基于EDR與CARTA模型的動態主機安全防護平臺研究

◆江欣

安全模型、算法與編程

基于EDR與CARTA模型的動態主機安全防護平臺研究

◆江欣

（國網福建省電力有限公司三明供電公司 福建 365000）

近年來，一些低風險、高回報勒索病毒的出現，威脅者計算機用戶的財產安全，如果主機遭受勒索病毒的攻擊，則必然會導致用戶電腦內的重要文件被加密，需要用戶繳納足夠的贖金才能恢復正常，這種勒索病毒不僅嚴重阻礙了用戶正常工作，還會帶來較大的經濟損失。基于此，文章對基于EDR與CARTA模型的動態主機安全防護平臺研究具有重要的實用意義。

EDR；CARTA；動態安全

進入21世紀以后，我國網絡安全基礎設施建設取得了長足的進步，對終端的定義也不再僅僅局限于電腦，還可能是各種類型的移動設備，比如平板、手機、智能手表等，為提升計算機安全防護性能，我國投入了大量的資金，構建起了一條龐大的“防御工事”，IDS、防火墻、掃描器、審計系統、WAF、防毒墻等安全設備應有盡有。雖說這些技術的應用極大地提升了用戶的安全，但現如今網絡安全問題已然層出不窮，尤其是個人隱私數據泄露事件更是層出不窮，而這些網絡安全事件的發生多源于網絡惡意威脅。技術水平的發展不僅提升了網絡安全的防護能力，也促使了惡意威脅的手段從傳統盲目、粗暴形式逐漸轉變為精準化、隱匿化的形式，惡意威脅會按照攻擊人的預設有條不紊地進行，通過一系列的偵測、漏洞利用、植入滲透等一步步地達到竊取目標信息的目的，且會在極短的時間內造成用戶巨大的損失，而對于用戶來說要想解決這個威脅則需要花費大量的時間。因此，傳統弓的防御體系顯然不足以面臨更加高級的威脅，這就需要我們通過各種新型技術手段與措施，提升終端防御能力。

1 項目背景介紹

新一代終端安全的核心是通過利用已經掌握的手段來防止已知的威脅，并借助云系統來快速地發現并采取措施來避免威脅系統進一步侵入計算機。此外，還需要基于終端的背景數據、惡意軟件行為特征等，進行全面的檢測與響應，并采取快速、自動化的補救措施，達到保護終端的目的，這也是我們常說的終端檢測與相應機制，即終端EDR。它針對高級威脅具有一定的實時檢測與自動相應能力，并能夠達到自動化的預防機制，保證主機在遭受到攻擊的第一時間內做出最佳的響應。它依靠大數據信息數據，對最新安全線索快速鎖定威脅終端，并評估實時數據與歷史終端信息，揭示內網終端的安全缺陷，并基于自動化響應機制完成威脅的預防與處理。如圖1所示為具體模型圖。具體模型包含持續監測、主動檢測、自動響應以及全面評估。

圖1 具體模型圖

2 研究目標

（1）主機設備微邊界流量圖譜繪制技術研究

根據對內部邊界即主機與主機之間的流量情況繪制可視化圖譜，識別虛擬機之間，虛擬機和物理機之間的互訪關系，能標識應用及端口，識別東西向流量。從而梳理業務訪問邏輯，構建一張完整的業務流量拓撲圖，提供針對流量和策略更加便捷的鉆取與控制能力。

（2）業務應用可信與彈性安全研究

通過消除網絡結構（例如，vlan、子網、區域或IP地址）來改進策略創建過程，采用一種獨特的應用及虛擬機定義方法，并建立一套可信的、可適應的、接近用戶語言的策略模型，有效進行業務應用策略的彈性管理。

（3）主機設備自適應微隔離技術研究

根據數據中心內部的變化而自動調整安全策略，結合微隔離技術，能夠實現自適應的訪問控制。實現環境隔離、域間隔離、端到端隔離，并能根據環境變化，自動實現策略調整。

（4）主機安全平臺架構自適應技術研究

能實現不依賴底層技術架構來支持新的或現有的環境，可適用于私有云、公有云以及混合云環境，可部署在虛擬機、物理機、容器中。

3 關鍵技術內容

（1）平臺架構的搭建

基于Hadoop大數據架構構建的安全大數據平臺，能夠存儲和分析海量數據，包括需要存儲的數據有原始數據，處理后的數據以及分析結果。平臺對前端代理收集到的安全日志進行集中存儲、快速分析及挖掘，結合接入的威脅情報信息，進行行為關聯分析，準確定位各種漏洞風險及入侵威脅，并進行預警。

（2）平臺安全性考慮

（1）通訊機制

前端Agent在部署配置時只需開放一個端口即可正常工作，通過此端口進行與平臺和其他Agent之間的通訊。不同于其他類主機安全產品Agent，需要根據不同的配置文件開放多個端口才能正常工作通訊，這類主機安全產品避免了開放端口過多，個別產品通訊端口被占用，部分功能將失效帶來的產品使用風險和安全風險。Agent自身開放統一單個端口的設計極大地增強了Agent的穩健性、安全性、易用性、管理性，為客戶長期有效使用主機安全產品帶來強有力的保障。

（2）監控機制

平臺設計自身具備監控機制，可進行自我狀態監控，同時具備容錯機制。平臺則會對自身組件的進程和服務的CPU、內存以及進程運行狀態進行監測，相關負責人員可實時掌握系統運行情況。利用設置好的平臺監控任務，定時監測進程的運行狀況、CPU占用率等。如發現進程掛掉不在運行，可通過腳本去執行啟動命令重新啟動；如發現CPU占用率過高超出既定限制會及時警告。通過實時監控反饋的數據信息，如果發現部署的組件出現異常情況會通知到運維人員，在此基礎上運維人員可及時發現系統的風險并進行處置，保障系統運行在長期穩定的安全環境中。

4 重難點突破

（1）自動采集主機重要安全參數信息

通過客戶端Agent自動采集匯總主機重要安全參數信息，包括計算機名、IP地址、漏洞、病毒、病毒庫時間等5個終端安全最基本最重要信息，能夠有效降低日常人工半小時采集的工作量。

（2）便捷遠程病毒查殺及漏洞修復管理

通過客戶端Agent能夠自動采集匯總主機病毒查殺及漏洞修復管理的參數信息，包括計算機名、IP地址、病毒，最后查殺時間、已修復的終端數、未修復的終端數、已忽略終端數、補丁名稱、補丁描述、漏洞級別、發布日期、高危漏洞數等12個病毒及漏洞相關的參數信息，以及能下發病毒掃描策略，實現快速掃描、全盤掃描、強力查殺、文件查殺等功能，有效降低日常人工1天病毒查殺及漏洞修復的工作量。

（3）高效資產登記及外聯設備的管控

通過下發安全策略給Agent，能夠實現對主機資產登記及對移動存儲、外部設備的嚴格管控，包括IP地址、上報時間、設備類型、設備用途、使用部門、使用人、工號、手機、物理位置、座機、移動存儲設備列表、移動存儲授權、移動存儲例外、外設統計等14個信息維度，有效降低日常人工0.5天的工作量。

（4）提升運維人員效率

通過上述幾點的功能大大降低運維人員和安全分析師的日常工作量。

5 結論

基于EDR與CARTA模型的動態主機安全防護平臺的應用，可以基于大數據威脅情報對終端威脅進行快速檢檢索與定位，并及在第一時間給出自動化響應與修復能力，進而確保終端的整體安全性。

[1]曾辛，袁華松，張人方，譚劍.利用態勢感知技術加強網絡信息安全平臺建設[J].廣播電視信息，2020（02）：59-63.

[2]李貴鵬，李思藝，徐冰清.智慧城市信息安全運營平臺研究[J].信息安全研究，2019，5（05）：420-429.

[3]石樂義，劉佳，劉祎豪，朱紅強，段鵬飛.網絡安全態勢感知研究綜述[J].計算機工程與應用，2019，55（24）：1-9.