◆江欣

安全模型、算法與編程

基于EDR與CARTA模型的動態(tài)主機安全防護平臺研究

◆江欣

（國網(wǎng)福建省電力有限公司三明供電公司 福建 365000）

近年來，一些低風(fēng)險、高回報勒索病毒的出現(xiàn)，威脅者計算機用戶的財產(chǎn)安全，如果主機遭受勒索病毒的攻擊，則必然會導(dǎo)致用戶電腦內(nèi)的重要文件被加密，需要用戶繳納足夠的贖金才能恢復(fù)正常，這種勒索病毒不僅嚴重阻礙了用戶正常工作，還會帶來較大的經(jīng)濟損失。基于此，文章對基于EDR與CARTA模型的動態(tài)主機安全防護平臺研究具有重要的實用意義。

EDR；CARTA；動態(tài)安全

進入21世紀(jì)以后，我國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)取得了長足的進步，對終端的定義也不再僅僅局限于電腦，還可能是各種類型的移動設(shè)備，比如平板、手機、智能手表等，為提升計算機安全防護性能，我國投入了大量的資金，構(gòu)建起了一條龐大的“防御工事”，IDS、防火墻、掃描器、審計系統(tǒng)、WAF、防毒墻等安全設(shè)備應(yīng)有盡有。雖說這些技術(shù)的應(yīng)用極大地提升了用戶的安全，但現(xiàn)如今網(wǎng)絡(luò)安全問題已然層出不窮，尤其是個人隱私數(shù)據(jù)泄露事件更是層出不窮，而這些網(wǎng)絡(luò)安全事件的發(fā)生多源于網(wǎng)絡(luò)惡意威脅。技術(shù)水平的發(fā)展不僅提升了網(wǎng)絡(luò)安全的防護能力，也促使了惡意威脅的手段從傳統(tǒng)盲目、粗暴形式逐漸轉(zhuǎn)變?yōu)榫珳?zhǔn)化、隱匿化的形式，惡意威脅會按照攻擊人的預(yù)設(shè)有條不紊地進行，通過一系列的偵測、漏洞利用、植入滲透等一步步地達到竊取目標(biāo)信息的目的，且會在極短的時間內(nèi)造成用戶巨大的損失，而對于用戶來說要想解決這個威脅則需要花費大量的時間。因此，傳統(tǒng)弓的防御體系顯然不足以面臨更加高級的威脅，這就需要我們通過各種新型技術(shù)手段與措施，提升終端防御能力。

1 項目背景介紹

新一代終端安全的核心是通過利用已經(jīng)掌握的手段來防止已知的威脅，并借助云系統(tǒng)來快速地發(fā)現(xiàn)并采取措施來避免威脅系統(tǒng)進一步侵入計算機。此外，還需要基于終端的背景數(shù)據(jù)、惡意軟件行為特征等，進行全面的檢測與響應(yīng)，并采取快速、自動化的補救措施，達到保護終端的目的，這也是我們常說的終端檢測與相應(yīng)機制，即終端EDR。它針對高級威脅具有一定的實時檢測與自動相應(yīng)能力，并能夠達到自動化的預(yù)防機制，保證主機在遭受到攻擊的第一時間內(nèi)做出最佳的響應(yīng)。它依靠大數(shù)據(jù)信息數(shù)據(jù)，對最新安全線索快速鎖定威脅終端，并評估實時數(shù)據(jù)與歷史終端信息，揭示內(nèi)網(wǎng)終端的安全缺陷，并基于自動化響應(yīng)機制完成威脅的預(yù)防與處理。如圖1所示為具體模型圖。具體模型包含持續(xù)監(jiān)測、主動檢測、自動響應(yīng)以及全面評估。

圖1 具體模型圖

2 研究目標(biāo)

（1）主機設(shè)備微邊界流量圖譜繪制技術(shù)研究

根據(jù)對內(nèi)部邊界即主機與主機之間的流量情況繪制可視化圖譜，識別虛擬機之間，虛擬機和物理機之間的互訪關(guān)系，能標(biāo)識應(yīng)用及端口，識別東西向流量。從而梳理業(yè)務(wù)訪問邏輯，構(gòu)建一張完整的業(yè)務(wù)流量拓撲圖，提供針對流量和策略更加便捷的鉆取與控制能力。

（2）業(yè)務(wù)應(yīng)用可信與彈性安全研究

通過消除網(wǎng)絡(luò)結(jié)構(gòu)（例如，vlan、子網(wǎng)、區(qū)域或IP地址）來改進策略創(chuàng)建過程，采用一種獨特的應(yīng)用及虛擬機定義方法，并建立一套可信的、可適應(yīng)的、接近用戶語言的策略模型，有效進行業(yè)務(wù)應(yīng)用策略的彈性管理。

（3）主機設(shè)備自適應(yīng)微隔離技術(shù)研究

根據(jù)數(shù)據(jù)中心內(nèi)部的變化而自動調(diào)整安全策略，結(jié)合微隔離技術(shù)，能夠?qū)崿F(xiàn)自適應(yīng)的訪問控制。實現(xiàn)環(huán)境隔離、域間隔離、端到端隔離，并能根據(jù)環(huán)境變化，自動實現(xiàn)策略調(diào)整。

（4）主機安全平臺架構(gòu)自適應(yīng)技術(shù)研究

能實現(xiàn)不依賴底層技術(shù)架構(gòu)來支持新的或現(xiàn)有的環(huán)境，可適用于私有云、公有云以及混合云環(huán)境，可部署在虛擬機、物理機、容器中。

3 關(guān)鍵技術(shù)內(nèi)容

（1）平臺架構(gòu)的搭建

基于Hadoop大數(shù)據(jù)架構(gòu)構(gòu)建的安全大數(shù)據(jù)平臺，能夠存儲和分析海量數(shù)據(jù)，包括需要存儲的數(shù)據(jù)有原始數(shù)據(jù)，處理后的數(shù)據(jù)以及分析結(jié)果。平臺對前端代理收集到的安全日志進行集中存儲、快速分析及挖掘，結(jié)合接入的威脅情報信息，進行行為關(guān)聯(lián)分析，準(zhǔn)確定位各種漏洞風(fēng)險及入侵威脅，并進行預(yù)警。

（2）平臺安全性考慮

（1）通訊機制

前端Agent在部署配置時只需開放一個端口即可正常工作，通過此端口進行與平臺和其他Agent之間的通訊。不同于其他類主機安全產(chǎn)品Agent，需要根據(jù)不同的配置文件開放多個端口才能正常工作通訊，這類主機安全產(chǎn)品避免了開放端口過多，個別產(chǎn)品通訊端口被占用，部分功能將失效帶來的產(chǎn)品使用風(fēng)險和安全風(fēng)險。Agent自身開放統(tǒng)一單個端口的設(shè)計極大地增強了Agent的穩(wěn)健性、安全性、易用性、管理性，為客戶長期有效使用主機安全產(chǎn)品帶來強有力的保障。

（2）監(jiān)控機制

平臺設(shè)計自身具備監(jiān)控機制，可進行自我狀態(tài)監(jiān)控，同時具備容錯機制。平臺則會對自身組件的進程和服務(wù)的CPU、內(nèi)存以及進程運行狀態(tài)進行監(jiān)測，相關(guān)負責(zé)人員可實時掌握系統(tǒng)運行情況。利用設(shè)置好的平臺監(jiān)控任務(wù)，定時監(jiān)測進程的運行狀況、CPU占用率等。如發(fā)現(xiàn)進程掛掉不在運行，可通過腳本去執(zhí)行啟動命令重新啟動；如發(fā)現(xiàn)CPU占用率過高超出既定限制會及時警告。通過實時監(jiān)控反饋的數(shù)據(jù)信息，如果發(fā)現(xiàn)部署的組件出現(xiàn)異常情況會通知到運維人員，在此基礎(chǔ)上運維人員可及時發(fā)現(xiàn)系統(tǒng)的風(fēng)險并進行處置，保障系統(tǒng)運行在長期穩(wěn)定的安全環(huán)境中。

4 重難點突破

（1）自動采集主機重要安全參數(shù)信息

通過客戶端Agent自動采集匯總主機重要安全參數(shù)信息，包括計算機名、IP地址、漏洞、病毒、病毒庫時間等5個終端安全最基本最重要信息，能夠有效降低日常人工半小時采集的工作量。

（2）便捷遠程病毒查殺及漏洞修復(fù)管理

通過客戶端Agent能夠自動采集匯總主機病毒查殺及漏洞修復(fù)管理的參數(shù)信息，包括計算機名、IP地址、病毒，最后查殺時間、已修復(fù)的終端數(shù)、未修復(fù)的終端數(shù)、已忽略終端數(shù)、補丁名稱、補丁描述、漏洞級別、發(fā)布日期、高危漏洞數(shù)等12個病毒及漏洞相關(guān)的參數(shù)信息，以及能下發(fā)病毒掃描策略，實現(xiàn)快速掃描、全盤掃描、強力查殺、文件查殺等功能，有效降低日常人工1天病毒查殺及漏洞修復(fù)的工作量。

（3）高效資產(chǎn)登記及外聯(lián)設(shè)備的管控

通過下發(fā)安全策略給Agent，能夠?qū)崿F(xiàn)對主機資產(chǎn)登記及對移動存儲、外部設(shè)備的嚴格管控，包括IP地址、上報時間、設(shè)備類型、設(shè)備用途、使用部門、使用人、工號、手機、物理位置、座機、移動存儲設(shè)備列表、移動存儲授權(quán)、移動存儲例外、外設(shè)統(tǒng)計等14個信息維度，有效降低日常人工0.5天的工作量。

（4）提升運維人員效率

通過上述幾點的功能大大降低運維人員和安全分析師的日常工作量。

5 結(jié)論

基于EDR與CARTA模型的動態(tài)主機安全防護平臺的應(yīng)用，可以基于大數(shù)據(jù)威脅情報對終端威脅進行快速檢檢索與定位，并及在第一時間給出自動化響應(yīng)與修復(fù)能力，進而確保終端的整體安全性。

[1]曾辛，袁華松，張人方，譚劍.利用態(tài)勢感知技術(shù)加強網(wǎng)絡(luò)信息安全平臺建設(shè)[J].廣播電視信息，2020（02）：59-63.

[2]李貴鵬，李思藝，徐冰清.智慧城市信息安全運營平臺研究[J].信息安全研究，2019，5（05）：420-429.

[3]石樂義，劉佳，劉祎豪，朱紅強，段鵬飛.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].計算機工程與應(yīng)用，2019，55（24）：1-9.