首页 > IT业界 > 正文

深信服EDR全面行为检测,让高级威胁尽在掌控

2022-05-26 15:12:54  来源:

摘要:新型复杂威胁层出不穷,如APT类攻击、人工参与的攻击行为等。高级威胁可变幻各种攻击手法入侵,绕过安全检测,而“终端”是高级威胁进入单位内部网络的重要途径,因此传统的终端安全软件面临极大挑战:
关键词: EDR
新型复杂威胁层出不穷,如APT类攻击、人工参与的攻击行为等。高级威胁可变幻各种攻击手法入侵,绕过安全检测,而“终端”是高级威胁进入单位内部网络的重要途径,因此传统的终端安全软件面临极大挑战:

 
  1. 新威胁难检测:高级威胁的攻击方式更加复杂而隐蔽(如主流的无文件攻击、0day利用攻击),导致基于文件静态检测的传统终端安全软件无法应对。

  2. 威胁响应滞后:传统杀毒软件、终端安全产品在高级威胁入侵后形成病毒文件才发现威胁,响应及处置滞后,导致威胁的影响面不断扩大。

  3. 根因难发现:威胁进入终端后,产生一系列的攻击行为、恶意文件等,并不断入侵更多的终端,而传统的终端安全软件无法全面识别威胁行为(如病毒操作、目的、影响面等),导致无法定位终端威胁的来源。
 

 
 
  一、我们如何抵抗高级威胁?

  如果将高级威胁比作一个“通缉犯”,该“通缉犯”擅于乔装打扮其外部特征,绕过传统终端安全产品的检测,直达单位内部终端,甚至在单位内部终端中“惹是生非”致使威胁扩散。
 
 
  威胁可伪装,但在终端侧的行为却无法隐瞒。这就如同通缉犯,不管如何伪装、隐藏特征,最终还是会在人或物品上产生恶意行为。
 
  因此,只有具备全面行为检测能力,才能对高级威胁快速定位,精准防护。通过持续监测、记录终端系统层、应用层的行为数据,并结合用户真实环境做强关联分析,最终实现在攻击过程早期阶段就发现威胁。
 
  同时,需具有强大的分析能力,才能做到更早发现、更快响应。终端行为特征庞大,传统本地分析能力+云端的情报难以快速定位恶意行为,如果能通过云端强大的算力平台,并实时采集IOC信息,再以终端威胁场景再现攻击事件(如勒索、挖矿入侵路径等),那么高级威胁检测将会更加快速。
 
 
 
  二、具备全面行为检测能力前后变化
 
  我们以一个常见的挖矿事件为例,看下终端具备全面行为检测能力前后的变化:

  未具备全面行为检测能力的终端:当用户发现终端卡顿、CPU占用率高,立即使用杀毒软件进行全盘扫描查杀,在点击“处置”相关威胁文件、进程后,电脑恢复正常。然而次日上班打开电脑,再次出现电脑卡顿现象,于是再次使用杀毒软件、专杀工具查杀。最终,陷入病毒查杀循环,浪费人力精力。
 
 
 
  具备了全面行为检测能力的终端:在攻击早期阶段便可检出高级威胁(即:挖矿还未在终端落地时就能提前发现),同时可以还原挖矿事件全过程并持续监控。
 
  在这个过程中,用户可以直观地看到整个过程,包括挖矿病毒从哪里进来、进入系统后对终端采取了哪些操作、影响面有多大、是否还有其他终端含有类似挖矿行为等。因此可以准确定位挖矿根本原因并进行有效处置,还能预判其他终端是否含有潜伏挖矿行为,做到一次性处置同类型事件。
 
 
 
  三、深信服EDR+SaaS XDR持续抵御高级威胁
 
  深信服EDR全面采集终端行为,并通过威胁场景重现技术,同时结合云端XDR平台强大的数据采集能力进行全网终端威胁狩猎、快速联动响应:
 
  1.全面的终端行为检测能力,狙击高级威胁

  ①全面的端侧行为数据采集能力:基于ATT&CK攻击矩阵采集端侧系统层、应用层行为数据,包括进程、文件、注册表等13个类别数据,为攻击全面分析提供丰富数据源,提升威胁研判的精准度,减少误报。

  ②创新的威胁场景重现技术:高级威胁经常利用正常软件/系统操作相似性,而传统终端安全软件只能基于1-2个行为特征检测,难以检测出来。深信服EDR在自研SAVE人工智能检测引擎基础上,创新地合入场景重现IOA检测技术(支持挖矿、勒索、webshell攻击、无文件攻击等十大场景),将各种行为和上下文信息进行聚合关联后转变为各种场景,从场景层面判别正常业务或恶意攻击,从而获得更高的威胁检出率,成为国内首个以满分通过AV-TEST测评的企业级终端安全产品。
 
  2.与云端XDR平台双向赋能,实现快速响应

  深信服EDR区别传统终端安全软件仅同步云端情报,还可联动云端XDR平台,通过强大算力对行为数据聚合分析,基于IOA+IOC全面精准研判攻击,深度还原攻击事件、定位根因,包括威胁从哪来、干了什么、影响多大、是否还有潜伏等,复杂的APT事件定位从几天时间缩短为小时级,同时云端专家还可提供专业处置与加固建议,让安全响应更快速。
 
  深信服EDR基于全面的行为检测+SaaS XDR联动能力,实现端点一站式防护闭环,快速应对各类威胁。同时,深信服EDR凭借优秀的产品实力及安全效果,获“主机入侵检测类别”增强级认证,持续为用户提供高级威胁检测更全面,联动响应更快的轻量级终端安全软件。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baxuedong

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。