Professional Documents
Culture Documents
【绿盟科技】
■ 文档编号 UES-V6.0R01F00 ■ 密级 完全公开
■ 版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科
技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复
制或引用本文的任何片断。
目录
一. 产品背景................................................................................................................................................1
1.1 企业终端安全事件.........................................................................................................................1
1.2 企业终端安全现状及所面临的困难..............................................................................................1
1.3 终端安全防护发展趋势.................................................................................................................1
二. 一体化终端安全产品的技术特性........................................................................................................2
三. 绿盟一体化终端安全管理系统............................................................................................................3
3.1 产品体系结构.................................................................................................................................3
3.1.1 基础平台....................................................................................................................................3
3.1.2 终端安全行为检测与防护........................................................................................................4
3.1.3 终端一体化能力........................................................................................................................5
3.2 UES 核心业务场景..........................................................................................................................5
3.2.1 联动 NF 准入控制场景..............................................................................................................5
3.2.2 联动可信检控零信任场景........................................................................................................6
3.2.3 端点检测与响应业务场景........................................................................................................8
3.2.4 威胁诱捕与狩猎业务场景........................................................................................................8
3.2.5 环境感知与审计业务场景........................................................................................................9
3.3 产品特色.......................................................................................................................................10
3.3.2 微代理......................................................................................................................................10
3.3.3 安全且具备攻防特性..............................................................................................................11
3.3.4 集成系统入侵检测..................................................................................................................11
3.3.5 系统兼容性高,软件兼容性强,跨平台支持面广..............................................................11
3.3.6 易于部署与推送,中心统一管理..........................................................................................11
3.3.7 实时预警,日志数据详尽......................................................................................................12
3.3.8 数据二次利用..........................................................................................................................12
3.3.9 终端流量牵引..........................................................................................................................12
3.4 产品功能.......................................................................................................................................13
3.4.2 态势大屏..................................................................................................................................14
3.4.3 Agent 部署................................................................................................................................14
3.4.4 终端管理..................................................................................................................................14
3.4.5 资产画像..................................................................................................................................15
3.4.6 终端安全审计..........................................................................................................................15
3.4.7 终端检测防护..........................................................................................................................16
3.4.8 终端响应策略..........................................................................................................................16
3.4.9 终端微隔离..............................................................................................................................16
3.4.10 漏洞分析................................................................................................................................17
3.4.11 合规分析................................................................................................................................17
3.4.12 弱口令分析............................................................................................................................17
3.4.13 事件分析................................................................................................................................17
-I-
3.4.14 攻击识别................................................................................................................................18
3.4.15 攻击诱捕................................................................................................................................18
3.4.16 U 盘管控.................................................................................................................................18
3.4.17 准入控制................................................................................................................................18
3.4.18 零信任....................................................................................................................................19
3.4.19 取证检索................................................................................................................................20
3.4.20 灰度发布................................................................................................................................20
四. 一体化终端安全核心优势..................................................................................................................20
4.1 产品亮点.......................................................................................................................................20
4.2 全面高效的端点检测防护方案,提升企业安全防护能力........................................................20
4.3 智能威胁建模,提高安全事件分析能力....................................................................................21
4.4 多重闭环响应,提高响应处置能力............................................................................................21
4.5 一体化终端安全管理,降低运维难度、提升企业运维效率....................................................21
五. 结论......................................................................................................................................................21
- II -
插图索引
图 3.1 NSFOCUS UES 场景架构图...............................................................................................................3
图 3.2 NSFOCUS UES 产品特色...................................................................................................................6
- III -
绿盟异常行为诱捕系统产品白皮书
一. 产品背景
一.1 企业终端安全事件
2017 年 5 月 12 日晚,勒索病毒”WannaCry”感染事件爆发,全球范围近百个国家遭到大规
模网络攻击,恶意病毒利用漏洞在内部网络大范围传播和感染,造成严重损失。
一.2 企业终端安全现状及所面临的困难
内网通常所面临的威胁受制于两个方面,企业自身的业务管理及发展水平,第二个是来
自网络黑客的破坏及蠕木僵的威胁。除了对制度的改善外,企业应更加重视内网被攻陷的可
能。互联网高速发展的今天,攻击技术及黑客工具传播很快,因此导致攻击事件也层出不穷,
而边界型设备检测防护已无法保障现有的内网不被渗透入侵,外网失守就是过于关注边界防
护,内网失控则是对内网安全基础建设力度薄弱,而最终的决胜点就在终端防护上,与终端
其他安全产品共同对抗入侵威胁。
一.3 终端安全防护发展趋势
在也开始意识到需要制定一个投资弹性和深度保护的计划。整个业界正在将重点从试图阻止
威胁,转移到让用户尽早发现威胁,然后拿出恰当的响应计划。
端点一体化进程正在加速推进,旨在将终端侧各安全能力进行整合,形成在网络拓扑中,
能够与安全设备,安全产品相互协作,共同参与溯源分析,威胁取证。绿盟一体化终端安全,
以对一个 Agent 的管理,从识别,检测,防护,响应,恢复五维一体的终端安全视角触发,
同绿盟各产品族形成安全网络体系。
二. 一体化终端安全产品的技术特性
攻防威胁的转变和系统环境的变化,要求检测类产品能够及时应对这些变化,为系统安
全性提供有力手段,一体化终端安全产品应该具备以下特性:
保证自身安全,迅速应变攻防环境,使攻击者无从发现。
一体化客户端形态,企业安装绿盟唯一端点代理,能够与各绿盟甚至友商的安全设
备形成联动,以降低资源浪费,对端点软件统一管理,一体化使用。
能够结合主机入侵检测系统特性,提升检测范围,监控被入侵时的一举一动。
能够及时的进行事件告警响应,多方面联合分析,还原攻击过程,优化对攻防事件
的应对方案。
能够提供多种灵活部署方式,适应复杂的网络环境下的部署,并尽量控制降低安全
建设成本
能够使用蜜罐技术,伪装服务,设置陷阱,以此为威胁检测切入点,层层剖析,试
图溯源。
能够适应于多种平台及虚拟化环境。
三. 绿盟一体化终端安全管理系统
三.1 产品体系结构
三.1.1 基础平台
基础平台包括管理平台及大数据分析组件。管理平台以软件安装包的形式交付于安全运
维人员,安装于 CentOS7.3 系统上,部署时,导入授权证书即可完成部署,管理平台可对内
网中所安装的 agent 进行注册,控制,卸载等。在管理平台中,包含众多能力组件,以提供安
全运维支撑与安全响应。其中包含资产指纹管理,威胁情报管理,自动持续化组件,资产脆
弱性与漏洞库等。
三.1.2 终端安全行为检测与防护
三.1.3 终端一体化能力
绿盟一体化终端安全,体现在绿盟对终端侧所有能力诉求进行整合,以一体化统一端点
软件进行铺设,提供终端安全管理能力的同时,对网络环境中的检测分析,响应恢复提供能
力支撑。
三.2.1 联动 NF 准入控制场景
如下图所示部署建议。
图 5.4 联动 NF 部署
三.2.2 联动可信检控零信任场景
围绕终端,构建安全信任管理模型体系实现终端从网络接入到可信敏感应用访问的全生命周
期的信任管理
三.2.3 端点检测与响应业务场景
三.2.4 威胁诱捕与狩猎业务场景
威胁诱捕技术应用包括服务蜜罐及诱饵等相关技术。服务蜜罐本质上是一种对攻击方进
行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施
攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意
图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强
实际系统的安全防护能力。
三.2.5 环境感知与审计业务场景
针对网络中终端资产,采用多种维度的资产发现手段,全面探查资产及资产内部环境基本属
性信息及风险信息。从终端资产全生命周期出发,对资产信息进行归并融合,确保准确全面
的持续的资产运营的框架下,感知并评估资产脆弱性、威胁及异常等多维度风险信息,并在
此基础下完整的安全运维处置闭环体系。
三.3 产品特色
三.3.2 微代理
一体化终端客户端体积很小,如今约 200K,就包含隐藏、安全通信、升级等主要基础功
能。安装过程中无需任何配置和选择,极易于安装和推送。
纯用户态的程序,更高的适配于不同的系统环境中,且在发生异常时不会造成崩溃卡机,
避免人员对设备使用时造成的影响。
运行时,资源占用极低,当系统处于空闲状态时,又会根据策略适度调整以提高资源使
用率。
三.3.3 安全且具备攻防特性
客户端安装于客户操作主机之中,在对主机进行入侵检测的同时,还需要保证自身的安
全性,不被攻陷且被利用。
客户端服务程序隐藏或伪装技术,在安装完 Agent 的主机上,很难发现运行程序及程序
名称,避免攻击者入侵后对本地应用进行扫描攻击,进一步降低攻击者发现或攻击产品的风
险。
即便攻击者发现了客户端的存在,安全团队也能根据攻防场景迅速改变客户端的隐藏手段,
定制出有效的应对方案。
安全通信采用的是以 UDP 协议为主的消息应答模式,以 TCP 来进行大文件传输,且
Agent 在本地不会监听任何端口,避免入侵后的监听扫描发现管理系统及降低运维人员对防
火墙策略的配置成本。应用数据通信过程同样采用数据结构及证书交换加密来防止攻击者分
析数据包伪造数据包,防止伪造源地址攻击,重放攻击等。
三.3.4 集成系统入侵检测
客户端包含主机入侵检测功能,根据策略,对当前进程,网络端口,系统日志等进行监
控,为入侵检测提供数据依据,提高威胁分析的命中率。
三.3.5 系统兼容性高,软件兼容性强,跨平台支持面广
用户态的运行方式,可以与大多数杀软等防护类软件并存,共同对抗主机入侵威胁。
三.3.6 易于部署与推送,中心统一管理
传统的终端产品运维成本高,升级复杂度高,不易于管理,安全客户端首要解决的问题。
客户端具备轻量的特性,并且无需配置,静默安装,使客户端更易于部署与推送,适应于大
面积铺设的企业内网统一管理的应用场景。
中心统一管理,Agent 通过与中心的通信交互,实现自动升级。安全管理员在中心即可对
任何一台或多台 Agent 进行策略下发,监控,任务执行,甚至是远程卸载等所有控制手段,
真正做到全面管理。
三.3.7 实时预警,日志数据详尽
客户端是集识别,检测,防护,响应为一体的客户端,伪装各类服务,动态设置陷阱,
监控当前进程,网络等行为。所有的数据都将被送往管理系统,由管理系统进行统一的分析,
以此还原攻击。
当发现有可疑事件时,管理系统会迅速在平台进行告警,以此提醒安全员高度重视,及
时作出应急响应。安全团队逐步会增加包括邮件,短信,微信等方式的即时告警消息,帮助
企业用户及时响应安全事件。
三.3.8 数据二次利用
企业安全管理亦存在其他第三方平台或安全事件分析团队,管理系统提供对日志转出的
功能,同时支持 TCP,UDP 两种基础协议,可同时配置多台接收设备,以便对终端数据的二
次利用,与其他平台共同形成安全防御网络,共同抵御内网安全威胁。
三.3.9 终端流量牵引
随着传统数据中心向云计算平台的迁移热潮,云平台承载了越来越多
的业务。数据中心的网络流量模型也因此发生了巨大的改变,东西向流量
在整个数据中心的流量占比中越来越大。这给云平台网络安全带来了新的
挑战。因为,传统南北向安全防护无法为东西向流量提供防护。UES 提供基
于云主机的终端流量牵引能力,通过将镜像流量加密压缩后封装为 UDP 报
文发送至上层流量分析探针,通过心跳响应机制对异常云主机进行隔离。
支持配置流量过滤和牵引策略。
三.4 产品功能
三.4.2 态势大屏
全方位展示当前现网终端情况,大屏展示安全评估各项维度指标。动态展示当前数据事
件,且实况转播资产详情与事件详情信息,达到大屏即可查看当前最新状况,协助管理员迅
速定位安全位置,及时做出响应处置。
三.4.3 Agent 部署
三.4.4 终端管理
三.4.5 资产画像
终端 Agent 在通过用户及各类友商软件安装后,则会自动识别主机资产信息,并上传服
务以标识并进行管理。Agent 识别的主机资产可自动建立资产管理资产及相关属性。在查看资
产详情中,可以方便的查看到资产指纹属性,其中包含有与 Agent 同样的指纹信息。用户可以
基于资产管理进行新建资产或导入资产数据,以方便建立与 Agent 的绑定关系。
以资产视角横纵分析事件特征,弱点特征,形成资产终端总体指标,以评估当前资产风
险状况,行为特征等。
三.4.6 终端安全审计
息。不同类型定义不同的检查周期,周期内持续监控主机数据。管理员可自定义关键路径安全
审核项提供用户可配置多个文件目录与注册表路径审核项,对关键信息进行全方位的实时监
控。
三.4.7 终端检测防护
此页面可配置与绿盟远程漏扫联动场景,Agent 会对主机资产信息进行全方位搜索并形
成指纹信息,将此信息上报给 UES 后,又 UES 联动 RSAS 进行终端漏洞分析,最后在 UES
上对漏洞结果进行统计与使用。
终端检测防护策略配置页面,能够方便的配置多种检测防护策略,其中覆盖 EDR 场景,
主要包含黑客程序告警,危险进程告警,可疑行为告警,挖矿程序查杀等一系列基于行为的
检测。并且内置轻量病毒查杀引擎,并含有当下最热门最易攻击的病毒特征,方便快速查杀
电脑关键位置及运行终得文件进程。
三.4.8 终端响应策略
日常终端运营中,及时响应在终端安全场景下是必不可少的能力,UES 提供最基础的响
应能力,也是最为有效的,包含主机隔离,网络链路封禁,文件隔离,进程查杀等。从网络
到端点,从运行到磁盘多个维度进行全面封锁,应对各类响应场景。
三.4.9 终端微隔离
安全管理系统提供统一的访问控制策略设置,用户可在此配置访问控制。当此访问控制
条目下发给相应客户端后,客户端会根据此 ACL 策略进行防火墙设置,所有过程均在用户态
应用环境中完成,依赖于系统防火墙,实现其主机上的微隔离方法。
三.4.10 漏洞分析
三.4.11 合规分析
三.4.12 弱口令分析
弱口令账户密码检测,在客户端初始运行时,对主机中的账户与密码进行校验检查,
在客户授权许可范围下,检测账户与密码的脆弱性,当用户修改密码时,实时检测修改后的
密码是否符合口令强度,且上报管理系统,上报的数据为加密掩码形式,只对当前主机密码
进行弱口令匹配,客户的明文密码不会被校验与上传。
三.4.13 事件分析
安全事件统计与概览,对终端周期上报与实时上报的数据进行规则识别过滤,命中规则
即表示产生相应的安全事件,其安全事件主要维度分为源地址,目的地址,与攻击方式,攻
击结果。从事件中可查询到对应的攻击识别规则与原始数据。
三.4.14 攻击识别
三.4.15 攻击诱捕
微蜜罐策略与主机安全检测防护策略,微蜜罐下,客户端会在客户主机上关键磁盘
目录进行创建文件和目录,伪装成服务,监听可能被攻击的端口,以用来捕获攻击者行为。
单独攻击诱捕视角呈现诱捕情况,统计分析诱捕事件,帮助管理员分析并制定现网终端捕获
目标。
三.4.16 U 盘管控
三.4.17 准入控制
三.4.18 零信任
此页面可配置零信任安全防护体系,与绿盟安全管理中心,UIP,SAG 形成联动,参照
绿盟 CARTM 体系。所需要配置安全管理中心地址,应用目录等地址。当代理服务开启时,则
Agent 会配置当前系统的默认代理地址为本地代理,代理执行为 Agent,Agent 会串联到系统
中的 WEB 访问请求,访问应用时附带 agent_uuid 数据到可信组件侧,由可信组件判断当前终
端的合规性与信任度。
三.4.19 取证检索
日志存储架构采用 ES 框架,可对全部日志,部分类别日志,根据不同的条件查询,查
询速度较快。检索中,可按 AND,OR 进行逻辑查询,可以直接查看日志详情,在详情中可点
击快捷过滤条件添加,与新建以此日志进行过滤的安全事件规则配置。其日志的原数据主要
包含了,数据源,数据增强字段。其中对数据进行了二次解析,对数据进行二次分类,从 IP
信息中增强地理位置,资产 ID 等属性。
三.4.20 灰度发布
四. 一体化终端安全核心优势
四.1 产品亮点
统一的策略管理,不同维度和粒度的分发机制。
可配置的多类型规则与任务,自定义事件告警,自定义过滤日志。
极高的用户层稳定性,不破坏系统与业务本身。
够轻量的部署方式,小体积,大智慧。
高效的系统集成和交付能力,可配置,可编排,可组合。
结合多项欺骗技术,主动捕获攻击来源。
与所有绿盟产品同步联动,数据共享,还原攻击。
四.2 全面高效的端点检测防护方案,提升企业安全防护能力
通过完善的弱点分析能力,包括漏洞、合规、弱口令快速分析,充分感知获取客户环境的脆弱
性信息;通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,
从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动
机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系
统的安全防护能力。
通过方便的配置多种检测防护策略,其中覆盖 EDR 场景,主要包含黑客程序告警,危险进程
告警,可疑行为告警,挖矿程序查杀等一系列基于行为的检测。并且内置轻量病毒查杀引擎,
并含有当下最热门最易攻击的病毒特征,方便快速查杀电脑关键位置及运行终得文件进程。
四.3 智能威胁建模,提高安全事件分析能力
四.4 多重闭环响应,提高响应处置能力
及时响应在终端安全场景下是必不可少的能力,UES 提供最基础的响应能力,也是最为
有效的,包含主机隔离,网络链路封禁,文件隔离,进程查杀等。从网络到端点,从运行到
磁盘多个维度进行全面封锁,应对各类响应场景。提供统一的访问控制策略设置,可支持基
于主机
同时通过和绿盟安全运营管理平台的联动,通过安全编排自动化响应组件联动可以将安
全工程师分析、研判、处置经验固化,在事件发生时实现自动化编排与响应的能力,提降低
MTTR 处置响应时间。
四.5 一体化终端安全管理,降低运维难度、提升企业运维效
UES 真正做到终端安全多维能力统一覆盖,网络安全体系下的端点统筹,终端安全唯一客户
端、业务及技术架构统一化管理。一个终端解决所有终端安全相关难题,真正做到方便运维,
提升企业整体终端安全运维效率。
五. 结论
网络安全环境日趋复杂,攻防对抗愈演愈烈,未知威胁层出不穷,传统安全防御体系无法跟
上严峻的终端安全形势,近几年勒索病毒频发,呈指数级增长,我国政府单位,公共机构,
医疗单位和企业成为勒索病毒攻击的重灾区。
病毒变种持续增多,基于厚重特征库的传统静态防御方式愈显不足,网络和终端安全防护割
裂,网端形成安全孤岛,无法实现威胁情况共享,安全产品之间也无法产生最大的联动防御
效果,导致无法快速识别检测出内网威胁,快速响应机制缺失,影响安全运维效率,终端整
体防御效果不甚理想。
合规设备及边界设备不能完全保证内网的绝对安全,一旦黑客入侵并成功潜伏,将会对
整个企业造成巨大的威胁。终端防护之前,需要做到绝对的终端威胁检测,终端就是攻击者
入侵后的最后一道防线,且也是黑客的最终战场,终端安全的首要职责就是发现入侵威胁,
及时预警,与安全员共同响应与抵御攻击事件。
绿盟一体化终端安全管理系统的推出,以终端资产安全防护为核心,基于 CARTA 持续
自适应安全风险及威胁评估模型在 EDR 领域的应用为要求,提出以持续安全风险评估为中心,
围绕准入、检测、分析、响应、防护五个关键环节,面向终端赋予更安全的准入策略、更精准的
检测能力,更高效的查杀能力,更细致的微隔离策略以及更快速的响应处置能力,在应对高
级威胁的同时,通过和绿盟安全管理平台、可信控制平台、漏洞扫描系统等联动协同,帮助用
户快速分析、定位、处置终端安全问题。构建一个轻量化、智能化、快速化的自适应终端安全准
入、分析及防护体系。