《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 20-EDR策略中心（一）；21-EDR微隔離

EDR策略中心（一）整體了解EDR有哪些安全策略，以及WindowsPC、WindowsServer、Linux不同終端有哪些安全策略掌握病毒查殺、文件實時監(jiān)控策略的配置和使用教學目標客戶選擇EDR是為了給終端提供一套完整的安全解決方案，保護內(nèi)網(wǎng)服務(wù)器和PC的安全。EDR提供基本策略、病毒查殺、實時防護、安全加固、信任名單和漏洞修復(fù)等安全策略幫助用戶保護內(nèi)網(wǎng)主機安全。打開【終端管理】->【策略中心】，選中具體分組即進入該組安全策略設(shè)置。需求背景病毒查殺文件實時監(jiān)控目錄需求背景以勒索軟件為首的惡意軟件讓政企用戶深受其害2019年“網(wǎng)絡(luò)攻擊千千萬勒索病毒占一半”

GandCrab勒索病毒攻擊我國政企內(nèi)網(wǎng)2019-03易到用車核心服務(wù)器被勒索病毒攻擊2019-05著名飛機零件供應(yīng)商ASCO遭遇勒索病毒攻擊2019-062019-09國內(nèi)某大型建筑設(shè)計有限公司遭到勒索病毒攻擊分布式團隊作戰(zhàn)按勞分配多勞多得高度專業(yè)化2020年勒索病毒攻擊預(yù)測

企業(yè)

政府單位

醫(yī)療行業(yè)

公共機構(gòu)目標集中化數(shù)據(jù)加密與數(shù)據(jù)竊取雙重攻擊不止于加密對整個文件進行哈希，基于MD5、SHA1進行檢測階段一：哈希運算提取病毒特征碼，基于特征庫進行檢測階段二：病毒特征碼分析師對病毒的排查經(jīng)驗總結(jié)為自動化的檢測程序階段三：啟發(fā)式檢測基于哈希運算和病毒特征碼的特點，靜態(tài)特征與病毒需一一對應(yīng)網(wǎng)絡(luò)空間安全已成國家安全戰(zhàn)略高地人才缺口巨大需要大量專業(yè)安全人才持續(xù)整理從2007年病毒數(shù)量開始爆發(fā)式增長新病毒變種持續(xù)增多，變種成本持續(xù)減小基于病毒特征庫方式進行殺毒高級威脅持續(xù)產(chǎn)生，呈被動，后知后覺特點后知后覺本地病毒特征庫有限特征庫數(shù)量與已知病毒樣本不匹配天生受限特征數(shù)量不斷增多加重終端資源以及運算成本資源加重依賴云端查殺反饋結(jié)果殺軟依賴云查殺，隔離網(wǎng)環(huán)境檢測能力驟降依賴性大基于AI的檢測技術(shù)可以解決以上問題檢測技術(shù)進入第四階段未知威脅層出不窮，傳統(tǒng)特征殺毒趨近失效需求背景功能介紹文件信譽檢測引擎基因特征檢測引擎行為分析檢測引擎人工智能檢測引擎安全云腦檢測引擎文件信譽檢測引擎基于本地、全網(wǎng)、安全云腦構(gòu)建文件信譽庫基因特征檢測引擎基于”小紅傘“引擎構(gòu)建基因特征識別庫速度快，準確率高，誤殺操作少行為分析檢測引擎虛擬沙盒、引擎和操作系統(tǒng)環(huán)境仿真解析惡意代碼本質(zhì)人工智能檢測引擎利用深度學習訓(xùn)練數(shù)千維度的算法模型持續(xù)學習，自我成長無特征檢測技術(shù)安全云腦檢測引擎使用大數(shù)據(jù)分析平臺，基于多維威脅情報秒級響應(yīng)檢測結(jié)果基于AI多維度智能檢測引擎功能介紹文件信譽檢測引擎基于傳統(tǒng)的文件hash值建立的輕量級信譽檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機制：本地緩存信譽檢測：對終端主機本地已經(jīng)檢測出來的已知文件檢測結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測未知文件。全網(wǎng)信譽檢測：在管理平臺上構(gòu)建企業(yè)全網(wǎng)的文件信譽庫，對單臺終端上的文件檢測結(jié)果匯總到平臺，做到一臺發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測重點落到對未知文件的分析上，減少對已知文件重復(fù)檢測的資源開消。功能介紹基因特征檢測引擎

深信服EDR的安全運營團隊，根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運營，對熱點事件的病毒家族進行基因特征的提取，洞見威脅本質(zhì)，使之能應(yīng)對檢測出病毒家族的新變種。相比一般的靜態(tài)特征，基因特征提取更豐富的特征，家族識別更精準。功能介紹人工智能檢測引擎SAVE勒索病毒PE文件結(jié)構(gòu)原始特征(字節(jié)級特征)IP、端口、注冊表鍵值、匯編指令等基于語義的特征構(gòu)建高層次特征（提取本質(zhì)行為）網(wǎng)絡(luò)連接測試、文件加密、寫入注冊表、自啟動特征篩選（降維）高質(zhì)量特征（提取對判斷是否是病毒最有效的特征）分類模型（訓(xùn)練/預(yù)測）黑/白………文件加密、自啟動SAVE引擎能夠分析高層次特征的影響，從而調(diào)整和優(yōu)化分類模型泛化檢測能力通過對某一類病毒高維特征提取泛化檢測具有相同高維特征的數(shù)百類病毒功能介紹人工智能檢測引擎SAVE相比基于病毒特征庫的傳統(tǒng)檢測引擎，SAVE的主要優(yōu)勢有：強大的泛化能力，甚至能夠做到在不更新模型的情況下識別新出現(xiàn)的未知病毒；對勒索病毒檢測達到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯(lián)動，依托于深信服安全云腦基于海量大數(shù)據(jù)的運營分析，SAVE能夠持續(xù)進化，不斷更新模型并提升檢測能力，從而形成本地傳統(tǒng)引擎、人工智能檢測引擎和云端查殺引擎的完美結(jié)合。功能介紹行為分析檢測引擎

傳統(tǒng)靜態(tài)引擎，是基于靜態(tài)文件的檢測方式，對于加密和混淆等代碼級惡意對抗，輕易就被繞過。而基于行為的檢測技術(shù)，實際上是讓可執(zhí)行程序運行起來，“虛擬沙盒”捕獲行為鏈數(shù)據(jù)，通過對行為鏈的分析而檢測出威脅。因此，不管使用哪種加密或混淆方法，都無法繞過檢測。最后，執(zhí)行的行為被限制在“虛擬沙盒”中，檢測完畢即被無痕清除，不會真正影響到系統(tǒng)環(huán)境。功能介紹安全云腦檢測引擎

針對最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術(shù)，進行云端查詢。云端的安全云腦中心，使用大數(shù)據(jù)分析平臺，基于多維威脅情報、云端沙箱技術(shù)、多引擎擴展的檢測技術(shù)等，秒級響應(yīng)未知文件的檢測結(jié)果。配置步驟配置病毒查殺策略下發(fā)病毒查殺掃描對病毒查殺結(jié)果進行處置配置思路病毒查殺策略打開【終端管理】->【策略中心】，選中具體分組即進入該組安全策略設(shè)置。配置介紹配置介紹病毒查殺策略配置介紹病毒查殺策略病毒查殺發(fā)現(xiàn)威脅文件后的三種處理動作標準處置：默認配置為標準處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對威脅文件進行處置（確認是病毒的自動隔離，可疑病毒的僅上報不隔離，由人工進一步分析處理）嚴格處理：適用于嚴格保護場景，可能會存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報不處置：適用于有人值守且用戶了解如何處置病毒的場景，需要人工分析上報的威脅日志進行處理。EDR檢測的所有威脅文件僅上報安全日志，不隔離。掃描引擎默認沒有啟用行為引擎，如果電腦配置在CPU4核、內(nèi)存4G以上可以啟用所有引擎，低于此配置，建議保留默認配置?！伴_啟高啟發(fā)式掃描”后會提高病毒檢出率，但也會增加誤判，此配置項在多家廠商PK測試病毒檢測率時使用，非此場景慎用。配置介紹病毒檢測通過管理端下發(fā)查殺任務(wù)，選中需要查殺的終端，可以下發(fā)快速查殺或全盤查殺，如下圖。配置介紹病毒檢測通過EDR客戶端也可以對這臺終端進行查殺毒掃描，如下圖。配置介紹病毒處置如果病毒查殺策略設(shè)置發(fā)現(xiàn)惡意文件的處置動作為“標準處置”或“僅上報，不處置”，則病毒查殺發(fā)現(xiàn)的威脅文件（未自動隔離的）可以由人工進行“處置”、“信任”和“忽略”處理，如下圖。處置：對感染性病毒、宏病毒文件先進行修復(fù)，無法修復(fù)再進行隔離處理；其它類型病毒直接隔離。信任：如果檢測出的威脅為正常文件，則可以添加為可信任。忽略：如果威脅在終端已自行處理，管理端不需要顯示威脅日志，則可以設(shè)置為忽略。威脅分析：接入深信服安全中心，對威脅事件詳細分析，進一步判斷威脅文件影響。案例背景某項目同時有安全廠商A、安全廠商B、深信服EDR三家廠商參與，客戶關(guān)注安全軟件對病毒的檢出能力，這種場景下，我們?nèi)绾螠y試才能體現(xiàn)我們產(chǎn)品的檢測能力。使用案例準備工作版本確認確認當前EDR的版本為3.2.16及以后版本樣本提供

測試前需要確認測試樣本如何提供，需提前準備好測試樣本，一般有以下幾種方式：我司提供樣本友商提供樣本客戶提供樣本我司、友商、客戶各提供1/3樣本使用案例測試方法1、設(shè)置病毒查殺策略打開EDR【終端管理】->【策略管理】，按如下圖設(shè)置病毒查殺策略使用案例測試方法2、確認配置生效完成上述配置后，右鍵點擊終端Agent托盤圖標，如下圖，說明當前查殺處于高啟發(fā)式掃描”模式。3、對比查殺使用EDR客戶端自定義查殺對病毒樣本查行掃描查殺，對比不同廠商的檢出率。使用案例注意事項通過管理端下發(fā)快速查殺任務(wù)，只對以下目錄生效，所以在測試快速查殺時，樣本需要放在以下目錄：Linux快速查殺目錄：Linux快掃目錄/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows

快速查殺目錄：/windows和/windows/system32本級目錄，/windows/system32/drivers目錄和其子目錄殺毒掃描模式有“極速”、“均衡”和“低耗”三種模式，區(qū)別如下，建議使用“均衡”模式，不會因為資源占用影響客戶業(yè)務(wù)。極速：全速掃描、不限制掃描軟件自身的CPU占用率；均衡：掃描速度和CPU占用率達到一定平衡，限制CPU占用率不超過30%；低耗：掃描時盡量少占用CPU資源，限制CPU占用率不超過10%。病毒查殺文件實時監(jiān)控目錄需求背景為了保護業(yè)務(wù)安全，不僅要做到威脅發(fā)生后對威脅事件的及時檢測與響應(yīng)，更需要在威脅發(fā)生前進行相應(yīng)預(yù)防和威脅發(fā)生的過程中做好相應(yīng)的防護策略。這樣才能在保護業(yè)務(wù)安全方面提供事前預(yù)防、事中防護、事后檢測和響應(yīng)的閉環(huán)解決方案。此次培訓(xùn)主要介紹在事中防護階段文件實時監(jiān)控如何保護業(yè)務(wù)安全。功能介紹文件實時監(jiān)控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實時監(jiān)控電腦上文件寫入、讀取和執(zhí)行操作，當檢測到威脅文件寫入、讀取、執(zhí)行時，立即阻斷相關(guān)操作，并進行告警。防止威脅文件落地、并進一步執(zhí)行，從而保護業(yè)務(wù)安全。原理介紹文件實時監(jiān)控通過SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實時檢測文件并判定為黑白，流程圖如右圖。對WindowsServer和WindowsPC所在組啟用文件實時監(jiān)控策略。配置介紹配置介紹打開【終端管理】->【策略中心】，選中具體分組即進入該組實時防護設(shè)置。配置介紹防護級別高：監(jiān)控文件打開、執(zhí)行、落地動作中：監(jiān)控文件執(zhí)行、落地動作低：監(jiān)控文件執(zhí)行動作掃描引擎電腦性能足夠，掃描引擎可以全開；性能不足，建議關(guān)閉基因特征引擎配置介紹發(fā)現(xiàn)惡意文件后的處置動作標準處置：默認配置為標準處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對威脅文件進行處置（確認是病毒的自動隔離，可疑病毒的僅上報不隔離，由人工進一步分析處理）嚴格處理：適用于嚴格保護場景，可能會存在一定誤判。EDR檢測的所有威脅文件均隔離處理。僅上報不處置：適用于有人值守且用戶了解如何處置病毒的場景，需要人工分析上報的威脅日志進行處理。EDR檢測的所有威脅文件僅上報安全日志，不隔離。配置介紹啟用文件實時監(jiān)控后，當檢測到存在威脅文件時，會彈框告警發(fā)現(xiàn)惡意文件的告警。注意事項1、啟用文件實時監(jiān)控策略時，注意，右側(cè)鎖圖標需要點亮，管理端的策略才能夠下發(fā)到終端，如下圖：2、文件實時監(jiān)控策略只對Windows終端生效，對其它終端不生效。病毒查殺文件實時監(jiān)控總結(jié)EDR微隔離掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息，以及在實際場景中能夠指導(dǎo)客戶如何使用掌握EDR基線檢查功能使用教學目標需求背景原理簡介微隔離使用目錄需求背景客戶端與業(yè)務(wù)服務(wù)器、服務(wù)器與服務(wù)器之間訪問關(guān)系復(fù)雜，無法看清之間的訪問關(guān)系、無法基于訪問關(guān)系配置訪問控制策略，從而給服務(wù)器安全帶來隱患，加大安全管理難度。微隔離是一種集中化的流量識別和管理技術(shù)。

在東西向訪問關(guān)系控制上，能夠基于訪問關(guān)系進行訪問控制策略配置，集中統(tǒng)一管理服務(wù)器的訪問控制策略，減少了對物理、虛擬的服務(wù)器被攻擊的機會。

在訪問關(guān)系可視化中，采用統(tǒng)一管理的方式對終端的網(wǎng)絡(luò)訪問關(guān)系進行圖形化展示，可以看到每個業(yè)務(wù)域內(nèi)部各個終端的訪問關(guān)系展示以及訪問記錄。訪問關(guān)系控制

在東西向訪問關(guān)系控制上，優(yōu)先對所有的服務(wù)器進行業(yè)務(wù)安全域的邏輯劃域隔離，并對業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進行應(yīng)用角色劃分，對不同應(yīng)用角色之間服務(wù)訪問進行訪問控制配置，減少了對物理、虛擬的服務(wù)器被攻擊的機會，集中統(tǒng)一管理服務(wù)器的訪問控制策略。并且基于安裝輕量級主機Agent軟件的訪問控制，不受虛擬化平臺的影響，不受物理機器和虛擬機器的影響。

在訪問關(guān)系可視化中，采用統(tǒng)一管理的方式對終端的網(wǎng)絡(luò)訪問關(guān)系進行圖形化展示，可以看到每個業(yè)務(wù)域內(nèi)部各個終端的訪問關(guān)系展示以及訪問記錄。訪問關(guān)系可視化需求背景原理簡介微隔離使用目錄原理簡介微隔離使用Windows防火墻WFP和Linux防火墻iptables進行訪問流量控制和上報的。

如下圖為微隔離整體流程圖，先在MGR下發(fā)微隔離策略，此時終端會根據(jù)配置的微隔離策略設(shè)置終端電腦防火墻規(guī)則。當終端發(fā)送請求時，系統(tǒng)會根據(jù)要訪問的IP地址、端口、協(xié)議等來解析請求，然后與防火墻規(guī)則進行匹配，允許則放通，不允許則直接丟棄。設(shè)置微隔離策略下發(fā)微隔離策略消除原有規(guī)則消除原有規(guī)則根據(jù)微隔離策略設(shè)置防火墻根據(jù)微隔離策略設(shè)置防火墻MGR數(shù)據(jù)庫agent1agentNagent1的防火墻agent1的防火墻agent1agent1的防火墻分析此次請求要請求的地址、端口、協(xié)議防火墻規(guī)則是否符合防火墻規(guī)則否是agent2agent2的防火墻原理簡介需求背景原理簡介微隔離使用目錄微隔離使用此章節(jié)我們先介紹微隔離整體配置思路，再以“防止感染病毒蔓延場景”舉例說明微隔離如何使用及使用效果。配置思路完成微隔離的配置需要以下四個步驟：1.業(yè)務(wù)系統(tǒng)梳理根據(jù)客戶需求梳理客戶業(yè)務(wù)系統(tǒng)/IP/角色/服務(wù)及各對象之間的訪問關(guān)系，為后面的微隔策略做準備。2.定義對象根據(jù)第1步梳理的內(nèi)容，定義業(yè)務(wù)系統(tǒng)/IP組/服務(wù)等對象，為微隔離策略調(diào)用。3.配置微隔離策略根據(jù)第1步梳理的訪問關(guān)系和第3步定義的業(yè)務(wù)系統(tǒng)/IP組/服務(wù)，配置微隔離策略。4.效果驗證微隔離使用案例——防止感染病毒蔓延場景場景說明需求描述：在用戶區(qū)出現(xiàn)了勒索病毒時，勒索病毒將會作用135、136、137、139、445以及3389進行傳播，在不能即時查殺時，可使用微隔離，對所有的終端（PC，服務(wù)器）進行端口封堵。預(yù)期效果：所有的終端之間不能相互訪問共享服務(wù)端口以及遠程桌面端口。配置步驟1.業(yè)務(wù)系統(tǒng)梳理根據(jù)場景說明梳理業(yè)務(wù)系統(tǒng)/IP組/服務(wù)，及訪問關(guān)系，如下表：對象業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)名稱終端組包括的終端所有終端-ALL用戶區(qū)1、用戶區(qū)2、用戶區(qū)3、服務(wù)區(qū)1、服務(wù)區(qū)2pc1、pc2...server1、server2...IP組IP組名稱IP地址范圍IP組類型辦公終端172.16.200-172.16.200.254內(nèi)網(wǎng)服務(wù)（只需要梳理自定義策略）服務(wù)名稱協(xié)議類型端口流量類型