建設思路

綜上所述，XX已在信息系統內部建立防火墻、上網行為管理、安全感知的系統，但在對于勒索病毒的檢測和響應方面，仍存在諸多不足。本方案將設計通過終端檢測與響應系統（以下簡稱“EDR”）進行XX勒索病毒防護項目建設，EDR是公司提供的一套綜合性終端安全解決方案，方案由輕量級的端點安全軟件和管理平臺軟件共同組成。EDR以具有自主知識產權的創新型SAVE人工智能引擎為核心，通過預防、防御、檢測、響應賦予終端更為精準、持續的檢測、快速處置能力，應對高級威脅同時實施聯動協同、威脅情報共享、智能響應機制，可以實現威脅快速檢測、有效處置終端一系列安全問題，構建全新智能化的下一代終端安全系統，為XX提供行之有效的應對勒索病毒的整體安全防御體系。

 終端主動防御

通過安全基線檢查及修復，防爆破檢測和防御，微隔離技術降低威脅侵入風險，降低威脅影響面，通過勒索誘捕方案針對性查殺勒索病毒，主動防御，全面防護。

 基于AI的智能檢測

傳統的基于規則庫、黑白名單、簽名、特征的技術，無法發現最新生成的隨機域名，而機器學習則可以有效的進行檢測。通過人工智能SAVE引擎的無特征鑒別技術，對勒索病毒及未知威脅進行實時檢測，配合威脅情報，精確識別未知威脅。

 持續監控終端行為

在終端對所有文件行為及進程，外聯域名，URL，IP等關鍵信息進行監控，保障非法行為及時發現與制止，尤其是勒索病毒加密動作的制止.

 全網威脅情報

威脅情報平臺每天實時分析來自互聯網和安全產品的海量數據，通過威脅情報平臺中集成的關聯分析與智能算法，能在第一時間發現潛在威脅，并向EDR推送防御能力。

 建設范圍與規模

本項目將為XX信息系統構建全網終端安全勒索病毒防護體系，建設EDR系統，保證內部終端安全、可控、可審計。

本次項目建設的范圍包含XX全單位、涉及服務器**點、終端**點。

 方案設計

 總體架構

綜上，結合現狀以及方案建設思路，本次項目設計采用EDR系統進行建設，系統主要由基礎平臺、核心引擎、系統功能三部分組成：

? 基礎平臺：

由主機代理、惡意文件查殺引擎、WEB控制臺三部分組成，該平臺提供EDR系統良好運行的基礎支撐，提供終端安全防護功能的基本運行環境，負責功能指令以及消息的接收、發送、執行；

? 核心引擎：

由人工智能SAVE引擎、云端威脅情報、第三方引擎所組成，用以實現病毒有效檢測以及快速響應功能。

? 系統功能：

系統功能展現則由預防、防御、檢測、響應四部分組成，通過上述四部分功能對終端賦予加固措施，有效抵御勒索病毒的威脅，實現安全有效的終端防護效果。

 統一管理平臺適配全類型資產

適配全類型資產

? 桌面云，傳統PC，筆記本，私有云，服務器，私有云，公有云全適配

? 終端系統兼容性廣闊

? 與底層虛擬化解耦，適配全部虛擬化底層平臺

 基于多維度的智能檢測技術

 檢測引擎

終端上的安全檢測是核心的技術，傳統的病毒檢測技術使用特征匹配，而特征匹配沒有泛化能力或泛化能比較弱，當病毒經過簡單的變種，就必須新增加特征規則，因此，隨著病毒數量越來越大，病毒特征庫也就跟著越來越大，同時運行所占資源也就越來越多。而基于AI技術的查殺引擎，利用深度學習的技術，通過對海量樣本數據的學習，提煉出來的高維特征，具備有很強的泛化能力，從而可以應對更多的未知威脅。而這些高維特征數量極少，并且不會隨著病毒數同步增長，因此，AI技術具有更好檢出效果、更低資源消耗的優點。

當然，僅靠一個AI殺毒引擎是不夠的，的 EDR 產品構建了一個多維度、輕量級的漏斗型檢測框架，包含文件信譽檢測引擎、基因特征檢測引擎、AI 技術的 SAVE 引擎、行為引擎、云查引擎等。通過層層過濾，檢測更準確、更高效，資源占用消耗更低。

 文件信譽檢測引擎

基于傳統的文件hash值建立的輕量級信譽檢測引擎，主要用于加快檢測速度并有更好的檢出效果，主要有兩種機制：

1.本地緩存信譽檢測：對終端主機本地已經檢測出來的已知文件檢測結果緩存處理，加快二次掃描，優先檢測未知文件。

2.全網信譽檢測：在管理平臺上構建企業全網的文件信譽庫，對單臺終端上的文件檢測結果匯總到平臺，做到一臺發現威脅，全網威脅感知的效果。并且在企業網絡中的檢測重點落到對未知文件的分析上，減少對已知文件重復檢測的資源開消。

 基因特征檢測引擎

EDR的安全運營團隊，根據安全云腦和EDR產品的數據運營，對熱點事件的病毒家族進行基因特征的提取，洞見威脅本質，使之能應對檢測出病毒家族的新變種。相比一般的靜態特征，基因特征提取更豐富的特征，家族識別更精準。

 AI技術SAVE引擎

SAVE（Sangfor AI-based Vanguard Engine）是由創新研究院的博士團隊聯合 EDR 產品的安全專家，以及安全云腦的大數據運營專家，共同打造的人工智能惡意文件檢測引擎。該引擎利用深度學習技術對數億維的原始特征進行分析和綜合，結合安全專家的領域知識，最終挑選了數千維最有效的高維特征進行惡意文件的鑒定。

l 基于人工智能技術，擁有強大的泛化能力，能夠識別未知病毒或者已知病毒的新變種；

l 對勒索病毒檢測效果達到業界領先，包括影響廣泛的 WannaCry、BadRabbit等病毒。2018 年 10 月新發現的 GandCrab5.0.3、Rapid、GandCrab5.0.4、KrakenCryptor2.0.7 勒索病毒，使用 9 月已經合入產品并發布的 SAVE1.0.0可以全部檢出和查殺。對非勒索病毒也有較好的檢出效果；

l 云+邊界設備+端聯動，依托于安全云腦海量的安全數據，SAVE 能夠持續進化，不斷更新模型并提升檢測能力，從而形成傳統引擎、人工智能檢測引擎和云端檢測引擎的完美結合，構成了的安全云腦+安全網關AF/SIP/AC+終端安全 EDR 的整體解決方案。

 行為引擎

傳統靜態引擎，是基于靜態文件的檢測方式，對于加密和混淆等代碼級惡意對抗，輕易就被繞過。而基于行為的檢測技術，實際上是讓可執行程序運行起來，“虛擬沙盒”捕獲行為鏈數據，通過對行為鏈的分析而檢測出威脅。因此，不管使用哪種加密或混淆方法，都無法繞過檢測。最后，執行的行為被限制在“虛擬沙盒”中，檢測完畢即被無痕清除，不會真正影響到系統環境。

行為引擎在分層漏斗檢測系統結構中，與云查引擎處于最低層，僅有少量的文件到達該層進行鑒定，因此，總體資源消耗較少。

云查引擎

針對最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術，進行云端查詢。云端的安全云腦中心，使用大數據分析平臺，基于多維威脅情報、云端沙箱技術、多引擎擴展的檢測技術等，秒級響應未知文件的檢測結果。

病毒誘捕

裝載在終端系統上的EDR客戶端，在系統關鍵目錄及隨機目錄放置誘餌文件，當病毒調用加密進程對終端文件加密，當加密到誘餌文件時，誘餌文件將加密進程反饋至EDR客戶端，EDR客戶端立即殺掉加密進程阻止加密，并根據調用進程的病毒源文件進行查殺，有效阻止勒索病毒對關鍵目錄文件的進一步的加密和擴散。

終端安全基線核查

 安全合規審查

終端的安全合規性是重中之重，信息系統中終端一旦不合規將產生不可預知的安全風險，正因如此，無論是國家法律法規，還是組織內部的規章指引，對于主機方面都具有明確的安全要求，本方案將通過全面部署應用終端檢測與響應系統，對內部終端進行安全合規審查，依據等級保護的主機安全要求進行設計，對身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等策略進行合規性審查，滿足企業建設等級保護系統的主機安全要求。

全網終端圍剿式查殺

當某一臺終端發現病毒文件，基于文件信譽引擎立即將此病毒文件的md5特征值進行全網通報，做到一臺發現，全網感知，在全網進行圍剿式查殺。

應用創新微隔離技術的動態防護體系

創新微隔離技術

EDR微隔離方案提出了一種基于安全域應用角色之間的流量訪問控制解決方法，系統可實現基于主機應用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應用服務之間訪問進行隔離控制。優先對所有的服務器進行業務安全域的邏輯劃域隔離，并對業務區域內的服務器提供的服務進行應用角色劃分，對不同應用角色之間服務訪問進行控制配置，減少了非法人員對物理、虛擬服務器攻擊機會，集中統一管理服務器的訪問控制策略。并且基于安裝輕量級主機Agent軟件的微隔離訪問控制，不受虛擬化平臺、物理機器和虛擬機器影響。另一方面，微隔離功能的應用，可在發生病毒感染情況下，將威脅放置在可控范圍內，從而有效提升安全防護水平。

終端間訪問關系控制

在東西向訪問關系控制上，優先對所有的服務器進行業務安全域的邏輯劃域隔離，并對業務區域內的服務器提供的服務進行應用角色劃分，對不同應用角色之間服務訪問進行訪問控制配置，減少了對物理、虛擬的服務器被攻擊的機會，集中統一管理服務器的訪問控制策略。并且基于安裝輕量級主機 Agent 軟件的訪問控制，不受虛擬化平臺的影響，不受物理機器和虛擬機器的影響。

通過全面部署應用終端檢測與響應系統，可全面解決信息系統內部網絡互訪不可控問題，規范化主機、業務等網內不同對象的網絡訪問行為。

利用應用角色之間的主機流量訪問控制的技術，提供對業務安全域之間、業務安全域內不同應用角色之間、業務安全域內相同應用角色之間的訪問控制策略配置，提供簡單可視化的安全訪問策略配置，提高安全管理效率。

表4-1 微隔離角色訪問控制

例如門戶網站業務域的WEB應用角色服務器組提供Apache應用服務，策略動作允許門戶網站業務域內所有主機的訪問，而DB應用角色服務器組提供的MySQL應用服務，策略動作只允許門戶網站業務域內的WEB應用角色服務器組的訪問。

門戶網站業務域內WEB應用角色之間的主機，由于沒有訪問需求，配置為隔離拒絕策略。