深信服终端安全检测响应平台白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服终端安全检测响应平台-EDR
新时代下企业级终端安全面临严峻挑战
相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等多方面提出更高要求。
人工运维加剧威胁防御成本
传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱动威胁防御,高级威胁一旦产生,将会不可控的传播,势必带来人工成本的几何增长,且对企业运维人员专业性要求极高,有效应对威胁难度大。
基于特征匹配杀毒无法有效抵御新型病毒
基于病毒特征库方式进行杀毒,在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,无法及时有效防御新型病毒,如WannaCry勒索病毒。另外,本地特征库数量受限,现有特征库文件规模无法满足已知病毒
的查杀需求。
病毒特征库数量增长加重主机运算资源
本地病毒特征库数量日益增多,加重终端存储、运算资源成本,防御威胁过程已严重影响用户日常办公,无法适应如云化等新的特定场景。
杀毒处置方式落后无法适应病毒新的传播方式与环境
采取基于文件隔离的处置方式相对落后,如文件隔离失败情况产生,单点威
胁将快速辐射到面,因此传统防毒产品已经无法适应新的病毒传播方式及环境。
深信服终端安全检测响应平台
围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略,更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统-深信服终端检测响应平台EDR
终端安全检测响应平台架构
应用场景
防病毒场景
风险场景:组织内部终端呈现覆盖面广、点数众多、网络化办公等特点,新型未知病毒、勒索病毒出现,严重影响用户日常办公,无法保障内部核心数据安全。
应用效果:
基于 AI 技术的查杀引擎,利用深度学习的技术,通过对海量样本数据的学习,提炼出来的高维特征,具备有很强的泛化能力,从而可以应对更多的未知威胁。而这些高维特征数量极少,并且不会随着病毒数同步增长,因此,AI 技术具有更好检出效果、更低资源消耗的
优点。
当然,仅靠一个 AI 杀毒引擎是不够的,深信服的 EDR 产品构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、AI 技术的SAVE 引擎、行为引擎、云查引擎等。通过层层过滤,检测更准确、更高效,资源占用消耗更低。
设备联动场景
风险场景:绝大部分组织内部均已部署如防火墙、入侵防御等边界网关设备,但相关设备往往是各司其职,无法形成有效的整体安全防御体系。
应用效果:
深信服EDR 产品能与NGAF、AC、SIP、安全云脑等进行产品进行协同联动响应,形成涵盖云、边界、端点上中下立体防御架构,内外部威胁情报可实时共享。EDR 产品可与安全云脑协同响应,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。可与防火墙 NGAF、SIP 产品进行关联检测、取证、响应、溯源
等防护措施,与 AC 产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
服务器主机防护场景
风险场景:基于传统服务器,云化虚拟机等数据中心场景,域内不同权限业务域访问关系混乱,流量不可视,无法应对业务承载位置动态变化导致的边界消失,威胁横向漂移等诸多问题
应用效果:创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。集中统一管理服务器的访问控制策略。并且基
于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
优势特性
下一代人工智能杀毒引擎
相比传统杀毒引擎,SAVE引擎采用了人工智能无特征技术,对不在病毒库里
的未知病毒或变种,也能有效地鉴定。
创新微隔离
创新微隔离技术,有效应对高级威胁快速传播,将病毒遏制在指定范围之内,使信息系统环境可控性大大提高。
流量可视化
部署于每台物理PC/VM上的端点agent,能够对不同端点、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,使网内互访行为,全
面直观掌握。
广泛的兼容特性