【概要描述】

      當(dāng)今萬(wàn)物互聯(lián)的場(chǎng)景越來(lái)越多，極大的方便了人們的工作和生活。據(jù)IDC預(yù)測(cè)，到2025年，全球僅IOT設(shè)備數(shù)量將達(dá)到416億個(gè)，未來(lái)幾年IOT設(shè)備增長(zhǎng)率將持續(xù)高于30%。隨著5G、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)已經(jīng)興起，網(wǎng)絡(luò)邊界已經(jīng)越來(lái)越模糊，端點(diǎn)保護(hù)已成為企業(yè)在傳統(tǒng)安全邊界消失時(shí)，抵御復(fù)雜的APT攻擊和防不勝防的零日漏洞的第一道防線。

      傳統(tǒng)的端點(diǎn)安全防護(hù)主要是靠殺毒軟件，通過(guò)病毒特征碼匹配進(jìn)行本地查殺，屬于單機(jī)被動(dòng)防御產(chǎn)品。之后的EPP（端點(diǎn)保護(hù)平臺(tái)）雖然作為平臺(tái)級(jí)端點(diǎn)主動(dòng)防御解決方案并在企業(yè)廣泛應(yīng)用，但該產(chǎn)品還是采用了防御型技術(shù)，難以應(yīng)對(duì)復(fù)雜攻擊和高級(jí)威脅。隨著終端泛在化，未來(lái)所有的網(wǎng)絡(luò)節(jié)點(diǎn)都將是終端，端點(diǎn)安全的關(guān)注點(diǎn)，已經(jīng)從單一安全防御轉(zhuǎn)移到更注重威脅發(fā)現(xiàn)和自動(dòng)化處置能力，對(duì)自動(dòng)化威脅檢測(cè)、響應(yīng)、處理、運(yùn)維能力要求越來(lái)越高。在此基礎(chǔ)上，EDR應(yīng)運(yùn)而生。

什么是EDR？

      EDR全稱端點(diǎn)檢測(cè)與響應(yīng)，是Gartner在2013年定義的一種安全技術(shù)和實(shí)踐。其中：

      端點(diǎn) - 端點(diǎn)是諸如手機(jī)，筆記本電腦，用戶工作站或服務(wù)器之類的設(shè)備。

      檢測(cè) - EDR檢測(cè)威脅并阻止對(duì)端點(diǎn)設(shè)備的攻擊，并提供對(duì)可幫助安全團(tuán)隊(duì)調(diào)查攻擊的信息的訪問(wèn)。

      響應(yīng) - EDR工具可以通過(guò)執(zhí)行阻止惡意進(jìn)程和隔離端點(diǎn)的操作來(lái)自動(dòng)響應(yīng)攻擊。

      EDR系統(tǒng)的主要目標(biāo)是通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動(dòng)，并調(diào)查攻擊的范圍和根本原因。

云涌EDR

      云涌終端安全檢測(cè)與響應(yīng)平臺(tái)，由部署到終端負(fù)責(zé)收集上報(bào)數(shù)據(jù)的代理程序、以及負(fù)責(zé)數(shù)據(jù)分析、展示及響應(yīng)的中心服務(wù)組成。

      平臺(tái)通過(guò)安全事件監(jiān)控、漏洞掃描、攻擊威脅檢測(cè)、文件完整性監(jiān)測(cè)、安全配置評(píng)估、操作行為審計(jì)及異常行為偵測(cè)等模塊，來(lái)實(shí)時(shí)通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動(dòng)，并適時(shí)采取相應(yīng)的措施來(lái)阻止惡意行為。平臺(tái)通過(guò)可視化的展示整個(gè)系統(tǒng)的終端安全態(tài)勢(shì)，通過(guò)分析其行為來(lái)確定用戶活動(dòng)是合法的還是惡意的，從而達(dá)到防止外部攻擊或內(nèi)部人員惡意操作的目的。

云涌EDR的產(chǎn)品特性

      云涌EDR 通過(guò)輕量級(jí)代理程序上報(bào)端點(diǎn)側(cè)系統(tǒng)日志及應(yīng)用數(shù)據(jù)，借助平臺(tái)的漏洞庫(kù)比對(duì)、大數(shù)據(jù)分析及態(tài)勢(shì)感知能力，有效幫助安全團(tuán)隊(duì)實(shí)時(shí)掌握終端設(shè)備安全狀況，有效阻止APT等高級(jí)威脅與攻擊。

• IT資產(chǎn)可視化

      云涌EDR平臺(tái)匯總展示終端的硬件及網(wǎng)絡(luò)配置、操作系統(tǒng)及應(yīng)用軟件信息、甚至運(yùn)行的進(jìn)程信息等。同時(shí)依據(jù)規(guī)則分析，實(shí)時(shí)展示設(shè)備的安全風(fēng)險(xiǎn)如安全事件趨勢(shì)、漏洞信息、安全配置掃描結(jié)果、文件完整性日志等。

      EDR代理程序支持主流操作系統(tǒng)如Windows，Ubuntu、CentOS、MacOS，以及信創(chuàng)平臺(tái)如中標(biāo)麒麟，統(tǒng)信UOS等。

• 安全事件監(jiān)控

      云涌EDR通過(guò)輕量級(jí)的代理程序收集終端操作系統(tǒng)及應(yīng)用程序日志，并將數(shù)據(jù)加密傳輸?shù)椒?wù)端。服務(wù)端基于海量規(guī)則，通過(guò)大數(shù)據(jù)分析，實(shí)時(shí)展示企業(yè)IT資產(chǎn)的安全風(fēng)險(xiǎn)和趨勢(shì)，幫助安全運(yùn)維團(tuán)隊(duì)快速發(fā)現(xiàn)問(wèn)題并及時(shí)做出響應(yīng)。

• 漏洞檢測(cè)

      Agent提取終端軟件清單并將數(shù)據(jù)發(fā)送到服務(wù)端，在服務(wù)端中與持續(xù)更新的自維護(hù)漏洞數(shù)據(jù)庫(kù)做匹配，以識(shí)別已知漏洞。自動(dòng)化的漏洞檢測(cè)功能幫助用戶找到關(guān)鍵資產(chǎn)中的弱點(diǎn)并在攻擊者利用它們破壞業(yè)務(wù)或竊取機(jī)密數(shù)據(jù)之前采取相應(yīng)措施。

      云涌在公有云維護(hù)了EDR產(chǎn)品專屬漏洞庫(kù)，實(shí)時(shí)同步NVD(美國(guó)國(guó)家信息安全漏洞庫(kù)）、CNVD(中國(guó)國(guó)家信息安全漏洞庫(kù))以及各大主流操作系統(tǒng)官方漏洞數(shù)據(jù)。支持手動(dòng)維護(hù)尚未收錄的漏洞信息。支持在私有部署EDR環(huán)境里離線導(dǎo)入漏洞數(shù)據(jù)

• 基于ATT&CK模型的攻擊威脅檢測(cè)

      ATT&CK是由MITRE創(chuàng)建并維護(hù)的針對(duì)網(wǎng)絡(luò)攻擊行為的模型和知識(shí)庫(kù)。它基于實(shí)戰(zhàn)以攻擊者視角出發(fā)的，從真實(shí)網(wǎng)絡(luò)威脅中提煉歸納并以矩陣形式展示的14種攻擊戰(zhàn)術(shù)、188種攻擊技術(shù)及379種子技術(shù)的集合。

      云涌EDR依據(jù)ATT&CK模型，將端點(diǎn)側(cè)命中的安全事件歸類匯總，以熱力圖形式展示當(dāng)前系統(tǒng)所處攻擊威脅的階段和技術(shù)，標(biāo)識(shí)風(fēng)險(xiǎn)點(diǎn)。

• 文件完整性監(jiān)控

      云涌EDR支持監(jiān)控終端的文件系統(tǒng)及注冊(cè)表項(xiàng)，根據(jù)用戶實(shí)際場(chǎng)景下的監(jiān)控需求，識(shí)別所監(jiān)控文件的內(nèi)容、權(quán)限、所有者、屬性變化等。此外，系統(tǒng)還支持監(jiān)控用于創(chuàng)建或修改這些文件的用戶或應(yīng)用信息，以識(shí)別風(fēng)險(xiǎn)或威脅。

• 安全配置評(píng)估

      安全配置評(píng)估(SCA)主要的檢查范圍是由人為疏忽造成的終端配置問(wèn)題，主要包括了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大，同一個(gè)配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的。

      云涌EDR依據(jù)CIS標(biāo)準(zhǔn)，通過(guò)掃描策略文件方式對(duì)比當(dāng)前系統(tǒng)與標(biāo)準(zhǔn)系統(tǒng)的設(shè)置項(xiàng)包括注冊(cè)表項(xiàng)，逐條列出對(duì)比結(jié)果，以此評(píng)估主機(jī)配置是否安全。

• 異常行為審計(jì)

      云涌EDR通過(guò)掃描終端系統(tǒng)日志和關(guān)鍵文件來(lái)尋找惡意軟件、木馬和一切可疑行為。       平臺(tái)支持檢測(cè)隱藏文件、隱藏進(jìn)程或未注冊(cè)的網(wǎng)絡(luò)監(jiān)聽(tīng)器，以及識(shí)別系統(tǒng)調(diào)用與響應(yīng)中的不一致行為。此外平臺(tái)使用基于簽名的方法，通過(guò)正則引擎來(lái)分析終端日志數(shù)據(jù)并進(jìn)行入侵檢測(cè)識(shí)別。

• 實(shí)時(shí)響應(yīng)

      平臺(tái)針對(duì)安全風(fēng)險(xiǎn)較高的場(chǎng)景（如終端上報(bào)了高危安全事件，或觸發(fā)了特殊的安全策略）可以快速響應(yīng)并自動(dòng)下發(fā)處置措施，及時(shí)阻斷已知、未知或高級(jí)威脅，全面防護(hù)企業(yè)終端安全。

云涌EDR的使用場(chǎng)景

      云涌EDR可以獨(dú)立部署，用于增強(qiáng)企業(yè)端點(diǎn)設(shè)備安全防護(hù)能力，主動(dòng)發(fā)現(xiàn)高級(jí)威脅和復(fù)雜攻擊，幫助安全團(tuán)隊(duì)及時(shí)了解企業(yè)IT資產(chǎn)安全風(fēng)險(xiǎn)狀況，并實(shí)時(shí)緩解措施以減少攻擊面。

      除此之外，EDR作為端點(diǎn)側(cè)安全防護(hù)的重要模塊，還能與云涌零信任安全管理平臺(tái)、邊緣計(jì)算安全管控平臺(tái)，物聯(lián)網(wǎng)云平臺(tái)等公司其他產(chǎn)品組合部署。EDR能夠極大的增強(qiáng)零信任“訪問(wèn)安全”過(guò)程中訪問(wèn)主體所處環(huán)境的安全性，提前預(yù)知風(fēng)險(xiǎn)，將安全前移。

• 分類：云涌新聞
• 作者：
• 來(lái)源：
• 發(fā)布時(shí)間：2022-04-29
• 訪問(wèn)量：3538