态势感知平台
2019-06-12
项目背景
目前终端安全管理制度的控制点缺乏有效的技术执行措施,仅仅依靠终端使用者的自觉性是很难落实相应的管理制度的,主要存在的问题有:
USB无线路由屡禁不止:在办公电脑上使用USB无线路由,使终端暴露在不可控的无线网络空间,不受控的智能终端或其他无线设备可以任意接入XXX办公网,造成极大的安全隐患。
USB移动存储及各种外设滥用:在办公电脑上任意接入USB移动存储,给XXX内网带来很大的恶意代码感染风险,蓝牙、红外等外设接口的滥用,也带来非法外联的风险。
随意安装和运行各种软件:通常终端使用者都具有操作系统本地管理员权限,可以任意安装运行各种娱乐、盗版软件,给XXX带来了声誉风险及版权风险。
任意使用带宽资源导致网络拥塞:虽然XXX在网络边界部署了流量控制设备,制定了带宽限制策略,但无法实现基于应用的流量限制,内网依然存在P2P软件占用带宽,影响正常办公的情况。
随意更改主机信息:终端使用者可随意更改主机名、IP地址、MAC地址等信息,对资产管理、网络审计等方面造成不便。
完善的终端安全防御体系
本次采用的天擎终端安全管理系统,包含技术先进的网络版防病毒功能,支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀,这依赖于QVM人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。
360云查杀建立在云端庞大的黑白名单数据库基础上,病毒检出率高,系统资源占用低。通过使用云端的黑白名单验证的方法,可以最大限度的保护数据安全。360杀毒具备100亿黑白名单库,而且每天黑白名单库都在以百万级的数量在增长。
天擎的主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。360主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。360主动防御解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。
完善的终端安全防御体系
立体布防,层层防御(空间维度)
天擎本身具有终端安全防御,云端公有/私有云查杀的功能特性,如果与360的另一款产品天眼威胁感知系统(部署在网络边界)相结合,便可以构成“云 + 端 + 边界”的整体防御体系。通过在网络边界、终端系统部署查杀设备与查杀软件,同时结合云端查杀的多点立体布防,可实现对已知病毒及恶意代码、未知病毒及恶意代码、利用已知漏洞和0day漏洞(未知漏洞)发起的攻击渗透、乃至利用上述技术手段发起的APT攻击行为进行深度检测与精确阻断。从空间维度上做到立体布防,层层防御。
动静结合、全程查杀(时间维度)
天擎采用动静结合的多层次、全生命周期的病毒防御体系。结合了传统本地查杀引擎、360公有云查杀引擎、QVM机器学习查杀引擎、主动防御技术、沙箱技术、非白即黑的白名单策略等高级病毒查杀与防御技术,对病毒及恶意代码从进入网络、终端落地、运行时等生命周期的不同阶段进行多层过滤、动静结合、全程查杀。
全面监控,量化风险
天擎不仅提供对终端硬件资产、软件与操作系统、网络配置变动的监控,还提供终端体检与系统修复、升级与补丁分发、流量管理、系统优化与加速、企业级软件商店等几十项安全管理功能。可以根据企业单位内部要求、行业管理规定、终端风险等级下发统一安全策略,针对不同状态的终端执行特殊安全策略,实施手术刀似的精准管理。通过细粒度的统计与详尽的日志报表可以纵观全网终端的安全态势,包括病毒查杀趋势、高危漏洞修复态势、文件风险等级划分等,对全网终端风险做到量化观测,高效管理,全面监控。
智能学习,不断进化
互联网已经成为人工智能进化的基石,而大数据便是进化的源泉。360自主研发的QVM人工智能引擎采用了先进的人工智能算法,具备“自学习、自进化”能力,可以像病毒分析师一样思考。通过对360超过100亿的黑白名单、海量病毒样本大数据的不断学习分析,研究它们的变化规律,QVM人工智能引擎持续优化完善自身算法,做到不需要频繁升级特征库,就能防御90%以上的加壳和变种新病毒,而不会像常规杀毒引擎一样,“不升级病毒库就杀不了新病毒”,并且病毒检出率远远超过了第一、二代杀毒引擎的总和,查杀速度领先传统引擎至少一倍。
部署实施
内网与互联网隔离,需要在内网部署一台天擎控制中心,将天擎私有云平台接入内网并做好相应配置,在所有内网终端上安装天擎客户端代理,在办公网安装隔离网升级工具,定期从360相关的服务器下载病毒库、木马库、漏洞补丁文件等,更新到控制中心后,所有天擎终端都可以自动升级和修复漏洞。由专人负责控制中心的日常运行,定时查看各终端的安全情况,下发统一杀毒、漏洞修复等策略。本次天擎部署拓扑示意图如下: