《2022网信自主创新调研报告》——终端安全方向解读与实践经验分享

时间:2023年04月25日    来源:安天


4月19日,由安天参编的《2022网信自主创新调研报告》正式发布。同时,安天自主研发的智甲终端防御系统荣获2023网信自主创新“尖锋榜”优秀产品奖。

在安天牵头编写的“终端安全”章节中,围绕“如何深化网信自主创新工作”主题,对国产化终端安全的发展现状、面临挑战和演进方向三个方面进行了论述。以下分别对三方面的重点内容和安天实战经验进行阐述。

国产化终端安全从合规驱动转向价值驱动

目前国产化操作系统从“可用”走向“好用”,国产化硬件从低性能走向中高性能,随着国产化终端的广泛应用,针对国产化终端的攻击作业方式、可利用攻击工具和恶意代码等均呈现快速、复杂的增长趋势。同时,面对当前加剧的威胁对抗态势,合规性产品仅解决了防护手段有无问题,安全防护能力能否有效应对高水平的威胁攻击,安全防护管理工作能否在企业内有效落地等问题都亟需解决,国产化终端安全防护已经逐渐从合规驱动转向价值驱动,安天认为这一转变应包括以下几方面:

1.以有效防御高强度威胁对抗为目标提升防御能力。全部覆盖系统监控点、全面评估和处置系统风险、建立纵深防御策略,以及对威胁的防御从应用层深入到内核层,通过威胁实战来打磨防御能力,以达成有效防御的目的。

2.以安全一体化(UES)视角建立防护能力。实现终端安全一体化并非将原有的多个安全产品功能集成到一款产品中,应该从统一数据采集、统一资产管理、统一事件归并、统一处置策略、统一管理集约等方面进行一体化设计,有效降低终端性能消耗,解决产品兼容性问题,提高事件响应速度,简化终端安全运维管控操作。

3.以可落地、可应用为基准研制防护能力。在能力设计和研制方面,需充分考虑国产化终端场景的算力、权限等因素,实现产品防护能力在系统环境能够有效发挥安全价值。

国产终端安全面临效能方面的挑战

终端安全防护产品对终端算力有强依赖需求,在算力受限和保障业务稳定运行情况下,实现高水平终端防护能力是每一个安全厂商面临的挑战。安天主要从优化数据采集、威胁检测与分析方式来降低终端算力占用,具体技术手段包括:

1. 采用“数算分离”方式降低终端性能消耗。安天智甲采用“云+端”架构,在终端实现数据采集,在云端实现检测和分析,该架构可有效降低终端在威胁检测与分析方面的性能消耗,通过将非密数据持久化在云端提高响应和查询效率。

2. 采用“动态环境引擎”适配差异化终端场景。梳理各终端业务场景,安天智甲为不同终端场景配套相应防护策略模板,动态环境引擎可自动识别业务场景和匹配防护策略模板,以达到安全防护与性能占用平衡,支持管理员自定义防护策略模板。

多维度提高国产化终端安全防护能力

当前我国国产化已具备比较完善的基础,国产化终端安全防护将面临更复杂的应用领域和应用场景,因此如何快速提升产品能力以满足更高的安全防护需求是安全厂商未来的发展方向,该报告对于如何构建国产化终端安全防护能力从四个维度提供了指导意见,具体如下:

1. 构建一体化终端安全防护能力

随着终端类型多样化和网络环境复杂化,如何高效进行终端安全防护、降低运维压力是关键。通过搭建一体化平台,实现对多类型、多系统终端进行集中化管理,采用主、被动的探测方式,及时发现未管控资产及违规接入资产,提供按需、动态的安全防护策略模版,来覆盖不同终端的安全防护需求。

2. 发展内核级防护能力

内核是操作系统的核心,内核的完整性保护对维护操作系统至关重要,因此加强内核级防护是终端安全建设的重点。可通过对驱动进行防护来发现恶意软件的加载行为,通过对内核进程的遍历来发现终端隐藏进程和恶意进程,通过对内核中的文件操作对象进行分析来排查终端的隐藏端口,从而实现系统内核的实时监控与防护。

3. 构建终端安全的底层防线

传统Win+Intel架构下的终端产品无法从系统底层建立可信,导致威胁行为存在发现不及时、处置无权限等情况,随着国产化操作系统的日渐成熟,基于操作系统核心来构建安全机制,已具备可行性。通过建立操作系统底层的安全认证机制,可有效控制系统级的访问权限,通过对终端应用行为进行有效验证,从源头对威胁行为进行阻断。

4.基于可信计算保障哑终端安全

由于哑终端本身操作系统版本低、维护频率低等特点,哑终端是进行实行威胁攻击的突破口之一,因此如何在无代理的情况下对哑终端进行有效的安全防护是关键。哑终端的安全防护主要是基于识别技术对入网终端进行身份验证,有效阻止非授权终端的入网行为;基于对终端流量行为特征的识别来检测终端异常,配合网络防火墙功能,及时发现并阻断仿冒终端的相关动作;针对不同的设备类型及应用场景建立最小化的网络访问策略,避免终端发生越权访问行为。

总结

通过研读该报告,让我们了解国产化终端安全未来的方向:一是深化自主创新产品的核心驱动力,为用户提供有效安全价值;二是加强研发核心技术,提高产品防护能力及性能,提升防护效力、降低对业务的干扰。目前,网信产业多条技术路线并存,如何尽快提高性能、稳定性和可靠性,满足应用需求是产业界需要关注的重点,实现这一目标必须构建更加完善的产业生态。

安天多年来一直在信创领域深耕和投入,并研制了多款面向信创行业的安全防护产品,其中安天智甲终端防御系统秉承“一体化管控+执行体治理”理念,服务于党政、金融、能源、交通和电信等各行业客户。产品经多年信创环境部署运维经验,具备对全网集中管理、集中数据汇聚、集中运营的特点,形成了包含终端基础防护、合规管控、运维加固、数据防护、威胁响应等能力,围绕“执行体”建立识别、塑造、检测、防御和响应的流程闭环,达成终端持续运营闭环,帮助用户提升终端安全治理能力。

图1 智甲管理中心界面

图2 智甲Windows客户端界面