澳门新葡最新网站_澳门新葡8455手机版网址

澳门新葡最新网站一直被誉为干邑品质、形象和地位的象征,因为在这里我们可以进行澳门新葡8455手机版网址下载,澳门新葡最新网站是耗时两年精心打造的全新武侠网游巨作,点击即有更多优惠活动等着你。

当前位置:澳门新葡最新网站 > 互联网金融 > 看看深信服的下一代终端安全产品:EDR

看看深信服的下一代终端安全产品:EDR

文章作者:互联网金融 上传时间:2019-12-19

原标题:看看深信服的下一代终端安全产品:EDR

安全的价值依托于业务的发展,业务创造价值,而安全则是守护业务。在传统企业纷纷进行数字化转型的过程中,企业将自己的数据流、信息流和业务流进行了数字化的重构,实体资产和人力管理转变为数字资产与自动化、系统管理。

资深一些的安全从业者都知道,传统的网络边界安全产品,如果没有终端安全的配合,一旦被突破,防御系统便无能为力。而且,即使安装了杀毒软件,也很难抵御病毒变种或未知恶意软件。而较为落后的防护体系,各种设备、工具各司其职,呈分散状态,无法有效联动,不能形成整体化的能够及时响应的有效防护体系。EDR(终端检测与响应)的概念就是基于以上问题而诞生的。

当传统企业还在进行艰难的数字化转型时,部分互联网企业已经进入下半场,开始智能化转型,数据流、信息流和业务流做进一步分析和优化,与之相对应的是快速发展的人工智能等新兴技术。

图片 1

这些新技术带来的一方面是机遇,另一方面则是挑战。在新技术的催生下,对企业安全的攻击方式也开始迅速进化,以勒索软件为例,在很多传统企业尚不知数字货币为何物之时,黑客已经通过自动化技术生成大量快速随机传播的无差别攻击勒索程序,趁企业在迁入新环境尚立足不稳之际,一举攻破企业的安全防护体系,随即迅速传播,加密整个企业内网的数据文件,让企业饱受其害。

近日在成都举行的创新论坛上,深信服发布了其下一代终端安全产品:深信服终端检测与响应平台。据介绍,这是全新轻量级、智能化、响应快的下一代终端安全系统,以终端资产为核心,通过预防、防御、检测、响应全面赋予终端威胁防御能力,使其达到洞见威胁本质,迅捷灵动处置效果,帮助用户快速检测、处置终端一系列安全问题。

1、企业的内网环境和互联网的环境并不相同。

安全牛分析师通过资料查阅,以及沟通面谈,大致了解了这套终端安全产品。经过梳理与思考,现分享给安全牛的读者。

对企业来讲,大型企业在发展过程中往往会呈现向平台化发展的趋势,整个数字生态系统,以及在这整个生态系统中流转的数字资产在周期化的运行中,对它的安全考量、风险的防护是需要核心考量的因素。

一、体现PPDR模型的智能化的安全体系

对中小企业来说,对生产和生产环境、对数字资产的安全性要求同样是一个企业在运营过程中需要核心考量的因素。

这是一套综合性的终端安全解决方案,部署形态上很简单,由轻量级的端点安全软件(Agent)和管理平台软件两个关键部分组成。之所以称之为下一代EDR,是因为基于深信服自主知识产权的创新型人工智能引擎(SAVE),赋予终端更为精准、持续的检测、快速处置能力,配合联动协同、威胁情报共享、智能响应等机制,可以实现威胁快速检测、有效处置终端一系列安全问题,较好的体现了PPDR模型的闭环理念。最终,为用户提供行之有效的、智能化的整体安全防御体系。

出于对数据保密性、可用性和完整性的要求,60%-70%的企业在数字化转型中使用内网。但内网隔离的企业环境与互联网的环境并不相同,这导致了传统互联网安全厂商无法满足企业对终端杀毒的需求。

下面我们来看看它的技术架构。

一方面,传统互联网安全厂商过于依赖云端的查杀能力,在互联网环境中借助云端查杀对病毒90% 的检出率,一旦进入企业内网,无法借助之前的云端查杀后,对新兴病毒的检出率就会大打折扣。

深信服EDR系统的技术架构主要由基础平台、核心引擎、系统功能三部分组成:

另一方面,很多传统制造型企业比如钢铁厂以及医院等民生机构,系统非常老旧。以Windows XP为例,很多互联网安全防护软件会出现严重的不兼容、不适应、无法安装和及时更新的问题,加之沉重的特征库会占用大量资源,影响企业的业务安全和生产效率。

1. 基础平台

此外,由于传统的针对端的安全防护是单点防护,兼容出现问题不说,企业的维护成本也非常高昂。在以往,单台或者少量的设备出现问题,往往可以请安全应急专家来进行维护和加固,维护和管理的成本也并不高。但伴随着安全环境的变化,一台被攻破、整个企业内网遭殃,企业在数字化转型中遭遇了新的难题。

由主机代理、恶意文件查杀引擎、WEB控制台三部分组成。该平台提供EDR系统良好运行的基础支撑,提供终端安全防护功能的基本运行环境,负责功能指令以及消息的接收、发送和执行。

2、AI之矛,勒索软件横行。

2. 核心引擎

2015年,勒索病毒兴起,大肆进入我国。

由人工智能SAVE引擎、云引擎、行为引擎所组成,用以实现病毒有效检测以及快速响应功能。

2016年,勒索病毒大爆发。

3. 系统功能

2017年,5月12日WannaCry的肆虐,短短数小时内席卷全球150多个国家和地区。

系统功能展现则由预防、防御、检测、响应(PPDR)四部分组成,通过这四部分功能对终端赋予加固措施,有效抵御病毒木马等威胁,实现安全有效的终端防护效果。

2018年,GlobeImposter、GandCrab,短短半年出现了多个变种版本,感染用户数量创新高、破坏性超出以往。

图片 2

在战场上让大量普通士兵重伤的,不是狙击步枪,而是机关枪。同样,对大部分组织造成重大信息安全事件的威胁,不是有组织的定向攻击APT,而是大量快速随机传播的无差别攻击勒索程序。

【深信服EDR的技术架构】

图片 3

二、恶意软件防护与协同联动

狙击步枪到机关枪的转变,反映了这些勒索病毒的一个相同点:都采用了自动化生成技术。而伴随着AI技术的发展,病毒攻击的未来的趋势是它们数量和样式会更多、传染更快、破坏力更强。

了解完技术架构,我们再来看一下这套EDR实现的两大目标。

如果说早期的勒索软件是由人来编,在重新变化它的组织、操作与数据流后,导致原来的检测失效。

1. 智能化的恶意软件防护

那现在就可以通过AI自动化技术自动生成恶意代码,它可以通过大量的数据和样本来机器学习恶意代码的运作方式,进而导致新病毒的产生呈现出指数级的增加。

上文介绍过,之所以称之为下一代终端安全,是因为其称之为SAVE的新型AI引擎。其实现机理,大致上就是通过安全专家的知识指导,结合多维度的检测技术和线上海量的数据运营分析,应用深度学习技术进行训练,不断完善高检出和低误报的算法模型,最终形成高效的检测引擎。

通过AI的自动化技术生成新的恶意代码,攻击方有了新的火力支持,狙击枪进化成了自动化机关枪,在这个过程中防御方将要面临更高的安全风险,防御端检测面临的挑战也就更大了。

此外,还结合了另一项很重要的技术,基于虚拟执行引擎和操作系统环境仿真,即“虚拟沙盒”技术,来深度解析各类恶意代码的本质特征,以有效解决加密和混淆等代码级恶意对抗。而且,根据虚拟沙盒捕获到虚拟执行的行为,对病毒运行的恶意行为链进行检测,能检测到更多的恶意代码本质的行为内容。然后结合威胁情报在云端的大数据分析平台(安全云脑)进行查询,可实现秒级响应未知文件的检测结果。

3、攻防升维

据了解,在用户部署运行一段时间后,达到了已知病毒99%检出率。未知病毒或变种,则在千分之一左右误报率情况下,检出率达到97.85%。

安全领域强调的是攻防对抗,当攻击方的能力增强之后,压力就转移到了防守方上。

值得一提的是,这套EDR系统还提供多维度的威胁处置能力,可以根据检测命中的威胁内容进行快速响应,提供基于文件、机器、群组等维度的处置手段。包括终端主机隔离、业务组隔离、文件隔离、文件的信任/删除/恢复,以及与深信服的防火墙、上网行为、威胁感知(AF/AC/SIP)等设备联动处置隔离等。

攻是单点突破,找到一个点,并通过这个点渗入进去挖开他的防守体系,进而拿到内部网络更多的东西。

2. 云管端设备联动

而防则不一样,防讲的是纵深防御,是面的问题更是点的问题,从面上讲,企业要全面去防;从点上来说,企业的安全防护就要做深做细,以前安全业内一直在讲木桶原理,指的是企业的安全体系是一个木桶,安全防护体系中如果有短板,如同水会从短板的地方流出来,攻击方也会从短板的地方侵入。

EDR与AF/AC/SIP等设备以及云端的安全云脑可以协同联动并响应,如威胁日志上报、自动接收外部设备威胁情报和自动响应指令等,从而形成应对威胁的云管端立体化纵深防护闭环体系。

以勒索病毒为例,深信服安全专家邹荣新给我们分享了一个小故事:“WannaCry爆发时,我这边成立了安全应急团队,大概十个人左右的一个团队,我们从客户那边观察到,以前客户里头他一台机器出了问题,那就你的这台机器出问题,大不了把你机器重装就完了,现在病毒一进来以后,它会快速蔓延,可能在几分钟之内你的几百台、上千台机器就全部中招了。”

3. 安全云脑

永恒之蓝利用微软的MS17010漏洞,攻击性之强覆盖面之广甚至可以让一个公司的全部几十台服务器短时间内全部被加影子账号。黑客利用美国NSA公布的信息来谋利、做破坏性的工作,这是之前所没有的变化。

关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,不再依赖传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支撑。

4、如何应对?传统特征杀毒的无力。

本文由澳门新葡最新网站发布于互联网金融,转载请注明出处:看看深信服的下一代终端安全产品:EDR

关键词: