【概要描述】

      當(dāng)今萬物互聯(lián)的場景越來越多，極大的方便了人們的工作和生活。據(jù)IDC預(yù)測，到2025年，全球僅IOT設(shè)備數(shù)量將達到416億個，未來幾年IOT設(shè)備增長率將持續(xù)高于30%。隨著5G、云計算、物聯(lián)網(wǎng)等技術(shù)已經(jīng)興起，網(wǎng)絡(luò)邊界已經(jīng)越來越模糊，端點保護已成為企業(yè)在傳統(tǒng)安全邊界消失時，抵御復(fù)雜的APT攻擊和防不勝防的零日漏洞的第一道防線。

      傳統(tǒng)的端點安全防護主要是靠殺毒軟件，通過病毒特征碼匹配進行本地查殺，屬于單機被動防御產(chǎn)品。之后的EPP（端點保護平臺）雖然作為平臺級端點主動防御解決方案并在企業(yè)廣泛應(yīng)用，但該產(chǎn)品還是采用了防御型技術(shù)，難以應(yīng)對復(fù)雜攻擊和高級威脅。隨著終端泛在化，未來所有的網(wǎng)絡(luò)節(jié)點都將是終端，端點安全的關(guān)注點，已經(jīng)從單一安全防御轉(zhuǎn)移到更注重威脅發(fā)現(xiàn)和自動化處置能力，對自動化威脅檢測、響應(yīng)、處理、運維能力要求越來越高。在此基礎(chǔ)上，EDR應(yīng)運而生。

什么是EDR？

      EDR全稱端點檢測與響應(yīng)，是Gartner在2013年定義的一種安全技術(shù)和實踐。其中：

      端點 - 端點是諸如手機，筆記本電腦，用戶工作站或服務(wù)器之類的設(shè)備。

      檢測 - EDR檢測威脅并阻止對端點設(shè)備的攻擊，并提供對可幫助安全團隊調(diào)查攻擊的信息的訪問。

      響應(yīng) - EDR工具可以通過執(zhí)行阻止惡意進程和隔離端點的操作來自動響應(yīng)攻擊。

      EDR系統(tǒng)的主要目標(biāo)是通知安全團隊有關(guān)端點上的惡意活動，并調(diào)查攻擊的范圍和根本原因。

云涌EDR

      云涌終端安全檢測與響應(yīng)平臺，由部署到終端負責(zé)收集上報數(shù)據(jù)的代理程序、以及負責(zé)數(shù)據(jù)分析、展示及響應(yīng)的中心服務(wù)組成。

      平臺通過安全事件監(jiān)控、漏洞掃描、攻擊威脅檢測、文件完整性監(jiān)測、安全配置評估、操作行為審計及異常行為偵測等模塊，來實時通知安全團隊有關(guān)端點上的惡意活動，并適時采取相應(yīng)的措施來阻止惡意行為。平臺通過可視化的展示整個系統(tǒng)的終端安全態(tài)勢，通過分析其行為來確定用戶活動是合法的還是惡意的，從而達到防止外部攻擊或內(nèi)部人員惡意操作的目的。

云涌EDR的產(chǎn)品特性

      云涌EDR 通過輕量級代理程序上報端點側(cè)系統(tǒng)日志及應(yīng)用數(shù)據(jù)，借助平臺的漏洞庫比對、大數(shù)據(jù)分析及態(tài)勢感知能力，有效幫助安全團隊實時掌握終端設(shè)備安全狀況，有效阻止APT等高級威脅與攻擊。

• IT資產(chǎn)可視化

      云涌EDR平臺匯總展示終端的硬件及網(wǎng)絡(luò)配置、操作系統(tǒng)及應(yīng)用軟件信息、甚至運行的進程信息等。同時依據(jù)規(guī)則分析，實時展示設(shè)備的安全風(fēng)險如安全事件趨勢、漏洞信息、安全配置掃描結(jié)果、文件完整性日志等。

      EDR代理程序支持主流操作系統(tǒng)如Windows，Ubuntu、CentOS、MacOS，以及信創(chuàng)平臺如中標(biāo)麒麟，統(tǒng)信UOS等。

• 安全事件監(jiān)控

      云涌EDR通過輕量級的代理程序收集終端操作系統(tǒng)及應(yīng)用程序日志，并將數(shù)據(jù)加密傳輸?shù)椒?wù)端。服務(wù)端基于海量規(guī)則，通過大數(shù)據(jù)分析，實時展示企業(yè)IT資產(chǎn)的安全風(fēng)險和趨勢，幫助安全運維團隊快速發(fā)現(xiàn)問題并及時做出響應(yīng)。

• 漏洞檢測

      Agent提取終端軟件清單并將數(shù)據(jù)發(fā)送到服務(wù)端，在服務(wù)端中與持續(xù)更新的自維護漏洞數(shù)據(jù)庫做匹配，以識別已知漏洞。自動化的漏洞檢測功能幫助用戶找到關(guān)鍵資產(chǎn)中的弱點并在攻擊者利用它們破壞業(yè)務(wù)或竊取機密數(shù)據(jù)之前采取相應(yīng)措施。

      云涌在公有云維護了EDR產(chǎn)品專屬漏洞庫，實時同步NVD(美國國家信息安全漏洞庫）、CNVD(中國國家信息安全漏洞庫)以及各大主流操作系統(tǒng)官方漏洞數(shù)據(jù)。支持手動維護尚未收錄的漏洞信息。支持在私有部署EDR環(huán)境里離線導(dǎo)入漏洞數(shù)據(jù)

• 基于ATT&CK模型的攻擊威脅檢測

      ATT&CK是由MITRE創(chuàng)建并維護的針對網(wǎng)絡(luò)攻擊行為的模型和知識庫。它基于實戰(zhàn)以攻擊者視角出發(fā)的，從真實網(wǎng)絡(luò)威脅中提煉歸納并以矩陣形式展示的14種攻擊戰(zhàn)術(shù)、188種攻擊技術(shù)及379種子技術(shù)的集合。

      云涌EDR依據(jù)ATT&CK模型，將端點側(cè)命中的安全事件歸類匯總，以熱力圖形式展示當(dāng)前系統(tǒng)所處攻擊威脅的階段和技術(shù)，標(biāo)識風(fēng)險點。

• 文件完整性監(jiān)控

      云涌EDR支持監(jiān)控終端的文件系統(tǒng)及注冊表項，根據(jù)用戶實際場景下的監(jiān)控需求，識別所監(jiān)控文件的內(nèi)容、權(quán)限、所有者、屬性變化等。此外，系統(tǒng)還支持監(jiān)控用于創(chuàng)建或修改這些文件的用戶或應(yīng)用信息，以識別風(fēng)險或威脅。

• 安全配置評估

      安全配置評估(SCA)主要的檢查范圍是由人為疏忽造成的終端配置問題，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大，同一個配置項在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的。

      云涌EDR依據(jù)CIS標(biāo)準(zhǔn)，通過掃描策略文件方式對比當(dāng)前系統(tǒng)與標(biāo)準(zhǔn)系統(tǒng)的設(shè)置項包括注冊表項，逐條列出對比結(jié)果，以此評估主機配置是否安全。

• 異常行為審計

      云涌EDR通過掃描終端系統(tǒng)日志和關(guān)鍵文件來尋找惡意軟件、木馬和一切可疑行為。       平臺支持檢測隱藏文件、隱藏進程或未注冊的網(wǎng)絡(luò)監(jiān)聽器，以及識別系統(tǒng)調(diào)用與響應(yīng)中的不一致行為。此外平臺使用基于簽名的方法，通過正則引擎來分析終端日志數(shù)據(jù)并進行入侵檢測識別。

• 實時響應(yīng)

      平臺針對安全風(fēng)險較高的場景（如終端上報了高危安全事件，或觸發(fā)了特殊的安全策略）可以快速響應(yīng)并自動下發(fā)處置措施，及時阻斷已知、未知或高級威脅，全面防護企業(yè)終端安全。

云涌EDR的使用場景

      云涌EDR可以獨立部署，用于增強企業(yè)端點設(shè)備安全防護能力，主動發(fā)現(xiàn)高級威脅和復(fù)雜攻擊，幫助安全團隊及時了解企業(yè)IT資產(chǎn)安全風(fēng)險狀況，并實時緩解措施以減少攻擊面。

      除此之外，EDR作為端點側(cè)安全防護的重要模塊，還能與云涌零信任安全管理平臺、邊緣計算安全管控平臺，物聯(lián)網(wǎng)云平臺等公司其他產(chǎn)品組合部署。EDR能夠極大的增強零信任“訪問安全”過程中訪問主體所處環(huán)境的安全性，提前預(yù)知風(fēng)險，將安全前移。

• 分類：云涌新聞
• 作者：
• 來源：
• 發(fā)布時間：2022-04-29
• 訪問量：3537