“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
引言
1、问题
2、应对措施
(1)将防病毒客户端进程、服务加入终端网络准入条件,而不只是检测是否安装。因为会出现客户端正常安装,但是无法正常启动运行的情况。
(2)网络中存在个别特殊终端未安装准入软件,则无法被第一个策略覆盖。那么关键就是如何发现这些终端,并进行持续监测,解决方案是通过定期的终端资产扫描,掌握全网络的终端资产台账,这个台账将会包含正常运行了安全客户端的终端以及被忽略的终端。再进行针对性的处理,补充覆盖。这动作得持续做,否则将会发现这个月解决了,后面检查时又出现这类情况。
病毒码更新不及时:与时俱进,时刻准备着!
1、问题
2、应对措施
(1)将控制中心的病毒码更新情况加入每天有效性验证的范围,参考规则:每天早上6点检测控制中心的病毒码日期,若出现超过2日未更新病毒码的情况,则发出告警至运营人员,进行分析处置,一般的原因可能是网络发生过变更导致服务器网络权限失效,或者是一些域名解析策略异常导致的问题。
(2)将客户端病毒码更新情况检测加入终端安全系统的定时检测范围,若出现病毒码更新异常情况,则通过弹窗、工单、邮件通知等方式通知到终端负责人,若所在组织对此的要求更加苛刻严谨,可考虑加入终端入网检测中,参考策略:若终端防病毒客户端病毒码日期晚于当前日期一周,则禁止入网。此时应保留此类终端访问防病毒控制中心的网络权限,以便终端用户自行通过重装客户端等方式修复更新异常问题。
病毒码异常导致正常文件被隔离查杀:防患于未然,安全第一!
1、问题
2、应对措施
(1)制定科学、完善的规则库灰度更新机制:选定部分终端作为测试组,每次规则库更新时,让测试组的终端先进行更新,观察2天(按需调整)后,再将此被验证通过的病毒码更新至全网其他终端,形成一套阶梯式更新的方式。当然,这个依赖企业采用的防病毒系统是支持此功能,或者,我们可能利用一些自动化的方式来自己搭建一个规则库灰度更新机制。客观来说,此机制在服务器领域的需求比终端电脑迫切很多。
(2)规则库回退机制:若不幸遇到因病毒码规则异常导致关键组件被查杀的问题,此时可利用防病毒系统的病毒回退功能,批量地将全网客户端病毒码回退到上一个版本。当然,这个功能目前只看到个别防病毒具备,且不一定可以全局实施,这也是市场上的防病毒系统可进一步完善的一个功能。
终端存在病毒但被忽视:火眼金睛,识破伪装!
1、问题
2、正确理解
3、应对措施
(1)市场上的防病毒系统目前都具备的云查能力,联网的终端环境建议开启。主要是2个方式:a.利用云上分析中心高频更新病毒码的优势,防病毒客户端将未识别的文件特征码(一般是MD5、SHA1)发送至云上分析中心进行特征比对;b.将未识别的可执行文件发送至云分析中心进行沙箱式的动态分析,把文件在验证环境中跑一遍,看看是否真的没问题。这个方式可能会被对抗绕过,人家病毒文件先简单你是不是沙箱环境,如果是的话就不动了。
(2)通过采集终端(文件、进程、服务、网络等)关键行为日志,对终端的行为进行高危特征识别分析,即所谓的EDR系统,与防病毒系统本身形成两大终端保镖。
