Windows7停服，安天守护

时间： 2020年01月20日来源：安天CERT

2020年1月14日起微软已正式停止对Windows 7和Windows Sever 2008的维护，未来除部分特殊付费用户，微软将不会再为上述两个系统提供补丁更新和系统升级服务。使用Windows 7和Windows Server 2008的用户面临的最大安全风险是终端上存在着无法被修复的高危漏洞，而这些漏洞将时刻可能被攻击者所利用。

由于这两个系统依然有非常高的存量，攻击者不仅不会停止对Windows 7和Windows Server 2008漏洞的挖掘，在一段时间内，可能还会加速。与此同时，由于Windows代码的继承关系，Windows 10等更高版本系统中存在的漏洞，有较大概率在Windows7时代就存在。一种常见的攻击方式，就是攻击者通过对高版本补丁的比对，快速定位漏洞位置，验证受到漏洞影响的版本，然后根据不同系统的微小差异，编写和调整攻击代码。而在这种情况下，漏洞利用方式被快速找到，一个对高版本系统的1day攻击，可成为对已停服的低版本系统的持久有效攻击方式。

漏洞失去官方响应，继续全面维护客户安全的责任自然需要由能力型网络安全厂商来扛起。智甲终端防御系统是安天研发的面向政企客户的端点综合安全防护软件。安天智甲全面适配主流操作系统的各种版本，可为办公机、服务器、虚拟化节点、移动设备、国产化计算机、各类自助终端、工控上位机等各类端点场景提供多层次、全周期的动态防护能力。依托完善的防御层次和在Windows XP停服后所积累的响应经验，安天助力用户从容应对Windows 7和Windows Sever 2008停服后的安全考验。

一、通过配置加固和虚拟补丁增强系统安全性

智甲内置原厂补丁和第三方虚拟补丁统一分发、全网端点配置动态调整机制，可强化操作系统底层安全。智甲通过对终端的各项配置进行加固以增强终端的威胁对抗能力，可在很大程度上减少因Windows7停服而产生的被攻击面。一些安全基线产品虽然也提供了配置加固功能，但配置点较少，通常只有十几个到几十个左右，不能充分发挥出操作系统自身的安全能力。而智甲参考STIG标准，拥有数百个配置点，可为不同系统的应用场景设定配置模板，再使用智甲管理中心统一进行策略配置检查和策略下发，并进行调整。通过配置策略，关闭不需要的开放端口、停止不需要的服务、提升操作系统自身的安全等级，从而最大程度上减小暴露面。在动态加固层面，安天CERT对Windows漏洞持续跟踪研究，对严重漏洞研发虚拟补丁（热补丁），可使用户在无法获得补丁支持或不适合打补丁的情况下，无需重启系统即可对指定漏洞具有防护能力。

二、以下一代检测引擎支撑基础威胁对抗

智甲集成了安天下一代检测引擎AVL-SDK 5.0，AVL SDK可以精准检测包括感染式病毒、蠕虫、木马、黑客工具、风险软件、流氓软件等八大类别，近四万个家族，超过1200万的病毒变种（覆盖百亿级样本HASH），还可给出包括病毒类型、活跃平台、家族名、变种号、典型行为等精准信息。AVL SDK基于深度预处理机制，对压缩包、自解压包、各种壳进行解包、脱壳处理，同时基于虚拟执行等机制，能有效对抗各种免杀处理方式。通过启发式扫描、决策森林等机制可有效检测发现未知样本。智甲通过AVL SDK对主机系统的扇区、驱动、服务、内核对象等进行安全检查、对全盘文件进行定时扫描、对以各种方式到达主机的文件进行安全检测，使智甲的安全检查和主动防御机制能精准识别和拦截威胁。

AVL SDK是检测、分析多种威胁和数据的综合安全引擎。AVL SDK将识别器、鉴定器、拆解器和分析器合为一体，将检测对象进行细粒度向量拆解，将拆解结果连同检测结果汇聚到二级管理平台或态势感知系统进行进一步关联分析。可实现在不同场景下，针对多向量输出结果，构成私有化的用户侧知识，构建私有化检测模式。使引擎在反APT、入侵取证等复杂场景下，为上层的工作提供深度的技术分析与决策支撑，并可以对安全分析产品、云端支撑体系和知识中心提供良好的支撑作用。

三、以信誉验证机制支撑专属环境安全

安天AVL-SDK下一代检测引擎内置可执行文件的证书识别、本地验证和信誉管理机制。通过这个机制，智甲在SCADA、服务器等场景中，可以支撑以“白防”为核心的专属环境机制，让主机系统只能运行网络管理者允许运行的厂商所发布的程序，进一步降低威胁程序加载的可能性。

这一机制并非简单地让有数字签名的程序加载，而是通过结合安天维护的证书信誉库与网络管理者自定义的方式，来应对包括攻击者申请了合法签名等攻击样式。

四、以强主防内核有效拦截阻断攻击链

智甲产品通过内核驱动，构建了面向端点侧全攻击周期的主动防御能力。在进程行为、敏感文件/API调用、网络流量、注册表修改、PowerShell调用等攻击者的利用点上，构建了全面的监控和拦截能力，并为提升主动防护点的覆盖度和验证防护能力，进行了对大量实战案例的分析。从防御有效性、执行效率、防护成本等多种因素考虑，智甲在初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制等多个阶段都建立了防护或感知能力。

除上述能力以外，智甲还通过分布式防火墙、HNIPS有效感知以及控制横向移动，借助将数据汇总到客户的智甲管理中心和态势感知平台，来支撑全网安全分析，并获得威胁情报形成快速排查机制。

与此同时，为了避免像Windows 7停服这样的情况给我们带来更多的被动局面，相信以国产化操作系统为代表的我国信息技术应用创新产业也会加速发展。安天智甲信创专版，为国产操作系统提供了相同的一体化防护能力。安天较早为国产化操作系统提供了安全防护产品，为多个国产操作系统提供了早期的安全规划建议。安天智甲信创专版具有可信验证、病毒查杀、进程防护、漏洞检测、虚拟补丁、终端管理、网络防护等多种功能。2015年起，在国家相关部门的统一规划下，安天分别与中标麒麟、中科方德、银河麒麟等国产操作系统厂商进行了深入的代码级合作，实现了预装试点。2016年，成功支撑了“型号首批万套部署”，获得了主管部门的高度认可。按照“国产硬件+国产化操作系统”的双国产组合计算，智甲已实现对近百种版本的良好环境适配，并且与中标麒麟、银河麒麟、中科方德、达梦数据库等厂商的产品具有兼容互认证明。

为了在不同操作系统和使用场景中，形成全局防御模型。安天在有关专家的建议下，率先在端点防护产品的研发工作中引入了ATT&CK威胁框架，将其作为产品主防能力指标的主要参考和验证标准。

智甲的采集防御点面向ATT&CK匹配度如下（目前已对51%以上的攻击动作，形成了应对能力）：

安天智甲构建客户端点防御的基石，结合安天探海威胁检测系统对流量进行监测，以及安天追影威胁分析系统的威胁沙箱分析，可以达到更好的防御效果。