2024龙蜥大会中兴通讯分论坛：基于行为分析的端点安全防御机制-杜迎泽.pdf

1、基于行为分析的端点安全防御机制中兴通讯操作系统产品部杜迎泽背景攻击案例安全问题0101现状什么是端点安全端点安全的演进基于行为分析的ES0202实践端点安全架构实践介绍特点介绍0303展望对未来的展望0404背景现网网络安全形势严峻国内某运营商遭受了勒索软件攻击，攻击者利用CVE-2021-44228 Apache log4j2远程代码执行漏洞，通过SQL Server数据库管理员账号sa执行了powershell脚本，加密了整个日志系统，进行勒索2023年12月，某国外运营商的商用局发生利用社工渗透攻击方式，非授权人员将节点上关键文件及备份系统删除且无法恢复的事件2024年2月以来，CVE大

2、量积压待分析，到2024年5月，积压CVE约9700+个，NIST已采取多项措施来解决安全漏洞积压问题AI进一步推动自动化漏洞利用的发展。研究表明当给出CVE描述时，chatGPT-4可以利用给定样本集中87%的漏洞；借助AI，安全漏洞POC周期可以缩小到3天现网网络安全问题漏洞利用门槛越来越低得益于AI技术的发展，出现越来越多的“业余”攻击者他们不需要了解漏洞的详细信息也可以实现攻击重边界轻内网0day漏洞束手无策边界部署软硬件防火墙，入侵检测、防病毒等御敌于边界之外。当攻击者绕过防火墙进入内网没有有效的防护手段传统基于已识别恶意行为签名的特征检测对采用了先进先进隐匿技术和0day漏洞失效，

3、需要基于行为分析的安全防御现状什么是端点安全端点安全通过保护台式机、笔记本电脑和移动设备等终端用户设备的端点或入口防止被恶意行为者和活动利用，从而保护网络。重要类型原理1.端点数量多，攻击面大2.每个端点都是安全威胁的潜在入口1.防病毒2.主机加固3.防火墙4.EDR5.文件监测.在端点或与端点通信的集中管理平台部署安全软件监控设备上的可疑活动、扫描恶意软件并执行安全策略端点安全演进AV主要依赖于病毒特征库来检测计算机病毒，杀毒能力取决于其拥有的特征库及更新频度EPP不仅仅针对计算机，开始针对包括智能手机、平板电脑等在内的泛终端提供防护，使其免受网络威胁NGEPEPP+EDR的结合，Gartn

4、er认为EPPwith EDR是未来端点安全的发展方向集预防、防御、检测、响应为一体的新一代端点安全保护平台NGAV使用更多的高级特性来弥补传统杀软的不足如更频繁的特征库更新，甚至开始引入机器学习和AI来识别恶意软件EDR以端点为基础，结合终端安全大数据对未知威胁和异常行为进行分析并作出快速响应基于行为分析的端点安全解决内网安全防御能力的短板，保证攻击者即使提权成功也不能进行随心所欲的操作，在极限场景也能保证系统安全基于用户行为分析，与给定安全策略匹配以决定放行或阻断高危命令监控、关键文件防删除防篡改、进程追踪等，对用户（攻击者）在操作系统中的行为进行记录并上报数据然后根据上层的安全策略对行为

5、进行控制如阻断或告警业界端点安全产品基于 eBPF+LSM 的 Linux 安全防护系统，可以实现安全操作的拦截及审计记录基于libbpfgo 库，使用go语言实现顶层控制Safeguard审计：日志记录配置范围内的行为控制：针对文件，进程，网络的安全访问控制行为分析：收集信息，进行资源，热点，异常等分析主机管理：从安全角度自动化构建细粒度资产信息风险管理：精准发现内部风险，快速定位问题并有效解决安全风险入侵检测：提供多锚点的检测能力，能够实时、准确的感知入侵事件，发现失陷主机，并提供对入侵事件的响应手段。特性容器安全：对容器内部的行为进行审计和控制，记录容器的进程、文件、网络活动，限制容器访

6、问特定的资源或端口，检测容器的异常行为等。云服务安全：对云服务提供商的客户机进行审计和控制，记录客户机的操作系统、应用程序、用户等信息，限制客户机执行特定的命令或系统调用，检测客户机的恶意行为或漏洞利用等。安全合规：对系统的安全合规性进行审计和控制，记录系统的配置、权限、日志等信息，限制系统修改特定的设置或文件，检测系统的违规行为或异常事件等。应用场景业界端点安全产品威胁检测服务，可持续监控恶意活动和未经授权的行为轻量级完全托管式eBPF安全代理支持运行时行为分析Amazon GuardDuty特性持续监控和分析