冬训营丨危城智甲 —— 端点安全防护能力的资源代价与优化

并且，端点安全防护产品是与操作系统高度融合的，安全防护能力与操作系统业务应用是共用着CPU、内存、磁盘等资源的，并且从系统启动阶段到运行阶段，这种资源共用情况是持续存在的。随着业务系统和安全防护能力的资源需求增加，必然会出现资源抢占，影响用户业务和安全防护的效果，所以说安全防护能力和资源消耗的平衡将成为关键。

应对于安全防护能力所分配的资源受限的现状，应该从哪些方面进行优化呢？无论是反病毒、EPP、EDR，还是UES等端点安全产品，从安全能力运行机理上来分析，它们所需要提供的安全防护能力基础包括病毒查杀、数据采集以及主动防御，这三项在执行时通常会产生较高的资源占用，因此，从基础能力资源优化来解决端点安全产品的资源占用问题。下面介绍安天智甲产品针对于这三方面的优化方法。

病毒查杀可以通过代码特征库替换hash库来实现病毒库的精简，减少磁盘和内存的资源占用。此外还可以通过建立终端和服务器的双缓存机制，在检测过程中直接判定，并且缓存采用路径hash+文件关键特征的形式，避免了缓存匹配时文件hash的计算，大大提高了检测效率和资源占用。另外可以通过闲时扫描机制，在主机资源相对充裕时进行检测，建立完整的主机缓存，同时也可以针对扫描模式进行配置，以及针对特殊病毒采用完整性监控机制，减少频繁扫描类似深层压缩包的特殊文件，造成的解包成本等问题。最后，充分发挥安天引擎的内建机制，例如跳过无毒格式文件等，也可以有效的减少病毒查杀的资源消耗。

针对主动防御，可以对终端进行识别，基于识别属性，建立有针对性的、场景化的防御策略，并且可以结合安全威胁框架，实现精准防控。下图是安天智甲在ATT&CK上的覆盖度，并且安天智甲产品在赛可达威胁框架覆盖度测试中取得了优异成绩。通过足够丰富的主防手段，我们可以在攻击的各个环节中精准的建立防护体系，在不集中消耗大量资源情况下，对威胁实现好的防御效果。

终端类型云化是一个趋势，云化终端解决了资源难扩充的问题，安全能力必然占用相对较多大而资源，因此解决资源的瓶颈，才是解决因为资源受限，导致安全能力受到影响的彻底方法。网内横向联动场景下，在保证网络联通安全的前提下，通过网内横向联动构建部署数据的全局化，例如可信白名单、防护策略等。同时，可以通过终端分布式感知，构建在安全策略上的强弱搭配，或者可以加强对操作系统和业务软件本身的安全性利用，对冲掉一部分由高算力需求的安全机制所带来的消耗。最后深度与受保护对象环境业务融合，提高兼容性和稳定性，从根本上上解决用户与终端安全产品的资源分配问题。