终端安全检测和防御技术

1.终端安全风险

1.终端安全风险

对于一个企业来说，90% 以上的员工需要每天使用PC终端办公，而终端是和互联网“数据交换”的重要节点，且员工的水平参差不齐，因此企业网络中80% 的安全事件来自于终端。终端已经成为黑客的战略攻击点。

黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。

互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。

黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。僵尸网络的主要危害有：

1.看不见的风险

互联网应用复杂，各种病毒变种和恶意代码往往隐藏在大量的互联网应用流量当中。传统的边界防御基于静态特征检测技术，不仅存在特征库不全，更新不及时的问题，而且对于应用层的内容，缺乏有效识别技术。因此，传统的防御导致客户看不到网络中应用和应用内容，无法分别内容的好坏；也无法感知威胁，不知道PC是否中毒；即使发现中毒后，也不知道感染的影响面。整个网络对于管理员来说是不可视的，看不见风险，感知不到威胁和威胁影响面。

2.高级持续威胁

我们知道APT攻击往往攻击目标明确、时间周期比较长、采用的攻击方法比较多、而且隐蔽性很好。而研究发现，黑客进行APT攻击最常采用的跳板就是僵尸网络，大量的僵尸机给了发动APT攻击的黑客很多选择，并且为了达到继续渗透、监视、敏感数据窃取等目的，黑客会让这些僵尸机很好的潜藏起来，减少暴漏的可能。

3.本地渗透扩散

由于病毒、木马植入被害主机后，会主动通过控制节点和攻击者取得联系，执行攻击者的命令，攻击者可利用此功能向被控主机传送新病毒、木马程序或者其它的恶意软件，从而实现在感染网络内部渗透扩散。单位内部新目标主机或者服务器将成为渗透感染的目标，从而控制更多的主机或者服务器，掌握组织单位网络内部更多的资源和信息。

4.敏感信息窃取

僵尸网络相当于黑客在僵尸主机上安装了间谍程序，因此它能监视和记录被害主机的各种活动行为，也能窃取用户的敏感信息，如用户的账号密码、身份信息、银行卡信息、研发代码等，给用户造成直接或间接的经济损失。

5.脆弱信息收集

攻击者通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息收集。各种僵尸程序偷偷的探测、收集网络内部的各种脆弱性信息，如账户口令、弱密码、开放端口、不安全配置、系统漏洞、应用程序漏洞等，并且把收集到的脆弱性信息悄悄的传递给控制者，黑客可以利用这些弱点实现更多入侵和信息窃取等目的。

2.终端可视可控技术

应用控制策略可对应用/服务的访问做双向控制，AF存在一条默认拒绝所有服务/应用的控制策略。

基于应用的控制策略：通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。

基于服务的控制策略：通过匹配数据包的五元组（源地址、目的地址、源端口、目的端口、协议号）来进行过滤动作，对于任何包可以立即进行拦截动作判断。

WEB过滤是指针对符合设定条件的访问网页的数据进行过滤。

包括URL过滤、文件过滤。
根据HTTP不同动作进行区分。
可以针对HTTPS URL进行过滤。

3.网关杀毒技术

3.1 病毒工作原理

基于杀毒软件的防御是一种比较被动的解决方案，特别容易遭受到病毒的侵袭，每当出现新的病毒时，管理员往往会发现他们分身乏术，需要确保网络中的每一台终端设备都要升级到最新的病毒库，如果哪一个节点没有按要求进行更新，就会成为网络中的一块短板，病毒将会乘机而入，迅速对我们的系统造成影响。

杀毒网关对企业的进站数据进行病毒扫描，把病毒完全拦截在企业的外部，以减少病毒渗入企业后造成的危害，同时构建立体化的反病毒体系，从以往传统的单机版的杀毒、网络版的杀毒转变到全网立体化的病毒防护。

防病毒网关:

基于应用层过滤病毒
过滤出入网关的数据
网关阻断病毒传输，主动防御病毒于网络之外
部署简单，方便管理，维护成本低
与杀毒软件联动，建立多层防护

3.2 网关杀毒

代理扫描方式

将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。

流扫描方式

依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本地签名库进行匹配。

基于代理的反病毒网关可以进行更多如解压，脱壳等高级操作，检测率高，但是，由于进行了文件全缓存，其性能、系统开销将会比较大。基于流扫描的反病毒网关性能高，开销小，但该方式检测率有限，无法应对加壳、压缩等方式处理过的文件。

特点：

防火墙提供捕获文件能力和拦截处置能力；
SAVE提供本地无规则的检测能力；
云脑提供安全能力的更新和云端威胁情报，云查的能力；
具备威胁情报、本地引擎SAVE查杀、云沙箱能力。

3.3 AF网关杀毒优势

支持各类主流协议文件传播杀毒，包括SMB v1/v2/v3协议，通过采用SAVE智能文件检测引擎（杀毒），大幅提高恶意文件识别率
支持对邮件正文中的恶意域名、URL进行检测
提供覆盖更广的杀毒能力，支持文档类、脚本类的非PE文件检查、office宏病毒的杀毒功能
杀毒文件的大小限制可以灵活调整，界面可调整的大小限制为1-20M
支持对压缩文件的检测，且可设置层级，界面可调整的层级最多16层

3.4 SAVE引擎优势

基于AI技术提取稳定可靠的高层次特征，拥有强大的泛化能力，能够识别未知病毒或者已知病毒的新变种；
对勒索病毒检测效果达到业界领先，影响广泛的如WannaCry、BadRabbit、Globelmposter等勒索病毒，save均有检出新变种的案例。同时，对非勒索病毒也有较好的检出效果；
轻量级，资源占用少，隔离网环境检测能力业界领先；
云+边界设备+端联动，依托于深信服安全云脑海量的安全数据，SAVE能够持续进化，不断更新模型并提升检测能力，未知威胁能够在云端分钟级返回检测结果并全网同步，构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全EDR的整体解决方案。

3.5 配置思路

4.僵尸网络防护技术

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。