终端安全
杀毒软件
深信服终端检测响应平台(EDR):
产品介绍
终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。
EDR 的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁定位。
端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。深信服的 EDR 产品也支持与 AC、SIP、AF、SOC 产品的联动协同响应,形成新一代的安全防护体系。
功能介绍
终端资产的全面管理:全网终端资产的全面盘点,包含业务服务器的终端和用户 PC 的终端。盘点每台终端设备的名称、IP 地址、MAC 地址、操作系统、CPU 利用率、内存利用率、所属组织、责任人、资产编号、资产位置等。每一台的终端上的资产信息清晰,每一个安全事件责任到人,使得安全管理能落实到位。
终端安全的合规审查:每一个组织都有自己的终端安全合规要求,特别是等级保护的合规要求,对主机的安全要求。终端安全合规审查依据等级保护的主机安全要求进行设计,对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足企业建设等级保护系统的主机安全要求。
勒索病毒的实时防御:勒索病毒通过加密文件的方式,要求中招者支持一定数额的赎金。这种攻击方式越来越流行,每天都有客户反馈中招。深信服 EDR 能够非常精准的识别不同的勒索软件家族,并通过专业分析识别出种种勒索病毒感染行为和加密特征,对最新的勒索软件进行有效的查杀,防止用户感染最新的勒索软件。
系统漏洞检测与修复:系统存在不同风险等级的漏洞,如果没有及时识别和修复,攻击者很可能利用系统漏洞进入客户内网,对业务造成的影响和损失经常无法估计。EDR 能够帮助管理员识别内网终端系统漏洞风险,并进行修复,加强系统安全性。
入侵攻击的主动检测:终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。深信服的 EDR 主动检测暴力破解行为,并对发现攻击行为的 IP 进行封堵响应。针对 Web 安全攻击行为,则主动检测 Web 后门的文件。
热点事件的快速响应:深信服安全云脑通过全球的大数据安全分析,提供热点事件的IOC 情报,推送情报数据给 EDR 产品。EDR 产品能根据 IOC 情报数据快速的全网威胁定位分析,及时发现和响应最新的热点事件,并且根据历史行为数据进行溯源分析,避免组织受到安全事件的通报
终端安全应用场景
勒索病毒及未知威胁防护场景
①、终端主动防御:通过安全基线检查及修复,防爆破检测和防御,微隔离技术降低威胁侵入风险,降低威胁影响面,通过勒索诱捕方案针对性查杀勒索病毒,主动防御,全面防护。
②、基于AI的智能检测:通过人工智能SAVE引擎的无特征鉴别技术,对勒索病毒及未知威胁进行实时检测,配合威胁情报,精确识别未知威胁。
③、持续终端检测行为:在终端对所有文件行为及进程,外联域名,URL,IP等关键信息进行监控,保障非法行为及时发现与制止,尤其是勒索病毒加密动作的制止。
④、全网威胁情报:威胁情报平台每天实时分析来自互联网和深信服安全产品的海量数据,通过威胁情报平台中集成的关联分析与智能算法,能在第一时间发现潜在威胁,并向深信服EDR推送防御能力。
隔离网终端防护场景
①、摆脱云查引擎束缚:人工智能检测引擎SAVE通过轻量级算法模型即可有效检测包括各类勒索病毒等恶意威胁,摆脱云查引擎束缚,离线查杀效果优异。
②、轻量级终端消耗:将重载运算放到管理平台端,终端仅安装轻量级agent,大幅度降低终端资源消耗。
③、内网威胁感知:构建企业内网本地的文件信誉库,对单台终端上的文件检测结果汇总到平台,做到内网威胁一台发现,全网感知,围剿式查杀。
④、业务流量可视化:采用统一管理的方式对终端的网络访问关系进行图形化展示,可以看到每个业务域内部各个终端的访问关系展示以及访问记录。
网段双重防御场景
①、云网端纵深防御:通过网络域和终端域的安全防御全覆盖,构建系统化防御能力抵御不同介入点风险,构建由端点到网络的纵深防御能力。
②、威胁处置闭环:策略级细粒度集成,一个安全域识别到的威胁可以动态调整另一个安全域的安全配置,增强整体防御能力,有效抵御威胁。
③、安全风险一键处置:网端智能协同,当发生威胁时,可通过网络端设备的一键处置,将终端域风险迅速隔离查杀,并在网络域自动生成联动封锁规则,全面封锁威胁。
④、端点溯源取证:基于网络域及端点域威胁上下文的深度关联,网络流量层分析威胁的特征,在端点上实现恶意载体的深度行为分析、取证,精准定位诸如无文件攻击、勒索病毒、挖矿病毒等热点攻击。