终端安全管理杀毒解决方案

方案背景

2017年6月1日《中华人民共和国网络安全法》的正式实施，标志着网络安全已上升至国家主权范畴，并将网络安全等级保护制度上升为法律规定的强制义务。《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相继出台，为网络空间的安全防护提出体系化的要求。

同时，随着数字化时代的发展，新业务场景持续涌现，所带来的安全威胁不断升级，比如无文件攻击、0day 漏洞攻击利用、病毒加壳逃逸，以及衍生出的勒索和挖矿及服务的产业链，给企业带来严重损害和威胁。面对新业务场景的应用，如云桌面、国产化终端等，传统终端管理软件无法有效覆盖，暴露管理短板。面对安全威胁的升级，传统安全检测手段针对特定目标的定向攻击无法提前取得样本，比如 0day 漏洞利用、定制化隐藏工具；针对加壳逃逸技术的威胁特征难以发现等，暴露安全管理短板。

无论从国家政策要求方面，还是自身信息化安全建设方面，对各单位现有网络安全防御体系提出巨大挑战，建立完善的安全防御体系变得刻不容缓。

面临的威胁

l 混淆样本数量暴增

2007 年可谓是混淆技术的分水岭， 以 Trojan/C2Lop （业内通常称其外层混淆器为Swizzor） 为代 表的各种自定义壳和混淆样本大量涌现。以高级语言作为外层包裹器（Wrapper）的样本更是不胜枚举， 传统安全软件的脱壳、解码技术受到了巨大的挑战，脚本虚拟机、通用脱壳（Generic  Unpacking）等技术开始应运而生并备受关注；

恶意软件快速迭代随着互联网的发展，“云”的概念被应用于安全软件，安全软件对恶意软件问题 的响应速度大大提高。然而，互联网的发展不仅仅造就了 “云”，黑色、灰色软件利益链条也得到快速 完善。在这个完善的生态系统中，每个角色都发挥着各自的 “技术优势”，黑站挂马、恶意软件制造、 恶意代码混淆、流量联盟分工合作。恶意软件背靠着这个庞大的生态系统快速迭代，对安全软件带来了巨大的挑战；

攻击手段的多元化也是近些年来安全软件面临的挑战之一。信任利用（即通常说的白加黑）、高持续 性威胁（APT）、分级渗透等，攻击的手段也颇具隐蔽性。传统的基于进程信任的单步、多步防御系统均成 为此类威胁的 “打击目标”。从火绒这几年实践的经验来看，基于行为分析的多步防御体系对于此类威胁 具有较强的应对能力。

l 边界设备无法有效保护终端

随着互联网信息技术快速发展，传统的安全运营模式将无法适应时代发展需要，面临全方位的转型和变革，基于边界、流量或规则的传统检测方式已经无法检测新型或未知威胁，针对企业安全防范理论和技术将 发生彻底的转变。

边界防御的局限性，网络层发出的攻击，边界设备获取的信息是有限的，一旦突破了边界防御，将无法了解这个攻击事件做了哪些行为、关联了哪些进程。

边界拦截率低，现在的变形攻击很多，有很多攻击会绕过边界安全，而且一个数据流是会被成每股小的数据流过去，基于数据流的这种分析方式，不能够深度的了解数据流中包含的恶意行为。

边界治标不治本，遇到网络攻击时可以将该 IP 拉黑，阻止该 IP。但是若干个 IP 又发起了攻击该如何处理？ 边界只做了临时处理，没有从根本上去解决问题。

l 终端体系庞大，行为难以管控

随着互联网时代的发展，计算机已成为企业中常见设备，在面对计算机出现大量的病毒事件、网络攻击事件、系统攻击事件、漏洞事件时。企业无法及时掌握有效信息，会大概率产生众多不可控的威胁 ，无法及时掌握终端的安全状况及变化往往是企业难题。

恶意数据根据不同的协议、端口都可入侵到内网之中，网络协议没有规范的规则、高危端口没有严格的策略， 会让恶意数据轻而易举的进入到内网之中。

员工访问无关网站， 比如游戏、股票、微博、视频、娱乐新闻等， 网站中都可能携带恶意程序对内网构成威胁。

私自在不同场合使用U 盘、移动硬盘等外设造成病毒传播、数据泄露，对企业造成不可估量的损失。

终端不规范的行为是引申威胁的主要来源之一，协议端口的规范性、员工的上网行为 、安装不符合企业规范的软件、使用可能会对企业具有威胁的程序、移动外设的非法使用等都属于终端面临的威胁。

l 终端安全检测频率低

企业在正常运转的业务系统时，空闲时间较短，导致无法定期对全网终端进行安全检测，病毒的传播瞬息万变，无法及时的了解全网安全状况，可能会导致安全形势发生变化，一旦出现重大安全事故，将会影响正常业务，严重的事态可能还会造成不可预估的巨大损失。

l 复杂多样的威胁