當前位置:首頁 >  IDC >  安全 >  正文

安全防護升級!來看深信服的下一代終端安全EDR

 2019-01-24 15:40  來源: 互聯(lián)網   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

一些新鮮事物的出現(xiàn),在人類歷史的長河中具備劃時代的意義。工具的誕生和使用,奠定了人類原始文明的基礎,也讓人類得以爬到食物鏈的頂端。從石器到青銅,從黑鐵到蒸汽,從電機到計算機,工具定義了我們的生產力水平和文明水平。但直到互聯(lián)網出現(xiàn)后,才催生了接下來的故事。

在互聯(lián)網里,大家都有一個共同的敵人

在我國互聯(lián)網的發(fā)展可以大概分成3個階段:1986年-1993年是研究試驗階段、1994年-1996年是起步階段、1997年之后是快速增長階段。計算機和互聯(lián)網的出現(xiàn),讓人類進入到數(shù)字化信息時代,人們工作和生活的進程也變得空前的便捷高效。但正如工具的發(fā)展誕生了武器,從而引發(fā)了人類歷史上無數(shù)的攻防對抗,屬于互聯(lián)網時代戰(zhàn)爭的永恒話題便是“安全”。

先來回顧下網絡安全惡性事件頻發(fā)的2017年,包括肆虐全球的勒索病毒WannaCry、只為破壞的勒索病毒Petya、難以清除的惡性病毒Kuzzle等等,計算機病毒作為一個程序、一段可執(zhí)行碼,它就像生物病毒一樣,具備傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性等特點,它們能夠快速蔓延,又常常難以根除。如何有效防控計算機病毒對互聯(lián)網時代的影響,是每一個網絡安全從業(yè)者,甚至每一個互聯(lián)網使用者,都需要關注的思考的事情,正如古代先人為防止蠻夷入侵所修建的長城一樣,企業(yè)在互聯(lián)網的安全中也在不斷搭建自己的“圍墻”。

早期的互聯(lián)網,病毒的防控需要“調兵遣將”

不同于現(xiàn)在的云端和分布式,自動化的檢查和加固在以前人們的印象里還屬于“天方夜譚”,企業(yè)更多的是讓安全工程師逐條命令的去檢查和加固,雖然當時的人們完全有能力把它形成腳本,但是那個年代服務器比較金貴,懂得人又比較少,大家擔心它的影響,不敢用自動化的方法去做,即使安全工程師們腳本都已經寫出來了,客戶也不敢用,怕系統(tǒng)癱瘓無人能修。

所以,那時候當一個企業(yè)的服務器出現(xiàn)故障,像IBM和惠普更多的是從原廠調一個人過來,從出門開始算錢,然后住五星級酒店,費用著實高的嚇人。后來隨著Linux系統(tǒng)得到了普及,代替了原來的IBM的IX和惠普Unix,會的人多了費用才降了下來。

過去的諸如對登陸設備用人工進行調試、下發(fā)策略、修復系統(tǒng)漏洞等應急響應方式,在隨著互聯(lián)網進程的加快,服務器的數(shù)量達到前所未有的新高的現(xiàn)在已然不再適用。

當客戶出現(xiàn)安全問題的時候,縱使可以一個安全公司的全員出動解決問題,但是當1000個地方的服務器出現(xiàn)問題,又如何來響應呢?正如多個城池同時遭受了無差別攻擊,無論如何調兵遣將,也無法彌補人數(shù)上的不足,終會是“棄車保帥”的結果,往往響應工作還沒有完成,數(shù)據(jù)已經被竊取了。

新的環(huán)境帶來了新的安全形勢,在科技發(fā)展的進程中,針對早期病毒“量少而精”的特征殺毒,就像當年的單純依靠人力進行安全加固一樣,由于缺乏快速響應機制、難以實現(xiàn)一體化防護,管理運維量大,而最終走向失效。

科技的發(fā)展帶了攻擊方的攻擊形式進化,新型攻擊形式日益增多,從滲透攻擊到社工攻擊再到定向攻擊APT與大量快速隨機傳播的無差別攻擊勒索程序,無論從數(shù)量、傳播速度、破壞性上都大幅超過以往。

而傳統(tǒng)特征殺毒由于嚴重依賴特征庫和云端殺毒能力,在企業(yè)內網的隔離網環(huán)境中,難以有效發(fā)揮功能;而日益冗余的特征庫對資源的大量占用更是嚴重影響了企業(yè)的業(yè)務能力,這導致的結果就是企業(yè)內網紛紛中招,一臺終端被攻破后,短時間內迅速蔓延至整個企業(yè)內網,讓企業(yè)損失慘重。

而另一方面,作為防護方,雖然單純依靠特征或特征庫的方式再難以有效應對新的未知威脅,但通過利用人工智能技術從特征識別轉向行為分析,從而形成應對新威脅的有效手段。

在Gartner發(fā)布的《2019十大技術趨勢》中,排在前三位的分別是自主設備、增強分析和AI驅動的開發(fā),這三者都與AI相關。伴隨著數(shù)據(jù)積累和計算能力的升級,AI技術在安全領域的攻防中將扮演著越來越重要的角色。

對防護方來說,人工智能可以輕松處理海量安全日志,較之人力更快、更好的分析企業(yè)安全狀態(tài)。在新的安全形勢下,企業(yè)的安全防護需要更加自動化、工具化的方法,通過自動化的安全響應即時發(fā)現(xiàn)威脅,通過安全策略自動編排的方式自動響應,從而快速消除威脅。

應對新挑戰(zhàn)!下一代終端安全EDR助力企業(yè)打造新的安全防護體系

如今,由于云計算的普及,我們恢復一臺系統(tǒng)的成本變得更低,去還原系統(tǒng)的成本也變得更低,而機房大量設備的存在也是人力所無法監(jiān)管的,在這種情況下,企業(yè)普遍接受了自動化運維的方式。但是終端安全管理工具是有多種形態(tài)的,有的偏向于惡意代碼殺毒,有的偏向于非法鏈接,有的偏向于防泄密,還有的甚至于是一些終端的優(yōu)化工具,比如給你得出一個分數(shù),給你做加速等等。由于企業(yè)自身的需求,它就需要在一臺電腦上裝很多個端,端之間可能有沖突,對性能可能有影響,在PC上也許可以克服,多一些容忍,但在服務器上就無法接受一下裝很多個終端。

再有就是政府、教育、醫(yī)療、制造業(yè)等企業(yè),我們以制造行業(yè)為例,像他們終端的這些現(xiàn)場系統(tǒng),比如說工廠里面電器班組用于組態(tài)和檢測的系統(tǒng),與我們平時用的PC的區(qū)別是它不太可能連互聯(lián)網,也不方便升級它的病毒庫或策略庫,所以是勒索病毒常年爆發(fā)的領域。這種情況下,深信服的下一代終端安全EDR產品優(yōu)勢便顯示出來了。

EDR即“Endpoint Detection and Response”,翻譯成中文是“端點檢測和響應”,在形式上,它整合了各個終端的能力,利用一個終端解決所有的問題;在管理上,它是由平臺層去管理所有的端,它的管理主體變了,原來的管理主體是服務器的使用者,那么現(xiàn)在它的管理主體則變成了整個公司,由一個公司的資產來去集中進行管理。

深信服主要關注兩部分,一個是覆蓋能力,也叫做面,就是你怎么能更好的去減少被攻擊的面;其次需要留一些終端,也叫做點,去做端口的防護。

深信服新一代防火墻NGAF、安全感知平臺SIP、上網行為管理AC就是面。深信服的網關類設備是下一代防火墻,除了能做網絡層的訪問控制以外,更加關注于應用層與數(shù)據(jù)內容,包括外部防護的安全防護功能和內容安全防護的功能。

深信服下一代終端安全EDR則是點, EDR在終端上彌補了在邊界上隔離的不足,深信服可以在端上發(fā)現(xiàn)問題,在網上去封堵;也可以在網上發(fā)現(xiàn)疑似問題,在端上確認和處置。比如在處置的時候,在邊界上做一個隔離,但是對網內可能還有影響,但是通過有EDR這種在端點的工具,就能夠有效的響應和處置。

而將“點“和”面“結合、做深做細,則需要能網端聯(lián)動和自動化響應。這離不開背后的深信服安全云腦與SAVE安全智能檢測引擎。

深信服安全云腦作為威脅情報搜集和響應的中心,當發(fā)現(xiàn)到威脅情報后會第一時間推送給深信服新一代終端安全EDR與深信服新一代防火墻NGAF、安全感知平臺SIP、上網行為管理AC等網絡安全管理,通過多維度、快速響應,極大縮短了威脅駐留時間。

SAVE的全稱是Sangfor AI-based Vanguard Engine,Vanguard有“先鋒、領導者”之意,中文名是“SAVE安全智能檢測引擎”,通過它的支持讓企業(yè)的安全防護體系能實現(xiàn)了“智“的飛躍,它基于人工智能,能夠在不升級策略庫的情況下,對大部分的惡意文件進行識別,對未知病毒查出率可達97.85%,對已知病毒檢出率高于99%。

通過對云、網、端的融合,結合了EDR的全網安全設備聯(lián)動機制是一整套的云管端閉環(huán)系統(tǒng),解決了傳統(tǒng)安全防護的體系弱點和能力缺失,可以高效實現(xiàn)病毒防護、具有對已/未知威脅的準確檢測與發(fā)現(xiàn)、快速響應等功能。

安全產業(yè)需要面向未來、有效保護

既然深信服的下一代終端安全EDR有效利用了人工智能,那就不得不講講它的三個要素:算力、算法和數(shù)據(jù)。

在算力方面,深信服是全球圖形技術和數(shù)字媒體處理器行業(yè)領導廠商NVIDIA的合作伙伴;在數(shù)據(jù)上,一方面,深信服依靠十余年來從事安全防護而獲得的大量的一手經驗、包括在客戶授權的情況下,從大量設備日志、安全托管服務中獲得真實威脅數(shù)據(jù)信息等,另一方,深信服也投入大量資金購買高質量的外部威脅情報,包括企業(yè)級數(shù)據(jù)信息所面臨的惡意代碼或者惡意流量;

在算法上,深信服更加關注目前影響覆蓋率比較大的勒索軟件,對文件進行結算和各種算法的嘗試。深信服投入了大量的博士和博士后從事專門研究,并每年拿出20%以上的收入去做研發(fā),在大量資源的支持下,深信服下一代終端安全EDR對未知病毒查出率遠高于業(yè)界平均水準。

在現(xiàn)代互聯(lián)網安全問題上,深信服有自己的思考:網絡安全行業(yè)的發(fā)展有兩個大的方向,一個是能力的提升,基于大數(shù)據(jù)和人工智能的出現(xiàn)讓安全產品變得更聰明,更能解決復雜的問題;一個是場景的變化,比如云計算、物聯(lián)網和移動互聯(lián)網的出現(xiàn),云管理平臺和虛擬化部分需要新的方式去保護。

以目前業(yè)界安全建設的標準模型PDR模型,Protection(防護)、Detectioon(檢測)、Response(響應)為例。

首先,在PDR上需要先落實好防護、檢測和響應,通過能力的提升將事情做到精致;其次,在PDR能力的基礎之上,要基于AI去做風險的整體評估和識別,以及預測的活動;最后,站在客戶的角度上去運營,通過自動化的運營和企業(yè)方、渠道方、深信服及其他安全廠商的多方聯(lián)動,將安全產品運用起來,才能真正的實現(xiàn)“面向未來,有效保護”。

中國造!深信服下一代終端安全EDR更符合國人的使用習慣

與國外的安全廠商相比,由于國內和國外網絡環(huán)境不同,用戶使用場景、需求及使用習慣的區(qū)別,導致終端安全產品的定位也不一樣。

首先,國內的企業(yè)內網環(huán)境更為復雜,機器的型號也各不相同,甚至于一些高速路、醫(yī)院等民生機構的系統(tǒng)還停留在Windows XP階段,在適配性上問題重重;其次,在等保合規(guī)、國產化的要求下,諸多國外安全廠商大幅減少國內的服務點數(shù)量,導致企業(yè)網絡安全出現(xiàn)問題時沒有人能來進行及時的應急響應。還有,國外和國內的應用不同,國內用WPS,而國外有它特殊的辦公系統(tǒng)和使用習慣,比如正版化的問題,國外的正版化率較高,而國內的有些盜版系統(tǒng)根本就無法升級,就可能遇到安全問題;最后,國外殺毒軟件的界面其實并不友好,好像國內十年前的樣子,而國內的UI更加符合中國人的習慣。

在這樣的情況下,深信服下一代終端安全EDR 以其強大的適配性、對未知威脅的及時防護、快速響應和處置,對企業(yè)級運維的強大加持,以及幫助企業(yè)做到等保合規(guī)上,都有著巨大的優(yōu)勢。

本著移情客戶、以保護客戶資產為核心的理念,深信服下一代終端安全EDR在企業(yè)面對不可統(tǒng)一防護、終端類型多、無法統(tǒng)一管理的問題時,能通過一個統(tǒng)一的管控平臺對接包括服務器、 PC的Windows、Linux的不同場景不同系統(tǒng)的EDR終端,實現(xiàn)一體化的管控。在售后服務上,深信服更是從一線城市城市下沉到了重點區(qū)域縣級的技術支持,當端上遇到問題時,能最快速的應急響應,真正幫助客戶解決問題。

為了能幫助客戶真正的解決問題,深信服通過將技術端與市場端相打通,第一時間發(fā)現(xiàn)客戶的需求,用技術去覆蓋到企業(yè)端點的問題解決上。

以Webshell的防御為例,深信服新一代終端安全EDR的技術團隊通過機器學習對幾十萬個Webshell樣本進行了分析和建模,利用它的SSTB是否合乎哈希以及對php等的語法解析、獲取函數(shù)的點,執(zhí)行函數(shù)里有出入的一些參數(shù),進而判斷這些參數(shù)有沒有帶有一些攻擊特征,最終檢測出它的全部變種。

至于等保合規(guī),網絡安全法出臺后,法律法規(guī)更加細化,明確了整個網絡安全的責任人,而跟服務器關系最大的就是終端,終端安全的建設成為了大家愈發(fā)關注的一方面。

以篡改事件為例,合規(guī)要求一小時之內必須響應,解決完,這考驗的就是落實到終端安全的即時檢測與響應。而深信服新一代終端安全EDR的‘全面適配,統(tǒng)一管理’,能通過形成立體的安全保護體系對各區(qū)域實施靈動、智能而全面的安全保護措施,讓客戶在安全運維中做好基線檢查,確保終端安全合規(guī)。

深信服下一代終端安全EDR賦予了用戶以持續(xù)進化的預警、防御、檢測與響應能力,守護住了企業(yè)用戶安全建設中的最后一公里。它為用戶的IT和業(yè)務提供了持續(xù)保護,讓企業(yè)用戶的安全建設更加高效、簡單,從而解放了企業(yè)在安全運維中的時間與精力,助力企業(yè)在業(yè)務中創(chuàng)造更多的價值!

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
網絡安全

相關文章

  • 2023 年 6 月頭號惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時,移動木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領先的網絡安全解決方案提供商CheckPoint?軟件技術有限公司(納斯達克股票代碼

    標簽:
    網絡安全
  • 華順信安榮獲“網絡空間安全產學協(xié)同育人優(yōu)秀案例”二等獎

    7月6日,“第三屆網絡空間安全產學協(xié)同育人優(yōu)秀案例”評選活動正式公布獲獎名單,華順信安與湘潭大學計算機學院·網絡空間安全學院聯(lián)合申報的參選案例獲評優(yōu)秀案例二等獎。本次活動由教育部高等學校網絡空間安全專業(yè)教學指導委員會產學合作育人工作組主辦,四川大學與華中科技大學共同承辦。本次評選,華順信安與湘潭大學

    標簽:
    網絡安全
  • Check Point:攻擊者通過合法email服務竊取用戶憑證信息

    近日,CheckPoint?軟件技術有限公司的研究人員對電子郵件安全展開調研,結果顯示憑證收集仍是主要攻擊向量,59%的報告攻擊與之相關。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時,在2023年一份針對我國電子郵件安全的第三方報告顯示,與證書/憑據(jù)釣魚相關的不法活

    標簽:
    網絡安全
  • 百代OSS防勒索解決方案,打造領先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調查報告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險的是,今年又出現(xiàn)了許多新的勒索軟件即服務(RaaS)團伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運營商REvil的回歸

    標簽:
    網絡安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網安產業(yè)成長之星

    6月21日,中國網絡安全產業(yè)聯(lián)盟(CCIA)正式發(fā)布由網絡安全產業(yè)研究機構“數(shù)說安全”提供研究支持的“2023年中國網安產業(yè)競爭力50強、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內優(yōu)秀的專業(yè)能力與強勁的核心競爭力再次榮登“2023年中國網安產業(yè)成長之星”榜單。據(jù)悉,中國網絡安全產業(yè)聯(lián)盟(CCIA)

    標簽:
    網絡安全

熱門排行

信息推薦