危城智甲 - 端點安全防護的資源代價與優(yōu)化

危城智甲——端點安全防護的資源代價與優(yōu)化天端點安全部01端點安全防護資源分配現(xiàn)狀02端點安全防護資源占用優(yōu)化方案03安天智甲對資源占用優(yōu)化的工程實踐04未來展望0101端點安全防護資源分配現(xiàn)狀Page4Page5系統(tǒng)資源共享并且運行周期相同，隨著業(yè)務系統(tǒng)和安全防護能力的資源需求增加，必然會出現(xiàn)資源搶占，影響用戶業(yè)務和安全防護的效果，所以安全防護能力和資源消耗的平衡將成為關鍵。Page644端點安全防護資源占用優(yōu)化方案Page8Page9服務器服務器?主動防御是對端點的系統(tǒng)環(huán)境、進程行為、運行狀態(tài)等進行實時監(jiān)控，發(fā)現(xiàn)異常行為時進行攔截，實現(xiàn)對多種入侵和破壞?監(jiān)控范圍越大雖然防護效果越強，但是同時對資源消耗也會加大，并且部分監(jiān)控并不一定適用端點環(huán)境，造成資源浪費；ATT&CK中技術點T1055.003防御策略對比辦公機辦公機入數(shù)據(jù)的分析，從而確定是否有相應shellc別防御手段網(wǎng)絡釣魚網(wǎng)絡釣魚攻擊者發(fā)送帶有惡意附件的電子郵件攻擊者發(fā)送帶有惡意附件的電子郵件網(wǎng)絡流量監(jiān)控網(wǎng)絡流量監(jiān)控->郵件協(xié)議解析->附件HTA程序檢測利用命令和腳本解釋器用PowerShell命令和VB腳本執(zhí)行惡意命令PowerShell調(diào)用者檢測，進程啟動檢測利用計劃任務利用計劃任務/工作設置計劃任務重復下載惡意文件設置計劃任務重復下載惡意文件計劃任務創(chuàng)建防護計劃任務創(chuàng)建防護誘導用戶執(zhí)行誘導用戶執(zhí)行誘導用戶解壓惡意附件并雙擊運行誘導用戶解壓惡意附件并雙擊運行進程啟動防護進程啟動防護利用自動啟動執(zhí)行引導或登錄攻擊者設置開機啟動項下載惡意文件啟動項防護利用計劃任務/工作設置計劃任務重復下載惡意文件任務計劃防護、網(wǎng)絡防護操縱訪問令牌攻擊者使用重復的令牌創(chuàng)建新進程令牌驗證、進程啟動防護執(zhí)行簽名的二進制文件代理利用MozillaDLL從Mozilla產(chǎn)品中收集數(shù)據(jù)偽造、盜用、過期簽名驗證操縱訪問令牌攻擊者使用重復的令牌創(chuàng)建新進程令牌驗證、進程啟動防護反混淆解碼文件或信息載荷中多次使用到混淆代碼和字符串異常文件檢測間接執(zhí)行命令調(diào)用VB腳本執(zhí)行PowerShell命令進程調(diào)用鏈檢測修改注冊表修改注冊表添加注冊表項實現(xiàn)開機自啟動添加注冊表項實現(xiàn)開機自啟動注冊表篡改防護注冊表篡改防護進程注入進程注入注入到合法的注入到合法的MSBuild.exe進程中進程注入防護進程注入防護從存儲密碼的位置獲取憑證搜尋密碼管理器1Password和bitwarden關鍵位置防護竊取Web會話Cookie搜尋瀏覽器cookie值瀏覽器防護數(shù)據(jù)采集實現(xiàn)可配置化并數(shù)據(jù)上報策略網(wǎng)絡流量信息采集網(wǎng)絡事件、解析網(wǎng)絡數(shù)據(jù)包、提取郵件初始訪問任務計劃信息采集系統(tǒng)任務計劃信息進程事件信息采集進程信息啟動項信息采集攻擊者設置的開機啟動項具體網(wǎng)絡五元組源IP地址、源端口、目的IP地址、目的端口和傳輸層協(xié)議文件實體病毒文件、未知程序網(wǎng)絡訪問行為信息域名訪問行為、網(wǎng)絡下載信息等邊界防御監(jiān)控信息采集郵件附件、網(wǎng)絡下載行為主動防御信息RootKitBootKit檢測信息、系統(tǒng)關鍵點信息采集 文件事件信息采集文件落地和文件特征信息進程事件信息文件信息文件版本、文件創(chuàng)建時間、文件特征、文件MD5資產(chǎn)信息網(wǎng)絡流量信息采集網(wǎng)絡事件、解析網(wǎng)絡數(shù)據(jù)包、提取郵件初始訪問任務計劃信息采集系統(tǒng)任務計劃信息進程事件信息采集進程信息啟動項信息采集攻擊者設置的開機啟動項具體網(wǎng)絡五元組源IP地址、源端口、目的IP地址、目的端口和傳輸層協(xié)議文件實體病毒文件、未知程序網(wǎng)絡訪問行為信息域名訪問行為、網(wǎng)絡下載信息等邊界防御監(jiān)控信息采集郵件附件、網(wǎng)絡下載行為主動防御信息RootKitBootKit檢測信息、系統(tǒng)關鍵點信息采集 文件事件信息采集文件落地和文件特征信息進程事件信息文件信息文件版本、文件創(chuàng)建時間、文件特征、文件MD5資產(chǎn)信息終端硬件與操作系統(tǒng)信息、軟件名稱、軟件安裝目錄、文件詳細信息漏洞信息采集系統(tǒng)、應用得漏洞信息文件向量信息靜態(tài)檢測關鍵位置監(jiān)測信息啟動項、注冊表、系統(tǒng)服務、計劃任務等 發(fā)現(xiàn)采集系統(tǒng)賬戶、電子郵件賬戶信息病毒檢查日志掃描、清除日志配置信息采集系統(tǒng)弱口令等配置信息進程監(jiān)控信息進程信息外設信息USB存儲設備文件信息、接入 息郵件信息采集郵件發(fā)送者、郵件正文、郵件附件配置信息采集系統(tǒng)弱口令等配置信息重要數(shù)據(jù)信息采集重要數(shù)據(jù)信息重要數(shù)據(jù)信息采集重要數(shù)據(jù)信息系統(tǒng)信息采集系統(tǒng)敏感數(shù)據(jù)注冊表事件信息系統(tǒng)信息采集系統(tǒng)敏感數(shù)據(jù)絡連接、已啟動進程信息絡連接、已啟動進程信息采集操作系統(tǒng)、軟件、瀏覽器、網(wǎng)操作系統(tǒng)日志操作系統(tǒng)日志外設信息USB外設信息USB存儲設備文件信息、接入隨著端點安全產(chǎn)品類型增加，用戶可能需要在端點與管控效果，但這也同時極大消耗了端點資源，而且由于需要部數(shù)據(jù)分析策略下發(fā)與響應處置數(shù)據(jù)分析策略下發(fā)與響應處置數(shù)據(jù)分析與管理態(tài)勢引擎態(tài)勢引擎資產(chǎn)監(jiān)控中心資產(chǎn)監(jiān)控中心威脅檢測中心威脅檢測中心日志報表中心日志報表中心告警處置中心告警處置中心告警處置中心告警處置中心SIMESIME引擎元數(shù)據(jù)存儲元數(shù)據(jù)存儲系統(tǒng)防護與加固中心系統(tǒng)防護與加固中心系統(tǒng)運行支撐中心系統(tǒng)運行支撐中心運維中心運維中心進程事件審計進程事件審計進程操作管控違規(guī)外聯(lián)管控打印刻錄管控威脅事件檢測主機行為異常分析進程行為異常分析賬號異常行為分析屏幕水印屏幕水印數(shù)據(jù)加密安全數(shù)據(jù)管理系統(tǒng)賬戶登錄遠程設備綁定當約束動作且條件匹當約束動作且條件匹配規(guī)則主體對象主體對象進程、文件、驅動、內(nèi)核模塊資產(chǎn)信息采集文件事件采集進程事件采集外設事件采集服務事件采集注冊表事件資產(chǎn)信息采集文件事件采集進程事件采集外設事件采集服務事件采集注冊表事件網(wǎng)絡事件采集網(wǎng)絡事件采集安天智甲對資源占用優(yōu)化的工程實踐三合一強防策略安全卡配置管理