安天产品巡礼(系列一)——智甲终端防御系统 – 作者:antiylab

       智甲终端防御系统是安天研发的面向政企客户的端点综合安全防护软件,产品为办公机、服务器、虚拟化节点、移动设备、国产专用计算机、各类自助终端、工控上位机等各类端点场景提供多层次、全周期的动态防护能力。

[功能简介]

       智甲产品内置安天自主研发的下一代威胁检测引擎,基于黑白双控模式的安全策略,有效支撑终端检测与响应(EDR)。智甲具有恶意代码查杀、实时主防监测、勒索病毒增强防护、溢出攻击和横向系统防护等综合威胁防御功能;融合主机防火墙、终端管控、外设管控、漏洞扫描、集中补丁修复等管理功能;支持对Rootkit、感染式病毒、宏病毒等内网顽固威胁的有效处置,结合安天独家的高级威胁追溯包服务,可以实现全网威胁追溯。

[场景适配]

       智甲支持适配客户不同的网络环境(互联网/隔离网/混合网络等)的快速部署,并且可以与网络内其他安全设备进行联动,同时支持端点场景全要素采集以支撑态势感知系统。

       智甲产品主要由客户端软件与管理中心两部分组成,客户端是部署于终端内的Agent和安全组件,主要用来监控用户系统环境变化,对已知威胁精准定性、对未知威胁初判告警、捕获上报,对各类威胁进行阻断拦截,对已遂威胁清除处置,并可以执行管理中心下发的多重处置任务。

       管理中心主要面向安全管理人员,对端点类资产进行统一安全管理,集中监测分析端点安全事件、制定和下发相关处置任务策略。管理中心通过智甲的信息采集形成端点资产地图、并可导入人员组织,建立端点资产部门和责任人归属。管理中心采用B/S架构,管理员使用浏览器即可访问管理中心。

       智甲经过安天十余年的自主研发积累,形成了在恶意代码查杀、APT防御、勒索软件防护、国产化平台防护支持方面的领先优势。

[特点优势]

⊙支持为多平台、多场景提供安全防护能力

       智甲支持防护多种操作系统平台,包括Windows桌面系统、Windows服务器操作系统、Linux系统、国产化操作系统、移动操作系统等,实现集中部署、实时监控、定时巡检、应急处置、威胁追溯等功能。支持针对网内不同重要程度或者防护等级的终端灵活设置防护策略。

20190924-4.jpg

▲智甲能力全景图

⊙高级可持续威胁(APT)等防护能力

       安天是国内高级威胁研究的领导厂商,通过对各种威胁行为体的作业手法、漏洞利用工具和高级木马的分析,安天不断改善威胁检测引擎和主动防御内核,通过扇区监控、内核服务和驱动监控、文件监控、注册表监控、浏览器和邮件客户端保护等机制,拦截格式文档攻击和横向移动。面对APT攻击,智甲采用“未知可疑程序捕获+管理端静态分析+文件关联分析+威胁清除追溯”的防护策略,终端会对新增的未知文件进行初步分析,针对发现的可疑程序会上报管理中心,管理中心集成有静态深度分析模块(安天下一代威胁检测引擎的分析模式),可以通过提取文件向量信息进行分析,判断文件是否为高危险文件,并且可结合安天追影威胁分析系统进行深度动态分析,包括呼叫安天支撑人员进行深度分析服务。一旦判断该文件为高级威胁载荷,可以通过文件关联分析排查出与该文件有关的其他攻击载荷,就可以针对相关威胁载荷进行统一清除,对其持久化进行处置。

20190924-5.jpg

▲APT全网追溯(安天高级威胁追溯包服务)

20190924-6.jpg

▲2019年6月30日起,安天智甲威胁告警体系已支持ATT&CK威胁框架

⊙有效的勒索病毒防护

        安天从2014年开始,持续跟进研究勒索病毒威胁机理,针对大量隔离网客户往往不能及时升级病毒库这一问题,力图使产品增强智能防护能力。安天采集归纳了近百种勒索病毒行为特征,构建了一个具有强大分析与判断能力的勒索病毒行为特征库,基于该特征库通过进程、线程行为分析,可以准确判断勒索软件删除和加密文件行为并进行拦截,另外产品还具有文件锁定、文件备份等多种辅助手段,可以有效对各种已知和未知勒索病毒进行防护,在2017年5月爆发的WannaCry病毒,智甲2016年1月的版本即可实现有效防护。

20190924-7.jpg

▲基于行为分析的勒索软件防护

⊙领先的国产化防护能力

       智甲是国内较早的支持为国产化操作系统提供安全防护的产品,具有可信验证、病毒查杀、进程防护、漏洞检测、虚拟补丁、终端管理、网络防护等多种功能。2015年起,在国家相关部门的统一规划下,安天分别与中标麒麟、中科方德、银河麒麟等国产操作系统厂商进行了深入的代码级合作,实现了预装试点。2016年,成功支撑了“型号首批万套部署”,获得了主管部门的高度认可。按照“国产硬件+国产化操作系统”的双国产组合计算,智甲已实现对近百种版本的环境良好适配,并且与中标麒麟、银河麒麟、中科方德、达梦数据库等厂商的产品具有兼容互认证明。

20190924-8.jpg

▲部分产品互认证明

⊙良好的运维管理能力与集成能力

       除了恶意代码查杀功能外,智甲还具有漏洞与补丁管理、终端管控、USB外设管控、移动介质专项管控、资产管理、数据采集、主机配置加固、主机防火墙等多种功能,可以全面提升端点资产可管理性、提升终端威胁对抗能力,降低终端违规行为事件发生可能。

       同时,智甲不仅可以独立运行,还支持与其他安全产品进行集成,包括数据共享、指令调用等,形成联动防护能力。

20190924-9.jpg

▲管理主界面图

⊙可视化展示与管理

       智甲具有专业的操作界面,并配合安天资产可视化管理中间件,实现形象直观的端点资产、威胁的展示:

       基于网络拓扑和人员组织关系,通过3D可视化效果在控制中心页面展示整体资产分布、拓扑结构、当前整体威胁情况和TOP排名等;

       查看资产细节信息、资产安全分组、资产人员归属等;

       支持在可视化界面直接下发任务指令,进行威胁处置、漏洞修复、配置加固等操作,并能查看任务执行结果;

       通过威胁追溯包,对特定威胁的内网横向扩散过程进行可视化分析展示,了解威胁事件的攻击轨迹。

20190924-10.jpg

▲可视化操作界面

[客户案例]

       安天智甲终端防御系统已在政府、军工、电力、能源、金融、制造业等领域广泛投入使用,典型案例包括:

图片[8]-安天产品巡礼(系列一)——智甲终端防御系统 – 作者:antiylab-安全小百科 某电力系统客户终端安全防护项目

       产品自2017年初部署以来,稳定高效,帮助客户彻底清除了大量顽固的文件感染式病毒、有效解决了蠕虫在内网杀而复来的问题,对长期困扰客户的宏病毒实现了良好的查杀效果,并通过强大的病毒查杀与综合管控能力,极大提高了客户终端的安全性。

图片[9]-安天产品巡礼(系列一)——智甲终端防御系统 – 作者:antiylab-安全小百科 某电信运营商服务器安全防护项目

       智甲虚拟化版本部署于运营商DCN和私有云网络内,为业务服务器提供恶意软件防护服务,通过安全策略模板,与客户业务环境良好适配,帮助客户多次有效防护了勒索病毒、挖矿木马等威胁,获得客户好评。

图片[10]-安天产品巡礼(系列一)——智甲终端防御系统 – 作者:antiylab-安全小百科 多家银行终端安全防护项目

       为多家银行的办公机和ATM机提供病毒防护服务,其中针对办公机采用标准防护模式,针对ATM机采用“白名单+安全基线”的防护模式,产品不仅满足了客户安全防护需求,并且针对银行特殊的网络环境和终端环境,进行了良好适配。

图片[11]-安天产品巡礼(系列一)——智甲终端防御系统 – 作者:antiylab-安全小百科 某部队客户终端防护项目

       安天智甲2015年开始部署,为某部队客户提供病毒防护服务,部署期间稳定可靠、防护能力真实有效,部署4年来,已保障各大基地多次任务。同时也为其态势感知系统提供数据采集和威胁处置支持。目前已是该客户网络中部署量最高的端点安全防护系统,并且近期已开始扩容。

图片[12]-安天产品巡礼(系列一)——智甲终端防御系统 – 作者:antiylab-安全小百科 某部门国产化终端防护项目

       该项目中客户网内部署了大量国产操作系统终端,并且包括多个版本的操作系统,为了加强其终端的病毒防护能力,并实现防护能力全范围覆盖,该部门开始部署安天智甲终端防御系统。智甲系统部署后累计适配操作系统及子版本超过30种以上,安全防护方面不仅提供了病毒查杀、主动防御等基础功能,还提供了终端管控、外设管控、网络管控等加强能力,实现了良好的安全防护与管控效果。产品部署后,稳定可靠,与客户原有系统环境良好兼容。

附1:智甲产品部分资质

公安部安全专用产品销售许可证(一级品);

军用信息安全产品认证证书(军B+级);

《保密技术防护产品(设备)采购推荐目录》:恶意程序攻击行为检测类;

入围专用信息设备适配软硬件产品名录(一、二期);

入围《中央国家机关2019年软件协议供货采购项目》:杀毒软件Windows版、杀毒软件Linux版、安全软件-服务器安全软件、安全软件-终端安全软件等四大品类。

附2:智甲产品历史沿革

2001年

       安天于2001年面向海外客户研发了个人版反木马产品Antiy Ghostbusters,该产品使用安天反病毒引擎1.0版本,实现了查杀、实时监控和系统安全分析工具的三位一体组合,受到海外客户好评,成为首个上榜Softbase AntiVirus TOP 50的中国产品,这就是安天智甲产品的最初原型。

2005年

       2005年该产品开始面向国内个人用户发布,中文名为“木马防线”,是国内首款通过公安部反木马软件品类标准测试产品。

2008年

       2008年发布面向个人用户的全功能防护产品“安天防线”。

2010年

       2010年发布面向企业用户的安天防线企业版。

2015年

       基于2010年版本的不断打磨,安天于2015年正式推出基于黑白双控机制的企业级端点安全管理类产品“安天智甲终端防御系统”。

2017年

       基于智甲的“面向未知威胁的终端检测与防御技术研究和应用”,获得中国通信学会科学技术三等奖。

来源:freebuf.com 2019-10-09 11:40:40 by: antiylab

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论