经过近几年的迅速发展，信创产业已经从 “规模化推广”进入到“深化落地”阶段。据国内权威机构预测，作为信创产业链关键一环，信创PC到2026年的出货量将达到950万台。

作为当前生态建设的关键环节，信创平台本身的安全性也应该成为重点关注的方向。微步终端安全检测团队研究发现，除了常见的恶意软件，信创终端主要面临三大安全风险：Windows平台攻击代码的平移、操作系统生态中的漏洞、应用软件漏洞。这些风险不只是依靠基础防病毒能解决，需要新型的EDR能力来进行支撑。

对此微步在线认为，终端EDR应该和终端管控、防病毒软件同步建设，形成体系化的信创终端安全防护能力。12月10日，微步在线将正式发布终端安全管理平台OneSEC信创版，实现Windows、macOS以及信创OS的全平台覆盖。

跨平台利用，信创PC面临的三大主要风险

微步在线终端检测团队研究发现，目前信创PC面临的安全风险主要体现在三个方面：

1. Windows平台恶意软件的跨平台利用

信创操作系统通常可以兼容（例如安装“wine”）运行大多数Windows程序，甚至不少用户在应用商店下载并安装了Windows应用后即实现了默认兼容。这让攻击者能够将Windows恶意软件“移植”到信创操作系统上，而无需另行开发恶意软件。

下图为常见的Xred蠕虫病毒和银狐远控木马在信创操作系统上，运行成功后的EDR告警，传统防病毒软件大多无检出。

2. 操作系统层的漏洞攻击

系统层漏洞来源于两个方面，首先是Linux内核的漏洞风险。

信创操作系统大多基于开源的Linux内核构建。然而由于身处供应链下游，信创操作系统供应商修复漏洞会显著落后于上游社区，这给攻击者提供了更长的时间窗口。

近期，各信创系统修复的多个操作系统内核漏洞中，就包含了数个Linux内核漏洞。

其次是操作系统自身应用和服务的0day风险。

除Linux内核漏洞外，操作系统内置的应用和服务，无论是基于二次开发和外部整合，也可能会引入新的漏洞。

以下为微步在线近期发现并提交厂商的一个0day漏洞，当前该漏洞已经完成修复。该漏洞为信创操作系统自带的服务引入，低权限攻击者可以利用该漏洞以高权限读取任意系统文件, 例如用户密码文件/etc/shadow。EDR检出并产生告警。

3. 上层应用的安全更新存在时间差

由于现阶段生态尚处于快速发展阶段，信创版应用软件（如邮件客户端、文档处理工具、IM通信工具等）的更新效率，会落后于Windows或者macOS版本。

然而某些漏洞可在信创操作系统和Windows上同时存在，漏洞的延迟修复会导致信创终端面临更长的攻击时间窗口。

2023年国家级攻防演练期间，OneSEC在Windows平台上捕获到某文档处理工具的在野漏洞攻击（当时处于0day状态）, 攻击者诱导用户点击恶意构造的文档便可触发该漏洞，加载攻击者制作的恶意动态链接库。

尽管该漏洞在Windows上很快完成修复，但截至目前，攻击者仍然能在部分信创操作系统上， 利用该漏洞加载攻击者制作的恶意动态链接库, 绕过杀毒引擎的查杀。

以下为OneSEC EDR在信创操作系统上，对该漏洞利用过程产生的告警。

EDR与传统终端安全能力同步建设

无论是信创操作系统特有的0day攻击，还是Windows新老手法的跨平台利用，都具备绕过传统防病毒软件的能力。

因此微步认为，在部署基础终端安全能力的同时，EDR能力也同样重要。EDR可帮助用户灵活应对各类信创PC上的风险，填补防病毒软件在高级威胁对抗的不足，加速信创生态建设。具体包括：

• 基于行为的威胁检测

  EDR能够基于实时的行为分析，结合威胁情报IOC、行为特征IOA、机器学习和大数据分析，摆脱对特定漏洞特征、已知文件特征的依赖，发现防病毒软件无法发现的0day漏洞和未知恶意样本，快速提升信创终端检测水平。

  
  

• 端到端的威胁分析

  EDR基于底层事件串链，可以全面追溯攻击路径，定位失陷终端，帮助用户了解此次攻击从何处来、到何处去、运用了哪些攻击手法、影响范围到底有多大，而不仅局限于某一个恶意文件或者恶意进程。

  
  

• 高效的响应处置机制

  相对于简单的病毒查杀，EDR提供了丰富的响应处置策略，包括文件隔离、进程隔离、下发专杀工具等等，全面、高效消除攻击者在终端上造成的恶意影响，避免出现持久化利用后，恶意活动无法全面消除、受感染程序难以恢复的现象。

  
  

• 全面的终端安全态势感知

  随着信创终端建设的不断加速，用户将使用多种不同终端混合办公。EDR通过对端点数据的集中分析，可以帮助组织了解各类终端设备的整体安全态势，确保信创终端在投入使用后可实时发现潜在漏洞和薄弱环节，从而进行针对性强化。

信创操作系统在提升我国信息领域自主可控水平上具有关键意义，但伴随其发展的安全风险亦不可忽视。为了保障信创PC的安全，用户应该积极引入EDR解决方案，以抵御日益复杂的网络攻击，保护信息资产的安全。 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！