终端安全风险管理成果

2023-11-23 理论教育版权反馈

【摘要】：由于缺少对终端驱动程序的监控，这将会导致关键主机的保护失控的风险。相关风险点终端系统驱动风险点见表A-25。终端违规网络访问风险按照资产使用生命周期的分析如下：风险点（1-7）：涉及入网前、运行阶段。以下将终端系统驱动风险按照终端使用人角色分析如下。

1.风险分析

（1）风险描述

驱动程序是添加到操作系统中的一小块代码，其中包含有关硬件设备的信息。有了此信息，计算机就可以与设备进行通信。驱动程序是硬件厂商根据操作系统编写的配置文件，可以说没有驱动程序，计算机中的硬件就无法工作。操作系统不同，硬件的驱动程序也不同，凡是安装一个原本不属于电脑中的硬件设备时，系统就会要求安装驱动程序，将新的硬件与电脑系统连接起来。驱动程序扮演沟通的角色，把硬件的功能告诉电脑系统，并且也将系统的指令传达给硬件，让它开始工作。在Windows系统中，需要安装主板、光驱、显卡、声卡，文件系统、网络通信等一套完整的驱动程序。如果需要外接别的硬件设备，则还要安装相应的驱动程序，驱动程序按系统中工作的层次来分，有用户态驱动程序、核心态驱动程序，中间层驱动程序、硬件总线驱动等。

从以上的描述中可以看到驱动程序的种类非常多，且对于终端机器的控制能力也比应用层程序更强，再基于其加载于系统的内核地址空间中，没有任何界面，更增加了驱动恶意程序的隐蔽性，目前流行的黑客软件或病毒程序大部分都是利用驱动的强控制能力与隐蔽性等应用层程序所不具备的特性进行攻击或窃取保密数据。从终端保护的角度来看，主要的风险主要表现在以下几个方面：

1）监控缺失风险。由于缺少对终端驱动程序的监控，这将会导致关键主机的保护失控的风险。

2）标准基线风险。由于事先没有对终端的驱动程序作出详细分析，根据不同的品牌终端做出驱动白名单，可能会造成不能有效地识别终端的异常驱动程序，造成不能有效监控驱动的风险。

3）加载驱动程序监控策略导致终端蓝屏，严重影响业务，造成终端业务无法持续有效运行的风险。

4）控制平台本身风险。发现了异常驱动程序，但是技术措施不到位，不能及时准确地处理，如采取告警、限制连接等控制措施，实现有效监控的风险。

因此这类风险的可知、可控、可管十分重要。下面对终端系统驱动风险进行详细分解。

（2）相关风险点

终端系统驱动风险点见表A-25。

以下将分别从资产使用生命周期、相关信息安全、资产使用人员和合规性4个方面对以上16个风险点进行详细描述：

（a）基于资产使用生命周期分析

资产使用生命周期包含入网前、运行阶段、维修阶段、报废阶段。终端违规网络访问风险按照资产使用生命周期的分析如下：

风险点（1-7）：涉及入网前、运行阶段。由于驱动程序的种类繁多，且对于终端机器的控制能力也比应用层程序更强，再基于其加载于系统的内核地址空间中，没有任何界面，更增加了驱动恶意程序的隐蔽性，目前流行的黑客软件或病毒程序大部分都是利用驱动的强控制能力与隐蔽性等应用层程序所不具备的特性进行攻击或窃取保密数据。通过驱动可以轻松完成以下的工作，如监控终端系统的所有文件操作；监控终端系统的所有网络数据包发送或接收；监控终端系统的打印文档；如果将驱动与应用层程序结合，更是可以做到几乎任何任务，如窃取用户口令、窃取用户隐私数据、拦截系统视窗的消息。

表 A-25

风险点（8-14）：涉及入网前阶段。由于终端涉及的品牌，种类繁多，操作系统不一，而驱动程序又涉及各种硬件和应用，不能及时和全面地对终端系统的各种驱动程序做分析，建立白名单，一旦驱动升级和改变，白名单也没有及时升级，导致驱动监控的基线不准确，控制措施难于实施。

风险点（15-16）：涉及入网前阶段和运行阶段。一旦下发的驱动程序监控策略与终端发生冲突，或策略被删除或强行停止，均可能导致终端不能正常运行，给业务连续性带来风险。

（b）基于相关信息安全关系分析

相关信息安全分为在线信息风险和存储信息风险，终端流量异常风险按照相关信息安全关系的分析如下：

风险点（1-7）：如果缺失有关驱动程序的监控措施，一旦被驱动恶意程序加载，可以监控终端系统的所有文件操作，因此必将造成业务运行中的在线信息风险和存储信息风险。

风险点（8-14）：如果驱动程序白名单不能及时升级，一旦遗漏驱动恶意程序，也会造成业务运行中的在线信息风险和存储信息风险。

风险点（15-16）：该风险点最大的威胁在于可能造成蓝屏、外设不能正常使用，导致终端不能正常使用，因此必将造成业务运行中的在线信息风险和存储信息风险。

（c）基于资产使用人分析

资产（终端）使用人包括内部人员、临时人员和外部人员三大类，而内部人员可以再细分为高级管理者，关键业务人员和网络管理人三种角色，临时人员主要是辅助人员岗位，如食堂、车队、绿化等人员，而外部人员包括外来厂商运维人员和系统内外来人员。终端的使用者因为不同的角色和不同的操作意图，一个相同的风险点对应不同身份的终端使用人风险级别也不同。以下将终端系统驱动风险按照终端使用人角色分析如下。

风险点（1-7）：该类风险与内部人员的角色级别有关。

1）高级管理岗位，如区域负责人等高层领导，风险很大。

2）地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，风险较大。(www.chuimin.cn)

3）网络管理员，风险较大。

对于临时人员和外来人员，如果自带终端的话，风险极大。

风险点（8-14）：该风险对于高级管理岗位，如区域负责人等高层领导的终端的正常使用威胁极大，对于网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员的终端的使用威胁较大，而对于临时人员和外部人员，因无法事先作出驱动程序基线，风险较大。

风险点（15-16）：该风险还是跟内部人员的角色级别有关。

a）高级管理岗位，如区域负责人等高层领导，风险很大。

b）地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，风险较大。

c）网络管理员，风险较大。

d）合规性要求

合规性要求见表A-26。

表 A-26

2.风险管控

每类风险在管控过程中，针对风险的事前、事中和事后3种状态进行监控，做到事前预防、事中控制、事后审计追查。下面的风险管控处理流程，尽量从事前、事中和事后3方面对风险管控进行描述。

（1）风险点（1-14）：终端系统驱动监控缺失和基线风险

事前处置：对于类似风险，需要制定一系列的管理措施，如《主机安全管理制度》，其中需要针对现有不同的品牌终端，按照不同的操作系统、外设、存储做出驱动文件的白名单文件，形成驱动监控策略。

事中处置：安装终端防护工具，在终端系统运行期间，监控和防护在终端系统的关键位置，结合主动防御技术，进行全面的监控，任何访问或数据的修改都将被记录在案，而对于管理人员所关注的内容或被管理人员定义为违规的行为将被禁止。但因为在驱动中有许多动作发生没有关联性，所以对于驱动中的行为难以甚至无法进行行为关联分析，所以有些情况会需要用户配合进行，由用户来决定禁止或允许。

事后处置：如果存在个别的驱动不能被禁止也不能被自动卸载，可以通过报警的方式通知管理人员，由管理人员进行人工卸载或处理，如果人工也不能处理则可以尝试用以前的驱动备份进行恢复。

控制流程见图A-21。

图 A-21

（2）风险点（15-16）：终端系统驱动技术控制风险

事前处置：需要不断完善“从终端上得到反馈”的技术机制，测试验证该机制可以实现；需要制定有关的应急响应预案，一旦出现策略与业务发生冲突时，需要启动；另外，如果有关策略一旦被停止和被删除不能及时更新而技术手段无法实现时需要启动。

事中处置：通过分析实时的通信日志，及时了解驱动程序白名单策略与某些业务是否冲突，驱动程序白名单策略停止和被删除，或者了解驱动程序白名单策略已经得到更新，如果在规定的时间内得不到反馈信息，需要启动应急预案；一旦出现策略与业务的兼容性问题，需要有逃生机制，即通过人工卸载策略，确保业务的顺利进行。

事后处置：一旦前面的技术手段都失效，需要在安全主管的认可下启动应急预案。首先在确保业务顺利进行的前提下，人工在本地更新或卸载策略。在此基础上再考虑其他问题，如策略不能更新的故障原因、涉及的部门和人员，造成问题的是平台本身的性能原因，还是其他问题，这些问题是否在管理制度中作出了相关规定，是否需要完善或补充等。

控制流程见图A-22。

图 A-22

3.风险控制效果

在通过以上所描述的全面监控结合主动防御技术的安全管理控制下，基本上能保证当前系统中的正常合法驱动不被破坏，同时非法的恶意驱动程序不能被安装，即使安装了在进行数据访问或修改时也会被禁止，同时被禁止的动作也会被上报到服务器，以供管理人员进行分析与处理，如果确实存在个别的驱动难以控制或处理，也可以通过报警的方式上报给管理人员，进行人工卸载或恢复，通过以上一系列的处理，基本可以做到终端机器在面对恶意驱动程序时能够对关键或保密的数据进行有效的保护，同时对难以处理的驱动向管理人员报警，要求人工协助或操作。

终端安全风险管理成果

相关推荐