什么是终端安全?
终端安全是一种网络防护技术,用于保护用户的终端设备免受恶意威胁和网络攻击。传统的终端安全是将每台计算机或服务器放在边界防火墙内部区域,然后对该区域进行防护。随着终端设备范围逐渐扩展、网络安全威胁的数量和复杂性持续增长,对新的终端安全解决方案的需求也在不断增长。如今的终端安全(如EDR)旨在快速检测、分析、阻止和遏制正在进行的攻击,为各类终端设备提供防护,无论这些终端处在网络的哪个位置。
为什么终端安全很重要?
企业的终端安全,在传统意义上只需要把工作站和服务器放在边界防火墙的防御范围中,再通过调整防火墙安全策略进行防护即可,防火墙是抵御网络威胁的第一道防线。随着远程办公和混合办公模式的发展,接入企业网络的终端逐渐外移,越来越多新的终端设备开始出现,并需要随时接入内部办公网络,访问企业敏感信息。现在的终端包括任何可以连接到公司网络的设备,如:
- 支持物联网的智能设备
- 自动提款机
- 工业机械
- 笔记本电脑
- 医疗设备
- 手机
- 打印机
- 服务器
- 平板电脑
- 可穿戴设备,如智能手表
常见的终端设备
这些数量和类型持续增加的终端设备,都是黑客得以进入企业网络和系统的入口。黑客可以利用终端设备的漏洞,通过勒索软件、病毒、木马等多种已知和未知的攻击手段控制设备,潜入企业内部网络和系统,进一步泄露或窃取企业内部敏感数据。因此,终端安全技术在保护企业免受日益严峻的网络威胁环境方面发挥着至关重要的作用。
如何实现终端安全?
终端安全技术的实现基本原理是检查文件、进程和系统是否存在可疑或恶意活动。在网络级别,依旧可以依托企业网络防火墙,通过安全策略和权限控制来限制对企业网络的访问。随着云化进程的推进,逐步出现混合型方案,即本地管理控制中心和云端远程自动化控制与管理相结合。终端安全技术应具备以下能力:
- 终端识别与管理
- 终端自动识别:提供自动化终端资产清点能力,安装终端防护软件后,该终端即被自动识别。
- 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。
- 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。
- 威胁检测与处置
- 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。
- 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。
- 病毒查杀与处置
- 病毒查杀:基于反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。
- 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。
- 主动防御
- 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。
- 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。
- 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。
- 溯源分析
- 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。
- 攻击可视化:通过EDR( Endpoint Detection and Response,终端检测与响应)数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。
在终端安全领域,华为乾坤推出了终端防护与响应服务,可以针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播。它采用云、端协同架构,由云端和安装在终端侧的华为乾坤EDR Agent软件组成。
终端安全的分类
针对不同类型和用途的终端设备可以有多种不同的终端安全防护类型。
- 网络访问控制(NAC)
通过边界防火墙,基于黑白名单或安全策略可以精细控制哪些用户和终端设备可以访问敏感网络,还可以控制这些用户与设备在内网能执行的操作。
通过防火墙的安全策略控制用户访问网络 - 内容过滤
防火墙通过对终端设备发送的数据内容进行检测,识别其中的特定风险内容,并对流量进行阻断。此功能可以降低机密信息泄露的风险、防止违规信息的传播以及员工浏览和搜索与工作无关的内容。
通过内容过滤功能对终端进行安全防护 - 内部威胁防护(零信任)
零信任是一种安全模型,基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
- 应用行为控制
企业内部署的防火墙可以通过协议检测,对终端用户的行为进行更精细的控制。如可以通过应用行为控制功能禁止FTP的文件上传和文件删除操作,但允许FTP文件下载操作,或者对社交软件的登录行为进行控制。
通过协议检测控制终端用户访问应用的行为 - URL过滤
URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的URL访问控制,达到更加精细化和准确化控制员工上网权限的需求。
- DNS过滤
DNS过滤技术可以根据不同的用户/组、时间段和安全区域等信息,对用户/组进行域名访问控制,精确管理用户的上网行为。
通过URL或DNS过滤控制终端用户访问网络的范围 - 邮件过滤
邮件过滤主要使用IP地址检查和邮件内容过滤技术,它可以帮助局域网用户提高邮件系统的安全性,可以从邮件的发送权限、发送规模进行控制,防止信息泄密。
通过邮件过滤控制终端用户邮件权限 - 文件过滤
机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。
通过文件过滤保护终端设备安全 - 入侵防御(IPS)
入侵防御可以通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。
通过IPS防御外部威胁入侵 - 反病毒(AV)
反病毒可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
通过反病毒功能识别病毒文件保护终端设备 - 沙箱(APT防御)
防火墙可以通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则根据检测结果刷新设备缓存中的恶意文件和恶意URL列表,当具有相同特征的后续流量命中恶意文件或恶意URL列表时,可以直接进行阻断或告警等处理。
通过联动沙箱检测恶意文件保护终端设备 - 云接入安全感知
在企业内部通常需要对用户使用云应用的行为进行管控。例如,对用户使用同一个云应用的不同访问行为进行差异化管理,或者对不同用户使用不同应用的行为进行精细化管理。云接入安全感知功能便能够很好的满足上述需求。
通过云接入安全感知限制不同终端访问云应用
终端安全与传统防病毒软件有什么区别?
终端安全与传统防病毒软件在一些关键方面有所不同:
- 终端安全与网络安全:传统的防病毒软件用于保护单个终端设备,例如安装在笔记本电脑上以确保其安全。然而,终端安全技术将企业网络视为一个整体,旨在保护所有连接企业网络的终端设备。
- 管理:传统的防病毒软件依赖用户手动更新数据库或允许在预设时间进行更新。终端安全技术则将管理职责转移到企业 IT 或网络安全团队,通过与云端连接进行自动更新。
- 保护:传统的防病毒软件使用基于签名的检测来识别病毒。这意味着,如果用户最近没有更新防病毒软件,仍然面临被病毒攻击的风险。终端安全通过数据加密和数据访问控制等技术提供更好的保护,防止数据丢失和数据泄露等威胁,确保未经授权的员工无法获取超出其访问权限的数据。终端安全还可以利用行为分析等先进技术,根据可疑行为检测更多的未知威胁。
