企業(yè)終端網(wǎng)絡安全合規(guī)管控研究

◆廖瑩璐 顏穎 肖鵬 李石穩(wěn)

（1.云南電網(wǎng)有限責任公司信息中心 云南 650217；2.云南云電同方科技有限公司 云南 650217）

1 背景

隨著云計算、大數(shù)據(jù)應用的落地，以及物聯(lián)網(wǎng)設備的普及，企業(yè)內(nèi)部的網(wǎng)絡資產(chǎn)種類越來越多、使用越來越復雜，這導致了傳統(tǒng)的機房管理系統(tǒng)、IP備案系統(tǒng)失效，很多用戶對自己資產(chǎn)情況無從感知，各類攻擊事件頻發(fā)，并且大量的威脅事件都是發(fā)生在終端，大多數(shù)終端的地址又是動態(tài)分配的，安全事件追溯困難，數(shù)據(jù)分散在各種設備中，需要更多的人員來排查，耗時又費力，并且效果不佳。每產(chǎn)生一個安全事件，相關聯(lián)的人員特別多，分析的效率特別低，無法在第一時間發(fā)現(xiàn)和處理攻擊源，產(chǎn)生無法挽回的后果。同時，互聯(lián)網(wǎng)的開放性使得安全生態(tài)十分脆弱，承載著豐富功能與數(shù)據(jù)的終端成為黑客攻擊的首要目標，企業(yè)數(shù)據(jù)安全與運營安全都面臨著極大威脅。通過對企業(yè)終端安全現(xiàn)狀的研究，其主要面臨以下幾方面問題，如沒有明確的終端資產(chǎn)備案系統(tǒng)，主要依靠人工記錄，責任劃分不明確；系統(tǒng)存在弱口令、沒有安裝防病毒軟件、缺少補丁以及開啟不必要的服務等；缺乏檢測機制，無法發(fā)現(xiàn)終端存在的漏洞風險?？梢妬碓从诮K端的安全威脅已經(jīng)成為企業(yè)信息安全領域最大的問題，因此除了要求建設資產(chǎn)智能監(jiān)管平臺，實現(xiàn)資產(chǎn)信息補全、資產(chǎn)閉環(huán)監(jiān)管外，終端安全合規(guī)及威脅檢測分析是保障企業(yè)數(shù)據(jù)安全與運營安全的前提，是安全建設的基礎和重要保證。

2 研究概述

企業(yè)內(nèi)部終端規(guī)模龐大，分布廣，操作系統(tǒng)眾多，配置層次不一致，難以實現(xiàn)資產(chǎn)閉環(huán)監(jiān)管。人工收集資產(chǎn)信息存在工作量大、收集不全和業(yè)務系統(tǒng)統(tǒng)計不準確的問題，資產(chǎn)專項梳理工作仍無法很好地解決錯報漏報不上報問題，監(jiān)測存在困難，護網(wǎng)、日常安全監(jiān)測、應急時發(fā)現(xiàn)難于定位的資產(chǎn)，可能成為安全防護體系的短板。終端安全漏洞種類多，終端遠程維護的難度大，各種威脅情報頻發(fā)，通報響應時間周期較長，然而黑客利用威脅情報及漏洞的技術越來越成熟，時間短攻擊快，造成不可估量的損失。目前企業(yè)終端安全防護薄弱環(huán)節(jié)主要包括以下幾個方面。

2.1 缺乏資產(chǎn)智能監(jiān)管機制

企業(yè)對屬地資產(chǎn)監(jiān)管范圍太大，難以快速、全面、精準管理資產(chǎn)。私搭亂建現(xiàn)象嚴重，不易檢測，責任劃分不明確，終端違規(guī)操作難以記錄和發(fā)現(xiàn)，在如此復雜的終端環(huán)境中，任何內(nèi)部員工的誤操作和非法操作都有可能被黑客所利用，成為安全防護體系的短板。

2.2 缺乏威脅檢測能力

終端及內(nèi)部業(yè)務系統(tǒng)存在弱口令，缺少安裝補丁等，而大多數(shù)的攻擊是利用安全漏洞發(fā)起，但由于缺乏檢測機制，無法發(fā)現(xiàn)終端及下設業(yè)務系統(tǒng)存在的漏洞風險。缺乏威脅安全事件溯源及威脅分析聯(lián)動機制，導致安全事件追溯困難，無法在第一時間發(fā)現(xiàn)攻擊源，給企業(yè)網(wǎng)絡帶來了巨大的安全隱患。

2.3 缺乏防御各類威脅能力

目前各類病毒威脅事件頻發(fā)，各單位持續(xù)面臨著木馬、蠕蟲和勒索病毒等威脅，且由于大量終端處于內(nèi)外網(wǎng)環(huán)境下，造成交叉感染現(xiàn)象嚴重，這就很難徹底清除某些感染性較強的病毒。隨著終端操作系統(tǒng)不斷發(fā)展和更新迭代，某些廠商或開源社區(qū)會停止對舊版本系統(tǒng)補丁升級服務，而各單位仍存在大量以上系統(tǒng)終端，在遷移至更高版本之前，這些系統(tǒng)漏洞將會成為較大安全隱患。

2.4 缺少終端安全準入控制

企業(yè)內(nèi)部網(wǎng)絡包含著各種各樣的終端、網(wǎng)絡設備和安全設備等，平臺搭載著許多重要的業(yè)務系統(tǒng)和數(shù)據(jù)，如果外來終端未經(jīng)認證授權接入內(nèi)部網(wǎng)絡，進行數(shù)據(jù)竊取等非法操作，或因設備攜帶病毒木馬發(fā)生病毒感染，擴散到企業(yè)內(nèi)網(wǎng)，導致網(wǎng)絡陷于癱瘓狀態(tài)，其后果不堪設想。

3 解決方案

3.1 資產(chǎn)智能監(jiān)管

面對網(wǎng)絡暴露面的服務器、網(wǎng)絡設備、安全設備等目標進行信息收集，識別出存活設備，然后獲取其服務提供商等基本信息，以及設備類型、設備品牌、設備型號、開放端口、提供服務、使用組件及版本等設備指紋信息，幫助客戶常態(tài)化的建立更新網(wǎng)絡暴露面資產(chǎn)數(shù)據(jù)庫，保證資產(chǎn)數(shù)據(jù)的新鮮度，從而便于開展日?；藪呙?、建立資產(chǎn)關聯(lián)情報庫、暴露面資產(chǎn)關聯(lián)性分析等一系列常態(tài)化的資產(chǎn)安全風險管理工作，實現(xiàn)了資產(chǎn)的全生命周期管理。

（1）資產(chǎn)探測

通過周期性主動探測、持續(xù)性監(jiān)測資產(chǎn)、資產(chǎn)信息核查通報實現(xiàn)資產(chǎn)閉環(huán)監(jiān)管，使用端口掃描工具Nmap、Masscan、Zgrab等進行探測，從資產(chǎn)探測、信息補全、資產(chǎn)監(jiān)管、退運等環(huán)節(jié)，實現(xiàn)資產(chǎn)全生命周期管理。有效避免安全資產(chǎn)監(jiān)管盲區(qū)，及時回收退運安全資產(chǎn)，形成有效的聯(lián)動防御平臺。為了滿足全端口快速掃描又不會造成漏報，使用Masscan基于異步無狀態(tài)掃描工具對掃描機制進行了改進，首先掃描出存活的主機、然后進行端口掃描，最后通過nmap對操作系統(tǒng)、服務進行掃描，使用Zgrab對Web服務進行掃描。同時通過采集目標網(wǎng)絡的流量，對流量中應用層 HTTP，F(xiàn)TP，SMTP 等協(xié)議數(shù)據(jù)包中的特殊字段banner或IP、TCP三次握手、DHCP等協(xié)議數(shù)據(jù)包的指紋特征進行分析，從而實現(xiàn)對網(wǎng)絡資產(chǎn)信息的被動探測。采用主動和被動的方式進行資產(chǎn)探測，通過資產(chǎn)信息核查通報來實現(xiàn)資產(chǎn)信息補全、資產(chǎn)閉環(huán)監(jiān)管等工作，有效保證資產(chǎn)數(shù)據(jù)的新鮮度。

（2）資產(chǎn)備案

支持按設備、APP、無線、業(yè)務系統(tǒng)、互聯(lián)網(wǎng)應用等分別進行備案，形成全面的資產(chǎn)安全備案管理體系。建立一套完整的資產(chǎn)風險臺賬庫，并定期進行自動更新，一方面可以讓用戶清晰準確掌握全網(wǎng)資產(chǎn)分布及安全態(tài)勢，另一方面可以及時感知資產(chǎn)變化，發(fā)現(xiàn)違規(guī)外聯(lián)和新增的風險情況。

3.2 終端合規(guī)管理

終端合規(guī)管理旨在幫助用戶完成主機系統(tǒng)配置安全評估，使安全檢查過程達到標準化、持續(xù)化，提升檢查結果的準確性和合規(guī)性，為客戶構筑一道可信、受控的安全基礎防線。根據(jù)安全基線規(guī)范和各種安全基本制度規(guī)范，編制了一整套的終端安全基線檢查策略，包括核查腳本、檢查點、檢查項等內(nèi)容，支持Windows和Linux操作系統(tǒng)、網(wǎng)絡設備、安全設備、虛擬化、云計算等設備及組件的安全配置核查能力。終端安全基線檢查有助于用戶一鍵獲知被核查設備安全基線配置詳情，找出不符合安全管理規(guī)范的終端，提高安全配置檢查及問題修復的高效性及準確性，避免人工檢查存在的疏漏，并能持續(xù)進行監(jiān)控?；€掃描總體從賬號管理、系統(tǒng)服務、日志審計、認證授權、口令策略、文件權限等維度進行分析，支持檢查口令鎖定策略、口令復雜度、禁用不必要的系統(tǒng)服務、主機訪問控制、賬號文件權限設置、記錄賬戶登錄日志、防病毒管理、關閉不必要的自啟動項、補丁安裝、用戶權限設置、登錄失敗處理等核查策略模板，同時對每一個不符合項進行詳細描述，提供加固指導方案，幫助用戶科學合理地進行短板修復，提高主機入侵門檻。

3.3 終端威脅檢測

威脅檢測關聯(lián)分析平臺充分的整合現(xiàn)有的安全數(shù)據(jù)，通過用戶行為分析引擎，記錄用戶訪問網(wǎng)絡的任何一次網(wǎng)絡行為，以數(shù)據(jù)驅動安全，獲取資產(chǎn)信息、生成行為軌跡、實現(xiàn)攻擊源攻擊鏈圖、關系圖、關聯(lián)分析等，快速定位分析攻擊源信息，檢測失陷主機，提高排查攻擊源的時間效率，及早發(fā)現(xiàn)攻擊源，有效應對未知攻擊和復雜攻擊，為后續(xù)信息安全工作推進提供有效的依據(jù)，最大限度的保護企業(yè)信息安全提供了重要的價值。威脅檢測關聯(lián)分析平臺全面覆蓋威脅、資產(chǎn)、風險場景，精準的情報數(shù)據(jù)驅動關聯(lián)分析場景，構建覆蓋采集、分析、處置、展示、預測等階段的閉環(huán)方案。

（1）管理平臺

管理平臺提供集中式威脅及數(shù)據(jù)分析、策略管理、程序及特征更新，并通過警報和報告進行監(jiān)控。支持對終端安全日志、漏洞修復日志、病毒日志、軟硬件變更、審計日志、資產(chǎn)日志等匯總，并進行報表統(tǒng)計。能夠從終端、全網(wǎng)、分組等多維度以及圖表、數(shù)據(jù)等多視圖角度進行統(tǒng)計與展現(xiàn)，幫助管理員對日常安全防護、安全運維工作進行分析評估。

（2）智能探針

智能探針部署在受保護的終端上，進行相關安全信息采集、漏洞檢測和威脅發(fā)現(xiàn)，并可根據(jù)管理平臺下發(fā)的安全策略執(zhí)行相關安全防護動作。智能探針可以部署在企業(yè)虛擬化主機內(nèi)、企業(yè)物理服務器或物理PC主機。

（3）威脅檢測關聯(lián)分析平臺

威脅檢測關聯(lián)分析平臺依托海量數(shù)據(jù)，通過威脅情報分析引擎，結合外部攻擊與高級威脅信息，幫助安全運營人員及時有效地檢測發(fā)現(xiàn)傳統(tǒng)防護手段漏過的未知威脅，以及發(fā)現(xiàn)內(nèi)部違規(guī)與異常行為。也可基于威脅情報的上下文，幫助安全運營人員發(fā)現(xiàn)、研判、處置重大安全事件，自動阻斷威脅源，與準入系統(tǒng)、防病毒系統(tǒng)、PKI認證系統(tǒng)形成聯(lián)動防御。

圖1 終端威脅檢測

3.4 終端準入控制

終端準入控制的目標是屏蔽未經(jīng)認證授權的設備和人員接入網(wǎng)絡，是防止企業(yè)網(wǎng)絡資源不受非法終端威脅的根本?；诓《痉烙芾砥脚_，業(yè)務模塊的聯(lián)動和數(shù)據(jù)情報的共享，在實現(xiàn)準入控制的同時，也構建了一道從終端、應用一直到網(wǎng)絡的多層安全防護體系，實現(xiàn)從終端安全的檢測，到核心應用的防護、網(wǎng)絡接入的授權，層層確保終端的安全規(guī)范入網(wǎng)，NAC也實時監(jiān)測始終保障安全防護點的存在，避免終端變成裸奔、非可信狀態(tài)，同時也防止安全防護點的違規(guī)卸載和去化率過高，保障入網(wǎng)終端始終在安全可控范圍內(nèi)，并實時將安全動態(tài)及入網(wǎng)數(shù)據(jù)上報至威脅檢測關聯(lián)分析平臺，供風險分析。

圖2 終端準入控制

3.5 終端威脅防御

終端威脅防御采用云查殺引擎、系統(tǒng)修復引擎等多種引擎，有效查殺惡意文件。通過對終端進程行為的監(jiān)測，結合大數(shù)據(jù)分析技術，從進程、文件、注冊表、網(wǎng)絡等維度對終端危險行為進行防御，并針對勒索加密、文件下載等特定場景定制防御策略，更精準地阻止惡意代碼的行為。采用內(nèi)存指令控制流檢測技術，并與機器學習與人工智能技術深度結合，可以從系統(tǒng)的更底層發(fā)現(xiàn)漏洞攻擊代碼的執(zhí)行，面對0Day漏洞也有顯著防護效果。通過威脅情報、攻防對抗、機器學習等方式，從主機、網(wǎng)絡等多個維度來評估企業(yè)網(wǎng)絡中存在的未知風險，縮短威脅從發(fā)現(xiàn)到處置的時間，提升企業(yè)終端整體安全響應能力。

4 結論

本設計為企業(yè)解決終端的安全合規(guī)管理問題，實現(xiàn)企業(yè)終端資產(chǎn)定位和資產(chǎn)全生命周期管理，且實現(xiàn)終端資產(chǎn)基線合規(guī)核查及病毒防御，修復安全防護體系的短板，提高終端入侵門檻。為了防止企業(yè)網(wǎng)絡資源不受非法終端接入而引起的各種威脅，實現(xiàn)了終端的準入控制。除此之外，為尋找威脅攻擊源且記錄用戶上網(wǎng)行為軌跡，將終端流量數(shù)據(jù)接入威脅檢測關聯(lián)分析平臺，供風險分析。最終達到規(guī)范化安全管理終端的目的，滿足信息化合規(guī)性的要求。