1、软件定义防御 智能驱动安全01 新的安全新挑战和变化02(云)服务器EDR系统设计理念03(云)服务器EDR系统在攻防对抗中的实际应用04(云)服务器EDR系统应用场景目录基于智能驱动的新一代云安全公司l CSA云安全联盟会员单位l 中国云服务联盟理事单位l 国内最大的(云)服务器云安全管理平台：保护超过450万台(云)服务器与250万个网站日均拦截超过2亿次攻击l 华为云、金山云、京东云、紫光云内置安全产品安全狗简介国家网络与信息安全通报中心技术支持单位国家应急响应中心技术支撑单位国家信息安全漏洞库技术支撑单位国家信息安全漏洞共享平台成员单位信息安全等级保护安全建设服务机构能力评估合格证书网

2、络安全服务资质 国家级技术支撑单位荣誉厦门金砖峰会网络安保数字中国建设峰会网络安保上海进博会网络安保国家级重要会议活动网络安保云安全平台云上应用安全云上安全大数据云垒-私有云安全平台云眼-新一代(云)主机安全云御-云WEB应用防火墙云固-云WEB应用防篡改云甲-容器安全系统云隙-微隔离系统啸天-安全大数据及态势感知观鸿-威胁情报平台云磐-云安全SAAS服务平台公司围绕打造纵深防御的云安全体系思路设计了一系列云安全产品：云图-流量威胁分析系统NTA海青-网站安全云监测系统云幻-欺骗防御系统安全狗云安全新产品体系云工作负载安全产品矩阵云工作负载安全产品矩阵新的安全挑战与变化01安全的无奈现状无奈现

3、状理想目标流量威胁检测RASP主机EDR微隔离欺骗防御流量威胁检测流量威胁检测态势感知老三样反垃圾安全网关防火墙虚拟化安全SIEM/SOC现有增强从攻防演练活动看防护体系增强-从边界防护上升到内部防护初始入侵内部目标侦测内部支撑点转移收集信息数据外泄支撑点（失陷主机）支撑点（失陷主机）通用/特定C&C外到内内到内内到外失陷阶段（POST BREACH）安全新挑战和变化(云)主机安全是安全的最后一道防线！入侵检测VS防护安全组织的投应该从之前的90%防护和10%检测和响应过渡到60%的防护和40%的检测和响应。Gartner终端是真像之源，防御永远不能帮助你了解自己，检测可以。安全狗勒索蠕虫&挖

4、矿程序1、勒索软件的质量和数量不断攀升，将成为网络攻击的一种新常态。检测难、变种快、传播快，脆弱的内网2、比特币技术、加密技术、武器化漏洞结合3、免杀和自我传播能力将越来越强，静默期会不断延长资源消耗与稳定性1、敏态业务：需要考虑资源控制、熔断机制、打卡机制；2、稳态业务:考虑兼容性，轻代理、核心代码质量；3、从经典的基于签名的防病毒软件到通过大数据技术生成很多扩展功能的更为成熟的EDR解决方案,包括深度安全监控、威胁检测和事件响应等功能。提高管理效率1.需要全套主机安全服务满足新需求2.提升终端用户、IT及安全团队操作效率。3.易于部署、配置、操作、分析和使用。4.满足企业云化新的安全管理需

5、求(云)主机安全安全狗全网(云)主机上监测到的攻击数据分析IP扫描端口扫描操作系统扫描系统应用扫描SSH暴力破解Windows远程登录暴力破解MSSQL暴力破解MySQL暴力破解FTP暴力破解Tomcat管理后台暴力破解Web应用漏洞扫描Web组件扫描其他探测阶段Redis未授权漏洞利用Memcached未授权访问漏洞利用Elasticsearch未授权访问漏洞利用Elasticsearch命令执行漏洞利用MongodbHadoop未授权漏洞利用Jekins未授权漏洞Weblogic反序列化漏洞Jboss远程代码执行漏洞Strust2远程执行命令漏洞ImageMagic远程OpenSSL漏洞利

6、用CMS应用漏洞系统命令执行漏洞系统溢出漏洞VNC认证口令绕过漏洞利用其他攻击入侵阶段安全狗全网(云)主机上监测到的攻击数据分析篡改系统账号添加影子帐号bash反弹shellnc反弹shell利用PowerShell反弹TCP Shell利用PowerShell反弹UDP Shell利用PowerShell反弹HTTP Shell利用PowerShell反弹DNS ShellPowerShell绑定后门端口植入Webshell后门利用Windows系统漏洞提权利用Mimikatz获取系统密码第三方应用提权（如VNC、radmin）植入病毒清除日志篡改系统命令服务替换后门组策略漏洞利用（GPP）

7、域攻击arp欺骗中间人攻击WPAD中间人攻击SQL Server2005提权SQL Server2008提权其他入侵后阶段(云)服务器安全演进路线主机安全高危漏洞(0day、1day、Nday)武器化APT定向攻击勒索和挖矿（变种、难于检测发现）黑客攻击流量加密、网络层和边界的防护失效虚拟化云计算技术的大量应用,新形势下衍生出的安全运营需求升级所有权和控制权的变化，形成管理机制的变化，引出安全责任共担机制，运维流程的变化安全运营由外到内，纵深防御VS纵深检测传 统?防病毒补丁加固策略威胁挑战(云)服务器EDR系统设计理念02EDR模型与自适应安全体系融合Gartner预计到2021年，80%的

8、大型企业、20%的中型企业和10%的小企业将部署EDR能力EDR解决方案应具备四大基本功能：安全事件检测、安全事件调查、遏制安全事件，以及将端点修复至感染前的状态，正好对应Gartner自适应安全架构的检测和响应两个阶段EDR工具通常记录大量终端与网络事件，并将这些数据存储在终端本地或者集云端数据库中，然后对这些数据进行IOC比对，行为分析和机器学习，用以持续对这些数据进行分析，识别威胁，并快速进行响应基于自适应架构的持续响应理念，将EDR跟SOC/SIEM结合起来，对于大型企业和组织是一个值得考虑的选项。z持续监测分析持续监测和自适应调整执行监控调整检测响应预测防御检测风险确认风险等级处理事

9、故修复、调整设计/模式 变更调查取证主动曝光分析探索攻击安全运营基线隔离、加固转移攻击者预防风险借鉴Gartner提出的CWPP设计思路lRun in physical machines，virtual machines&containers.（支持物理主机、云主机、容器环境）lRun in one or more public cloud infrastructure(Hybrid Cloud)（支持一个或多个公有云等混合云架构）lA single management console and a single way to express security policy （一个云安全管理中

10、心以及统一的安全策略管理）配置和漏洞利用，通过资产采集，关联到具体配置进行排查、缺陷管理等；网络分割和流量可视化，即微隔离功能；完整性监控和管理，即文件、账号、进程等，进程需监控行为和变化；应用程序控制/白名单，基于统计的进程白名单、基于情报的进程黑名单、基于学习的进程白名单(云)主机安全演进路线主机安全高危漏洞(0day、1day、Nday)武器化APT定向攻击勒索和挖矿（变种、难于检测发现）黑客攻击流量加密、网络层和边界的防护失效虚拟化云计算技术的大量应用,新形势下衍生出的安全运营需求升级所有权和控制权的变化，形成管理机制的变化，引出安全责任共担机制，运维流程的变化安全运营由外到内，纵深防

11、御VS纵深检测传 统下一代解决方案防病毒补丁策略监控威胁挑战行为采集反弹shellWebShell检测自动响应威胁情报合规基线APT检测资产采集安全防护(云)服务器EDR系统在攻防对抗中的实战应用03整体能力闭环加固防护采集响应监测资产采集内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息安全监控登录监控 完整性监控 进程行为监控系统资源监控 性能监控 操作审计入侵威胁检测整体威胁分析病毒检测与查杀反弹shell识别处理异常账号识别处理端口扫描检测日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理漏洞风险检测系统漏洞补丁识别、管理及

12、修复系统漏洞发现、识别、管理及修复弱口令漏洞识别及修复建议高危账号识别及管理应用配置缺陷风险识别及管理威胁情报独有威胁情报支持外部威胁情报主机文件Hash比对、DNS检测响应处置安全事件调查取证和响应病毒隔离、恢复.等保基线 自定义基线基线加固及防护金融行业基线 安全防护系统的采集能力 资产管理从安全运维角度出发，做好资产聚合、元数据收集、变更分析，打通安全运维与业务运营流程，构建全面、完善的安全CMDB，提高繁杂重复的资产管理工作效率，降低配置信息维护更新不及时，全凭运维人员的责任心和容易产生的管理措施失效风险。变更分析发现异常持续更新安全指标监测资产发现云主机网站开放端口WEB容器数据库第

13、三方组件资产清点摸清底数统计决策排除盲区系统的采集能力 安全资产管理系统的采集能力 安全体检（安全数据采集）主要针对目标主机的各项风险配置进行筛查、可发现如影子账号、rootkit木马、日志删除、webshell、二进制病毒、配置缺陷、弱口令等高危风险。系统的采集能力 安全监控（安全数据采集）操作监控操作监控主动监控、完整性监测、操作行为审计登录监控登录监控资源使用监控资源使用监控完整性监控完整性监控进程监控进程监控性能监控性能监控云眼系统的采集能力 安全监控系统的监测能力 漏洞风险l系统漏洞补丁识别与修复l 系统帐号风险识别与修复lWEB容器漏洞识别与修复l第三方组件漏洞识别与修复lCMS漏

14、洞识别与修复l 应用配置风险识别与修复中间件配置风险数据库权限配置常见主机软件配置风险类型类型说明说明备注备注系统漏洞系统漏洞漏洞支持Windows、Linux；Linux包括rootkit漏洞、Linux核心库漏洞、Linux CVE漏洞等；支持自动扫描云主机操作系统的系统漏洞，并提供补丁下载；支持安全建议、漏洞介绍、影响版本、CVE、漏洞描述及修复；Linux提供修复命令和修复建议弱口令弱口令支持ssh、RDP、MySQL、FTP、Redis、MongoDB、Memcached、ElasticSearch、PostgreSQL、Samba、VSFTP、ProFTP的弱口令检测 高危账号高危

15、账号可对系统中的影子账号、空密码账号、可疑高权限帐号、是否限制su成root帐号检测和告警，支持sudo账号的检测WEB容器容器支持nginx、apache、weblogic、tomcat、Jboss配置风险监测 组件漏洞组件漏洞MySQL、Redis、Dubbo、ElasticSearch、Kafka、Memcached、Nginx、PHP、Hadoop、Jboss、Struts2、PostgresSQL、Jenkins、Weblogic、zabbix、fastJSON、git、svn、IIS、jetty CMS漏洞漏洞支持Wordpress、Discuz、phpmyadmin、DedeCM

16、S漏洞检测及修复 EDR检测的关键点看清全貌，识别入侵，追溯源头初始入侵内部目标侦测内部支撑点转移收集信息数据外泄支撑点（失陷主机）支撑点（失陷主机）通用/特定C&C外部侵入内部渗透信息窃取失陷阶段（POST BREACH）系统的监测能力 入侵威胁一个“从外到内，从内到内，从内到外”完整的入侵案例从一个攻击场景看EDR能力云眼EDR检测的结果云眼EDR检测的结果云眼EDR检测的结果云眼EDR检测的结果云眼EDR检测的结果系统的监测能力 威胁猎捕 目前支持包括样本hash、黑IP、C2域名的威胁捕获 后续支持多源情报导入，包括内部情报、外部情报、入站情报、出站情报等不同运营角度的情报数据，系统的

17、加固防护能力 安全防护灵活多样、最小颗粒度的安全策略，支持单独下发、分组下发。系统的加固防护能力 合规基线 提供等级保护二级、三级、运营商、金融等不同行业、不同主机系统的安全基线标准，用户可将此配置标准批量下发至主机，由主机上的安全狗agent进行安全基线项扫描并修复；支持用户进行安全基线标准配置，并把配置后的基线标准批量下发；支持云端展示每台主机基线扫描结果展示；Windows账号管理、认证授权口令授权日志配置操作IP协议安全配置操作远程管理策略共享文件夹及访问权限策略不活动挂起策略等linux用户口令设置UID为0用户策略su成root限制用户超时策略bash shell设置认证网络与服务

18、加固文件系统安全检查等(云)服务器EDR系统应用场景04一、互联网侧场景 网站群、业务系统、部分办公网应对措施基于EDR和MDR技术的应急响应主机层，基于RASP，对未知威胁防护和检测（RASP还可用于上线前漏洞评估，在准生产环境和测试环境提前进行漏洞验证）背景与需求为了满足互联网化业务的敏捷性、弹性扩展等要求，建立了微服务、容器化的安全架构，导致最小工作负载的数量急剧增加，有集中管理的需求；新业务采用多种多样的业务应用、第三方组件等存在高危漏洞的；互联网化的业务分布于公有云、私有云及混合云等，存在跨平台、跨安全域、跨地区的特点，需要。二、传统数据中心生产环境场景应对措施：清点（云）主机资产，

19、发现异常变更 检测系统漏洞，修复漏洞 检测系统及应用配置缺陷及风险，及时处置，减小被攻击面 检测二进制病毒木马和网页后门 监测主机的登录状态、进程行为、文件及账号完整性等 轻量化、极低的CPU使用率和稳定性背景与需求：传统的数据中心，注重防护且防护的纵深从边界延续到数据中心内部，边界重防护、内部重区域隔离，花费大量精力，仍不能很好的发现安全事件，对安全的“可见、可知”上缺乏手段，并对渗透到内部的高级入侵和新型威胁，无能为力资产梳理和漏洞管理l系统漏洞补丁识别与修复l 系统帐号风险识别与修复lWEB容器漏洞识别与修复l第三方组件漏洞识别与修复lCMS漏洞识别与修复l 应用配置风险识别与修复中间件

20、配置风险数据库权限配置常见主机软件配置风险工单流程对接信息汇总补齐主机数据其他数据安全CMDB共同运营共同维护Step 1资产管理Step 2资产清点Step3 变更分析安全体检信息上报风险校验合规校验定时采集分析告警事前事中事后全流程检测防护在事前、事中、事后三个阶段，从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题，通过主机EDR能力的增强，反哺SIEM或SOC平台，最终达到全网自动响应 已知威胁的能力 以及对 未知定向攻击的检测告警能力。反杀伤链漏洞补丁自动响应入侵处置事中持续攻击1、洛克希德-马丁公司的“杀伤 链”模型将一次成功的网络 入侵攻击行为分为了七个阶段；2、通过理解和

21、分析模型，构建反 杀伤链模型。事前高危响应1、从安全运营角度对资产进行清 点和发现，实现检测异常、风 险评估及关联分析；2、以符合业务运营的视角建立漏 洞补丁仓库，掌握全网，共同 维护漏洞信息的完整性和准确性。事后已被入侵1、梳理入侵分析、应急响应处 置环节思路，假设已经被攻 陷，并获取了系统和设备权 限，控制了内网多个主要目标；2、被黑处理及追踪溯源弹性安全1、从发现、识别转向快速响应，最终形成闭环；2、增强应急响应与安全联动2134入侵检测响应工程化、自动化1234561、查看异常进程、高消耗进程2、查找计算机对应启动文件的md5，离线传到威胁情报平台；3、查看隐藏进程，对隐藏进程进行分析

22、；4、查看是否有反弹shell进程排查apache、nginx、tomcat、ssh、容器后门等配置异常分析1、使用rkhunter查杀基于rootkit的木马；2、使用chkrootkit查杀基于rootkit的木马rootkit查杀检测/tmp、/var/tmp、/dev/shm，所有用户都可读可写可执行敏感目录、风险文件排查1、在web目录进webshell排查；2、对当前web源码进行白盒和黑盒测试web服务排查查看连接成功的进程网络连接排查1、查看主机上有多少用户，哪些有root权限（passwd、shadow文件检查）；2、查看shdo用户；3、查看系统定时任务，辨识危险任务账户排

23、查789检测开机自启文件开机自启检测1、检测history日志；2、检测ssh登录日志日志分析僵木蠕检测、提权监测、基线加固、安全合规系统关键目录、注册表、用户自定义文件主动保护、锁定（防篡改）以及监控 linux裸奔：支持服务器二进制病毒查杀大量新业务快速上线WebShell后门查杀以及主动拦截病毒查杀系统账号保护及锁定防黑防提权系统漏洞补丁、应用程序风险配置优化、系统风险账号发现及删除、系统弱口令发现、数据库弱口令、进程权限优化、目录权限优化系统安全加固及优化支持IP白名单、计算机名白名单等多种登录保护机制远程登录保护监控进程的网络行为、API调用行为、文件行为等，及时发现可疑进程进程行为监控系统主动防御三、大型云场景：CWPP+云资源池THANKS厦门服云信息科技有限公司