、威脅知識圖融入到平臺威脅分析建模，從海量資料中聚效到攻擊者攻擊行為，對於規則命中的威脅，統一生成終端威脅事件，支援威脅事件攻擊過程、攻擊鏈、ATTCK等資訊關聯分析，追溯威脅事件發生的主機、程式、檔案路徑、還原事件發生過程。

3、多重閉環響應，提高響應處置能力

及時響應在終端安全場景下是必不可少的能力，綠盟一體化終端安全管理系統提供最基礎的響應能力，包含主機隔離、網路鏈路封禁、檔案隔離、程式查殺等。從網路到端點，從執行到磁碟多個維度進行全面封鎖，應對各類響應場景。提供統一的訪問控制策略設定，基於微隔離策略，實現對主機出入棧雙向的訪問控制，從而對主機進行細粒度的響應處置。

同時透過綠盟安全運營管理平臺的聯動以及安全編排自動化響應元件聯動可以將安全工程師分析、研判、處置經驗固化，在事件發生時實現自動化編排與響應的能力，提降低MTTR處置響應時間。

4、降低運維難度、提升運維效率

綠盟一體化終端安全管理系統真正做到計算節點安全多維能力統一覆蓋，網路安全體系下的端點統籌，工作負載安全唯一Agent、業務及技術架構統一化管理。一個Agent解決所有云工作負載安全相關難題，真正做到方便運維，提升企業整體雲工作負載安全運維效率。

從目前來看，國內市場使用CWPP理念的企業越來越多，一是切實可行降低企業使用公有云、混合雲帶來的安全風險；二是工作負載的載體也在快速變化從物理機、虛擬機器、容器到serverless，負載的生命週期越來愈短，安全逐漸左移，CWPP將與CSPM融合，變成新的產品形態：雲原生應用程式保護平臺（CNAPP）。

2022年5月，綠盟科技正式釋出雲化戰略——T-ONE CLOUD（inTelligent First security，智慧安全優先），以“雲運營再造新安全”為目標，旨在以雲的思路重構安全運營體系，為使用者提供彈性敏捷的安全閉環保障能力。未來，綠盟科技會持續投入雲安全領域，為更多使用者提供“用得起，看得見，抓得全，管得住”的安全雲服務。

參考文獻

[1] Market Guide for Cloud Workload Protection PlatformsPublished 12 July 2021 - ID G00725997

備註：Gartner並未在其研究報告中支援任何供應商、產品或服務，也並未建議科技使用者只選擇該等獲最高評分或其它稱號的供應商。Gartner的研究報告含有Gartner研究與顧問組織的意見，且該意見不應被視作事實陳述。就該研究報告而言，Gartner放棄做出所有明示或默示的保證，包括任何有關適銷性或某一特定用途適用性的保證。