基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)研究

◆江欣

安全模型、算法與編程

基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)研究

◆江欣

（國(guó)網(wǎng)福建省電力有限公司三明供電公司 福建 365000）

近年來(lái)，一些低風(fēng)險(xiǎn)、高回報(bào)勒索病毒的出現(xiàn)，威脅者計(jì)算機(jī)用戶的財(cái)產(chǎn)安全，如果主機(jī)遭受勒索病毒的攻擊，則必然會(huì)導(dǎo)致用戶電腦內(nèi)的重要文件被加密，需要用戶繳納足夠的贖金才能恢復(fù)正常，這種勒索病毒不僅嚴(yán)重阻礙了用戶正常工作，還會(huì)帶來(lái)較大的經(jīng)濟(jì)損失?；诖耍恼聦?duì)基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)研究具有重要的實(shí)用意義。

EDR；CARTA；動(dòng)態(tài)安全

進(jìn)入21世紀(jì)以后，我國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)取得了長(zhǎng)足的進(jìn)步，對(duì)終端的定義也不再僅僅局限于電腦，還可能是各種類型的移動(dòng)設(shè)備，比如平板、手機(jī)、智能手表等，為提升計(jì)算機(jī)安全防護(hù)性能，我國(guó)投入了大量的資金，構(gòu)建起了一條龐大的“防御工事”，IDS、防火墻、掃描器、審計(jì)系統(tǒng)、WAF、防毒墻等安全設(shè)備應(yīng)有盡有。雖說(shuō)這些技術(shù)的應(yīng)用極大地提升了用戶的安全，但現(xiàn)如今網(wǎng)絡(luò)安全問題已然層出不窮，尤其是個(gè)人隱私數(shù)據(jù)泄露事件更是層出不窮，而這些網(wǎng)絡(luò)安全事件的發(fā)生多源于網(wǎng)絡(luò)惡意威脅。技術(shù)水平的發(fā)展不僅提升了網(wǎng)絡(luò)安全的防護(hù)能力，也促使了惡意威脅的手段從傳統(tǒng)盲目、粗暴形式逐漸轉(zhuǎn)變?yōu)榫珳?zhǔn)化、隱匿化的形式，惡意威脅會(huì)按照攻擊人的預(yù)設(shè)有條不紊地進(jìn)行，通過一系列的偵測(cè)、漏洞利用、植入滲透等一步步地達(dá)到竊取目標(biāo)信息的目的，且會(huì)在極短的時(shí)間內(nèi)造成用戶巨大的損失，而對(duì)于用戶來(lái)說(shuō)要想解決這個(gè)威脅則需要花費(fèi)大量的時(shí)間。因此，傳統(tǒng)弓的防御體系顯然不足以面臨更加高級(jí)的威脅，這就需要我們通過各種新型技術(shù)手段與措施，提升終端防御能力。

1 項(xiàng)目背景介紹

新一代終端安全的核心是通過利用已經(jīng)掌握的手段來(lái)防止已知的威脅，并借助云系統(tǒng)來(lái)快速地發(fā)現(xiàn)并采取措施來(lái)避免威脅系統(tǒng)進(jìn)一步侵入計(jì)算機(jī)。此外，還需要基于終端的背景數(shù)據(jù)、惡意軟件行為特征等，進(jìn)行全面的檢測(cè)與響應(yīng)，并采取快速、自動(dòng)化的補(bǔ)救措施，達(dá)到保護(hù)終端的目的，這也是我們常說(shuō)的終端檢測(cè)與相應(yīng)機(jī)制，即終端EDR。它針對(duì)高級(jí)威脅具有一定的實(shí)時(shí)檢測(cè)與自動(dòng)相應(yīng)能力，并能夠達(dá)到自動(dòng)化的預(yù)防機(jī)制，保證主機(jī)在遭受到攻擊的第一時(shí)間內(nèi)做出最佳的響應(yīng)。它依靠大數(shù)據(jù)信息數(shù)據(jù)，對(duì)最新安全線索快速鎖定威脅終端，并評(píng)估實(shí)時(shí)數(shù)據(jù)與歷史終端信息，揭示內(nèi)網(wǎng)終端的安全缺陷，并基于自動(dòng)化響應(yīng)機(jī)制完成威脅的預(yù)防與處理。如圖1所示為具體模型圖。具體模型包含持續(xù)監(jiān)測(cè)、主動(dòng)檢測(cè)、自動(dòng)響應(yīng)以及全面評(píng)估。

圖1 具體模型圖

2 研究目標(biāo)

（1）主機(jī)設(shè)備微邊界流量圖譜繪制技術(shù)研究

根據(jù)對(duì)內(nèi)部邊界即主機(jī)與主機(jī)之間的流量情況繪制可視化圖譜，識(shí)別虛擬機(jī)之間，虛擬機(jī)和物理機(jī)之間的互訪關(guān)系，能標(biāo)識(shí)應(yīng)用及端口，識(shí)別東西向流量。從而梳理業(yè)務(wù)訪問邏輯，構(gòu)建一張完整的業(yè)務(wù)流量拓?fù)鋱D，提供針對(duì)流量和策略更加便捷的鉆取與控制能力。

（2）業(yè)務(wù)應(yīng)用可信與彈性安全研究

通過消除網(wǎng)絡(luò)結(jié)構(gòu)（例如，vlan、子網(wǎng)、區(qū)域或IP地址）來(lái)改進(jìn)策略創(chuàng)建過程，采用一種獨(dú)特的應(yīng)用及虛擬機(jī)定義方法，并建立一套可信的、可適應(yīng)的、接近用戶語(yǔ)言的策略模型，有效進(jìn)行業(yè)務(wù)應(yīng)用策略的彈性管理。

（3）主機(jī)設(shè)備自適應(yīng)微隔離技術(shù)研究

根據(jù)數(shù)據(jù)中心內(nèi)部的變化而自動(dòng)調(diào)整安全策略，結(jié)合微隔離技術(shù)，能夠?qū)崿F(xiàn)自適應(yīng)的訪問控制。實(shí)現(xiàn)環(huán)境隔離、域間隔離、端到端隔離，并能根據(jù)環(huán)境變化，自動(dòng)實(shí)現(xiàn)策略調(diào)整。

（4）主機(jī)安全平臺(tái)架構(gòu)自適應(yīng)技術(shù)研究

能實(shí)現(xiàn)不依賴底層技術(shù)架構(gòu)來(lái)支持新的或現(xiàn)有的環(huán)境，可適用于私有云、公有云以及混合云環(huán)境，可部署在虛擬機(jī)、物理機(jī)、容器中。

3 關(guān)鍵技術(shù)內(nèi)容

（1）平臺(tái)架構(gòu)的搭建

基于Hadoop大數(shù)據(jù)架構(gòu)構(gòu)建的安全大數(shù)據(jù)平臺(tái)，能夠存儲(chǔ)和分析海量數(shù)據(jù)，包括需要存儲(chǔ)的數(shù)據(jù)有原始數(shù)據(jù)，處理后的數(shù)據(jù)以及分析結(jié)果。平臺(tái)對(duì)前端代理收集到的安全日志進(jìn)行集中存儲(chǔ)、快速分析及挖掘，結(jié)合接入的威脅情報(bào)信息，進(jìn)行行為關(guān)聯(lián)分析，準(zhǔn)確定位各種漏洞風(fēng)險(xiǎn)及入侵威脅，并進(jìn)行預(yù)警。

（2）平臺(tái)安全性考慮

（1）通訊機(jī)制

前端Agent在部署配置時(shí)只需開放一個(gè)端口即可正常工作，通過此端口進(jìn)行與平臺(tái)和其他Agent之間的通訊。不同于其他類主機(jī)安全產(chǎn)品Agent，需要根據(jù)不同的配置文件開放多個(gè)端口才能正常工作通訊，這類主機(jī)安全產(chǎn)品避免了開放端口過多，個(gè)別產(chǎn)品通訊端口被占用，部分功能將失效帶來(lái)的產(chǎn)品使用風(fēng)險(xiǎn)和安全風(fēng)險(xiǎn)。Agent自身開放統(tǒng)一單個(gè)端口的設(shè)計(jì)極大地增強(qiáng)了Agent的穩(wěn)健性、安全性、易用性、管理性，為客戶長(zhǎng)期有效使用主機(jī)安全產(chǎn)品帶來(lái)強(qiáng)有力的保障。

（2）監(jiān)控機(jī)制

平臺(tái)設(shè)計(jì)自身具備監(jiān)控機(jī)制，可進(jìn)行自我狀態(tài)監(jiān)控，同時(shí)具備容錯(cuò)機(jī)制。平臺(tái)則會(huì)對(duì)自身組件的進(jìn)程和服務(wù)的CPU、內(nèi)存以及進(jìn)程運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，相關(guān)負(fù)責(zé)人員可實(shí)時(shí)掌握系統(tǒng)運(yùn)行情況。利用設(shè)置好的平臺(tái)監(jiān)控任務(wù)，定時(shí)監(jiān)測(cè)進(jìn)程的運(yùn)行狀況、CPU占用率等。如發(fā)現(xiàn)進(jìn)程掛掉不在運(yùn)行，可通過腳本去執(zhí)行啟動(dòng)命令重新啟動(dòng)；如發(fā)現(xiàn)CPU占用率過高超出既定限制會(huì)及時(shí)警告。通過實(shí)時(shí)監(jiān)控反饋的數(shù)據(jù)信息，如果發(fā)現(xiàn)部署的組件出現(xiàn)異常情況會(huì)通知到運(yùn)維人員，在此基礎(chǔ)上運(yùn)維人員可及時(shí)發(fā)現(xiàn)系統(tǒng)的風(fēng)險(xiǎn)并進(jìn)行處置，保障系統(tǒng)運(yùn)行在長(zhǎng)期穩(wěn)定的安全環(huán)境中。

4 重難點(diǎn)突破

（1）自動(dòng)采集主機(jī)重要安全參數(shù)信息

通過客戶端Agent自動(dòng)采集匯總主機(jī)重要安全參數(shù)信息，包括計(jì)算機(jī)名、IP地址、漏洞、病毒、病毒庫(kù)時(shí)間等5個(gè)終端安全最基本最重要信息，能夠有效降低日常人工半小時(shí)采集的工作量。

（2）便捷遠(yuǎn)程病毒查殺及漏洞修復(fù)管理

通過客戶端Agent能夠自動(dòng)采集匯總主機(jī)病毒查殺及漏洞修復(fù)管理的參數(shù)信息，包括計(jì)算機(jī)名、IP地址、病毒，最后查殺時(shí)間、已修復(fù)的終端數(shù)、未修復(fù)的終端數(shù)、已忽略終端數(shù)、補(bǔ)丁名稱、補(bǔ)丁描述、漏洞級(jí)別、發(fā)布日期、高危漏洞數(shù)等12個(gè)病毒及漏洞相關(guān)的參數(shù)信息，以及能下發(fā)病毒掃描策略，實(shí)現(xiàn)快速掃描、全盤掃描、強(qiáng)力查殺、文件查殺等功能，有效降低日常人工1天病毒查殺及漏洞修復(fù)的工作量。

（3）高效資產(chǎn)登記及外聯(lián)設(shè)備的管控

通過下發(fā)安全策略給Agent，能夠?qū)崿F(xiàn)對(duì)主機(jī)資產(chǎn)登記及對(duì)移動(dòng)存儲(chǔ)、外部設(shè)備的嚴(yán)格管控，包括IP地址、上報(bào)時(shí)間、設(shè)備類型、設(shè)備用途、使用部門、使用人、工號(hào)、手機(jī)、物理位置、座機(jī)、移動(dòng)存儲(chǔ)設(shè)備列表、移動(dòng)存儲(chǔ)授權(quán)、移動(dòng)存儲(chǔ)例外、外設(shè)統(tǒng)計(jì)等14個(gè)信息維度，有效降低日常人工0.5天的工作量。

（4）提升運(yùn)維人員效率

通過上述幾點(diǎn)的功能大大降低運(yùn)維人員和安全分析師的日常工作量。

5 結(jié)論

基于EDR與CARTA模型的動(dòng)態(tài)主機(jī)安全防護(hù)平臺(tái)的應(yīng)用，可以基于大數(shù)據(jù)威脅情報(bào)對(duì)終端威脅進(jìn)行快速檢檢索與定位，并及在第一時(shí)間給出自動(dòng)化響應(yīng)與修復(fù)能力，進(jìn)而確保終端的整體安全性。

[1]曾辛，袁華松，張人方，譚劍.利用態(tài)勢(shì)感知技術(shù)加強(qiáng)網(wǎng)絡(luò)信息安全平臺(tái)建設(shè)[J].廣播電視信息，2020（02）：59-63.

[2]李貴鵬，李思藝，徐冰清.智慧城市信息安全運(yùn)營(yíng)平臺(tái)研究[J].信息安全研究，2019，5（05）：420-429.

[3]石樂義，劉佳，劉祎豪，朱紅強(qiáng)，段鵬飛.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2019，55（24）：1-9.