360终端安全管理系统配套服务-用户案例
某大型制造企业建设一体化安全防护体系
1、需求背景
XX集团经过经多年安全建设,已拥有完备的安全体系,但仍受到了勒索病毒的攻击,导致被通报,并要求快速完成等保合规建设。
终端无统一的软件下载入口,终端随意从公网下载软件,导致终端安装大量捆绑软件,同时又产生很多广告弹框问题,运维压力大。
2、案例内容
建设整体性的勒索防护方案,并在勒索防护的基础上,提供APT排查、终端文档智能备份、自助运维等功能,实现安全、管控、备份、终端自助运维等能力,精简终端管理软件。利用无感知替换,在不影响终端的情况下,实现项目高效推广。
勒索病毒攻击链防护:
(1)数据备份:1)云盘联动,办公文档自动 云备份 2)本地备份,备份至办公终端本地
(2)检测预防:勒索风险评估、勒索漏洞修复、终端安全加固
(3)勒索防御:登录攻击防护、勒索防御引擎(诱饵文件等)、文档图片防护、高风险远程登录防御
(4)应急响应:终端扫描上报、勒索病毒查杀、终端远程服务紧急关闭、终端紧急隔离(解除隔离)
(5)备份恢复:云盘数据还原、本地备份文件还原、勒索文件解密(勒索解密)
(6)复盘总结:文件备份建议、安全加固建议、勒索风险评估
3、验证:
(1)终端自助运维验证
产品实施完毕后,提供桌面优化模块、涉及垃圾清理、优化加速、流量防火墙、系统瘦身等10余款终端运维工具,傻瓜式自助工具,无需二次培训,终端办公人员可自由使用,大大缓解了运维工作人员的日常工作。
提供软件管家能力,统一终端软件下载入口,降低了捆绑软件安装带来的各种问题。
(2)产品快速切换验证
利用无感知切换技术,在一周内完成了产品的切换,大大节省了项目实施周期及成本。
XXX大数据中心
背景需求:
约2W+终端,含部分XC终端,通过部署EPP增强客户终端基础防病毒能力,开通勒索病毒专项防护能力,通过开放API接口,提供给客户第三方平台恶意代码防护数据,方便客户实时展示全网终端的勒索防护能力;
解决方案:
从攻击前、攻击中到攻击后,在勒索病毒每一个主要的攻击节点定向查杀,让勒索病毒进不来(互联网入口检测阻断) 、散不开( 横向渗透阻断)、加不了密( 主动防御实时感知勒索行为、勒索诱饵逆向感知查杀)、加密也能恢复(文档备份恢复、特定勒索家族解密),从而提供基于勒索病毒攻击链的完整解决方案
勒索查杀:出现勒索病毒攻击时,能够检测并处置内网终端的勒索病毒,阻断勒索病毒入侵和扩散,阻断勒索加密行为,避免内网终端失陷,避免感染扩散
文档挽救:被勒索病毒恶意加密的文件,能够提供恢复或找回机制,减少文档被破坏所造成的损失
XXX国产化环境,WIN-XC统管
场景需求
国产化政策执行过程中,势必存在win和XC终端共存的情况,且大部分客户是混用的情况,无法利用IP段等技术手段做区分管理。
win和XC终端共存的情况下希望有一款准入产品可同时对两种类型的终端做准入控制
解决方案
360终端安全管理系统支持WIN-XC 杀毒桌管等功能统管,可实现一套管控中心即可对全部类型终端统一管理
360终端安全管理系统支持以不同的产品授权切换产品名称,可根据授权切换为360终端安全防护系统。
360终端安全管理系统支持准入功能,可有效对win及XC终端做统一的入网管控,并支持普遍存在的NAT环境。
360终端安全管理系统支持安装在X86、ARM等不同CPU上的linux、国产化等操作系统,部署方式灵活。
XXX客户终端高级威胁防御场景
场景需求:
高级威胁难查难防:攻击方式隐匿复杂持久化、但是对于0day漏洞利用、无文件攻击、内存木马等高级威胁难以防范,不知道内网到底有没有遭到入侵、何时入侵,无法追溯源头全面清除威胁
等保及监管合规:等保2.0对终端恶意代码防范提出要求,同时明确对恶意代码进行识别、报警(预警防范)、对分散设备进行集中监测、数据汇总和分析的要求
HW及攻防演练:及时发现攻击队隐匿入侵痕迹,增加攻击队攻击难度;同时,发现攻击来源是攻防演练重要得分项
解决方案
1、结合云主防+本地引擎,实现对恶意代码的检测处置
2、高级 威胁检测 ,包括
APT检测:APT行为特征(进程、注册表、文件、网络和系统等60项Windows行为、69项Linux行为)、环境特征(信息、磁盘和共享、系统进程列表、进程ID对应的启动服务、系统补丁版本信息等)、样本特征(APT组织远控后门)三管齐下,全面检测
无文件攻击检测: 通过脚本打点数据判断是否存在脚本内执行下载、shell调用等操作, 检测cmd、powershell、wmic等进程执行不落硬盘而直接在内存加载的攻击行为,
溯源响应:EDR探针上传终端安全日志、告警事件信息,通过终端攻击链路图,展示高级威胁终端侧的攻击详情,根据进程上下文信息执行详细溯源,对失陷终端下发隔离指令
XXX客户软件供应链攻击场景:明确软件来源,纯净安装
场景需求:
2022年3月,国家互联网信息办公室发布关于《互联网弹窗信息推送服务管理规定(征求意见稿)》,针对应用软件有监管要求
互联网下载应用软件,暗藏病毒/木马/商业广告/游戏等
生产网与互联网隔离,不具备下载应用软件的渠道
用户自有应用软件,不具备统一管理/下载的方式
解决方案:
部署360终端安全管理系统,开启软件管家能力,明确软件来源,源头阻断软件供应链攻击风险
360提交软件规避篡改风险/数字签名校验拒绝软件仿冒
多维检测,自动拦截捆绑插件/8000+精选优质软件应用
统一软件管理平台,一键安装/卸载
某金融客户安全防护建设
需求背景:
原先使用的赛门铁克杀毒即将到期,对宏病毒查杀效率低,且赛门退出中国,导致售后服务难以保障。缺少卫士小助手诸多功能,无法提升终端用户桌面办公效率,如桌面净化、健康度评分、软件管家等功能
解决方案:
360自主研发引擎,经过15亿+终端验证,除传统类型病毒查杀外,提供宏病毒查杀引擎,解决客户原有宏病毒查杀能力低下的问题
支持Windows、linux、Mac满足不同类型终端的统一管理需求
针对ATM机器特殊环境特殊适配,更符合使用场景
支持信创终端统一管理,为后续信创自主可控替代打好基础
提供基线检查、健康度评分、桌面办公助手、一键求助等十余项小助手功能,满足日常和管理需求
提供自动化脚本,卸载赛门铁克客户端静默安装360客户端,实现无感知产品切换,降低部署难度,最大限度减少对终端用户的干扰。提升项目实施速度。
赋能XXX软件业务系统病毒查杀能力
需求背景:
XXX企业OA系统需要病毒查杀能力,且为隔离网环境;
解决方案:
360杀毒SDK是360向第三方输送病毒查杀能力的一种服务形式;
第三方软件通过接口将文件发送给360杀毒SDK本地版程序,接收360杀毒SDK本地版的病毒查杀并做相应处理。
360杀毒SDK携带云查杀引擎以及本地查杀引擎,云查杀过程中会将文件MD5上传至360云端进行判定。
对于无法联网的隔离网用户,可选择在企业内部部署 私有云 查杀服务器,将部分云端安全大脑样本私有化在内网为终端提供查杀服务。对于无法云查的场景SDK依然可以通过本地查杀引擎进程查杀。
360提供病毒库更新包,由第三方应用自行将病毒库分发到终端上,并通知杀毒SDK本地版进行使用。
360杀毒SDK本地版支持在Windows(32、64位)以及Linux(64位)环境中集成,支持国产化终端;国产化平台支持飞腾、鲲鹏、龙芯、兆芯、海光、申威等CPU,麒麟、统信等操作系统环境。
