【攻防演练专题】终端/云主机安全防护

本期内容为【攻防演练专题】系列的第三期，将分享在攻防演练场景中如何有效实现终端/云主机安全防护及联动处置。

承载各类业务的服务器和主机一直是网络威胁攻击（包括各类攻防演练）的跳板和最终目标。在攻防演练活动期间，当攻击者突破外层防护后，往往就比较容易实现横向移动、跨域攻击，所以终端就成为了防护最后的堡垒。

01、终端侧防御

智甲终端防御系统（以下简称：智甲）在企业网络信息系统环境中可提供全周期、实时的主机资产监控与加固、异常事件分析、威胁处置、运行管控等多种能力。

在攻防演练准备期，智甲可作为资产风险检测系统，通过对资产的脆弱性、暴露面的检测，发现资产存在的安全风险，并提供处置方案，提高资产威胁防护能力；

在攻防演练活动间，智甲可提供环境锁定功能，通过白名单管控、访问管控等严格管控手段，拦截各类网络攻击，支撑快速响应与处置任务，充分保障主机内系统与数据的安全。

丰富的应用场景适配可满足用户在演练与日常安全防护中端点侧多样化威胁防护的需求。管理中心可实现对各种端点类资产进行统一安全管理，集中监测分析端点安全事件、制定和下发相关处置任务策略，降低安全运营工作量，提高工作效率。

图1 智甲可适配丰富的应用场景

七项产品价值满足演练场景需求

1. 支持为多平台、多场景提供安全防护能力，可应对演练期间防守方不同场景需求，并实现统一化管理；

2. 演练前全面清理企业内网僵木蠕毒以及黑客工具等隐患，降低在演练过程中被打穿风险，有效避免防守人员在演练期间误判告警事件；

3. 演练期间实时防护终端，根据防护策略自动处置、清除/隔离恶意文件，或阻断程序/终端联网行为等；

4. 协助防守方安全人员对攻击进行快速排查、定位、全网追溯，评估影响范围，威胁文件一键全网清除；

5. 联动其他安全设备，如与追影威胁分析系统和探海威胁检测系统联动，对发现的各类威胁协同处置，快速响应；

6. 演练期间可作为终端代理，为统一安全运营中心提供各类终端日志和告警信息，为攻击的关联分析、追踪溯源提供完善数据；

7. 良好的运维管理能力与集成能力，威胁查杀、进程防护、漏洞检测、虚拟补丁、终端管理、网络防护一体化，一机部署解决多种问题。

02、云主机侧防御

智甲云主机安全系统（以下简称：智甲云主机）是自主研发的面向多云、混合云的云主机安全系列产品，用于帮助用户建设以资产安全为核心、风险防范为重点、安全事件为驱动的统一云安全运营管理体系。

智甲云主机能够有效提升主机和容器的安全预警、检测、防护、响应能力，使用全生命周期管理机制进行持续跟踪，赋予安全数据以空间、时间、状态属性，与实际网络环境关联整合，对安全数据进行全面分析，通过安全数据详细分析与过滤，快速识别高风险、有价值安全问题，为安全决策提供依据。

图2 智甲云主机部署示意

产品攻防演练价值

• 智甲云主机安全系统可以提供资产清点、风险发现、威胁检测、容器安全、微隔离、合规基线检查、威胁情报、威胁猎杀能力。产品各项功能数据互通，相互联动，能够为用户提供一站式云安全防护，全面提升云安全建设水平。
• 提供混合数据中心架构下统一的安全管理能力，适应用户多云、混合云等各类复杂IT环境，并可根据实际情况将产品功能、配套服务按需灵活搭配，能够让用户对所有云端资产、合规状况一目了然，同时可以协助用户对云主机进行实时监控，了解其安全状态。
• 一站式获取资产清点、风险发现、威胁检测、微隔离和容器安全等安全能力，精准检测外部威胁、内部风险，防护云中资产安全。

原文来源：安天集团