终端安全响应系统
终端安全响应系统(Endpoint Detection and Response,EDR) 是传统终端安全产品在高级威胁检测和响应方面的扩展与补充,它通 过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文 件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心, 利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失, 增强可见性,提高整体安全能力。
设备应具备的核心功能
1)提供对终端行为的全面监控与数据采集,包括终端进程、IP访 问、DNS访问、IM传输、邮件传输、U盘传输、浏览器下载、文件操 作、注册表变更、账户变更等。
2)针对不同阶段的攻击路径,提供深度自动化异常检测能力,包 括对PowerShell、wmic等常被利用系统的进程检测以及常用的渗透工 具检测。
3)高可视化溯源分析展示,对可疑进程行为的攻击链路进行完整 溯源,包括所有的危害动作及影响面。
4)支持威胁情报IOC导入,提供IOC检测告警能力,对利用漏洞攻 击行为提供关联CVE信息,并关联受影响终端情况。
5)支持根据自身业务场景需求自行创建自定义异常行为检测条件 来触发告警。
6)支持威胁追踪和迹象数据搜索,例如对IM文件传输、邮件日 志、DNS访问审计、证书、操作系统信息、终端进程信息、IP访问审 计、U盘记录、驱动信息、安装的软件列表等迹象数据的搜索。
7)管理平台界面可对十万级以上客户端进行统一集中管理,包括 但不限于对所有终端的配置策略、威胁事件管理、执行处置操作等。
产品在实战中的应用
通过对用户终端中的安全数据进行采集和检测,所有终端安全数 据经过压缩、加密后保存于大数据平台,结合云端威胁情报与本地分 析平台中的终端行为数据进行对接,从而发现已经感染高级威胁的终 端,对终端快速定位并进行全面的安全评估,发现终端威胁的根本原 因,触发告警从而自动进行响应,斩断威胁的链条。
在终端部署终端安全响应系统的Agent客户端,对数据进行采集和 响应。在服务器端部署终端安全响应系统控制中心(默认控制中心和 采集平台是一体的);对采集数据进行加密,同时对终端Agent进行采 集策略的制定、告警通知、威胁追踪等。在内网部署大数据分析平 台,实时存储终端的安全数据,对数据与外网威胁情报进行主动检 测,以发现沦陷终端。
服务器安全管理系统
服务器安全管理系统是一种服务器安全产品,通过兼容多种虚拟 化架构和操作系统,帮助企业高效实现混合数据中心架构下的服务器 安全。系统通过服务器端轻量级Agent代理、安全加固服务器系统及应 用WAF探针、RASP探针、内核加固探针,实时、有效地检测与抵御已知 和未知的恶意代码与黑客攻击;通过融合资产管理、微隔离、攻击溯 源、自动化运维、基线检查等功能,高效、安全地运维服务器。
设备应具备的核心功能
1)资产清点:细粒度清点主机、网站、账户、端口、应用等服务 器信息资产,并关联对应的安全风险和漏洞,进行事前防御,缩小攻 击面。
2)基线检查:内置CIS安全检查、等级保护、系统配置核查等多 维度安全基线,并支持自定义设置,进行高效安全自检,及时发现业 务风险和合规风险。
3)安全加固:通过内核探针对服务器进行安全加固,实现禁止非 法提权、禁止恶意代码执行、禁止加载没有数字签名的驱动、文件防 篡改等驱动级安全防护。
4)网络攻击防御:通过Web中间件流量过滤探针,高效检测恶意 网络流量,有效抵御CC攻击、SQL注入、XSS跨站等常规网络攻击;基 于脚本虚拟机(沙箱)的无签名Webshell检测技术,有效检测各种加 密Webshell、变形Webshell等未知安全威胁。
5)运行时应用自我防护:通过RASP技术对应用系统的流量、上下 文、行为进行持续监控,有效检测并防御任意文件读写、命令执行、
最低0.47元/天 解锁文章
1872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
