内容简介:资深一些的安全从业者都知道,传统的网络边界安全产品,如果没有终端安全的配合,一旦被突破,防御系统便无能为力。而且,即使安装了杀毒软件,也很难抵御病毒变种或未知恶意软件。而较为落后的防护体系,各种设备、工具各司其职,呈分散状态,无法有效联动,不能形成整体化的能够及时响应的有效防护体系。EDR(终端检测与响应)的概念就是基于以上问题而诞生的。近日在成都举行的创新论坛上,深信服发布了其下一代终端安全产品:深信服终端检测与响应平台。据介绍,这是全新轻量级、智能化、响应快的下一代终端安全系统,以终端资产为核心,通过
资深一些的安全从业者都知道,传统的网络边界安全产品,如果没有终端安全的配合,一旦被突破,防御系统便无能为力。而且,即使安装了杀毒软件,也很难抵御病毒变种或未知恶意软件。而较为落后的防护体系,各种设备、 工具 各司其职,呈分散状态,无法有效联动,不能形成整体化的能够及时响应的有效防护体系。EDR(终端检测与响应)的概念就是基于以上问题而诞生的。
近日在成都举行的创新论坛上,深信服发布了其下一代终端安全产品:深信服终端检测与响应平台。据介绍,这是全新轻量级、智能化、响应快的下一代终端安全系统,以终端资产为核心,通过预防、防御、检测、响应全面赋予终端威胁防御能力,使其达到洞见威胁本质,迅捷灵动处置效果,帮助用户快速检测、处置终端一系列安全问题。
安全牛分析师通过资料查阅,以及沟通面谈,大致了解了这套终端安全产品。经过梳理与思考,现分享给安全牛的读者。
一、体现PPDR模型的智能化的安全体系
这是一套综合性的终端安全解决方案,部署形态上很简单,由轻量级的端点安全软件(Agent)和管理平台软件两个关键部分组成。之所以称之为下一代EDR,是因为基于深信服自主知识产权的创新型人工智能引擎(SAVE),赋予终端更为精准、持续的检测、快速处置能力,配合联动协同、威胁情报共享、智能响应等机制,可以实现威胁快速检测、有效处置终端一系列安全问题,较好的体现了PPDR模型的闭环理念。最终,为用户提供行之有效的、智能化的整体安全防御体系。
下面我们来看看它的技术架构。
深信服EDR系统的技术架构主要由基础平台、核心引擎、系统功能三部分组成:
1. 基础平台
由主机代理、恶意文件查杀引擎、WEB控制台三部分组成。该平台提供EDR系统良好运行的基础支撑,提供终端安全防护功能的基本运行环境,负责功能指令以及消息的接收、发送和执行。
2. 核心引擎
由人工智能SAVE引擎、云引擎、行为引擎所组成,用以实现病毒有效检测以及快速响应功能。
3. 系统功能
系统功能展现则由预防、防御、检测、响应(PPDR)四部分组成,通过这四部分功能对终端赋予加固措施,有效抵御病毒木马等威胁,实现安全有效的终端防护效果。
【深信服EDR的技术架构】
二、恶意软件防护与协同联动
了解完技术架构,我们再来看一下这套EDR实现的两大目标。
1. 智能化的恶意软件防护
上文介绍过,之所以称之为下一代终端安全,是因为其称之为SAVE的新型AI引擎。其实现机理,大致上就是通过安全专家的知识指导,结合多维度的检测技术和线上海量的数据运营分析,应用深度学习技术进行训练,不断完善高检出和低误报的算法模型,最终形成高效的检测引擎。
此外,还结合了另一项很重要的技术,基于虚拟执行引擎和操作系统环境仿真,即“虚拟沙盒”技术,来深度解析各类恶意代码的本质特征,以有效解决加密和混淆等代码级恶意对抗。而且,根据虚拟沙盒捕获到虚拟执行的行为,对病毒运行的恶意行为链进行检测,能检测到更多的恶意代码本质的行为内容。然后结合威胁情报在云端的大数据分析平台(安全云脑)进行查询,可实现秒级响应未知文件的检测结果。
据了解,在用户部署运行一段时间后,达到了已知病毒 99% 检出率。未知病毒或变种,则在 千分之一 左右误报率情况下,检出率达到 97.85% 。
值得一提的是,这套EDR系统还提供多维度的威胁处置能力,可以根据检测命中的威胁内容进行快速响应,提供基于文件、机器、群组等维度的处置手段。包括终端主机隔离、业务组隔离、文件隔离、文件的信任/删除/恢复,以及与深信服的防火墙、上网行为、安全感知(AF/AC/SIP)等设备联动处置隔离等。
2. 云管端设备联动
EDR与AF/AC/SIP等设备以及云端的安全云脑可以协同联动并响应,如威胁日志上报、自动接收外部设备威胁情报和自动响应指令等,从而形成应对威胁的云管端立体化纵深防护闭环体系。
3 . 安全云脑
关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,不再依赖传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支撑。
4. AF/SIP
与防火墙、威胁感知设备进行联动,应用检测、取证、响应、溯源等防护措施。各设备间可实时共享威胁情报数据,并在发现威胁时第一时间自动进行响应处置。
5. AC
与上网行为管理设备进行联动,可实现合规认证审查、安全事件响应等防护效果。
【基于设备联动形成的云管端闭环】
结合了EDR的全网安全设备联动机制,形成了一整套的云管端闭环系统,解决了文章开始所述的体系弱点和能力缺失,可以高效实现病毒防护、已/未知威肋的检测与发现、快速响应等功能。而基于Agent加管理平台的部署模式,还可轻松实现资产盘点、合规审查,以及基于应用角色的微隔离防护和流量可视化管理等功能。
安全牛评
缺失了终端安全的安全保护无法称之为防御体系,这也是EDR的两大目标终端安全和设备联动的价值所在。而传统EDR的两大弊端,警报疲劳和兼容性,通过智能引擎减少误报,和不与底层驱动挂勾的Agent广泛兼容各种操作系统,很好的解决了这两大弊端,体现了安全系统的智能化、整体化,协同化。
相关阅读
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 华为 深信服等研发面经
- (编辑中)深信服容器云的负载均衡实现
- 持续保护 :看深信服如何落地等保2.0
- 始于图像,探索AI!深信服出席GTC CHINA 2018
- 企业调研:深信服的超融合到底解决了什么问题?
- 2018中国VDI瘦终端出货增速显著,深信服蝉联第二
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Practical Django Projects, Second Edition
James Bennett / Apress / 2009 / 44.99
Build a django content management system, blog, and social networking site with James Bennett as he introduces version 1.1 of the popular Django framework. You’ll work through the development of ea......一起来看看 《Practical Django Projects, Second Edition》 这本书的介绍吧!
