信创安全 | 亚信安全金融信创端点安全解决方案
点击 信创咨询 并设为星标⭐️ 及时获取最新资讯
编者按:亚信安全端点安全管理系统ESM通过检测、遏制、调查和修复等流程化操作,具备了包含恶意软件检测引擎、攻击行为检测引擎、机器学习检测引擎和威胁情报数据湖的“三擎一湖”技术,集成了威胁情报、攻防对抗、机器学习等多种能力,从多个维度为用户的数据安全与云应用安全提供了全面保护。亚信安全端点安全管理系统ESM广泛地适配信创CPU(x86架构、ARM架构和MIPS架构)同时适配信创主流操作系统(麒麟、统信等),目前已与主流技术路线实现全线适配,取得适配互认证书29件。
编辑|信创咨询公众号(ID:XConsultancy)出品 | 安东工作室作者|亚信安全转载|请注明出处
01
解决方案基本概述
1.1 方案建设背景
随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业,全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击,所以网上信息的安全和保密是一个至关重要的问题。
为了解决核心技术“卡脖子”、“受制于人”等问题,信息技术应用创新发展(简称:信创)已是目前的一项国家战略,也是当今形势下国家经济发展的新动能,我国明确了“数字中国”建设战略,抢占数字经济产业链制高点。国家提出“2+8”安全可控体系,2020-2022年是国家安全可控体系推广最重要的3年,中国IT产业从基础硬件-基础软件-行业应用软件有望迎来国产替代潮。
基于上述的技术和市场发展趋势,亚信安全推出了终端一体化解决方案 – 亚信安全端点安全管理系统ESM ,以一个客户端,单台服务器的方式,一站式解决终端防病毒,端点检测响应(EDR),U盘外设管控,进程管控,资产管理,虚拟补丁,违规外联,终端审计等,模块化的设计和授权,满足各类场景下客户的终端安全运维需求。
亚信安全端点安全管理系统ESM通过检测、遏制、调查和修复等流程化操作,具备了包含恶意软件检测引擎、攻击行为检测引擎、机器学习检测引擎和威胁情报数据湖的“三擎一湖”技术,集成了威胁情报、攻防对抗、机器学习等多种能力,从多个维度为用户的数据安全与云应用安全提供了全面保护。
亚信安全端点安全管理系统ESM广泛地适配信创CPU(x86架构、ARM架构和MIPS架构)同时适配信创主流操作系统(麒麟、统信等),目前已与主流技术路线实现全线适配,取得适配互认证书29件。
1.2 应用场景
亚信安全针对目前金融行业的网络现状,结合亚信安全在防毒领域及在金融行业解决方案的经验,对金融行业客户提供整体信创防病毒系统体系建设的建议。为了构建一个强壮、有效的防病毒体系,在分析了金融行业网络架构及相关应用之后,针对潜在的病毒传播威胁,亚信安全建议采用结合产品、防御策略、服务为一体的防病毒体系。
端点安全管理系统ESM解决方案主要解决金融行业办公终端和自助终端安全管控场景,同时针对信创服务器上的应用提供安全管控。目前,ESM实际应用项目数量32个,应用项目中最大投资金额400万元,应用项目中最大使用用户规模10万人。
02
解决方案总体架构及说明
2.1 方案设计思路
亚信安全针对目前的网络现状,结合在防毒领域及在金融行业解决方案的经验,采用结合产品、防御策略、服务为一体的防病毒体系。由于防病毒管理具有明显的地域性,为了方便集中管理,需要有一套切实可行的集中管理机制,以方便安全管理员实时掌控全网防病毒状况。
同时还要求按一级分行进行权限分派管理,不同一级分行的管理人员在中央控管体系中只能够管理到本一级分行范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。亚信安全设计的整体防病毒体系中,充分考虑到集中及分权管理的需求,构建逻辑结构为三层的防病毒体系,形成多层次的防护服务:集中管理示意图:
如图所示,ESM采用分级部署架构,实现了策略统一管理,病毒库统一更新和日志汇总统一呈现。管理平台部署在总行的数据中心,实现部署二级管理平台和端点安全管理服务端。ESM在物理上实现二级部署,在逻辑上实现三级管理体系。即在总部数据中心或私有云行业云平台上部署管理平台,通过多级方式实现三级的管理体系。
“总部”级管理员根据管理要求设定“总部级”的策略模板,并且下发至各“省级”管理员,省级管理员在这个“总部级”策略模板的基础上,根据各省的实际情况创建编辑“省级”策略模板,然后下发至各地市的端点安全管理端。同理,“地市级”管理员可以在“省级”策略模板的基础上创建编辑“地市级”的策略,最终应用至端点安全客户端。
病毒特征库统一更新是指在“总部”管理平台上集成本地威胁情报中心平台模块,该模块能够周期性地从亚信安全互联网威胁情报中心下载病毒特征库,各地市级的端点安全服务端能够从这个本地威胁情报中心平台统一下载病毒特征库。日志汇总统一呈现是指各地市级的端点安全服务端将威胁检测日志上传汇总至总部级的管理平台,通过仪表盘实时监控各省及各地市端点安全客户端部署率、特征库更新率、热门威胁排行榜和端点威胁排行榜等信息。
2.2 方案架构
亚信安全端点安全管理系统ESM在架构设计上共分四层:终端探针层、数据存储层、核心能力层、服务提供层。
终端探针层是指将ESM的客户端端部署到信创操作系统,实时采集终端的资产信息,高清记录终端的行为日志,通过安全设置相关策略,在终端上进行病毒查杀、安全权加固,数据上报等操作。
数据存储层是指ESM采用大数据结构,记录终端上传的各类数据:资产数据、管控日志、审计日志、行为日志等。
核心能力层是指ESM具备的三大功能:病毒防护、终端管控、检测响应。
病毒防护方面,提供病毒防护能力,查杀各种病毒、木马等恶意代码;通过引擎集成的机器学习AI技术,能够有效识别勒索和挖矿等热门攻击,并且进行有效的阻断;
终端管控方面,结合技术和运维工具来加固整个终端安全系统,涉及:资产管理,补丁管理,U盘外设管控,进程管理,终端审计,违规外联,远程运维等方面,最大程度的减少暴露面,预防可能的安全风险和数据泄漏事件发生;
检测响应方面,从内核态用户态高清记录“文件操作”、“进程启停”、“网络连接”和“注册表修改”等行为,并且对终端威胁进行遏制和修复。
服务提供层是指ESM具备一体化的管理控制台,可以统一管理适配信创系统的客户端,对其下发安全防护策略,为威胁行为进行调查分析,并洞察终端上的安全风险,ESM还可以通过syslog方式将检测日志发送到第三方平台,也可对外提供API接口,与第三服务平台进行联动处置。
03
解决方案功能模块介绍
端点安全管理系统ESM提供了广泛的防护功能,从信创桌面机保护到信创服务器保护。以下是端点安全管理系统ESM功能的概述:
3.1 管理特性
使用单一管理控制台进行集中管理,可以在大型企业环境中快速轻松地监控和管理多个端点。例如,可以从管理控制台远程发布ESM客户端,以确保用户环境中的每个端点都受到保护。
基于Web的管理控制台
端点安全管理系统ESM使用基于浏览器的管理控制台进行客户端的更新、配置以及紧急事件响应,信息汇总“控制台”呈现显示所有客户端的实时和最新威胁状态,产品使用授权状态和安全相关的事件信息。
在集中管理方面,基于Web的管理控制台以“左树右表”的方式直观方便地对客户端进行分组管理,尤其是在网络中有大量客户端的情况下,使企业级管理轻松高效。
多种客户端部署方式
端点安全管理系统ESM的客户端部署支持多种方式,包括:“基于浏览器”和“客户端打包程序”。
客户端自动分组
端点安全管理系统ESM支持在中大型企业中上万点客户端的规模部署管理,通过设定客户端自动分组策略,不同网段地址的客户端在安装注册时,能够自动地分组到策略定义的群组中,极大地降低了管理员的管理压力。
端点安全管理平台集成
通过端点安全管理平台,实现物理二级和逻辑三级的分级管理架构,轻松实现策略统一管理、特征库统一更新和威胁日志汇总呈现的管理功能。
数据库支持规模部署架构
采用Redis + MySQL + ClickHouse架构使单个ESM服务端可以支持上万点的客户端(仅开启EPP功能)规模接入。如同时开启EPP和EDR功能,单个ESM服务端可以支持五千点的客户端接入。
3.2 安全防护
端点安全管理系统ESM提供了EPP+EDR+桌面管控的增强级端点安全解决方案,一个统一的客户端和一个统一的控制台,通过模块激活的方式能够快速部署防病毒、EDR模块。EPP主要指恶意程序识别和清除;EDR模块集成了亚信安全行为检测规则引擎和威胁指标检测引擎,提供了增强级的高级威胁检测能力、调查分析和遏制修复能力。
智能保护和更新管理
组件更新可以通过常规的增量更新方式或通过可扩展的“亚信安全云安全智能防护” (Smart Protection Server)服务器获取的。端点安全管理系统ESM还提供“云安全扫描”,这是一种基于云的安全解决方案,它使用亚信安全云安全智能防护网络,提供更快,更广泛的检测范围和更低的资源利用率。
事件和爆发通知
如果存在多个端点感染或“爆发”,则端点安全管理系统ESM可以通过定义爆发阻止条件来提前遏制网络中的恶意程序。爆发阻止策略下发后,端点安全管理系统ESM客户端会执行相应的对策。
隔离文件集中管理
为了便于监控、调查和备份受感染的文件,端点安全管理系统ESM客户端可以自动将受感染文件或可疑文件隔离至本地隔离区,隔离信息汇总至ESM管理控制台统一呈现,如果出现误报,管理员可以远程一键恢复任何被隔离的文件。
防火墙
端点安全管理系统ESM防火墙可以为TCP,UDP和ICMP流量提供有状态的数据包级别检测,能够有效防范网络内部、外部攻击。集中管理服务器防火墙政策,包括最常见的服务器类型,可保护所有基于IP通讯协议(TCP、 UDP、 ICMP 等)和所有框架类型(IP、ARP 等)
先进的安全技术
端点安全管理系统ESM支持HTTPS、SSL、消息身份验证、实时扫描和Web信誉服务等技术。它还集成了依据真实文件的智能识别及扫描技术,进一步加强对恶意软件的防御能力。
安装在操作系统上的“高清摄像头”
ESM的客户端从操作系统内核态记录“文件操作”、“进程事件”和“注册表操作”,从用户态采集“系统事件”,还通过DPI(深度报文解析)模块识别并记录超过1000种以上的网络协议及应用,并且对网络安全攻击最长使用的协议HTTP/SMB/SMTP/POP3/IMAP进行了加强型的记录。
攻击可视化
通过安全事件的线索,ESM能够关联分析出进程之间的孵化关系,并且有效提取出其它可疑的操作,为安全专家的威胁狩猎(Threat Hunting)提供了技术保障。
文件流转视图
现代企业中重要文件数据是企业不可估量的资产,日益增多的失泄密调查需求使企业的安全管理人员迫切需要文件流转的可视化功能。ESM能够根据文件的哈希值进行关联分析,将该文件在终端探针间的流转操作,账号信息和程序操作以图形可视化的方式呈现出来,极大地提升了重要文件失泄密调查溯源的效率和效果。
IOA/IOC功能对热点安全事件进行自我排查
IOA是Indicator of Attack的缩写,是基于行为规则来检测高级威胁,例如PowerShell的脚本攻击,基于文件漏洞的PowerShell攻击等。
IOC是Indicator of Compromise的缩写,是基于热门安全事件汇总出的威胁特征,通过在自身EDR记录中回溯扫描和实时监控,对热点安全事件进行自我排查。
联动验伤功能
ESM提供了开放的验伤API接口,能够从TDA/UAP/态势平台接收验伤请求,根据安全事件的线索,以精密编排的方式对9类告警事件进行溯源分析,自动化地为用户提供验伤分析报告,极大地降低了用户安全运维的技术门槛,为快速响应治理提供依据。
远程遏制与修复
ESM提供了一键网络隔离疑似主机的功能 -- 遏制功能,在又明确威胁线索的指示下,用户能够远程方便地将威胁发生的疑似主机进行隔离,使其无法同网络中的其他主机通信,只能够同ESM的服务端进行通信,这样可以将威胁限制在主机本地,避免进一步扩散。
修复能够使用户的管理人员可以从ESM的管理控制台方便地开通一个同ESM客户端通信通道,通过一系列指令集实现远程的查询和治理修复操作,这对于地理位置比较分散的主机进行集中的修复治理工作极为有利。
3.4 管控特性
为最大程度的减少暴露面,预防可能的安全风险和数据泄漏事件发生,需结合技术和运维工具来加固整个终端安全系统,涉及的方面包括,资产管理,补丁管理,U盘外设管控,进程管理,终端审计,违规外联,远程运维等方面
资产管理
除了传统的软硬件信息,在安全运维的角度,开放的端口,运行的进程都是安全需关注的重点,细粒度的资产发现能力确保在微观处去洞察可能存在的安全漏洞活动。
ESM的资产发现支持:
硬件信息:包括CPU,内存,主机提供商,网卡,磁盘,内外网,内存,主机提供商,网卡,磁盘,内外网IP等
安装软件/安装包:主机上已安装的软件及其详细信息安装包
运行应用:所有在主机运行过的应用信息并支持按时间范围搜索回查
账号:主机账号详情及登录历史,并支持按时间范围搜索回查
端口:主机上开放端口及其进程
业务类资产:Web 站点, Web 服务,数据库
其他信息:启动项,计划任务,内核模块
动态资产清点:终端一旦接入资产发现模块,所有资产信息会被持续监控,任何变动都会被及时更新到服务器并按时间记录,管理控制台提供按时间范围查询,呈现和导出,安全事件是发生在某个特定的时刻,真实还原当时的资产状况显得尤为重要,可为事后补救提供更多线索和上下文。
外设管控
移动存储管理支持分组管理,给予不同的移动存储介质相应的授权使用范围和读写权限,同时支持设备状态的追踪与管理。
设备注册 :在管理控制中心启用移动存储介质管理中的设备注册模块,将要注册的移动存储介质(例如U 盘、移动硬盘等)通过USB 接口接入电脑,点击注册,系统将弹出认证提示框,并自动识别出该移动存储设备,管理员按照要求填写移动存储介质相关的归属信息并设定该移动存储介质的相应密级后,经管理员对该移动存储介质确认和授权后,该移动存储设备才可在已授权终端上使用。
设备授权:注册过的移动存储介质在相应授权计算机上可以进行相应读写操作,移动存储设备授权支持只读、读写的分级授权,更灵活的满足了用户对于移动存储设备授权要求;同时可直观地查看指定组或计算机的可用设备数量,便于用户进行日常的统计与维护工作。
设备例外:可对部分包含存储功能的外设进行例外处理,例外后的设备将可在终端上进行使用。可以对例外设备进行自定义管理。
外设资产库:企业环境内的各类外设可能会成为威胁传播或数据泄漏的途径,摸清企业内部有多少外设,分别是什么类型,归属在哪个终端上面,有利于进一步的加固内网环境和资产清点,ESM外设模块记录和统计各类外设资产,并自动和手动进行分类,并支持以终端维度呈现该终端上有哪些外设。
进程管控
过设置策略生效时间能够满足企业内在固定时间里的进程管控,可支持指定文件的SHA1,文件名,原文件名的属性设定黑名单,分配至某终端或终端分组,实现对特定终端,特定进程的管控,应用场景为违规软件,盗版软件,绿色软件等。
违规外联
为防止信息泄漏和安全隐患,很多企事业单位禁止终端连接外网,个别员工可通过私接路由器,手机热点等方式,绕过此限制,通过终端探针,实时探测终端外网连接情况,实时阻断违规外联的行为发生,ESM支持多种探测手段,并详细记录违规外联告警。
补丁管理
补丁管理功能包括操作系统缺失补丁扫描,通过在线下载补丁文件或离线上传的方式,分发安装补丁至各客户端,以获得即时防护,补丁安装以任务的方式进行,帮助管理即时获取补丁安装状态,为避免对业务造成不必要影响,可指定补丁下发时段和指定补丁下发中继,最小化带宽占用,满足各类网络环境的需求
终端审计
ESM的终端审计包括:
进程审计:包括进程的各种操作,启停等,可指定需审计的进程类型,或要审计的终端及其分组
外设审计:包括各类外设的插拔记录,可指定需审计的外设类型和需审计的终端及其分组,并提供审计日志供事后查询
账号审计:包括各类账号的创建,删除,属性修改等操作,可指定需审计的终端及其分组,并提供审计日志供事后查询
文件审计:包括文件的读写,复制,移动,网络传输等操作,可为数据安全,文件溯源提供依据,供事后查询和审计
3.5 增值特性
为了进一步提升管理员和终端用户的整体使用体验,端点安全管理系统ESM提供了更多功能。
模块激活架构
由于采用了优秀的模块激活架构,端点安全管理系统ESM能够更加轻松地应用新的安全技术和扩展支持新的操作系统,而不必对主程序进行大幅度改动。新的应用或服务可以通过模块管理器集成到端点安全管理系统ESM的软件架构中。模块管理器通过集中的授权页面进行激活,用于部署,配置和管理提供附加功能的新模块。
详细日志
通过预先定义好的系统更新和扫描,ESM可以把侦测到的安全事件和安全威胁,以详实的日志方式记录下来,管理人员可以对这些信息进行分析并生成合规性报告。
MD扫描引擎
通过集成恶意文件扫描引擎(Malware Detection Scan Engine)的扫描功能,增强了对各种病毒、木马的保护。通过引擎集成的机器学习AI技术,能够有效识别勒索和挖矿等热门攻击,并且进行有效的阻断。
增强检测可见性
端点安全管理系统ESM在服务器端和客户端的病毒和恶意软件日志中,还增强型地提供了“感染渠道”的新列,可以显示恶意软件的来源。
勒索、挖矿病毒增强级防护
亚信安全MD引擎通过人工智能深度学习,真正洞察勒索和挖矿病毒的行为特征,有效检测已知勒索病毒及其家族的未知变种,以高检出率和低误报率的算法模型,构建完整的勒索病毒和挖矿病毒的防御体系,为用户构建坚实的防御屏障。
与亚信多个产品进行融合集成
能够同亚信安全的防毒墙网络版软件进行融合部署管理,通过防毒墙网络版的安装通道和权限,方便的部署ESM的EDR和资产模块,即ESM的EDR和资产模块以防毒墙网络版的插件形式进行统一部署和管理,极大地降低了客户终端安全管理的负担。
亚信安全的云主机防护DeepSecurity已经覆盖了绝大部分CWPP防护功能模块,而ESM的EDR和资产发现模块以插件方式与云主机防护DeepScurity进行了融合部署融合,即方便用户快速批量部署EDR和资产发现的插件模块,又提供了增强的高级威胁检测能力、增强的高级威胁调查分析能力和增强的高级威胁遏制与修复能力。
ESM能够同UAP/态势感知平台等管理平台进行双向集成,一方面ESM能够通过syslog通道把IOA/IOC告警信息和终端记录的原始日志发送至管理平台进行告警呈现,另外一方面ESM开放的验伤API接口也可以接收管理平台触发的验伤溯源分析请求。
ESM能够同TDA进行验伤集成,即TDA在网络上发现的威胁告警能够通过API接口将安全事件的线索发送至ESM,ESM的EDR模块能够进行自动化的验伤分析,并且将验伤报告结果发送至TDA进行呈现。
04
解决方案实施效果
4.1 业务需求
为了方便集中管理,需要有一套切实可行的集中管理机制,以方便安全管理员实时掌控全网防病毒状况。同时还要求按一级分行进行权限分派管理,不同一级分行的管理人员在中央控管体系中只能够管理到本一级分行范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。
具体业务需求如下:
支持国产芯片平滑过渡
支持国产操作系统平滑过渡
支持办公终端、生产服务器、自助机具等设备的病毒安全防护
能够快速定位威胁源头、溯源威胁攻击路径,及时响应并处置各位威胁
实现对威胁的事前侦测、事中记录,事后追溯
终端安全防护能力需达到GA 243-2000《计算机病毒防治产品评级准则》中一级品的能力
4.2 技术特点
亚信安全的端点安全管理系统ESM完全适合金融行业终端安全防护建设的最佳实践,亚信安全提供的解决方案具备如下特点:
可靠性高
端点安全管理系统ESM可切实保障高稳定、高可靠性,可靠性可达到99.99%,已经部署的客户,未发生影响生产系统、办公业务事件。
扩展性好
端点安全管理系统ESM可以对外提供API接口,与第三方系统进行对接。
经济实用
端点安全管理系统ESM采用模块化的设计和授权,可以根据用户的需求,及时开启或者关闭不需要的功能。
管理简单易用
端点安全管理系统ESM具备一体化的管理控制台,可以统一管理适配信创系统的客户端,对其下发安全防护策略,为威胁行为进行调查分析,并洞察终端上的安全风险,
先进性原则
端点安全管理系统ESM具备三合一的能力,集成的防病毒引擎具备99%以上的病毒查杀率,集成的EDR功能具备160多个ATT&CK的检测点。
性能消耗低
端点安全管理系统ESM的CPU使用率不超过5%,内存使用率不超40MB。
4.3 示范意义
端点安全管理系统ESM提供了EPP+EDR+资产发现的增强级端点安全解决方案,一个统一的客户端和一个统一的控制台,通过模块激活的方式能够快速部署防病毒、EDR和资产发现功能模块。EPP主要指恶意程序识别和清除;EDR模块集成了亚信安全行为检测规则引擎和威胁指标检测引擎,提供了增强级的高级威胁检测能力、调查分析和遏制修复能力;细粒度的资产发现模块能够实现对硬件、软件、运行应用、账号、端口、Web和数据库应用的有效识别。
亚信安全基于在金融行业的积累的经验,综合考虑当前信创生态的现状,在深入分析研究金融客户业务以及信息化建设状况的基础上,推出了针对金融信创应用场景的解决方案,并获得用户认可。尤其是在部分金融信创试点中率先落地全国金融行业级别最高的五大行之一的标杆性项目,刷新了信创终端安全解决方案在金融行业的中标记录。
该项目落地解决方案后续将逐步进行全网终端部署,兼容适配终端数量之多,处理业务数据量之大,服务响应能力要求之高,充分验证了亚信安全金融信创解决方案的价值所在,同时给金融行业其他客户进行信创试点起到了重要的示范作用。目前,亚信安全已部署和参与测试的金融行业试点单位已覆盖80%以上,其他金融客户案例已超百家,在金融信创领域已经建立了先发优势。
未来,亚信安全将持续对金融信创相关解决方案进行更深入、更广泛、可持续的研发,形成行业标杆;同时充分发挥亚信安全在金融信创试点的示范作用,加快金融信创领域的关键核心技术攻关,坚持目标导向、问题导向,统筹兼顾短期和长远目标,安全可控和创新发展并重,落实双循环发展新要求,全力开创金融信息技术创新发展新局面。
4.4 解决方案价值及收益
亚信安全在金融行业非信创领域的终端市场,已经覆盖了50%左右的客户群体,随着金融信创逐步推进,亚信安全已经在金融头部客户落地了信创解决方案,为亚信安全带了金融行业终端安全防护市场增量的经济效益。亚信安全也在同信创系统厂商进行广泛适配,解决用户不同的业务需求。
满足等保合规需求:满足行业客户等保2.0中对安全计算环境的要求,避免因不满足合规要求而产生降级风险;
一体化安全防护:方案通过具备恶意软件防护、机器学习和集中管控等功能优势,可对用户的所有终端类型提供安全保障;
深度适配平滑过度:深度适配主流CPU和主流操作系统,积极参与厂商产品兼容性计划,用户无须考虑兼容性问题;
运维效率全面提升:通过统一客户端和控制台来实现端点系统的安全一体化防护,从而达到降低人力成本,提高工作效率的目标。
05
解决方案应用案例
目前, ESM实际应用项目数量32个,应用项目中最大投资金额400万元,应用项目中最大使用用户规模10万人,方案框架及部分应用案例如下:
06
解决方案联系方式
END