需求分析
随着安全威胁的变革,0day攻击、APT攻击、无文件攻击手段层出不穷,使得传统的终端安全防护手段已经出现了疲于应对的情形,终端一旦出现安全性问题,轻则影响终端使用感触,重则会导致业务受影响或中断。在边界高筑墙的安全防护逻辑中,已经被验证出现了严重的安全威胁漏洞,在安全威胁突破边界产品后,在终端基本处于畅通无阻并横向扩大攻击战果。
根据CSI/FBI等权威机构公布的数据,超过80%的安全事件都发生在终端环境中,“落脚”在终端是所有所有安全威胁的最终目标,终端也因此经常被称为是安全的最后一公里或者最后一道防线。传统终端EPP侧重于“基础防御”,识别和阻断已知威胁,但无法看清威胁全貌并且对于潜在威胁、未知威胁无法实现检测与防御。EDR产品作为贯穿终端安全威胁全生命周期并且以攻击者视角看威胁的终端安全产品应运而生,通过记录终端发生的全量事件,结合已知威胁检测、行为分析、数据聚合、机器学习等技术来检测任何可能性的安全威胁,对安全威胁做出快速响应并可视化呈现攻击路径、影响范围的新一代终端安全产品。
产品简介
产品简介
启明星辰终端高级威胁检测与响应系统(简称EDR),帮忙快速构建新一代终端安全防护系统,依托全量终端运行信息采集和业务资产盘点为核心,应用“数据随动机制”对信息的输入、输出内容动态调整,让检测维度随阶段变化而变化、响应方法随威胁变化而变化、溯源视角随时间变化而变化,持续为终端提供威胁的检测与响应能力。通过将高危命令、恶意行为、单点威胁、恶意代码驻留进行安全矩阵映射,实现对高级持续性威胁的检测和响应,提前截断攻击链条。在攻击者视角帮助管理人员看到、看清、看全安全威胁发生过程,为安全威胁的处置及后续整改提供有力支撑。
功能特点
- 终端资产盘点: 网内的终端数量庞大、操作系统驳杂、版本应用不一,资产统计一直都是让运维人员比较困惑的问题。EDR可快速对网内的资产信息进行搜集、呈现,让保护对象清晰可见。
- 安全状态研判: 提供终端信息提供持续动态风险评估能力,对合规基线、补丁、漏洞、配置脆弱性等问题进行综合研判,让全网风险直观可视化对于,增强基础安全性,提高攻击门槛。
-
已知威胁检测:
内置多重威胁检测引擎,对恶意病毒、勒索病毒、挖矿病毒、web后门、恶意链接等安全问题进行有效检测,及时发现安全威胁定位威胁终端。
-
未知威胁检测:
基于恶意行为、高危指令、敏感操作等信息关联分析,并使用ATT&CK攻击模型,对于有动机的攻击行为进行检测,在更早时间截断持续攻击链条。
-
全量信息采集:
以终端黑盒子逻辑全量记录终端运行信息,在发生安全威胁时有更多信息进行支撑前后文溯源分析,便于从终端运行常态中发现终端运行异常态。
-
终端威胁溯源:
采用基于大数据技术的日志关联分析,不仅可以快速在海量的数据中检索到想要的数据,同时对于终端主机中的横向安全威胁进行有效溯源,通过攻击者视角对终端安全威胁进行全路径、全周期进行追溯。
京公网安备11010802024551号