終端安全
殺毒軟件
深信服終端檢測(cè)響應(yīng)平臺(tái)(EDR):
產(chǎn)品介紹
終端檢測(cè)響應(yīng)平臺(tái)(EDR)是深信服公司提供的一套終端安全解決方案,方案由輕量級(jí)的端點(diǎn)安全軟件(Agent)和管理平臺(tái)(MGR)共同組成。
EDR 的管理平臺(tái)支持統(tǒng)一的終端資產(chǎn)管理、終端病毒查殺、終端合規(guī)檢查,支持微隔離的訪問控制策略統(tǒng)一管理,支持對(duì)安全事件的一鍵隔離處置,以及熱點(diǎn)事件 IOC 的全網(wǎng)威脅定位。
端點(diǎn)軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報(bào)、一鍵處置等。深信服的 EDR 產(chǎn)品也支持與 AC、SIP、AF、SOC 產(chǎn)品的聯(lián)動(dòng)協(xié)同響應(yīng),形成新一代的安全防護(hù)體系。
功能介紹
終端資產(chǎn)的全面管理:全網(wǎng)終端資產(chǎn)的全面盤點(diǎn),包含業(yè)務(wù)服務(wù)器的終端和用戶 PC 的終端。盤點(diǎn)每臺(tái)終端設(shè)備的名稱、IP 地址、MAC 地址、操作系統(tǒng)、CPU 利用率、內(nèi)存利用率、所屬組織、責(zé)任人、資產(chǎn)編號(hào)、資產(chǎn)位置等。每一臺(tái)的終端上的資產(chǎn)信息清晰,每一個(gè)安全事件責(zé)任到人,使得安全管理能落實(shí)到位。
終端安全的合規(guī)審查:每一個(gè)組織都有自己的終端安全合規(guī)要求,特別是等級(jí)保護(hù)的合規(guī)要求,對(duì)主機(jī)的安全要求。終端安全合規(guī)審查依據(jù)等級(jí)保護(hù)的主機(jī)安全要求進(jìn)行設(shè)計(jì),對(duì)身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范等策略進(jìn)行合規(guī)性審查,滿足企業(yè)建設(shè)等級(jí)保護(hù)系統(tǒng)的主機(jī)安全要求。
勒索病毒的實(shí)時(shí)防御:勒索病毒通過加密文件的方式,要求中招者支持一定數(shù)額的贖金。這種攻擊方式越來越流行,每天都有客戶反饋中招。深信服 EDR 能夠非常精準(zhǔn)的識(shí)別不同的勒索軟件家族,并通過專業(yè)分析識(shí)別出種種勒索病毒感染行為和加密特征,對(duì)最新的勒索軟件進(jìn)行有效的查殺,防止用戶感染最新的勒索軟件。
系統(tǒng)漏洞檢測(cè)與修復(fù):系統(tǒng)存在不同風(fēng)險(xiǎn)等級(jí)的漏洞,如果沒有及時(shí)識(shí)別和修復(fù),攻擊者很可能利用系統(tǒng)漏洞進(jìn)入客戶內(nèi)網(wǎng),對(duì)業(yè)務(wù)造成的影響和損失經(jīng)常無法估計(jì)。EDR 能夠幫助管理員識(shí)別內(nèi)網(wǎng)終端系統(tǒng)漏洞風(fēng)險(xiǎn),并進(jìn)行修復(fù),加強(qiáng)系統(tǒng)安全性。
入侵攻擊的主動(dòng)檢測(cè):終端主機(jī)被入侵攻擊,導(dǎo)致感染勒索病毒或者挖礦病毒,其中大部分攻擊是通過暴力破解的弱口令攻擊產(chǎn)生的。深信服的 EDR 主動(dòng)檢測(cè)暴力破解行為,并對(duì)發(fā)現(xiàn)攻擊行為的 IP 進(jìn)行封堵響應(yīng)。針對(duì) Web 安全攻擊行為,則主動(dòng)檢測(cè) Web 后門的文件。
熱點(diǎn)事件的快速響應(yīng):深信服安全云腦通過全球的大數(shù)據(jù)安全分析,提供熱點(diǎn)事件的IOC 情報(bào),推送情報(bào)數(shù)據(jù)給 EDR 產(chǎn)品。EDR 產(chǎn)品能根據(jù) IOC 情報(bào)數(shù)據(jù)快速的全網(wǎng)威脅定位分析,及時(shí)發(fā)現(xiàn)和響應(yīng)最新的熱點(diǎn)事件,并且根據(jù)歷史行為數(shù)據(jù)進(jìn)行溯源分析,避免組織受到安全事件的通報(bào)
終端安全應(yīng)用場(chǎng)景
勒索病毒及未知威脅防護(hù)場(chǎng)景
①、終端主動(dòng)防御:通過安全基線檢查及修復(fù),防爆破檢測(cè)和防御,微隔離技術(shù)降低威脅侵入風(fēng)險(xiǎn),降低威脅影響面,通過勒索誘捕方案針對(duì)性查殺勒索病毒,主動(dòng)防御,全面防護(hù)。
②、基于AI的智能檢測(cè):通過人工智能SAVE引擎的無特征鑒別技術(shù),對(duì)勒索病毒及未知威脅進(jìn)行實(shí)時(shí)檢測(cè),配合威脅情報(bào),精確識(shí)別未知威脅。
③、持續(xù)終端檢測(cè)行為:在終端對(duì)所有文件行為及進(jìn)程,外聯(lián)域名,URL,IP等關(guān)鍵信息進(jìn)行監(jiān)控,保障非法行為及時(shí)發(fā)現(xiàn)與制止,尤其是勒索病毒加密動(dòng)作的制止。
④、全網(wǎng)威脅情報(bào):威脅情報(bào)平臺(tái)每天實(shí)時(shí)分析來自互聯(lián)網(wǎng)和深信服安全產(chǎn)品的海量數(shù)據(jù),通過威脅情報(bào)平臺(tái)中集成的關(guān)聯(lián)分析與智能算法,能在第一時(shí)間發(fā)現(xiàn)潛在威脅,并向深信服EDR推送防御能力。
隔離網(wǎng)終端防護(hù)場(chǎng)景
①、擺脫云查引擎束縛:人工智能檢測(cè)引擎SAVE通過輕量級(jí)算法模型即可有效檢測(cè)包括各類勒索病毒等惡意威脅,擺脫云查引擎束縛,離線查殺效果優(yōu)異。
②、輕量級(jí)終端消耗:將重載運(yùn)算放到管理平臺(tái)端,終端僅安裝輕量級(jí)agent,大幅度降低終端資源消耗。
③、內(nèi)網(wǎng)威脅感知:構(gòu)建企業(yè)內(nèi)網(wǎng)本地的文件信譽(yù)庫(kù),對(duì)單臺(tái)終端上的文件檢測(cè)結(jié)果匯總到平臺(tái),做到內(nèi)網(wǎng)威脅一臺(tái)發(fā)現(xiàn),全網(wǎng)感知,圍剿式查殺。
④、業(yè)務(wù)流量可視化:采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問關(guān)系進(jìn)行圖形化展示,可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問關(guān)系展示以及訪問記錄。
網(wǎng)段雙重防御場(chǎng)景
①、云網(wǎng)端縱深防御:通過網(wǎng)絡(luò)域和終端域的安全防御全覆蓋,構(gòu)建系統(tǒng)化防御能力抵御不同介入點(diǎn)風(fēng)險(xiǎn),構(gòu)建由端點(diǎn)到網(wǎng)絡(luò)的縱深防御能力。
②、威脅處置閉環(huán):策略級(jí)細(xì)粒度集成,一個(gè)安全域識(shí)別到的威脅可以動(dòng)態(tài)調(diào)整另一個(gè)安全域的安全配置,增強(qiáng)整體防御能力,有效抵御威脅。
③、安全風(fēng)險(xiǎn)一鍵處置:網(wǎng)端智能協(xié)同,當(dāng)發(fā)生威脅時(shí),可通過網(wǎng)絡(luò)端設(shè)備的一鍵處置,將終端域風(fēng)險(xiǎn)迅速隔離查殺,并在網(wǎng)絡(luò)域自動(dòng)生成聯(lián)動(dòng)封鎖規(guī)則,全面封鎖威脅。
④、端點(diǎn)溯源取證:基于網(wǎng)絡(luò)域及端點(diǎn)域威脅上下文的深度關(guān)聯(lián),網(wǎng)絡(luò)流量層分析威脅的特征,在端點(diǎn)上實(shí)現(xiàn)惡意載體的深度行為分析、取證,精準(zhǔn)定位諸如無文件攻擊、勒索病毒、挖礦病毒等熱點(diǎn)攻擊。