深信服 EDR 全面行为检测,让高级威胁尽在掌控
消息来源:baojiabao.com 作者: 发布时间:2024-05-10
新型复杂威胁层出不穷,如 APT 类攻击、人工参与的攻击行为等。高级威胁可变幻各种攻击手法入侵,绕过安全检测,而"终端"是高级威胁进入单位内部网络的重要途径,因此传统的终端安全软件面临极大挑战:
1.新威胁难检测:高级威胁的攻击方式更加复杂而隐蔽(如主流的无文件攻击、0day 利用攻击),导致基于文件静态检测的传统终端安全软件无法应对。
2.威胁响应滞后:传统杀毒软件、终端安全产品在高级威胁入侵后形成病毒文件才发现威胁,响应及处置滞后,导致威胁的影响面不断扩大。
3.根因难发现:威胁进入终端后,产生一系列的攻击行为、恶意文件等,并不断入侵更多的终端,而传统的终端安全软件无法全面识别威胁行为(如病毒操作、目的、影响面等),导致无法定位终端威胁的来源。
一、我们如何抵抗高级威胁?
如果将高级威胁比作一个"通缉犯",该"通缉犯"擅于乔装打扮其外部特征,绕过传统终端安全产品的检测,直达单位内部终端,甚至在单位内部终端中"惹是生非"致使威胁扩散。
威胁可伪装,但在终端侧的行为却无法隐瞒。这就如同通缉犯,不管如何伪装、隐藏特征,最终还是会在人或物品上产生恶意行为。
因此,只有具备全面行为检测能力,才能对高级威胁快速定位,精准防护。通过持续监测、记录终端系统层、应用层的行为数据,并结合用户真实环境做强关联分析,最终实现在攻击过程早期阶段就发现威胁。
同时,需具有强大的分析能力,才能做到更早发现、更快响应。终端行为特征庞大,传统本地分析能力 + 云端的情报难以快速定位恶意行为,如果能通过云端强大的算力平台,并实时采集 IOC 信息,再以终端威胁场景再现攻击事件(如勒索、挖矿入侵路径等),那么高级威胁检测将会更加快速。
二、具备全面行为检测能力前后变化
我们以一个常见的挖矿事件为例,看下终端具备全面行为检测能力前后的变化:
未具备全面行为检测能力的终端:当用户发现终端卡顿、CPU 占用率高,立即使用杀毒软件进行全盘扫描查杀,在点击"处置"相关威胁文件、进程后,电脑恢复正常。然而次日上班打开电脑,再次出现电脑卡顿现象,于是再次使用杀毒软件、专杀工具查杀。最终,陷入病毒查杀循环,浪费人力精力。
具备了全面行为检测能力的终端:在攻击早期阶段便可检出高级威胁(即:挖矿还未在终端落地时就能提前发现),同时可以还原挖矿事件全过程并持续监控。
在这个过程中,用户可以直观地看到整个过程,包括挖矿病毒从哪里进来、进入系统后对终端采取了哪些操作、影响面有多大、是否还有其他终端含有类似挖矿行为等。因此可以准确定位挖矿根本原因并进行有效处置,还能预判其他终端是否含有潜伏挖矿行为,做到一次性处置同类型事件。
三、深信服 EDR+SaaS XDR 持续抵御高级威胁
深信服 EDR 全面采集终端行为,并通过威胁场景重现技术,同时结合云端 XDR 平台强大的数据采集能力进行全网终端威胁狩猎、快速联动响应:
1.全面的终端行为检测能力,狙击高级威胁
①全面的端侧行为数据采集能力:基于 ATT&CK 攻击矩阵采集端侧系统层、应用层行为数据,包括进程、文件、注册表等 13 个类别数据,为攻击全面分析提供丰富数据源,提升威胁研判的精准度,减少误报。
②创新的威胁场景重现技术:高级威胁经常利用正常软件 / 系统操作相似性,而传统终端安全软件只能基于 1-2 个行为特征检测,难以检测出来。深信服 EDR 在自研 SAVE 人工智能检测引擎基础上,创新地合入场景重现 IOA 检测技术(支持挖矿、勒索、webshell 攻击、无文件攻击等十大场景),将各种行为和上下文信息进行聚合关联后转变为各种场景,从场景层面判别正常业务或恶意攻击,从而获得更高的威胁检出率,成为国内首个以满分通过 AV-TEST 测评的企业级终端安全产品。
2.与云端 XDR 平台双向赋能,实现快速响应
深信服 EDR 区别传统终端安全软件仅同步云端情报,还可联动云端 XDR 平台,通过强大算力对行为数据聚合分析,基于 IOA+IOC 全面精准研判攻击,深度还原攻击事件、定位根因,包括威胁从哪来、干了什么、影响多大、是否还有潜伏等,复杂的 APT 事件定位从几天时间缩短为小时级,同时云端专家还可提供专业处置与加固建议,让安全响应更快速。
深信服 EDR 基于全面的行为检测 + SaaS XDR 联动能力,实现端点一站式防护闭环,快速应对各类威胁。同时,深信服 EDR 凭借优秀的产品实力及安全效果,获"主机入侵检测类别"增强级认证,持续为用户提供高级威胁检测更全面,联动响应更快的轻量级终端安全软件。
2022-12-19 17:34:58相关文章
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩
2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万9
2023-12-28 19:41:57
- 国家新闻出版署:认真研究《网络游戏管理办法(草桉徵求意见稿)》关切 实行前进一步完善
2023-12-28 19:14:56
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步
2023-12-28 18:57:55
- 印度以打击金融犯罪为由逮捕了两名 vivo 高管
2023-12-26 16:49:01
- 在国外微信收不到国内信息?微信和WeChat将被拆分
2023-12-15 10:40:15
- 苹果iPhone15 系列手机发布最新消息 预计上市发布时间9月
2023-08-06 23:21:02
- 华为将发布鸿蒙HarmonyOS4操作系统 功能五大升级支持设备清单
2023-08-06 23:17:37
- 整治自媒体网红账号 400万粉丝网红发布擦边视频被无限期封禁
2023-07-12 09:56:09
- 网传微信文件传输助手是真人是真的吗?微信官方回应
2023-06-27 15:53:32
- 电信移动送手机成了“信用购”?你上了运营商的贷款套路了吗?
2023-06-12 17:18:55
- 中国电信广东地区崩了无信号 客服回应已在核实处理
2023-06-08 15:39:04
- 消息称小米新能源汽车价格表正讨论定价区间:双版本不同配置,高配或超 35 万元
2023-03-06 12:56:03
- 华为因制裁被传或分拆剥离手机业务? 内部人士回应:可能性不大.
2023-03-05 23:26:41
- OPPO正式发布安第斯智能云,让终端更智能
2023-02-24 16:02:27
- 华为与OPPO签订全球专利交叉许可协议 包括5G蜂窝通信专利
2023-02-24 16:02:26
- 老蛙将推MINI镜头新品:目前未知具体规格 官宣将于12月20日发布
2023-02-24 16:02:26
- 首发全新35mm定制光学系统 努比亚Z50性能同样强悍
2023-02-24 16:02:25
- Redmi K60屏幕细节曝光:全系标配2K护眼柔性直屏+5000mAh大容量电池
2023-02-24 16:02:25
- OPPO Find N2今天发 合金金属折叠屏更轻了
2023-02-24 16:02:24