當終端安全遭遇“花樣釣魚”：這位金融用戶讓紅隊的186個木馬全部失效

傳統隔離方案難以平衡成本與體驗

傳統的安全隔離方案大多采用雙終端、雙BYOD/CYOD（雙桌面）等模式，不僅成本高、管控難，更嚴重影響用戶體驗。

“作為安全部門，我們不能忽視員工使用的便利性 —— 比如訪問 互聯網 時要頻繁切換終端，體驗太差了。我們追求的是讓不懂安全的員工也能 “順滑” 完成安全辦公操作。” 該安全負責人表示。

如何平衡安全性與使用體驗，是很多用戶在安全建設中都要考慮的一個共性問題。

產品堆疊導致終端性能消耗巨大

為保證終端安全，很多用戶都會選擇 同時開啟 多種安全軟件（殺毒、EDR、DLP、桌面管理等）。然而，將這些“重量級”安全工具同時部署在一臺終端上，會導致各自的運作競爭 有限的系統資源 （CPU、內存、磁盤I/O、網絡帶寬等）。

這種資源消耗的直接表現就是：員工在進行日常辦公操作（如打開文檔、啟動程序、保存文件、網頁瀏覽）時，會明顯感受到 系統響應變慢 、 操作卡頓 、甚至 程序無響應 ， 這不僅影響了工作效率，也極大損害了員工對IT環境的滿意度。

破局之道：以非對抗、原生安全防御理念守住終端安全底線

當安全體系陷入與木馬 “貓捉老鼠式” 的對抗泥潭，當終端上部署的層層安全防護被APT組織繞過，該如何守住終端安全的 “最后一道防線” ？

“我們嘗試過很多方案，都沒能徹底解決問題。結合種種探索研究我意識到，以 進程級沙箱隔離 為底線機制，將攻擊者逼到必須突破沙箱網絡隔離的單一場景下，再輔以 輕量化、簡單化 的EDR、DLP等手段重塑終端安全體系，或許是當前技術條件下，防御釣魚勒索、保障數據安全的 終極解決方案 ?！痹摪踩撠熑吮硎?。

這一思路與深信服零信任上網沙箱方案不謀而合，于是雙方迅速達成合作。

零信任上網沙箱方案以 ? “上網安全” ? 為核心能力，為終端訪問互聯網構建一個 安全隔離 的環境 —— 能夠實現 限制程序隨意運行 （如僅允許指定程序訪問互聯網）、隔離沙箱內外的數據與網絡，從根源上阻斷 釣魚遠控 、 病毒入侵 與 泄密風險 ，同時可與AC產品聯動，實現用戶認證、上網管控一體化。

深信服零信任上網沙箱方案

這道“沙箱防線”是如何守護用戶終端安全的？

沙箱內外網絡隔離：攻擊者無法觸及本地網絡

通過在終端創建與本地環境隔離的 ? “安全上網空間” ：本地桌面與上網空間網絡是 邏輯隔離 的， 上網空間 無法訪問本地網絡 。該空間內運行的軟件（應用）還具備SSL加密通信、落地文件加密、網絡隔離、剪切板控制、外設管控、程序管控、文件外發管控、屏幕水印等全方位數據保護功能。

即便對抗類安全產品被繞過，上網沙箱也能 切斷攻擊通路 ，讓攻擊者無法觸及核心網絡—— 這就是 “最后一道防線” ?的核心價值。

上網沙箱用戶使用界面

底層邏輯：從根源切斷C2與木馬的致命連接

用戶所有互聯網訪問操作均被嚴格限制在沙箱內，并配合進程白名單（僅允許運行主流合規軟件）。這從根本上切斷了 “連接C2” 與 “運行木馬” 的致命連接：

能連C2，無法運行木馬： 沙箱內應用雖可聯網（可能連上C2），但受白名單限制，遠控木馬無法在沙箱內執行。

能運行木馬，無法連C2： 個人桌面默認不允許訪問互聯網，即使惡意程序僥幸在本地桌面運行，也會因網絡隔離無法連接C2服務器。

從根源切斷C2與木馬的致命連接

兼顧成本與體驗：低成本、好管理、易操作

與傳統雙終端、雙BYOD/CYOD（雙桌面）方案相比，深信服零信任上網沙箱方案有幾個顯著優勢：

低成本，易部署： 直接利用用戶終端現有的硬件資源，業務數據隔離加密存儲于本地，用戶側部署僅需安裝客戶端軟件，無需額外操作系統，開箱即用。

管理便捷高效： 安全團隊可以預設不同的網絡環境，每個網絡環境可以基于應用、目標地址、人員組織等靈活設置網絡訪問權限，員工在終端可以一鍵切換網絡環境，滿足不同的辦公訴求，提升辦公效率。

用戶體驗感好： 在員工使用終端的過程中，可以通過 本地空間的進程白名單能力 不改變其原有業務操作習慣，或者在訪問互聯網時，通過鏈接或程序自適應提示即可自動拉起上網空間，操作簡單，讓 “小白用戶也能輕松使用” 。

“通過沙箱預設終端網絡環境的功能是個很大的亮點，很實用。我們根據公司實際需求設置了 多種網絡環境模式 ，并根據使用需求分配給不同的用戶和終端，用戶可以在這些網絡環境中 隨時靈活切換 。目前使用體驗比之前好很多，功能性和便捷性都十分契合我們的需求?！?該安全負責人表示。

金融行業用戶之聲：讓紅隊的186個木馬全部失效了

金融行業歷來是網絡攻擊者的? “必爭之地” ，其安全建設標準本就嚴苛，基礎防護體系也是各行業中最為完善的。但隨著 協同辦公軟件 的普及，以及關鍵人員工作中越來越多的互聯網訪問需求，內網終端開放互聯網權限已成常態，這就導致終端面臨的 釣魚、遠控、中毒及數據泄露 陡增。

“對 金融行業 來說，用戶終端不僅存儲著海量的敏感數據，同樣也連接著金融專網，因此對于安全的要求是 ‘零容錯’ 的，沒有失敗的機會——一旦被攻破，企業的經營、財產、信譽都可能遭受毀滅性損失。我們要的不是‘大概率安全’，而是近乎 100%無死角 的 萬全之策 。在終端安全方面，目前基于木馬、行為檢測和對抗式的方案都滿足不了這個要求，更別說未來還需要考慮再疊加對數據安全的需求。”某金融行業用戶的安全負責人直言。

在近期的實戰攻防演練中，該金融行業用戶正是依靠這一機制，成功遏制 多起高級釣魚攻擊 ? —— 攻擊者雖誘導用戶運行了木馬，但全部因被沙箱隔離從而 無法實現遠控 。

“我們收集了186個紅隊在攻防演練實戰中使用的遠控木馬，直接在終端上運行后，實測均無法突破上網沙箱的這層防線。” ? 該安全負責人表示。

對于未來的發展，這位安全負責人給出了積極的期待，也提出了更多要求：

“實際上，沒有任何一種安全產品和方案可以實現100%的防御，上網沙箱的非對抗、原生安全防御理念也并非完美無缺。在改變當前終端安全攻防方式的同時，對產品自身的安全質量也提出了更高的要求。

未來，以上網沙箱為基石，輔以輕量化的EDR、DLP終端安全方案，有望在終端安全的戰場上實現安全和體驗的平衡，打破 “被動響應、資源消耗、技術滯后” 式的惡性循環，重塑終端安全體系?！?

深信服零信任上網沙箱方案 ，致力于為對安全有極致要求的用戶，構建保護終端安全的 “最后一道防線” 。通過 “本地重辦公+沙箱輕上網” ? 的新思路，實現辦公空間和上網空間網絡與數據的安全隔離，在提供開箱即用便捷體驗的同時，提供極致的安全保護， 讓用戶在復雜網絡環境中，真正實現 ? “安全無死角” 。