【技术圆桌】第22期：蠕虫、勒索频频爆发，如何提高终端安全防护能力你认为有哪些方式？>>热议中

本期优秀回复用户获奖名单

帖子作者	作者UID
灵峰气韵	156637
天池	166410
C罗单手卸AF	206873

Hi~各位社区伙伴，我是某公司社区智能服务_萍萍，主要应对某公司主线产品AF/SIP/EDR等。受社区管理员所邀参与【技术圆桌】话题发起人活动，借这个机会想跟大家聊聊" 在蠕虫、勒索等威胁病毒频频爆发情况下，对于如何提高终端安全防护能力您觉得有哪些方式？”如果您在网络安全领域及日常运维中遇到了一些未知的问题，或者有更好的建议，欢迎大家互相交流，共同进步！

---

【话题背景】

在互联网发展如此瞬速的时代，企业也随之与互联网相互交融，企业安全中，除了面对外来威胁，对于内网终端安全也是一个企业长久运营的前提。知己知彼百战不殆，一个攻击的源头，不管它发起多少次攻击或者是需要经过多少层网络环境，这个过程都是需要利用终端去完成的，我们的终端有可能会被轮为肉鸡、或者是跳板机再对内网发起攻击，轻则导致内网一台或者多台主机使用卡顿，资源占用高、网络卡顿；重则企业内网重要数据丢失、重要数据被泄密、文件被加密，甚至感染业内其他主机全网瘫痪，企业业务直接停止。

（图片来源于网络，侵权立删）

面对这些令人忧心的威胁我们做了哪些：

1、事前检测

通过部署行为审计设备实现对内网主机的数据做一个审计记录，监测内网主机的异常行为。通过外设管控实现对直接通过物理环境对接终端的情况做安全防御，如U盘管控。

2、事中防御

大多数企业中都会部署防火墙等安全设备，实现对内网的数据流量做安全防护，一来以免内网交叉感染，二来防止外网来攻击内网。

3、事后修复

当内网的主机感染了威胁之后，通过对主机安装杀毒软件，做病毒查杀处置威胁文件，或者是对内网的主机打补丁，以免再次感染。通过之前的审计设备对内网感染威胁溯源，然后使用安全设备去封堵威胁数据等等。

看完这些之后，作为网安运维人员估计深有感触，内网这么多终端，一台一台杀毒耗时耗力；使用安全设备时一个一个去配置安全防护策略，结果仍然会出现有遗漏的地方被钻了空子，简直防不胜防……

---

【本期圆桌话题】

• 讨论点1：企业内网终端您认为主要面临的威胁有哪些？

  
  

  
  

  
  
  
  

• 讨论点2：提高终端安全防护能力您认为可以从哪些方面着手？

  
  

  
  

  
  
  
  

• 讨论点3：在终端安全防护中，我们如何可以反客为主呢？

  
  

  
  

  
  

  
  
  
  

---

【讨论时间】

2021年1月26日---2020年2月20日 23：59

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出3位最佳回复者，分别赠送热门学习书籍《机器新脑》/《知乎日历2021》/《移动互联网时代的智能终端安全》实物奖品一份（可等价S豆）；

【回帖规则】
1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。
2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。
3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有安全产品相关问题，欢迎留言提问

讨论点1：企业内网终端您认为主要面临的威胁有哪些？
遇到的最多的最严重的，莫过于财务等一些网络安全知识较为薄弱的人中的，一类是钓鱼邮件、勒索病毒攻击2020年是我见过最多客户中勒索病毒的一年，没有之一（我刚接触这个行业几年哈）；一类是教高级的木马（军工级别的）DNS隧道木马，运维工具植入后门，通过DNS隧道激活，远程操控，这种也很多；
讨论点2：提高终端安全防护能力您认为可以从哪些方面着手？
我知道就这么点，重点还是培训哪些网络安全常识较薄弱的人吧，有一定基础的也要继续努力。
我看到一个文章写得很对；以终端安全指标为核心；通过标准化流程和运营手段提升终端安全指标，解决终端安全问题，提升终端安全水平；安全运营主要围绕高可见（主要针对数据这块）和高可运营（主要针对标准化流程）；


讨论点3：在终端安全防护中，我们如何可以反客为主呢？
买sangforEDR、AF、云图，哈哈哈哈哈哈，有钱可以买全套某公司，使用统一策略、集中报告、可溯源；可见、可控、易处置。

论点一：企业内网终端您认为主要面临的威胁有哪些？

首先这个问题我们需要明确一下内网终端包括那些设备：PC、笔记本电脑，PDA智能电话等等。

那么企业内网目前面临的威胁可以分为多个维度

1、管理：需要有明确的明文规定以及严格的给大家输入正确的安全观念，例如禁止开热点、禁止插U盘、正确的时间登陆、上下机需要做记录等等

2、内部：终端种类多、分布广、分裂的终端管理、单一的防护匹配关系等等

3、外部：病毒种类多、传播快、潜伏期较长、新型病毒层出不穷等等

讨论点2：提高终端安全防护能力您认为可以从哪些方面着手？

我认为可以从四个方面着手，类似于EDR的四个维度，完全符合GENTNER的网络安全评估要求，分为四个维度，达成终端安全防护闭环。

1、预防、预测：系统漏洞检测、安全基线等等

2、组织、防护：一键隔离、微隔离、勒索诱捕等等

3、检测、监控：文件实时监控、威胁等级分类等等

4、响应、调查：文件修复、溯源分析等等

讨论点3：在终端安全防护中，我们如何可以反客为主呢？

做到反客为主，个人认为主要的点就是预防预测以及整体联动的过程，总结一下来说就是需要强大的引擎来支撑。这里我举几个EDR的例子（别问我为什么举EDR、因为EDR牛逼！）

轻量级人工智能检测引擎SAVE：创新人工智能无特征技术，准确的检测未知病毒。对未知病毒检出率高达97.8%，对已知病毒检出率高达99%，让我们在终端安全中做到反客为主！

另外EDR的几大引擎以及作用，购买服务详情咨询：https://edr.sangfor.com.cn/#/index/home

除了技术手段，安全意识也很重要，三分靠技术，七分靠管理。

在互联网发展如此瞬速的时代，企业也随之与互联网相互交融，企业安全中，除了面对外来威胁，对于内网终端安全也是一个企业长久运营的前提。知己知彼百战不殆，一个攻击的源头，不管它发起多少次攻击或者是需要经过多少层网络环境，这个过程都是需要利用终端去完成的，我们的终端有可能会被轮为肉鸡、或者是跳板机再对内网发起攻击，轻则导致内网一台或者多台主机使用卡顿，资源占用高、网络卡顿；重则企业内网重要数据丢失、重要数据被泄密、文件被加密，甚至感染业内其他主机全网瘫痪，企业业务直接停止。

努力学习，继续学习！！

666666666666666666

人的因素会大点，有效地制度+重视地程度+投入

讨论1：现在有了杀毒软件，人们太依赖，所以才会放松警惕，导致病毒感染。
讨论2：提高操作者的安全意识，可以从根本上防范。
讨论3：利用可视化产品，更加客观的了解哪些地方出现问题，如：sangfor的AC,AF等

政府机要单位，分为内网计算机，外网计算机，办公网内网计算机是禁止接入任何设备包括U盘，他们是有专用的U盘，U盘里面是有软件过滤文件的。

感谢楼主分享，每日学习打卡