踐行智慧安全3.0理念|綠盟一體化終端安全管理體系實踐

以新理念打造終端安全體系

綠盟科技智慧安全3.0理念體系要求“以體系化建設為指引，構建‘全場景、可信任、實戰化’的安全運營能力，實現‘全面防護，智慧分析，自動響應’的防護效果”。它對安全體系化建設提出了更高要求，“全場景、可信任、實戰化”是安全產品需要打造核心業務能力的關鍵。

為踐行智慧安全3.0安全理念體系的落地，綠盟一體化終端安全管理系統（NSFOCUS UES）從產品的體系架構和終端安全視角對智慧安全3.0的“全場景、可信任、實戰化”進行全面對映和實現。

終端安全防護的意義和新形勢

隨著企業IT資訊化以及當前攻防節奏的不斷髮展，外部安全威脅日益嚴重，威脅攻擊面越來越大、威脅演變越來越複雜，終端的種類繁多，安全建設的選擇愈發困難。

當前，攻擊技術及駭客工具傳播速度極快，攻擊事件層出不窮，邊界型裝置檢測防護已無法保障現有的內網不被滲透入侵。過於關注邊界防護可能會導致外網失守，內網安全基礎建設力度薄弱則可能引起內網失控，而最終的決勝點就在終端防護上，因此迫切需要進一步完善資訊保安防護體系，建立針對全網辦公終端、營業終端、生產運維終端的安全防護能力，提升企業終端安全管理水平。

綠盟一體化終端安全管理系統的主要創新

全場景

全要素立體環境感知

NSFOCUS UES在感知層面具有天然的優勢，利用部署在終端安全客戶端探針，透過多種檢測及感知手段，實現全要素的立體式環境資訊及安全風險資訊的感知能力：

全要素感知是感知技術從安全檢查視角與攻防視角觸發，具備從基礎安全感知、系統安全感知、應用安全感知、健康狀態感知、威脅事件感知六大維度進行全面感知的能力。

全型別攻擊場景覆蓋

基於全要素的感知體系，NSFOCUS UES構建出體系化全型別攻擊場景覆蓋，這個全型別攻擊場景包括入侵攻擊、主機自身的各類異常行為及主機發起的各類異常外聯及橫向攻擊等。

利用完備的環境感知資訊，並可以聯動邊界安全防護系統，獲取如下威脅場景的覆蓋：

基於攻擊識別分析及威脅推理能力進行入侵攻擊的精準識別，涵蓋對終端的暴力破解、漏洞利用、泛洪拒絕攻擊、劫持攻擊、欺騙攻擊等；

利用終端安全代理上一系列的病毒檢測能力、行為檢測能力等，結合終端安全服務端上的關聯分析能力，精準識別主機各類異常檔案及異常行為，包括：僵木蠕異常檔案分析、密碼嗅探、隨身碟異常檔案操作、邊界檔案行為分析、Webshell後門分析、反彈shell分析、挖礦木馬分析等；

利用終端程式對外訪問行為的實時捕獲能力，結合精準關聯分析能力，識別終端的橫向攻擊、橫向滲透、異常外聯等的異常攻擊行為；

利用終端誘捕系統中的蜜罐檢測技術，模擬IP技術、漏洞技術、服務技術、誘餌技術、沙箱技術等，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，瞭解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地瞭解他們所面對的安全威脅。

全領域端到端高階威脅場景分析

目前業界大多數的安全場景基本上都是針對單一某次攻擊行為或者攻擊動作進行分析，由於缺乏有效的全場景攻擊資料和攻擊模型的支撐，無法搭建起攻擊者的有效攻擊時序路徑、攻擊手段、攻擊工具之間的關係，從而無法確切的探查攻擊者發起的攻擊動作的最終意圖。

NSFOCUS UES構建的端到端高階威脅場景是基於已經分析出來的全型別攻擊場景事件資訊，系統採用攻擊源域、攻擊目標域、橫向攻擊域的3域分析模型對安全威脅進行威脅事件的分域歸併，結合攻擊鏈分析、ATT&CK圖譜分析，構建出端到端威脅攻擊時序鏈，併合理利用人工威脅標定能力，構建出端到端的三維立體複雜威脅場景，全景式展示攻擊者的攻擊時序過程、攻擊所處階段及對應的ATTCK攻擊圖譜、採用的攻擊工具及攻擊指令碼、在網路上的傳播方式及傳播烈度，從而最終確定攻擊者的攻擊的最終意圖。

可信任

終端安全基於零信任理念“永不信任、始終驗證”的設計原則，採用軟體定義邊界網路的安全可信架構，透過終端單包認證、訪問管控、應用隱藏、資訊訪問管控、生物身份識別等技術，實現終端網路接入訪問控制、應用訪問控制、資訊可信追蹤及管控、多人圍觀身份識別等，保證網路終端的接入、敏感應用訪問、資訊訪問、身份識別的安全性。

可信任之持續驗證的可信架構模型

NSFOCUS UES採用符合軟體定義邊界網路的安全可信架構，基於“永不信任、持續驗證”的設計理念，進行持續認證終端網路接入、持續認證使用者的登入、持續評估使用者接入的周邊安全環境和訪問行為的可信，構建自適應可信訪問控制的架構體系。

實戰化

場景化防護響應排程

終端安全基於安全分析產生的運維事件，進行運維模型的構建，進一步確定當前威脅運維模型的防護模型，並根據當前事件智慧提取防護引數，從而形成一系列的安全防護策略。同時，系統還可以根據客戶化訴求，確定自動化執行防護策略或者人工稽核執行。

完備的微隔離體系

基於場景化的自適應安全防護能力，需要終端安全能提供全面的微隔離體系，即基於終端當前的安全風險狀態，對終端進行精細化的點對點自適應訪問控制能力，以保證終端安全風險的精細化即時響應能力。一個完備的微隔離體系應該具備如下完整分層的微隔離措施：

終端安全系統應能根據威脅場景分析的精細度，靈動選擇微隔離的訪問控制力度；

切實做到既能保證威脅的有效隔離，又能保證業務影響最小化

在足夠的關聯分析特徵情況下，做到多微隔離聯動；

高效完備的聯動攻防生態體系

終端安全系統並不是一個孤立的封閉體系，而是一個開放的自適應聯動攻防體系，利用終端安全系統高效開放的聯動介面，系統可以內建支援其它安全裝置及安全平臺，搭建出精準、可信、靈動、智慧的IPDR閉環安全生態體系，如下圖所示：

綠盟終端安全體系的實踐價值

綠盟一體化終端安全管理系統（NSFOCUS UES）以終端資產安全防護為核心，基於CARTA持續自適應安全風險及威脅評估模型在EDR領域的應用為要求，提出以持續安全風險評估為中心，以終端安全的識別、防護、檢測、響應能力為抓手，面向終端賦予更安全的准入策略、更精準的檢測能力、更高效的查殺能力、更細緻的微隔離策略以及更快速的響應處置能力，構建一個輕量化、立體化、智慧化、自適應協同化的縱深安全防禦能力生態體系。