● 需求來源
近年來,針對終端設(shè)備的攻擊層出不窮,這些攻擊大多會利用操作系統(tǒng)上未公開的漏洞,由于傳統(tǒng)的防護手段在面臨APT、0day等高級攻擊時,無法形成有效防御。因此,面對新型攻擊手段和未知安全漏洞,終端安全亟需打破傳統(tǒng)防御思路,從技術(shù)上主動發(fā)現(xiàn)、識別各類已知和未知安全威脅,及時阻斷網(wǎng)絡(luò)入侵行為,同時提供一種安全防護托底的手段,在安全事件發(fā)生后,對安全事件進行取證分析和追蹤溯源。
Gartner將EDR(Endpoint detection and response,端點檢測和響應(yīng))定義為“記錄和存儲端點系統(tǒng)級行為的解決方案,使用各種數(shù)據(jù)分析技術(shù)檢測可疑系統(tǒng)行為,提供上下文信息,阻止惡意活動,并提供修復(fù)建議以恢復(fù)受影響的系統(tǒng)。主要功能包括:檢測安全事件、調(diào)查安全事件、在端點上遏制安全事件、將端點修復(fù)到感染前狀態(tài)。
● 解決方案
聯(lián)軟終端檢測與響應(yīng)系統(tǒng)是聯(lián)軟科技基于Gartner提出EDR概念結(jié)合CARTA“持續(xù)自適應(yīng)風險與信任”安全模型開發(fā)的,用于解決終端高級威脅攻擊、威脅攻擊溯源及協(xié)助企業(yè)持續(xù)化改進的終端安全管控平臺。產(chǎn)品可通過現(xiàn)有聯(lián)軟EPP管控平臺進行擴展,在統(tǒng)一管理平臺統(tǒng)一客戶的基礎(chǔ)上,實現(xiàn)安全能力互補,發(fā)現(xiàn)威脅、處置威脅、分析威脅、持續(xù)化改進終端安全管理配置。
聯(lián)軟EDR通過持續(xù)監(jiān)測采集各種類型端點上的行為信息和運行狀態(tài),并通過大數(shù)據(jù)、機器學習等技術(shù),對端點的相關(guān)數(shù)據(jù)進行持續(xù)性的關(guān)聯(lián)行為分析、威脅檢測、高級威脅分析等,并提供事件響應(yīng)處置、追蹤溯源、調(diào)查取證等功能,從而實現(xiàn)對終端從預(yù)測、防護到檢測、響應(yīng)的全生命周期的持續(xù)性安全防護,為終端提供積極主動的防護能力。
