原标题:看看深信服的下一代终端安全产品:EDR

资深一些的安全从业者都知道,传统的网络边界安全产品,如果没有终端安全的配合,一旦被突破,防御系统便无能为力。而且,即使安装了杀毒软件,也很难抵御病毒变种或未知恶意软件。而较为落后的防护体系,各种设备、工具各司其职,呈分散状态,无法有效联动,不能形成整体化的能够及时响应的有效防护体系。EDR(终端检测与响应)的概念就是基于以上问题而诞生的。

澳门金沙在线官网 1

澳门金沙在线官网 2

愈演愈烈的勒索病毒

近日在成都举行的创新论坛上,深信服发布了其下一代终端安全产品:深信服终端检测与响应平台。据介绍,这是全新轻量级、智能化、响应快的下一代终端安全系统,以终端资产为核心,通过预防、防御、检测、响应全面赋予终端威胁防御能力,使其达到洞见威胁本质,迅捷灵动处置效果,帮助用户快速检测、处置终端一系列安全问题。

这是勒索病毒肆虐的时代,无数勒索病毒的变种滋生而起。民众和政企深受勒索病毒的侵扰,苦不堪言。

安全牛分析师通过资料查阅,以及沟通面谈,大致了解了这套终端安全产品。经过梳理与思考,现分享给安全牛的读者。

一方面,勒索病毒攻击有增无减。利用勒索病毒的成本非常低,在暗网等黑市仅需几千元就可以购买一个未知的勒索病毒,而一次成功的勒索就可以得到十几倍到上百倍的利润,这让不少游走在法律之外的狂徒趋之若鹜。另一方面,勒索病毒难防。传统以静态特征防御为主的保护方式无法应对各式各样的勒索病毒变种,且不少勒索病毒具备蠕虫性质,能够在网络中快速传播扩散,防范难度增大。

一、体现PPDR模型的智能化的安全体系

澳门金沙在线官网 3

这是一套综合性的终端安全解决方案,部署形态上很简单,由轻量级的端点安全软件(Agent)和管理平台软件两个关键部分组成。之所以称之为下一代EDR,是因为基于深信服自主知识产权的创新型人工智能引擎(SAVE),赋予终端更为精准、持续的检测、快速处置能力,配合联动协同、威胁情报共享、智能响应等机制,可以实现威胁快速检测、有效处置终端一系列安全问题,较好的体现了PPDR模型的闭环理念。最终,为用户提供行之有效的、智能化的整体安全防御体系。

勒索病毒实用对抗指南

下面我们来看看它的技术架构。

那么,面对勒索病毒的威胁,应该怎么做?

深信服EDR系统的技术架构主要由基础平台、核心引擎、系统功能三部分组成:

从攻击者的角度来看,无论发起多么复杂的勒索攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。因此,勒索病毒应对离不开对终端的安全防护:

1. 基础平台

及时明确终端安全基线,实现主机安全加固;

由主机代理、恶意文件查杀引擎、WEB控制台三部分组成。该平台提供EDR系统良好运行的基础支撑,提供终端安全防护功能的基本运行环境,负责功能指令以及消息的接收、发送和执行。

及时对终端间的访问关系进行梳理,实现终端间细粒度访问控制;

2. 核心引擎

及时选用具备未知威胁防护的终端安全产品,实现对于勒索病毒频繁变种的有效防护;

由人工智能SAVE引擎、云引擎、行为引擎所组成,用以实现病毒有效检测以及快速响应功能。

及时对内网各类型资产进行全面防护,实现对于勒索病毒入侵的全面防范;

3. 系统功能

及时具备内网终端的应急隔离机制,实现将已感染主机迅速采取隔离措施防止病毒扩散蔓延;

系统功能展现则由预防、防御、检测、响应(PPDR)四部分组成,通过这四部分功能对终端赋予加固措施,有效抵御病毒木马等威胁,实现安全有效的终端防护效果。

及时对终端进行漏洞扫描并更新安全补丁,防止勒索病毒实现漏洞传播。深信服EDR,主动防御无惧勒索

澳门金沙在线官网 4

深信服在对国内用户进行了大量调研与洞察之后,推出了基于适应国内终端网络安全现状的下一代终端安全产品深信服EDR。值得注意的是,该产品不同于传统杀毒产品及国外所定义的狭义EDR产品,而是围绕用户终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,帮助用户构建轻量级、智能化、响应快的下一代终端安全系统。

【深信服EDR的技术架构】

澳门金沙在线官网 5

二、恶意软件防护与协同联动

值得一提的是,作为目前热点威胁的勒索病毒,传统的被动防御往往无法有效阻止勒索加密进程。而应用于EDR的主动防御模式,不同于被动防御,可在勒索病毒入侵行为对信息系统发生影响的初期甚至之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险。

了解完技术架构,我们再来看一下这套EDR实现的两大目标。

  1. 基于AI的多维度智能检测机制

1. 智能化的恶意软件防护

在终端对所有文件行为进行监控,在关键的访问时机触发文件检测,当发现是勒索病毒文件时,即进行阻断并清除。

澳门金沙在线官网,上文介绍过,之所以称之为下一代终端安全,是因为其称之为SAVE的新型AI引擎。其实现机理,大致上就是通过安全专家的知识指导,结合多维度的检测技术和线上海量的数据运营分析,应用深度学习技术进行训练,不断完善高检出和低误报的算法模型,最终形成高效的检测引擎。

基于文件的检测,深信服EDR构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、基于AI
技术的SAVE安全智能检测引擎、行为引擎、云查引擎等。通过层层过滤,检测更准确、更高效,资源占用消耗更低。

此外,还结合了另一项很重要的技术,基于虚拟执行引擎和操作系统环境仿真,即“虚拟沙盒”技术,来深度解析各类恶意代码的本质特征,以有效解决加密和混淆等代码级恶意对抗。而且,根据虚拟沙盒捕获到虚拟执行的行为,对病毒运行的恶意行为链进行检测,能检测到更多的恶意代码本质的行为内容。然后结合威胁情报在云端的大数据分析平台(安全云脑)进行查询,可实现秒级响应未知文件的检测结果。

澳门金沙在线官网 6

据了解,在用户部署运行一段时间后,达到了已知病毒99%检出率。未知病毒或变种,则在千分之一左右误报率情况下,检出率达到97.85%。

▲多维度漏斗型检测框架

值得一提的是,这套EDR系统还提供多维度的威胁处置能力,可以根据检测命中的威胁内容进行快速响应,提供基于文件、机器、群组等维度的处置手段。包括终端主机隔离、业务组隔离、文件隔离、文件的信任/删除/恢复,以及与深信服的防火墙、上网行为、威胁感知(AF/AC/SIP)等设备联动处置隔离等。

其中,强力打造基于AI的SAVE安全智能检测引擎,作为已知和未知勒索病毒的克星,具体的能力包括:

2. 云管端设备联动

基于人工智能技术,拥有强大的泛化能力,能够识别未知病毒或者已知病毒的新变种。

EDR与AF/AC/SIP等设备以及云端的安全云脑可以协同联动并响应,如威胁日志上报、自动接收外部设备威胁情报和自动响应指令等,从而形成应对威胁的云管端立体化纵深防护闭环体系。

对勒索病毒检测效果达到业界领先,包括影响广泛的
WannaCry、BadRabbit、GandCrab、Globelmposter等勒索病毒家族,SAVE可以全部检出和查杀。

3. 安全云脑

澳门金沙在线官网 7

关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,不再依赖传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支撑。

▲轻量级人工智能检测引擎SAVE

4. AF/SIP

  1. 基于勒索病毒攻击链的主动防御安全基线检查及修复

与防火墙、威胁感知设备进行联动,应用检测、取证、响应、溯源等防护措施。各设备间可实时共享威胁情报数据,并在发现威胁时第一时间自动进行响应处置。

定期对终端进行身份鉴别、访问控制、入侵防范、恶意代码防范等策略进行合规性审查,提供修复或修复建议,从而实现主机加固,做好安全防范,防止暴力破解等方式被勒索病毒所入侵。

5. AC

澳门金沙在线官网 8

与上网行为管理设备进行联动,可实现合规认证审查、安全事件响应等防护效果。

▲基线检查防爆破检测和防御

澳门金沙在线官网 9

终端上持续监控密码爆破行为,发现爆破行为,可以设置对特定IP
进行一段时间的自动封停,避免终端被爆破成功,从而阻止勒索病毒的入侵或传播。微隔离与降低威胁影响面

【基于设备联动形成的云管端闭环】

通过对不同终端的精细化安全隔离,实现对不同部门间,不同角色间,不同业务系统间的安全域进行完善的安全隔离与细粒度的访问控制。

结合了EDR的全网安全设备联动机制,形成了一整套的云管端闭环系统,解决了文章开始所述的体系弱点和能力缺失,可以高效实现病毒防护、已/未知威肋的检测与发现、快速响应等功能。而基于Agent加管理平台的部署模式,还可轻松实现资产盘点、合规审查,以及基于应用角色的微隔离防护和流量可视化管理等功能。

澳门金沙在线官网 10

安全牛评

▲微隔离勒索诱捕方案

缺失了终端安全的安全保护无法称之为防御体系,这也EDR的两大目标终端安全和设备联动的价值所在。而传统EDR的两大弊端,警报疲劳和兼容性,通过智能引擎减少误报,和不与底层驱动挂勾的Agent广泛兼容各种操作系统,很好的解决了这两大弊端,体现了安全系统的智能化、整体化,协同化。返回搜狐,查看更多

装载在终端系统上的EDR客户端,在系统关键目录及随机目录放置诱饵文件,当勒索病毒调用加密进程对终端文件加密,当加密到诱饵文件时,诱饵文件将加密进程反馈至EDR客户端,EDR客户端立即杀掉加密进程阻止加密,并根据调用进程的病毒源文件进行查杀。

责任编辑:

澳门金沙在线官网 11

▲勒索诱捕方案

  1. 对用户信息资产的全面保护

任一终端若无有效的保护措施,均有可能成为整体网络安全短板,作为突破口对全网终端造成严重的安全威胁。

深信服EDR可有效保护桌面云,传统PC,笔记本,私有云,服务器,私有云,公有云等各类型终端,并且终端系统兼容性广阔,适配包括Windows,CentOS,Ubuntu,redhat,SuSE,Debian,国产化操作系统等等,云环境下与底层虚拟化解耦,适配全部虚拟化底层平台。

澳门金沙在线官网 12

▲深信服EDR适配全类型资产

深信服在此承诺:

当您的终端出现勒索病毒或其他安全威胁时,深信服限时免费提供等同于正式版的EDR产品帮助您解决当前终端安全问题,让下一代终端安全EDR为您的业务保驾护航。

相关文章