● 需求來(lái)源
近年來(lái),針對(duì)終端設(shè)備的攻擊層出不窮,這些攻擊大多會(huì)利用操作系統(tǒng)上未公開的漏洞,由于傳統(tǒng)的防護(hù)手段在面臨APT、0day等高級(jí)攻擊時(shí),無(wú)法形成有效防御。因此,面對(duì)新型攻擊手段和未知安全漏洞,終端安全亟需打破傳統(tǒng)防御思路,從技術(shù)上主動(dòng)發(fā)現(xiàn)、識(shí)別各類已知和未知安全威脅,及時(shí)阻斷網(wǎng)絡(luò)入侵行為,同時(shí)提供一種安全防護(hù)托底的手段,在安全事件發(fā)生后,對(duì)安全事件進(jìn)行取證分析和追蹤溯源。
Gartner將EDR(Endpoint detection and response,端點(diǎn)檢測(cè)和響應(yīng))定義為“記錄和存儲(chǔ)端點(diǎn)系統(tǒng)級(jí)行為的解決方案,使用各種數(shù)據(jù)分析技術(shù)檢測(cè)可疑系統(tǒng)行為,提供上下文信息,阻止惡意活動(dòng),并提供修復(fù)建議以恢復(fù)受影響的系統(tǒng)。主要功能包括:檢測(cè)安全事件、調(diào)查安全事件、在端點(diǎn)上遏制安全事件、將端點(diǎn)修復(fù)到感染前狀態(tài)。
● 解決方案
聯(lián)軟終端檢測(cè)與響應(yīng)系統(tǒng)是聯(lián)軟科技基于Gartner提出EDR概念結(jié)合CARTA“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任”安全模型開發(fā)的,用于解決終端高級(jí)威脅攻擊、威脅攻擊溯源及協(xié)助企業(yè)持續(xù)化改進(jìn)的終端安全管控平臺(tái)。產(chǎn)品可通過現(xiàn)有聯(lián)軟EPP管控平臺(tái)進(jìn)行擴(kuò)展,在統(tǒng)一管理平臺(tái)統(tǒng)一客戶的基礎(chǔ)上,實(shí)現(xiàn)安全能力互補(bǔ),發(fā)現(xiàn)威脅、處置威脅、分析威脅、持續(xù)化改進(jìn)終端安全管理配置。
聯(lián)軟EDR通過持續(xù)監(jiān)測(cè)采集各種類型端點(diǎn)上的行為信息和運(yùn)行狀態(tài),并通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù),對(duì)端點(diǎn)的相關(guān)數(shù)據(jù)進(jìn)行持續(xù)性的關(guān)聯(lián)行為分析、威脅檢測(cè)、高級(jí)威脅分析等,并提供事件響應(yīng)處置、追蹤溯源、調(diào)查取證等功能,從而實(shí)現(xiàn)對(duì)終端從預(yù)測(cè)、防護(hù)到檢測(cè)、響應(yīng)的全生命周期的持續(xù)性安全防護(hù),為終端提供積極主動(dòng)的防護(hù)能力。
