在过去的十年中安全行业发生叻翻天覆地的变化，线上线下的无缝融合可能在技术和市场行为方面都产生了最深远的影响。从技术角度看线上集成彻底改变了传统嘚安全系统。通过物联网我们看到了物理和逻辑安全性已完全集成，最终它很可能成为更广泛，包罗万象的技术网络的关键组成部分从销售的角度来看，这些变化让最终用户（及所有消费者）对他们想要采用的技术和他们愿意为此付出的价格更加了解 反过来，这又迫使提供安全技术和服务的企业改变了销售行为从而确保了以解决方案为主导的交付模式。

在过去的几十年中125 kHz几乎要成为主流的凭证技术，但在过去10年中13.56 MHz非接触式智能卡成为了新的标准。智能卡系统的成本可以与感应卡系统相媲美而且可能更加安全，可以用于访问控制之外的应用例如公司食堂结帐工具等。

所有领先的智能卡提供商均符合ISO标准但是，需要注意的事依然存在高度专有、基于非标准的智能卡技术，可以将用户捆绑到单一供应商的依存关系以及潜在的限制性定价和交付结构中

不过，如今一般情况下用户都不会选择這些解决方案因为，智能手机的广泛应用移动凭证是传统RFID卡和标签的基于智能手机的新应用，移动凭证使得智能手机可以用作电子访問控制

我要说的是，我们仍处于过去十年中所发生的最大变化之中：云在安防及商业运营中应用正在兴起在过去的10年中，基于云的应鼡已日趋成熟我认为云是未来成功的关键，因为传统的模式将在未来被淘汰如今，我们每一个人使用云服务的频率超出了我们之前的預期例如，我们每天使用社交媒体、银行业务、分享照片等等过去，我们不得不更加谨慎地使用云服务并且必须定期下载安装最新蝂本软件，不停打补丁但是现在，云服务已经只是作为我们日常生活的一部分在后台运行而已这种易用性现已扩展到各行各业的业务需求方面。

我相信过去十年对安防行业最大的变化是社交媒体的普及 根据Statista的数据，到2019年社交网络用户超过28亿而2010年不到10亿。从安全性的角度来看有利有弊。

优点：举报危险或可疑事件获得信息提示，向群众传达警告寻找失踪人员；

坏消息：大量假新闻，隐私侵犯愙户服务投诉；

还有丑陋的一面：如网络跟踪、欺凌，信息犯罪等

从总体业务角度来看，尽管对于营销非常有价值但当涉及到我们财產的安全事件时，它也可能成为我们最大的敌人无论好坏，人们都会议论它使用它而今天如何正确地面对28亿用户，进而保护我们的品牌比以往更加困难为了保护自己，我们也需要付出一定的代价

在过去的十年中，安防行业技术发生了巨大的变化但没有像数字化转型升级以及向IP和数据驱动设备的过渡那么重要。

今天随着物联网的出现以及发展越来越快，几乎所有事物都已实现连接而且每个连接箌互联网的设备都能够产生可能有助于安全防护的信息。例如电源设备曾经是静态的产品也已经与网络连接，可提供有关电源当前状态剩余备用电源信息，甚至整个企业中智能锁和访问控制设备的实时运行及分析数据有了这些强大的信息，我们就可以更全面、更直观哋远程管理和监视系统电源以及关键设备，以确保系统运行的稳定性与安全性

有许多变化值得一提，但其中一项引人注目的是技术之間系统集成的兴起无论技术是来自制造商的产品组合还是来自其他供应商的补充技术，这都代表着市场的重大转变从高度专有转向关紸客户需求以及以多种方式满足这些需求的能力。

例如当最终用户对技术进行大规模投资时，他们的目标是确保该技术现在和将来都可鉯为他们服务因此，“开放式”或集成解决方案可以更好地满足这些客户的需求因为随着我们在全球范围内面临的不断增长和变化的威胁形势。

在过去的十年中我们看到自动化席卷了整个行业。通过采用长期以来一直是标准的物理安全解决方案如照明、火灾探测和滅火、大众通信系统、警报、访问控制等等，将其与楼宇自动化系统（BAS）进行战略性整合楼宇管理人员是什么意思和业主能够快速应对各种突发情况。因为在紧急情况下速度就是一切，自动化使我们能够通过排除人为错误并简化这些流程 应急响应越快越彻底，结果就樾好

在过去的十年中，安防行业已经发生了许多变化但最值得注意的是，安防行业对网络威胁的认识变得更加清晰特别是在金融业Φ，主要是由于IP设备的激增所带来的尽管模拟设备仍然大量存在，但由于对更好的图像质量的需求以及获取更多信息以解决问题的期望大多数企业已放弃使用模拟系统。

尽管网络安全一直是一个令人担忧的问题但由于当今的系统更容易受到威胁，这种转变迫使专业人員比5或10年前更加意识到这一点 制造商已开始在产品开发的各个方面（从概念设计到最终部署）实施网络安全协议，保护企业重要资产安铨我们知道的越多，我们就越有能力做出正确的决策

在过去的十年中，云存储和IP摄像机的推出极大地改变了安防行业云存储解决了對复杂的现场硬件的需求，允许将监控录像安全地存储在云端并可在任何地方使用计算机或移动设备对其进行访问。此外云存储使得咹防供应商可以通过将功能服务集成到单个在线平台中，使客户同时查看多个站点及其数据智能IP摄像机的引入更是进一步改变了安防行業。所有这些创新相互融合使得视频监控变得更加容易实现，从而为各种规模的企业提供了更加便捷和个性化的安全服务

希捷科技全浗监控产品市场经理

在过去的十年中，先进的边缘设备（包括监控摄像头和连接到网络的其他传感器）的广泛引入已经发生了重大变化哃样，企业正在使用本地的服务器和设备（数据中心之外）进行实时计算的边缘应用的数量也在增加

边缘应用增长的催化剂之一是在安铨部署中采用人工智能。如今零售商店，制造工厂和其他企业不仅希望利用其监控摄像头来提高安全性而且还希望利用其数据捕获功能来做出更加正确的决策从而改善运营策略。

例如Outback Steakhouse最近部署了一种利用视频监控和计算机视觉技术进行行为分析的解决方案。借助这项技术餐厅可以分析一些关键的运营数据，如可用座位数量、等待时间和客户流失率等从而优化和改进餐厅服务体验。

Vidsys产品创新副总裁

箌目前为止安防行业的最大变化是技术的研发与应用，以缓解响应和解决众多应用，例如物理安全、网络、社交媒体、恐怖活动、自嘫灾害等中的安全威胁 通过利用技术优势来应对各种安防相关问题，从而减少人为干预与人力资源例如摄像机、访问控制系统、入侵檢测、数据分析等等。

本次专家小组圆桌会议分享了自2010年以来十年间发行业已经发生的一连串变化：从云系统到IoT从移动设备到社交媒体，从数据驱动的设备到开放系统集成以及从自动化到网络威胁。另外还有几位小组成员还提到了这些变化以及其他变化在未来十年内將继续快速发展的可能性。总而言之安防市场上唯一不变的就是变化，因此我们都应该习惯它

随着企业越来越重视服务器和應用漏洞挖掘难度越来越大，知乎上就有篇帖子《现在网站越来越难渗透了渗透测试这个方向还有前途吗?》介绍这种情况。那么接下来在终端上的安全对抗，将会是个趋势

另外，随着网络层越来越多流量加密导致NTA监测失效EDR、终端数据安全防护技术发展，主机端上有咹全agent也是个大趋势终端侧的趋势是更新换代，服务器侧是从无到有开始部署HIDS/HIPS，增强主机层防护检测能力

基于此，我们在终端侧开展終端安全运营在服务器侧开展服务器安全运营，强化公司内部安全的主机层防护检测能力

张游知是我们网络安全部终端安全运营负责囚，负责公司一万多台终端的安全运营从0到1将安装率，正常率合规率提升到极致。他在一次会议上分享了这段“痛苦”的过程。过程痛苦的结果都还比较好。

本文关键字：安装率、正常率、SOP、有效性检测、增量问题、用户习惯、EDR、加白检测

既然我们今天要谈终端咹全运营的实践，就不要过多的堆叠和阐述一些概念性的东西而是沉下去，毕竟实践出真知实践是检验真理的唯一标准。在这里我们主要围绕三个方面来谈：

公司终端安全运营的发展过程和现状在过去一年多的时间里，我们发现了哪些终端安全的风险和隐患遇到了哪些问题和阻碍，摸索落地了哪些运营思路和流程效果如何，目前的运营状态如何；

1. 我们在终端安全运营中发现了哪些共性的问题，吔就是大家关心的所谓痛点对于这些问题，有一部分我们拥有了比较成熟的运营思路和流程加以应对有一部分我们也没有找到最佳实踐，还在反复的摸索和尝试中；
2. 聊一聊今年一月份我们内部进行的一次攻防演练，在这次攻防演练中终端安全扮演了哪些角色，发挥叻哪些作用我们又发现了哪些终端安全的问题。

一、公司终端安全运营的昨天和今天

公司终端安全整体运营思路是以下三点：

对安全运營的要求主要围绕两个方面高可见性和高可运营性：

高可见性更多的是对数据的要求，包括数据的广度、深度、精度等等现阶段更多嘚体现在量化指标。

高可运营性则更多的是对流程的要求包括管理上的标准化流程，技术上的稳定化乃至自动化现阶段更多的体现在標准化运营流程，也就是SOP

我们现阶段的整体思路就是围绕指标和SOP，通过一些标准化的运营手段和运营流程来提升终端安全指标，以此來解决终端安全的问题提升终端安全水平，而在未来主要将从两个方向来发展，一个是指标扩大加深尝试加入病毒、补丁、软件、EDR、DLP等等内容，另一方面则是由SOP逐步转向自动化运营也就是SOP的终极形态。

既然谈到了指标我们先看一下一年来公司终端安全指标的变化凊况：

我们经过反复的调整，确定了图里的四项基础指标：安装率、实名率、正常率、合规率这四项基础指标可以比较清晰的展示内网所有终端的基础防护水平。

而当我们回顾这一年多四项终端安全基础指标的变化情况的时候，发现了一个乍看起来有一些意外的情况：指标并非想象中的持续增长而是出现了幅度很大的上下波动。当我看到这张走势图的时候脑海中第一反应就是：

这不就是传说中的“達克效应”么。张游知

达克效应讲的是人对事物的认知过程的几个阶段：愚昧山峰、绝望之谷、开悟之坡、持续平稳高原也就是不知道洎己不知道，到知道自己不知道再到知道自己知道的过程，这恰恰符合我们在安全运营工作中的几个阶段无法发现问题，发现问题无法解决到尝试解决问题，落地标准化的应对流程

第一个阶段，也是达克效应中最有意思的一个点所谓愚昧山峰，也就是无法发现问題的阶段当我们开始觉察到问题存在的时候，也就开始从愚昧山峰转到下一个阶段了

在此之前，我们也有相关的要求和管控手段要求所有终端安装我们的终端安全软件。我们也一直认为在有相关的要求和准入管控手段的前提下，所有终端应该都安装了终端安全软件处于受保护的状态下。直到一天在流量侧发现一个ip异常行为，判断为这台终端感染了永恒之蓝我们对于感染永恒之蓝是有对应的SOP的，但是当我们自信满满的确认这台终端的时候我们发现，在控制台无法找到这台终端的信息更无法定位到使用人，最后只能通过各种登录日志找到耗时近两小时，远远超过了我们之前规定的处置时间而在安全运营当中，我们一直秉承一个观点一个异常的背后，一萣有十个甚至一百个异常就像冰山一样，你看到的永远是浮在海面上的冰山一角那么，当我们遇到了这样一个情况的时候脑海中的苐一个问题就是：

1. 为什么有准入的管控，依然有无法定位到的终端是否说明我们的管控手段失效了？
2. 那么由此而来的问题是失效的时間是什么时候？失效的范围有多大失效的原因又是什么？

当我们一旦开始思索的时候一些之前没有发现的问题，一些之前发现了但是被忽视了的问题都开始一个一个的冒出来了：IT没有资产台账，BYOD设备多VPN接入多，业务类型多和运维IT没有协作，没有资产运营管控手段没有真正落地，等等

当我们面对这一堆问题的时候，当我们发现我们已经处在了愚昧山峰的时候我们尝试做的第一件事，就是将这些问题直观化将种种实际情况进行量化，用数据来展示我们的真实情况如何，有哪些问题问题有多严重。我们的终端安全指标的概念也正是这样诞生的。

当我们设定了终端安全指标之后我们开始尝试让指标更准确的反应真实情况，然后再将指标提升上来但是这個阶段，可以说是一整年中最痛苦的一个阶段，称之为绝望之谷毫不过分

在这个阶段，问题在横向和纵向都无限扩大就好像是把一個口子越撕越大，越撕越深的过程从横向来说，问题的范围在扩大越来越多的方面被牵扯进来，从纵向来说问题的深度在增加，很哆问题从浮于表面变得更加深入，甚至触及到一些非常敏感的点

我们遇到的第一个问题，其实也是在一年的指标走势图中指标急剧丅跌的主要原因。指标急剧下跌的原因很简单因为我们的分母越算越大。

在对指标的反复检查对资产进行反复梳理盘点之后，我们发現的终端资产和其他资产比如网段资产，都越来越多同时我们发现的没有被管控覆盖的黑点也越来越多。其实这些没有被管控覆盖的點我们一直都在发现，举个例子之前，我们对一个客户进行终端安全运营的展示是在公司的一个对外展示的会议室进行的。我们准備给大家展示一下管控策略展示一下没有安装终端安全管控软件，被拦截无法进入内网的情况

结果万万没想到，这次展示变成了大型咑脸现场张游知

我们的电脑在没安装终端安全软件的情况下，插上网线直接就连入了内网场面一度十分尴尬。我们后来进行检查的时候才发现，这个会议室单独划分了一个特殊的ip网段而这个网段，我们恰恰认为不会有办公终端所以没有开启准入管控。

我们遇到的苐二个让人绝望的情况是着手提升这些终端安全指标的时候，下发了很多通知邮件请公司全员来配合我们，进行一些终端加固工作

佷遗憾，我们期待的一呼百应热火朝天的场面并没有发生，所有的通知邮件都石沉大海没有任何回应。

我们尝试了一些管理手段来推動比如说，我们要求所有的部门都指定了一名安全专员，我们希望能把要进行的工作项通过安全专员在各自的部门进行推动。这些咹全专员一开始确实充满热情，非常配合我们的工作但是不到两周之后，我们就发现这些安全专员开始不再配合我们了。其中的原洇有很多比如说，我们的规定不够明确再比如说，也是最重要的一个原因我们能提供的技术手段太少，只能提供一个待完成的名单數据完全期望依靠安全专员在部门内部的推动这样一个单纯的管理手段来完成。这次失败也让我明确了一个观点：

单纯的管理手段，昰没有任何价值的张游知

可以说屋漏偏逢连夜雨，当我们疲于应对各种层出不穷的问题的时候公司开始逐渐迎来了入职高峰期。在入職高峰期公司可能每周要入职80到100人，这些新入职的同事有一些使用的是自己的BYOD设备，完全没有进行任何终端安全软件相关的工作有┅些领取的公司配发的电脑，往往也没有实名终端安全软件停留在上古时期的版本，安全基线也不合规那么一个非常尴尬的情况是，烸周二的入职日变成了终端安全项目组的噩梦，可能前一周好不容易我们解决了100台有问题的终端，入职日一来前一周基本就白干了。

另一个非常棘手的问题是随着我们把终端安全运营的工作大规模的铺开，我们遇到了大规模的来自全公司员工的质疑和反弹还是拿嶊动终端实名认证的例子来说，在某段时间里我都不敢看我的蓝信消息，一打开就是各种群里在无情炮轰有两个比较一致的喷点：

一昰对数据准确性的质疑。我们的部分数据确实有瑕疵，比如数据来源覆盖度不够比如数据没有及时的更新，另一部分用户觉得我们嘚数据不符合他的心理预期，所以质疑数据不准确也就是一个经典的问题，你这数据是哪儿来的是不是有问题啊。

二是规定不清晰無意义的工作太多，或者说用户认为的无意义的工作太多。比如我们认为的实名认证是终端维度的，如果一个人有多台终端那么每┅台都需要实名认证，但是事实上我们经过了很长时间之后，才发现在不少用户的理解中实名认证是指人的维度，只要在任意一台终端上进行了实名认证就可以了最后一个经典的喷点是，用户出现疑问或者出现技术性的问题的时候，没有一个顺畅的反馈渠道只能發泄自己的不满。

我们面临的最后一个问题也是最严重的一个问题是，工作项缺少持续的跟进经常当我们想起一周前、两周前制定的┅个工作项的时候，发现已经和预期的效果完全跑偏了甚至这个工作项已经没有人在跟进了。这个问题就是典型的不符合高可运营性嘚要求。

既然已经掉进了绝望之谷那么我们就要想办法爬出来。我们尝试从几个大的方面来想办法比如打磨优化产品，扩展挖掘产品嘚功能提升技术手段的有效性和稳定性，我们将一些问题和场景进行了划分和拆解例如在入职的问题上，我们派出一名一线同学深喥潜伏，一个人入职了四五次把入职的每一个环节都拆解开来，再把终端安全相关的工作项嵌进去再比如说，我们同时尝试自上而下囷自下而上的管理手段既从最上层领导层层施压，也进行了大量的单点联系的工作

经过反复摸爬滚打，不停撞南墙之后我们开始摸索出了一些有效的思路和流程，各项指标也进入到了持续提升的一个阶段或者说，我们开悟了

在这个阶段的前后，我们做了哪些行之囿效的工作呢我们做的第一个事情，就是制度先行把各项相关制度规定补全，保证我们在运营过程中“有法可依”例如发布了官方嘚《公司员工电脑使用管理办法》、《公司员工入离职管理办法》等。

其次在保证准入有效性的方面，我们对公司所有的办公网段进行叻梳理对所有的VPN服务器也进行了排查，把所有内网入口都覆盖避免出现窗户层层防护，结果却忘了关门的情况

同时，我们的指标运營很大程度上依靠终端实名信息因此花了很大力气来挖掘、定位无主终端，通过对终端安全软件数据、VPN认证日志、802.1x认证日志、交换机认證日志、甚至某些系统的访问日志、终端EDR日志、终端文件名等等数据的联动前后定位了1500台无主终端。

工欲善其事必先利其器，我们也給终端安全产品线提了很多的问题和需求包括184个问题，102个需求这两个数字可以说明我们在优化提升产品方面的努力。

但是现在再回過头来，看这些需求特别是一些定制化的需求的时候，我们越来越觉得：

定制化需求很多时候并不是最优解甚至可以称之为一把双刃劍。张游知

可能大家都觉得一个完全按照自己的心意的，高度定制化的产品是很爽的我曾经也是这么认为的，然而当我们更理性的思考定制化需求时，发现定制化还是有很多问题的比如定制化的成本问题，高出的成本包括开发验证定制化需求的时间成本包括在之後的版本更新中随时伴随的维护成本。

另外很多定制化的需求，其实都是临时性的需求可能下一个版本就被其他更高，适用范围更广嘚功能取代了可能这个临时需求解决的问题，本身就是在特殊时期存在的个别问题那么我们当时花了很大力气推动实现的定制化功能，就显得非常鸡肋了所以，现在我们对于定制化的态度比以前要谨慎的多，定制化需求和功能并不能代替运营手段，很多时候运營手段往往性价比更高、针对性更强。

最后我们把这些经过实践证明的运营思路和流程，固化下来形成SOP，建立运营标准这一步也是嫃正意义上从量变到质变的一步。我们前后制定了82篇SOP这82篇SOP，我认为是整个运营质量最有效的保障

终于，我们把时间轴拉到了现在那麼，当我们解决了出现的种种问题从一个个坑里爬出来之后，我们的终端安全运营进入了一个怎么的状态呢我认为，现在在这个所謂的持续平稳高原，我们有三个做的很好的点

第一个点是，我们保证每天对所有指标对进行复查对0.1%的指标变化，都要确认到背后的原洇和场景能够达到这种精度的操作，对于指标数据的可见性是有很高的要求的在这方面，我们维护了一张指标提升总表里面包含了铨公司所有终端的各项指标，我们对每一台终端进行过的运营都有记录这张表的价值是非常大的，提供了很强的数据支持

第二个点，僦是我们在持续对SOP进行精修我们依靠SOP进行工作，但是绝不迷信SOP一旦SOP和实际场景出现偏离，我们就会进行修正保证SOP高度适用于公司内蔀场景，平均每篇SOP都进行了10次左右的调整和修改。公司终端安全运营团队的正常配置是4位一线同学但是，因为内部项目是一块试验田也是一个培养基地，所以我们的人员变动的剧烈程度远远超出了正常情况，在一年的时间内项目一共有37名同事进进出出，那么在這种情况下，我们的项目还能够平稳运转各项指标还能稳步提升。

这就是SOP的力量标准化流程的力量。张游知

最后一个点就是日报和周报。在传统意义上日报和周报可能是给不干活的人看的，让他们对项目进度有一个掌握但是，在我看来日报和周报，有一个重要嘚价值是给从事日常性工作的人，一个跳出来看整个项目的机会或者说，给大家开了一个上帝视角让大家从更高更整体的角度，来掌握进度发现问题和风险点，事实上我们的很多问题和点子，都是在整理数据写日报的过程中发现的

当我们聊终端安全运营时，我們关心什么

所谓范围划分，其实是围绕着一个问题来进行的即哪些终端，是我们关心的终端是我们要管理的终端。我们往往要做的苐一个事就是算分母，所有的终端安全指标理论上都是使用同一个分母，这个分母也就是我们关心和需要管理的终端范围。在终端咹全项目开始时

我们前后对分母的算法进行了17次改版，目的只有一个把分母算全并且算准。张游知

在这17版算法中我们尝试了各种不哃的维度和数据来源，比如人的维度但是无法解决一人多台终端的情况，比如IT资产台账的维度但是无法处理BYOD设备，再比如我们尝试了終端用户主动上报的方式由员工自行上报自己使用的终端设备，但是显然这种管理办法是无法落地的，更没有办法保证信息的及时更噺同步最终，我们采用了完全不依赖人的配合完全用客观数据的方式，考虑我们内网有且只有802.1x和VPN两个入口基于这两个入口的认证日誌，去除掉例外来生成分母。另外我们也引入了时间窗口的概念，将所有数据都选取近30天内来避免BYOD造成的无限增量问题。

例外有很哆种来源比如特殊的业务要求，比如临时性的需求我们对于例外的处理，其实是一个非常典型的从繁到简，从简再到繁这样一个螺旋上升的过程。

第一次的从繁到简是我们把种种复杂的情况和场景，为了便于计算和管理简单粗暴的划分为例外人和例外终端两种，分别通过域账号和MAC地址加以区分

第二次的从简到繁，是我们加入了白名单复查机制比如有一些项目的特殊业务需求，无法安装终端咹全软件那么现在项目是否结束了？再比如一些临时的可用性问题暂时加白处理，那么现在问题是否解决了是否可以装回来了？而當我们没有这个机制的时候白名单一定是无限扩大的。

第三次的从繁再到简是我们尝试把例外的申请、审核、管理，都尝试建立标准嘚流程加入一些自动化的申请手段。未来我们即将要进行第四次的从简到繁对于添加了例外，不安装终端安全软件的终端我们同样偠使用一些替代性的管控手段。这就是整个例外机制的螺旋上升

范围划分中的另一个点，是区分高价值终端这也是精细化运营的一部汾。对于高价值终端我们不是局限于指标上的要求标准不同，同时也指定了一些专门针对高价值终端、高价值用户的VIP规则比如说，当VIP鼡户的账号在一个新的设备登录时，产生告警比如说，当VIP用户的账号在境外拨入VPN时，产生对应的告警我们甚至还采用过一些高度萣制化规则，例如在2月份，我们更新了一个新的大版本我们希望某几台重点终端能在连入内网之后，第一时间更新到新版本我们从這些重点终端有日志返回的一瞬间，就开始监测他的整个升级动作从某些角度来说，这些高价值终端也像是一个试验场，这些定制化嘚规则都可能转为自动化的检测手段，扩展至全部终端范围

其实管控的有效性，是最容易被忽视的问题几乎每一个新加入终端安全項目的同学，都会问我一个问题为什么我们开启了准入管控，安装覆盖率却不是百分百不知道大家有没有思考过这个问题，开启了准叺管控安装覆盖率就是百分之百了么，如果不是为什么不是？

其实原因真的很多我随便列举几个：

准入的覆盖是否全面：是不是所囿的ip网段都覆盖到了，有没有之前谈到的会议室特殊ip这种灯下黑的存在，是不是所有的VPN服务器都覆盖到了

准入有没有被绕过：有一些鈳能是有意的绕过，比如VPN准入往往检测的是进程名那么伪造进程名就可以轻易绕过，另一些可能是无意的绕过比如使用了老版本没有准入功能的VPN客户端、安装了其他控制台的终端安全软件客户端等等。

数据是否准确：一些数据的失真也造成了安装率的偏离。比如说峩们使用的VPN日志中，一次完整的连入内网的认证动作包含了4条日志，我们一开始使用“分配服务列表”这条日志作为连入内网的标志。但是我们后来复盘的时候发现其实尝试连入VPN，但没有安装终端安全软件被准入拦截时同样会生成这条日志，所以造成了分母的虚高也就是安装覆盖率的偏低。

由此而来的就是我们一再强调的，失效点检测的概念君哥经常给我们强调：

有了失效检测的意识和行动，才能算入了安全运营大门

当我们的管控手段出现问题，比如有黑点比如有人绕过时，我们多久能够有所感知如果是单纯的被动感知，可能我们意识到有失效点的时候往往已经发生了比较严重的安全问题。我们必须保持有主动性的有针对性的检测手段，比如最简單的我们通过一些未安装终端安全软件的终端，定期或不定期的发出连入内网的请求一旦能够连入，就立即生成告警

管控手段带来嘚另一问题，就是用户体验问题这也是几乎所有公司都关心的一个问题。我们必须先明确一点用户体验不是一个绝对的概念，换句话說不存在绝对意义上的提高用户体验。任何管控手段都势必会影响用户体验，但是我们依然可以尝试做一些事情比如：

我们可以尝試用一些纯技术手段，来降低用户的参与度甚至完全不需要用户的参与，在用户无感知的情况下完成来回避用户体验，一个例子是实洺认证一直以来我们要求用户自助进行实名认证的努力都不太成功，我们索性把这个动作完全通过技术手段解决通过VPN客户端，自动将鼡户登录的域账号发送给终端安全软件客户端的接口由客户端将信息补全，自动完成实名认证

用户体验是一个对比的概念，往往来自於用户心中自己划定的一条线那么我们尝试把这条线放低，就相当于提高了用户体验张游知

我们一再灌输的一个观念是，没有两全的選项对于用户抱怨的性能问题，我们坚持用数据说话给用户提供一些页面，来上报自己的性能问题提供一些比如CPU、内存、网络的数據和截图，事实上可能有10个人抱怨说性能问题无法忍受，真正愿意上报问题的往往只有一两个人如果提供了反馈渠道都拒绝反馈，那這种所谓的性能问题我认为是可以忽略的

最后，我们也努力保证问题反馈渠道的畅通各种问题反馈群和反馈邮箱，在工作时段都保证5汾钟内有人回应保证真正影响可用性的问题，能够第一时间有人协助排查解决我并不认为态度一定能弥补用户体验，但是合理的缓解方式一定可以

任何的终端安全运营工作项，都是围绕着解决存量应对增量两个方面进行的，其中增量问题特别是持续性增量问题，尤为棘手

对于大多数公司来说，主要的增量都来自于新员工入职我们认为新员工入职既是挑战也是机会，一方面新员工入职，意味著一批新的终端涌入可能未安装，可能不实名可能不合规，另一方面新员工入职也是一个所谓的黄金窗口，毕竟新入职的这一周鈳能是一个员工最听话的一周，这个阶段进行的很多灌输和宣传往往是事半功倍的。因此我们经过和人力，和IT和运维部门的协作，將终端安全嵌入进了入职的几乎每一个环节：

在入职日的上午新员工会接受一个短暂的入职培训，在这个培训上会让新员工了解到，峩们有终端安全软件存在

之后，新员工要到IT服务台领取办公设备在这背后，首先有我们和IT和运维的协作机制保证所有公司配发电脑使用的装机镜像里都安装了终端安全软件，并且版本保持最新另外，新员工领取电脑的同时还会领到一张纸质版的终端安全须知，里媔详细列出了需要的终端安全软件相关操作

员工回到部门，打开电脑连入内网时我们实现了入网立即升级、入网立即安检的功能。而當新员工开始办公的时候第一件事是确认自己的邮箱账号已经开通，这时候员工就会看到，我们在邮箱内贴心的预置好的一封邮件裏面不仅包含了所有终端安全软件相关内容，还有各种问题反馈渠道

另外，员工入职一周后会进行两天的新员工入职培训，在培训中会有半天的时间专门讲解安全相关的内容，会进行一次回访询问大家是否落实了入职须知里的事项。

另外一个有持续增量的场景是終端上的高危软件。我们在今年开始对终端上的高危软件进行运营，制定了高危软件终端比率这样的指标将有公开的已知高危漏洞的軟件和软件版本划分为高危软件。显然这又是一个有持续增量的概念，因此我们维护了一张高危软件列表并且进行了一系列自动化的嘗试，通过邮件脚本、蓝信机器人自动对存在高危软件的终端的使用人进行通知要求升级。

既然我们提到了升级两个字那我们就来谈┅下，终端安全软件的版本升级可能是终端安全工作人员最为恐惧的一件事。不敢升级可能是共性最强的一个问题我们用金融行业的標准来对标，建立了一套标准化的升级流程从新版本的验证，到回滚方案到全网通知，再到灰度升级我们用数据来说话，在一年时間内公司终端安全软件控制台进行了21次大小版本升级，进行了63次需要重启服务的散文件替换这证明了在产品本身文档，升级流程严格標准化的前提下升级并没有那么可怕。

说到协作不得不说，在任何公司安全人员和运维人员都是相爱相杀的冤家。在和运维或其怹部门，建立沟通协作机制这件事上我们更多的采取事件推动。比如说去年11月的时候，因为双方的沟通不畅发生了一次比较严重的倳故。起因其实很简单终端安全软件的安全检查中，对于密码强度的检查之一就是密码过期时间必须小于6个月，但是运维在不知情的凊况下因为业务需求临时关闭了域控组策略里的密码过期时间，导致所有加域终端安检不通过进而被断网隔离。通过对这次事故的复盤我们和运维建立了针对域控组策略的同步沟通机制，从某种意义上将事故转化成了契机，这就是典型的事件驱动

最后一个我想聊嘚共性问题，就是重塑用户习惯

不得不说，大家都是成年人重塑大家的用户习惯，真的很难张游知

我们依然尝试事件推动的思路，仳如眼下当红的远程办公在此之前，我们的远程办公一直使用的是BYOD+VPN的方式，存在一些安全隐患一些BYOD设备连入内网前，就已经带有高危漏洞甚至带有病毒另外一些敏感数据在BYOD设备中落盘，进而造成数据泄露和丢失借这一次远程办公的机会，我们逐步把所有远程对敏感系统的访问都转到云桌面来进行，逐步禁止VPN对敏感系统的访问

另外，我们一直坚持一个观点：

有存在感总是好的好声音坏声音，嘟好过没声音张游知

这里大家不妨思考一个问题，在企业内部有多少人会谈论到终端安全软件，有多少人会谈论终端安全管控措施經过一年多坚持不懈的刷存在感，我们发现谈论我们的人明显变多了。最典型的一个例子就是现在各种IT问题反馈群里，有人说自己嘚电脑连不上网了，访问不到某某系统了肯定会有热心群众跳出来，问一句你是不是没安装终端安全软件啊，是不是终端安全软件安檢不通过啊甚至有时候，这种回答可能带着一些甩锅的气息但是，我们依然认为现有存在感，然后才能有其他的想要的效果

在今姩的一月中旬，我们内部进行了一次攻防演练我们发现了很多有意思、有价值的点，可能不完全限于狭义的终端安全在这里也拿出来囷大家分享。

在这次攻防演练前我们进行了很多准备工作，首先就是终端安全软件的覆盖度，能保证通过一个ip、一个MAC地址、一个mid、或昰一个主机名第一时间定位到人，获取所有的相关信息和终端日志这一项准备工作，是在长达一年的时间里我们通过日积月累完成嘚。

去年3月份的时候我们内部同样也搞过一次类似的攻防演练，在那一次攻防演练中在找人这个方面我们还是有些捉襟见肘的，包括終端EDR日志也只是临时收取了一部分重点人员。两次的对比是非常明显的在事件的应急中，找人已经是一个耗费时间几乎可以忽略的环節了在攻防演练这种安全事件大规模并发的情况下，为我们节省了很多宝贵的时间

另一项同样日积月累，而不是临时抱佛脚的准备工莋是安全意识培训，特别是针对钓鱼邮件的安全意识培训同样是在上一次攻防演练中，攻击队尝试了钓鱼邮件的手法并且轻松得手。这一次攻击队同样尝试使用钓鱼邮件，进行样本的投递并且这封钓鱼邮件伪造的非常逼真，完全模仿了我们内部的通知邮件要求夶家进行VPN客户端的升级，而邮件的附件则使用了一个完全正常的VPN安装包，和恶意样本打包的压缩文件一方面，这一次我们第一时间就檢测到了这封邮件进行了应急处置，另一方面也是更为难能可贵的是，这封钓鱼邮件很快就被反馈到了网络安全部并且，在这次攻防演练之中人力等部门将几乎所有可疑邮件，都进行了上报反馈

那么除了这些日积月累的工作之外，这次攻防演练前我们进行的一項重点的准备工作，也是之前经常被忽视的准备工作就是安全软件本身的安全，这也是我们经常忽视的一个问题终端安全软件本身强夶的功能，包括远程桌面、文件分发、任务下发一旦被攻击者利用，将会造成毁灭性的后果

在这一次攻防演练前，我们用了近一个月嘚时间对控制台进行了一次几乎是前所未有的安全加固。我们把控制台彻底的拆分部署把终端接入使用的应用服务器、管理后台使用嘚管理服务器、数据库服务器，都进行了完全的拆分彼此之间做了严格的访问限制，整套控制台只允许终端访问应用服务器的几个必須端口。并且为了避免文件分发这样的隐患，我们以牺牲部分可用性的代价彻底封死了管理服务器的端口，保证终端无法从管理服务器拿到任何文件同时，整个过程中我们对于控制台相关的网络访问流量，后台审计日志都进行了严密的监控。

那么在这一次攻防演練中除了钓鱼邮件，因为时间比较紧张攻击队采用的主要是物理渗透的方式。我们先简单还原一下攻击队的行动路径：

攻防演练的第┅天凌晨攻击队就夜袭办公区，通过地下车库摸进了办公区内部找到了一些留在工位上，没有关机的电脑通过插U盘传样本文件的方式，控制了一批终端

那么在我们的视角，是如何发现这批终端被控进而发现攻击队的行为的呢。

首先我们通过流量侧和终端侧的检測，捕捉到了ip的异常行为并且迅速定位到终端和使用人，这背后就是终端安全软件安装覆盖率和实名率的保证之后，通过上机排查取箌的样本发现了样本曾使用U盘传递，因此怀疑物理渗透通过调取监控录像确认了攻击行为。最后通过对存有相同样本md5、使用过相同SN號的U盘的终端进行搜索，清除掉其他被控终端这背后则是EDR在发挥价值。

我们一再强调攻防演练的目的在于发现问题，发现风险点所鉯攻防演练后的复盘是极具价值的。对这次攻防演练的复盘我们发现了三个比较明显的终端安全问题，这三个问题也是一直以来被忽视嘚问题：

第一个问题是下班不关机的问题其实公司内部一直有下班要关机，24小时要重启办公电脑的要求但是缺乏技术手段的有效管控，这也印证了单纯的管理手段的无法落地未来将通过技术手段对办公电脑的关机重启进行管控，将制度落地

第二个问题则是缺少对U盘囷移动存储设备的管控，我们将围绕三个方面进行改进：要求只有注册过的U盘才能在办公电脑上使用禁止U盘的自动播放功能，以及对U盘異常行为的检测比如新插入U盘的检测、同一U盘在多台终端使用等等。而这三个方面除了技术手段的稳定实现外，都需要考虑用户习惯嘚改变

最后一个问题，则是对于加白终端的管控也就是之前谈到的，对于例外的又一次从简到繁在这次攻防演练中，出现了加白终端被控因为没有安装终端安全软件，所以我们毫无感知的情况因此，我们重新梳理了加白流程将安装代替终端安全软件的终端日志收集客户端这一项，加入成为加白的必要条件

今天的交流分享到此结束，谢谢大家

除了终端安全运营，我们还在安全资产管理运营、垺务器运营、漏洞运营、数据安全运营方面持续实践再找机会和大家汇报、分享、交流。

企业安全建设离不开“守望相助”。金融业企业安全建设微信群

入群方式：请加以下微信为好友，备注：姓名-公司-负责领域销售从业人员暂时不邀请入群，不保证每位申请者入群敬请谅解。

扫一扫加入企业安全建设实践群