費(fèi)禹

（北京信息科技大學(xué) 信息與網(wǎng)絡(luò)管理中心，北京 100192）

0 引 言

隨著高校信息化進(jìn)程的穩(wěn)步推動(dòng)，校園網(wǎng)所承載業(yè)務(wù)的不斷增加，其網(wǎng)絡(luò)安全形勢(shì)也愈發(fā)嚴(yán)峻。伴隨網(wǎng)絡(luò)安全防護(hù)、檢測(cè)技術(shù)及各類安全產(chǎn)品的推廣應(yīng)用，高校邊界防護(hù)能力穩(wěn)步提升，在此基礎(chǔ)上，如何進(jìn)一步加強(qiáng)終端主機(jī)安全，如何提升內(nèi)網(wǎng)整體安全防護(hù)能力，如何規(guī)劃和實(shí)踐適合高校環(huán)境的內(nèi)網(wǎng)終端主機(jī)安全防護(hù)體系，該體系又如何與現(xiàn)有安全防護(hù)設(shè)備進(jìn)行聯(lián)動(dòng)，成為每一所高校共同面對(duì)的問題。

本研究在梳理了高校內(nèi)網(wǎng)安全防護(hù)現(xiàn)狀，結(jié)合高校網(wǎng)絡(luò)安全防護(hù)需求，提出基于EDR 的高校內(nèi)網(wǎng)終端主機(jī)安全防護(hù)體系，并對(duì)該體系規(guī)劃、部署要點(diǎn)進(jìn)行了闡述，對(duì)EDR與其他網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)進(jìn)行了設(shè)計(jì)與實(shí)踐，對(duì)后續(xù)研究工作提出展望。

1 高校內(nèi)網(wǎng)安全防護(hù)現(xiàn)狀

1.1 內(nèi)網(wǎng)防護(hù)能力不足

目前，高校網(wǎng)絡(luò)安全區(qū)域邊界防護(hù)能力總體較強(qiáng)，但內(nèi)網(wǎng)防護(hù)能力普遍不足。經(jīng)調(diào)查，多數(shù)高校在安全區(qū)域邊界都部署有防火墻、WAF、防病毒墻、IPS 等邊界防護(hù)設(shè)備，以及態(tài)勢(shì)感知、威脅感知、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、Web 資產(chǎn)治理等一系列監(jiān)測(cè)、審計(jì)類設(shè)備。通過部署這些安全設(shè)備，能夠?qū)崿F(xiàn)對(duì)絕大多數(shù)流經(jīng)安全區(qū)域邊界的威脅進(jìn)行監(jiān)測(cè)、阻攔、審計(jì)，但是一旦惡意程序經(jīng)過加密、變形、偽裝繞過安全邊界的防護(hù)進(jìn)入到內(nèi)網(wǎng)，那么邊界安全設(shè)備就很難再捕捉到它的痕跡，也無法探查該惡意程序在內(nèi)網(wǎng)中的擴(kuò)散情況，只有等到失陷主機(jī)產(chǎn)生隧道、木馬外連、異常請(qǐng)求等特征時(shí)才能進(jìn)行告警，除此之外，邊界安全設(shè)備在產(chǎn)生告警后，也僅能對(duì)失陷主機(jī)的外連地址進(jìn)行快速阻斷，無法將失陷主機(jī)與內(nèi)網(wǎng)其他主機(jī)進(jìn)行有效隔離。

1.2 終端主機(jī)安全運(yùn)維困難

高校終端主機(jī)數(shù)量龐大，各系統(tǒng)管理員雖具備基本的網(wǎng)絡(luò)安全素養(yǎng)，但是普遍缺乏漏洞修復(fù)、威脅處置等專業(yè)知識(shí)，在主機(jī)安全運(yùn)維環(huán)節(jié)上經(jīng)常出現(xiàn)漏洞修復(fù)無效、威脅處置不當(dāng)、不及時(shí)等情況，最終形成一個(gè)個(gè)風(fēng)險(xiǎn)點(diǎn)，這些主機(jī)的風(fēng)險(xiǎn)點(diǎn)在外部威脅入侵時(shí)很容易失陷，最終成為攻擊方入侵內(nèi)網(wǎng)的跳板機(jī)。

除此之外，在信息系統(tǒng)資產(chǎn)治理流程中，安全管理員也由于欠缺對(duì)于終端主機(jī)的把控，往往在下發(fā)漏洞整改通知后，無法為系統(tǒng)管理員提供針對(duì)性指導(dǎo)、幫助，無法輔助管理員進(jìn)行漏洞修復(fù)、威脅清除，最終導(dǎo)致整改環(huán)節(jié)拖沓，無法快速推進(jìn)。

1.3 內(nèi)網(wǎng)終端難以統(tǒng)一管理

通過安裝正版殺毒軟件的方式，終端主機(jī)可以實(shí)現(xiàn)病毒查殺、木馬清除等基本需求，也能做到對(duì)部分安全威脅的防御，但是由于沒有統(tǒng)一的運(yùn)維平臺(tái)，致使安全管理部門無法及時(shí)獲取各終端主機(jī)的運(yùn)行狀態(tài)，也不能及時(shí)評(píng)估主機(jī)有無遭受安全威脅。同時(shí)，由于缺乏對(duì)終端主機(jī)安全狀態(tài)的監(jiān)控，對(duì)整體內(nèi)網(wǎng)安全態(tài)勢(shì)的把控，安全管理部門在信息資產(chǎn)治理、網(wǎng)絡(luò)攻擊溯源、應(yīng)急響應(yīng)等多個(gè)環(huán)節(jié)也存在諸多不便。

2 基于EDR 的高校內(nèi)網(wǎng)終端主機(jī)安全防護(hù)體系

傳統(tǒng)防病毒軟件與EPP（Endpoint Protection Platform，端點(diǎn)保護(hù)平臺(tái)）均具備終端主機(jī)病毒查殺、木馬清除、實(shí)時(shí)防護(hù)等能力，且EPP 在識(shí)別和阻斷已知威脅上更具優(yōu)勢(shì)，但二者均局限于終端主機(jī)本身，無法對(duì)各端點(diǎn)之間的信息進(jìn)行整合分析、挖掘深層威脅情報(bào)，無法有效應(yīng)對(duì)APT 攻擊，缺乏事件響應(yīng)能力，在此基礎(chǔ)上，端點(diǎn)檢測(cè)與響應(yīng)（Endpoint Detection and Response,EDR）技術(shù)提升了威脅追蹤、取證、威脅可視化等能力，彌補(bǔ)了傳統(tǒng)防病毒軟件和EPP 的缺陷。同時(shí)，參考“策略—保護(hù)—檢測(cè)—響應(yīng)”（policy-protectiondetection-response,PPDR）模型，EDR 技術(shù)相比前兩者，在“檢測(cè)”和“響應(yīng)”環(huán)節(jié)上具備明顯優(yōu)勢(shì)，更適合高校網(wǎng)絡(luò)安全實(shí)際環(huán)境。

目前，國(guó)內(nèi)對(duì)EDR技術(shù)的應(yīng)用研究主要在水利、醫(yī)療、電網(wǎng)等方向，針對(duì)高校的EDR 部署與實(shí)踐研究較少，與此同時(shí)，在針對(duì)高校網(wǎng)絡(luò)安全監(jiān)測(cè)及阻斷、攻擊溯源取證、信息資產(chǎn)治理的研究中也都缺乏對(duì)終端主機(jī)安全的關(guān)注。

2.1 建設(shè)目標(biāo)

該體系的建設(shè)，一方面為了提升終端主機(jī)全方位的安全防護(hù)能力，增強(qiáng)系統(tǒng)防護(hù)、網(wǎng)絡(luò)防護(hù)、APT 防護(hù)、Web 應(yīng)用防護(hù)能力；另一方面，通過該體系實(shí)現(xiàn)對(duì)校園終端主機(jī)安全態(tài)勢(shì)的整體把控，實(shí)現(xiàn)對(duì)終端主機(jī)安全的統(tǒng)一運(yùn)維、統(tǒng)一管理，及時(shí)為終端主機(jī)更新病毒特性庫(kù)、威脅情報(bào)庫(kù)，實(shí)時(shí)監(jiān)控主機(jī)安全狀態(tài)，動(dòng)態(tài)調(diào)整安全策略。

2.2 EDR 防護(hù)矩陣

該體系的核心是EDR 防護(hù)矩陣，其主要包括系統(tǒng)防護(hù)、網(wǎng)絡(luò)防護(hù)、滲透追蹤以及Web 應(yīng)用防護(hù)四部分，具體如下：

（1）系統(tǒng)防護(hù)主要實(shí)現(xiàn)對(duì)常見病毒、木馬、勒索、挖礦、暴力破解的防御，以及對(duì)系統(tǒng)賬戶登錄的精細(xì)控制，對(duì)重點(diǎn)文件的實(shí)時(shí)監(jiān)控。

（2）網(wǎng)絡(luò)防護(hù)主要實(shí)現(xiàn)對(duì)于惡意端口掃描行為的阻斷，對(duì)違規(guī)外聯(lián)行為的阻斷，以及終端主機(jī)間的通信關(guān)系的可視化。

（3）滲透追蹤主要實(shí)現(xiàn)對(duì)系統(tǒng)提權(quán)、信息泄露、隧道搭建、遠(yuǎn)程控制、內(nèi)網(wǎng)探測(cè)、痕跡清除行為的記錄及阻斷。

（4）Web 應(yīng)用防護(hù)主要實(shí)現(xiàn)對(duì)SQL 注入、XSS 跨站等應(yīng)用漏洞實(shí)時(shí)防護(hù)，對(duì)網(wǎng)站訪問權(quán)限的控制。

EDR 平臺(tái)防護(hù)矩陣如圖1所示。

圖1 EDR 平臺(tái)防護(hù)矩陣

2.3 EDR 威脅處置流程

EDR 在發(fā)布威脅告警后，會(huì)根據(jù)預(yù)先設(shè)定的安全策略進(jìn)行處置，既可以選擇對(duì)威脅進(jìn)行直接清除，也可以僅記錄威脅告警，隨后由人工進(jìn)行研判，選擇處置方式，并判斷是否需要使用“微隔離”等功能阻斷攻擊源與終端主機(jī)的通信，與此同時(shí)，安全管理員還可以根據(jù)威脅事件情況對(duì)該客戶端進(jìn)行策略優(yōu)化，其處置步驟如圖2所示。

圖2 EDR 威脅處置步驟

2.4 EDR 部署

EDR 平臺(tái)由管理控制中心、管理平臺(tái)和客戶端組成，根據(jù)高校主流網(wǎng)絡(luò)規(guī)劃情況，管理控制中心與其他網(wǎng)絡(luò)安全監(jiān)測(cè)類設(shè)備部署于同一安全域，客戶端采取在線、離線方式部署于終端主機(jī)，管理人員通過管理平臺(tái)頁(yè)面進(jìn)行管控操作，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 EDR 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

3 基于EDR 的協(xié)同聯(lián)動(dòng)體系

高校網(wǎng)絡(luò)安全工作涉及較多，包括威脅監(jiān)控與處置、攻擊溯源取證、信息系統(tǒng)資產(chǎn)治理等一系列內(nèi)容。在此基礎(chǔ)上，通過EDR 與其他網(wǎng)絡(luò)安全設(shè)備進(jìn)行協(xié)同聯(lián)動(dòng)，能夠完善高校網(wǎng)絡(luò)安全體系，優(yōu)化網(wǎng)絡(luò)安全流程，提升網(wǎng)絡(luò)安全工作的整體效率。

3.1 EDR 聯(lián)動(dòng)威脅監(jiān)控與處置體系

威脅監(jiān)控與處置體系是高校網(wǎng)絡(luò)安全防護(hù)體系的重要一環(huán)，該體系的核心是威脅感知系統(tǒng)、日志分析系統(tǒng)以及邊界防護(hù)設(shè)備，威脅感知系統(tǒng)主要負(fù)責(zé)提供威脅情報(bào)日志，日志分析系統(tǒng)負(fù)責(zé)接收各類安全設(shè)備、網(wǎng)絡(luò)設(shè)備、重要信息系統(tǒng)的日志并進(jìn)行分析決策，邊界防護(hù)設(shè)備則負(fù)責(zé)進(jìn)行威脅阻斷。

在此基礎(chǔ)上，通過EDR 的協(xié)同，能夠彌補(bǔ)該體系在終端主機(jī)威脅情報(bào)方面的缺失，同時(shí)實(shí)現(xiàn)對(duì)終端主機(jī)的快速響應(yīng)、及時(shí)處置。

改進(jìn)的威脅監(jiān)控與處置體系，首先威脅感知系統(tǒng)通過探針捕獲數(shù)據(jù)流量，匹配威脅特征庫(kù)，繼而形成基礎(chǔ)威脅告警信息發(fā)送至日志分析平臺(tái)，與此同時(shí)將惡意文件發(fā)送至沙箱平臺(tái)，由沙箱平臺(tái)解析后同樣發(fā)送至日志分析平臺(tái)，分析平臺(tái)在收到來自各方的威脅告警日志后，一方面進(jìn)行分類分析，呈現(xiàn)可視化管理頁(yè)面，另一方面，在研判安全威脅之后發(fā)出接下來的指令，若為外部攻擊IP 則向向串聯(lián)防護(hù)設(shè)備傳遞封禁命令，若為內(nèi)部IP 則發(fā)送到EDR 平臺(tái)進(jìn)行微隔離，以此實(shí)現(xiàn)快速切斷攻擊鏈條、阻斷攻擊的進(jìn)程。

3.2 EDR 聯(lián)動(dòng)攻擊溯源取證

在有效阻斷安全威脅后，若威脅感知系統(tǒng)已經(jīng)告警“攻擊成功”或“主機(jī)失陷”，則需要進(jìn)一步追溯攻擊鏈條，留取攻擊證據(jù)。在這個(gè)過程中，首先根據(jù)威脅感知平臺(tái)定位失陷主機(jī)IP，隨后依托EDR 平臺(tái)查詢失陷主機(jī)狀態(tài)，包括主機(jī)在失陷時(shí)段產(chǎn)生的登錄信息、進(jìn)程信息、內(nèi)存信息、威脅階段告警信息，經(jīng)過研判若攻擊行為已被EDR 阻斷，則整理留存主機(jī)異常登錄、賬號(hào)新增、隧道搭建、痕跡清除等行為，隨后配合威脅感知平臺(tái)、日志審計(jì)平臺(tái)、數(shù)據(jù)審計(jì)平臺(tái)做邊界探測(cè)、Web 攻擊等行為的溯源取證。若在EDR 上查詢到失陷主機(jī)存在向內(nèi)網(wǎng)其他主機(jī)進(jìn)行端口掃描、口令爆破、遠(yuǎn)程代碼執(zhí)行等橫向滲透行為，則需要進(jìn)一步查詢下一跳主機(jī)狀態(tài)，再次重復(fù)上述過程，直至目標(biāo)主機(jī)再無橫向滲透行為。

3.3 EDR 聯(lián)動(dòng)信息系統(tǒng)資產(chǎn)治理

在信息系統(tǒng)資產(chǎn)治理時(shí)，原流程是通過主動(dòng)上報(bào)和自發(fā)現(xiàn)的方式梳理信息系統(tǒng)資產(chǎn)，然后對(duì)資產(chǎn)進(jìn)行分類、“貼標(biāo)簽”，定期對(duì)資產(chǎn)進(jìn)行漏洞掃描，隨后向系統(tǒng)管理員下發(fā)漏掃整改通知，系統(tǒng)管理員在整改完畢后再進(jìn)行復(fù)測(cè)。

通過EDR 平臺(tái)的加入，安全管理員在下發(fā)漏洞整改通知后，可在征得系統(tǒng)管理員同意后，輔助進(jìn)行遠(yuǎn)程漏洞修復(fù)、威脅清除、安全策略優(yōu)化等工作，可大幅縮減整改周期，減少系統(tǒng)管理員安全運(yùn)維壓力，提升整體工作效率。

4 EDR 部署實(shí)踐

EDR 在該高校規(guī)劃部署之后，通過終端節(jié)點(diǎn)的不斷增加、策略的不斷優(yōu)化，已實(shí)現(xiàn)對(duì)部分終端主機(jī)的整體運(yùn)維、實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)防護(hù)，隨機(jī)取其中50 個(gè)終端節(jié)點(diǎn)為參考樣本，在一周內(nèi)記錄了EDR 在主機(jī)異常登錄阻斷、病毒自動(dòng)防御、威脅IP 自動(dòng)阻斷、APT 攻擊阻斷的數(shù)據(jù)，其結(jié)果如表1所示。

表1 EDR 防御數(shù)據(jù)

在協(xié)同聯(lián)動(dòng)方面，經(jīng)過測(cè)試，EDR 能夠很好的配合其他安全設(shè)備完成相應(yīng)工作流程。

（1）監(jiān)測(cè)與處置方面，對(duì)于威脅感知、日志分析系統(tǒng)中告警的“失陷主機(jī)”，經(jīng)過EDR 的排查、清殺，7 臺(tái)日均告警在3 000次以上的主機(jī)實(shí)現(xiàn)告警清零，并通過“微隔離”對(duì)其中4 臺(tái)高風(fēng)險(xiǎn)主機(jī)進(jìn)行了臨時(shí)網(wǎng)絡(luò)阻斷；

（2）攻擊溯源取證方面，協(xié)助完成一例挖礦蠕蟲傳播事件的溯源；

（3）資產(chǎn)治理方面，通過加裝EDR，協(xié)助完成對(duì)23臺(tái)重點(diǎn)業(yè)務(wù)主機(jī)的系統(tǒng)整改工作。

5 結(jié) 論

結(jié)合高校網(wǎng)絡(luò)安全實(shí)際情況，規(guī)劃和實(shí)施了基于EDR的內(nèi)網(wǎng)終端主機(jī)安全防護(hù)體系，實(shí)現(xiàn)了內(nèi)網(wǎng)終端的統(tǒng)一運(yùn)維、可視化管理，有效降低了內(nèi)網(wǎng)安全威脅，通過EDR 與其他網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)，完善了高校網(wǎng)絡(luò)安全體系，提升了網(wǎng)絡(luò)安全工作效率，在此基礎(chǔ)上，EDR 與其他網(wǎng)絡(luò)安全防護(hù)體系的協(xié)同機(jī)制仍有改進(jìn)空間，多元化安全情報(bào)融合、智能安全防護(hù)等課題仍有待研究。