深度｜攻防对抗背景下终端安全发展趋势

数字化转型中，云计算、大数据、物联网、移动互联等技术的业务应用加速落地，原有的网络边界被打破，导致终端成为新的安全边界。

远程办公对于VPN的性能、稳定性、对终端和业务访问的安全性都提出极大挑战，零信任成为新的热点，这对终端环境安全带来了新的挑战。

公有云业务、私有云业务、传统网络的混合模式，是国内大多数企事业单位的网络方案。随着的5G的应用，网络边界会变的很离散，业务终端、PC客户端、移动终端、甚至是物联网终端，会共同组成网络的边界。

随着黑色产业链的萌生和壮大，APT攻击、勒索病毒、挖矿等攻击手段大行其道，而传统防护手段很难对此类攻击有防护效果，一旦受到攻击，对企业造成的危害是直接而巨大的。

自2013年起，全球发生多起黑客利用SWIFT系统攻击银行的事件，损失数亿美金。而种种迹象表明，黑客对银行内部网络植入了恶意程序，并长期潜伏寻找机会发起最终攻击。

2016年发生多次针对ATM发起网络攻击导致ATM机自动吐钱的黑客事件，经过研究人员分析，黑客实现对银行内部的ATM专用网络植入了恶意程序，最终实现操控ATM机吐钱。

2017年5月12日晚，勒索病毒“WannaCry”感染事件爆发，全球范围近百个国家遭到大规模网络攻击，恶意病毒利用漏洞在内部网络大范围传播和感染，造成严重损失。

2018年8月，全球晶圆代工龙头企业台积电在中国台湾北、中、南三处重要生产基地遭遇勒索软件攻击而导致全产线停摆。

2019年9月，联合国信息和技术办公室共42台核心服务器遭到APT组织攻击，约400GB文件被盗，包括员工记录、健康保险和商业合同数据。

2019年10月，全球航运和电子商务巨头必能宝（Pitney Bowes）遭受勒索软件攻击，公司客户访问、电子邮件服务等系统被破坏。

2020年12月13日，多家欧美媒体报道美国多个重要政企机构遭受了国家级APT组织的入侵，攻击疑似由于网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门导致。

2021年3月20日，电脑巨头宏碁(acer)遭遇REvil勒索软件攻击，3.25亿人民币超高赎金创世界纪录。REvil勒索软件团伙在其数据泄露站点上宣布他们已经成功入侵宏碁的系统，获取了财务电子表格、银行结余以及银行往来信息的文档。

自2022年俄乌冲突爆发后，“网络战”已经成为俄乌冲突的第二战场。针对双方政府、金融机构、企业等关键信息基础设施的攻击活动越演越烈。在俄罗斯入侵前，乌克兰就已遭受强大的DDoS攻击，包括银行、沃达丰在内的多家基础设施均出现网络中断的情况。同时，2022年2月25日国际黑客组织“匿名者”也官宣正式向俄罗斯政府发起网络战争，先后对俄罗斯重要关键基础设施进行了网络攻击，包含工业气体控制系统、俄罗斯联邦储蓄银行、私人银行、国家电视台、军事通讯、政府网站、国防部网站等，其网站相关服务一直处于时断时续的状态。可见，通过攻击者搜集的大量威胁情报数据发动的网络攻击战，会作为军事用途推动或改变整个战争发展局势。

网络安全的本质是攻与防的博弈对抗。随着《网络安全法》《密码法》《数据安全法》《个人信息保护法》等政策法规的发布和实施，网络安全已经上升为我国的国家战略。

网络安全体系和防护技术优劣评价标准，也是行业内一直在讨论和探索的重要课题，“实践是检验真理的唯一标准”在网络安全行业中达到普遍共识。企业安全建设方和监管机构也从传统的“产品检查”转换为当代的“能力检查”，以往堆砌网络安全设备的就能应付合规要求和检查的方式，也被攻防演练行动等机制取代。攻防演练已成为检验运营单位网络安全综合防御水平的“试金石”和提升网络攻击应对能力的“磨刀石”，促使企业的网络安全建设方针从“合规”到“效果”的需求升级，也回归了安全攻防对抗的本质。

在最近的技术大会以及权威机构的报告中可以看出，终端安全依然是2022年市场关注的重点。主流安全厂商均已做起了终端行为分析类的产品。从预防转移到检测，随着绕行风险变得越来越严峻，企业现在也开始意识到需要制定一个投资弹性和深度保护的计划。整个业界正在将重点从试图阻止威胁，转移到让用户尽早发现威胁，然后拿出恰当的响应计划。

传统终端安全关注已知威胁，如防病毒、终端HIPS、HWAF类，基于已知特征进行防护，然而对于APT攻击、勒索、挖矿等高级攻击、病毒、木马的变种等高级威胁，这些基于规则的主机防护软件都已经失去了作用。

因此终端安全产品需要新技术来补充上层的安全能力：

利用终端病毒检测能力、行为检测能力等，结合终端安全服务端上的关联分析能力，精准识别主机各类异常文件及异常行为，包括：僵木蠕异常文件分析、密码嗅探、U盘异常文件操作、边界文件行为分析、Webshell后门分析、反弹shell分析、挖矿木马分析等。

基于大数据技术统一汇聚各类终端日志，结合绿盟实时威胁情报数据（IP、域名、样本hash），通过威胁分析建模引擎、异常行为分析引擎等进行深度危险关联分析以及威胁判定实现对APT攻击等的有效检测。

依赖于对攻击数据的训练及学习，不断增强威胁检测模型及检测能力，从而更加准确、智能化的应对威胁及其变种。

利用终端诱捕系统中的蜜罐检测技术、模拟IP技术、模拟漏洞技术、模拟服务技术、诱饵技术等，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁。

针对主机的内存保护技术，可有效应对一些新型攻击手段、病毒变种等威胁，特别是内存Webshell，从而保障业务系统的安全。

基于零信任的设计理念，提供对终端精细化的点对点自适应访问控制能力，以保证终端安全风险的精细化即时响应。切实做到既能保证威胁的有效隔离，又能保证业务影响最小化。

基于安全分析产生的运维事件，进行运维模型的构建，进一步确定当前威胁运维模型的防护模型，并基于当前的事件智能提取防护参数，从而形成一系列的安全防护策略。同时，系统还可以根据客户化诉求，确定自动化执行防护策略或者人工审核执行。

提供全景式展示攻击者的攻击时序过程、攻击所处攻击阶段及对应的ATT&CK攻击图谱、可视化攻击进程父子关系等，帮助运维人员溯源攻击者的行为及最终意图。

技术趋势上，终端安全不再是孤立的解决方案，终端安全是整体网络安全的一部分，终端安全能力要与整体安全框架相适应，从更上层来系统的解决安全问题，如XDR、态势感知、SASE、零信任等综合性安全方案。作为整体方案中的终端抓手，终端安全从更纵深的方向，提供网络、进程、文件、系统、容器等多个层面安全事件发现、跟踪、溯源、处置能力，从而更有效地解决当前的各种终端问题。

当前终端往往上装好几个终端安全软件，同时每个客户端有各自独立的控制台，这给管理上带来非常大的麻烦。同时多客户端带来的性能和兼容性问题令用户和管理员痛苦不堪。客户希望将各种安全能力集为一体，比如杀毒、EDR、CWPP、移动安全，甚至是桌面管理、准入控制、DLP等。

随着业务上云以及业务移动化逐渐普及，云主机和移动终端的安全防护也越来越重要。由于历史原因，云主机安全和移动安全往往和传统PC、服务器安全不能同步建设，这就带来了各种安全和管理上的问题。

终端防护对象的一体化，包括PC、服务器、云主机，以及迅速普及的智能终端、物联网终端等。同时，通过跨终端，多能力的数据分析检测，可以发现以前无法识别的威胁。

国产化产品未普及之前，Wintel架构下，终端攻防产品无法从系统底层建立可信，并且防守方的攻防产品和攻击方如APT组织处于同样的权限，同时攻击方可以使用各种不对称技术进行攻击，甚至一些有国家背景的APT组织可以借用操作系统、CPU等底层接口或者后门来组织攻击。整体来说，由于敌暗我明，终端安全产品在对抗中处于很不利的地位。

国产化大环境之下，终端攻防产品需借助底层能力如国产化操作系统、数据库、CPU、内存、硬盘，从底层建立可信链，并且授予终端攻防产品以高权限，通过高权限来对抗恶意攻击。终端安全产品通过厂商签名建立可信环境，国产化环境如操作系统，通过厂商签名授予国产终端攻防软件以高权限。通过种种权限控制机制，做到可信终端安全软件以高权限来和恶意攻击进行不对称对抗，从而提升终端安全软件的检测能力和防护能力。

勒索攻击已经成为关键基础设施数据资产安全面临的重大威胁之一。数据遭受窃取、滥用或破坏将会导致关键基础设施运行受到严重影响，攻击带来的影响也不再停留于虚拟世界的“软破坏”，而是演变成对现实世界的“硬摧毁” ，直接或间接造成重大损失，对政治、经济、和社会的影响深刻。

勒索攻击方法持续进化，包括勒索攻击平台化及开源化导致实施门槛降低，甚至发展出了勒索软件即服务 (RaaS)，同时勒索攻击借助APT技术将重要服务器做为目标，更增强了勒索的危害性。

由于勒索攻击方法持续进化，以及勒索变种类型快速演进，传统网络边界防护设备和依靠特征检测的传统杀毒软件在面对勒索攻击、APT攻击等未知威胁时已经基本失效，终端安全行业应对勒索攻击要对其攻击形式进行全面且持续地研究，推出更适合企业自身特点的防御手段。

由于勒索软件攻击具有强对抗性，并没有一种方法可以单独有效解决，这也导致应对勒索攻击应是全面的解决方案才能予以应对。针对勒索攻击更有效的方法是构建包含边界、内网、终端的纵深防御体系，来斩断勒索病毒攻击的攻击链，包括邮件安全防护、网络入侵防护、终端安全、漏洞扫描、威胁诱捕、流量分析、数据备份等等。

勒索攻击最终还是要落到终端上来，所以在终端上斩断勒索攻击是最直接有效的手段。针对勒索攻击，终端安全产品可提供集事前防御、事中阻断与应急处置、事后审计为一体的终端勒索防护方案，包括安全合规、终端防护、威胁诱捕、威胁检测响应、终端安全审计等功能，拦截可疑勒索行为并防止横向渗透。技术上，基于终端行为分析、情报分析、深度学习等综合技术，终端安全产品可有效检测已知和未知勒索攻击。

网络挖矿从个人发展到规模型挖矿，挖矿行为的高消耗也越来越引起关注。同时，挖矿行为甚至还跟僵尸网络等黑产有紧密联系，会给企业带来勒索、数据泄露等危害。从监管政策来看，2021年底，国家发改委等11部门发布《关于整治虚拟货币“挖矿”活动的通知》，通知中着重提出了严查国有单位机房所涉及的“挖矿活动”。

为应对愈演愈烈的挖矿行为，需构建应对网络挖矿的立体化安全防护技术体系，以整体的安全建设和攻防对抗为依托，有效应对已知和未知网络挖矿攻击。

网络挖矿攻击最终还是要落到终端，所以在终端上检测和阻断网络挖矿是最直接有效的手段。基于终端行为分析、情报分析、深度学习等综合技术，结合终端上采集的各种文件哈希、IP、域名等信息，可有效判断挖矿行为并作出及时处置。

APT攻击通常针对国家重要信息基础设施、重点科研院所和大型商业公司。以窃取敏感信息、商业机密或者破坏重要的基础设施为目的。而境外的APT团伙采取多种自动化攻击方式，扫描并自动渗透关基单位，篡改挂马进行颜色战争，渗透入侵数据库窃取公民隐私，攻击勒索关基单位，或者进而攻击有用的关基基础设施。

由于APT组织背后往往有国家背景的存在，具有高度对抗性。APT攻击具有如下特点：

1）难发现-高隐蔽

APT攻击具有极强的单点隐蔽能力，所利用的主控IP和携带的相关恶意代码往往具有多变性，使得基于单一特征检测的手段失效。APT攻击的攻击时间往往很长，在单个时间节点上往往不具备特别的异常特征，这使得传统检测手段往往会漏报实际的APT攻击事件。

2）难追踪-数据大

大数据场景下的APT攻击隐藏于海量异构的告警和日志当中，海量异构告警的处理需要解决包括海量数据存储技术、批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术涉及的一系列相关问题。大数据场景下，在算法及模型选择方面需要综合考虑算法效果本身的稳定性以及在海量实时数据下的性能。

3）难归因-缺乏高质量的情报

需要追踪溯源攻击主机，控制主机，攻击者，攻击者背后组织。网络攻防本质是人的对抗，需要解决的是“敌人是谁，敌人在哪里，敌人想干什么”。

基于APT攻击的国家背景和高度对抗性，应对APT，需在监管机构指导下，整合国内安全厂商，构建边界、内网、终端的立体化安全防护技术体系，以整体的安全建设和攻防对抗为依托，有效应对APT组织高度专业化的攻击手法和模式。

关键基础设施涉及的行业是网络攻击的重要目标，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等国家发展及民生相联系的关键信息基础设施相关行业，仍然持续、广泛的受到黑客攻击。关键信息基础设施承载或支撑着重要行业和领域的关键业务，并成为各行各业 运行体系所依赖的关键节点，是网络安全的重中之重。

随着全攻防演练的举办从低频到常态的转变的持续进行，攻防演练将一些潜藏的安全风险提前暴露出来并得到及时处置。从实践来看，虽然防守方水平逐年升高，但是攻击方的水平也是水涨船高，每年都会有企业被通过系统漏洞、网络钓鱼等方式攻入内网，被控制重要服务器并作横向扩展。

从攻击手法看来，以攻击入口常见的WebShell为例，攻防对抗中从原始的有文件落地的方式写入Webshell，逐步发展到以无文件落地的方式进行MemShell的添加与执行，如常见的哥斯拉、蚁剑、冰蝎等工具均支持通过内存马进行连接。采用无文件落地的木马可以有效地躲避传统安全软件的检测，并且因为其无文件落地的特点，攻击者在执行恶意命令后不会留下任何痕迹，在应急响应过程中难以被检测和清除。因此随着演练的进行，无文件落地的内存马越来越受攻击队青睐。

终端安全在攻防演练中扮演了极其重要的角色。终端安全产品在事前系统查缺补漏，事中实时防护、检测与响应，事后审计溯源起到了重要作用，同时作为整体防护方案的终端抓手，收集终端各种信息，上层安全大脑分析之后，最终依赖终端来执行处置措施。进一步，结合终端各种新技术应用，防守方也不再仅仅局限于保护系统不被入侵，在防护力量盈余的情况下，防守方可向溯源反制发展。

绿盟一体化终端安全管理系统（NSFOCUS Unified Endpoint Security Management, 简称UES）是集终端管控、终端防护、可信终端监测、终端EDR、可视化为一体的下一代终端安全产品，同时是以持续监测和及时响应为核心的终端安全联动平台。

基于终端行为分析、威胁情报、机器学习、威胁诱捕等技术，绿盟一体化终端安全管理系统可有效检测APT攻击、勒索病毒、挖矿、僵木蠕、0day漏洞等已知和未知威胁，并且提供多维度的及时响应措施，从而可以全面保障企业终端安全。我们熟知针对终端的网络威胁有很多种，如APT攻击、勒索病毒、挖矿木马、僵木蠕、0day漏洞利用等。这种攻击行为我们很难预知，但是只要终端遭到入侵后，其系统内部状态或环境肯定会发生变化，这种变化包括文件的创建修改、进程的运行、系统函数及接口的调用、配置的修改、用户及权限、网络连接、系统资源的变化等。为保证检测行为的准确性和可控性，在提供自动化分析处理机制外，系统也提供了便于管理员进行人工辅助干预的接口，可人工定义信任或威胁的文件和行为，从而对自动化判定筛选后的结果进行微调，然后更精确的采取记录、阻断、隔离、清除等响应措施。

绿盟一体化终端安全管理系统 V6.0分为Agent软件客户端和管理服务器端，Agent以软件的形式部署在企业的内网主机上，检测黑客对内网的渗透攻击行为。管理服务器端以软件形式部署在企业的内网服务器上，进行Agent行为日志的统一收集和分析。

绿盟一体化终端安全管理系统以绿盟智慧3.0的体系化建设理念为指引，构建“全场景、可信任、实战化”的安全运营能力，实现“全面防护，智能分析，自动响应”的防护效果。

产品实现上，绿盟一体化终端安全管理系统以终端资产安全防护为核心，基于CARTA持续自适应安全风险及威胁评估模型在EDR领域的应用为要求，结合主机行为分析、情报、机器学习、ATT&CK模型、威胁知识图谱等技术，提出以持续安全风险评估为中心，围绕准入、检测、分析、响应、防护等关键环节，面向终端赋予更安全的准入策略、更精准的检测能力，更高效的查杀能力，更细致的微隔离策略以及更快速的响应处置能力，构建一个轻量化、智能化、快速化的自适应终端安全准入、分析及防护体系。

某大型企业在攻防演练期间被攻入内网并被上级单位进行通报。由于该单位在疫情期间通过远程方式进行办公，导致其移动应用所需要的接口暴露于公网。因缺乏有效的安全措施，攻方通过暴露的接口渗透入其内网，并使用暴力破解、横向渗透、进一步提权等方式拿下多个服务器权限。

基于客户的业务痛点，我们提供绿盟零信任整体方案，通过为客户业务应用提供MFA强认证、单点登录、细颗粒度访问控制方式，从而减少客户业务暴露面。同时，通过部署绿盟一体化终端安全管理系统，为客户办公终端和服务器提供终端全面防护，保障其业务安全。

某客户内网主机感染了Phobos勒索病毒并被加密，通过本地化验证攻击样本，绿盟一体化终端安全管理系统可成功检测并阻断该勒索病毒。同时，对照应急响应团队对本次事件提供的溯源分析报告可以看到，绿盟一体化终端安全管理系统在异常行为包括启动项变化、卷影删除、勒索加密均产生有效告警。由此，得到了客户对绿盟一体化终端安全管理系统具备的防勒索能力的高度认可。

绿盟一体化终端安全管理系统基于终端行为分析引擎、实时威胁情报、高级威胁诱捕能力等多种技术提供全面的终端勒索防护解决方案。不仅可以基于文件特征查杀已知勒索病毒，还可有效解决未知威胁。同时，绿盟一体化终端安全管理系统从勒索攻击发生的完整链条设计考虑，对终端提供事前-事中-事后的安全防护手段，避免企业遭受勒索病毒所造成的经济损失。