【概要描述】

      當今萬物(wù)互聯的(de)場(chǎng)景越來(lái)越多(duō)，極大(dà)的(de)方便了(le)人(rén)們的(de)工作和(hé)生活。據IDC預測，到2025年，全球僅IOT設備數量将達到416億個(gè)，未來(lái)幾年IOT設備增長(cháng)率将持續高(gāo)于30%。随著(zhe)5G、雲計算(suàn)、物(wù)聯網等技術已經興起，網絡邊界已經越來(lái)越模糊，端點保護已成爲企業在傳統安全邊界消失時(shí)，抵禦複雜(zá)的(de)APT攻擊和(hé)防不勝防的(de)零日漏洞的(de)第一道防線。

      傳統的(de)端點安全防護主要是靠殺毒軟件，通(tōng)過病毒特征碼匹配進行本地查殺，屬于單機被動防禦産品。之後的(de)EPP（端點保護平台）雖然作爲平台級端點主動防禦解決方案并在企業廣泛應用(yòng)，但該産品還(hái)是采用(yòng)了(le)防禦型技術，難以應對(duì)複雜(zá)攻擊和(hé)高(gāo)級威脅。随著(zhe)終端泛在化(huà)，未來(lái)所有的(de)網絡節點都将是終端，端點安全的(de)關注點，已經從單一安全防禦轉移到更注重威脅發現和(hé)自動化(huà)處置能力，對(duì)自動化(huà)威脅檢測、響應、處理(lǐ)、運維能力要求越來(lái)越高(gāo)。在此基礎上，EDR應運而生。

什(shén)麽是EDR？

      EDR全稱端點檢測與響應，是Gartner在2013年定義的(de)一種安全技術和(hé)實踐。其中：

      端點 - 端點是諸如手機，筆記本電腦(nǎo)，用(yòng)戶工作站或服務器之類的(de)設備。

      檢測 - EDR檢測威脅并阻止對(duì)端點設備的(de)攻擊，并提供對(duì)可(kě)幫助安全團隊調查攻擊的(de)信息的(de)訪問。

      響應 - EDR工具可(kě)以通(tōng)過執行阻止惡意進程和(hé)隔離端點的(de)操作來(lái)自動響應攻擊。

      EDR系統的(de)主要目标是通(tōng)知安全團隊有關端點上的(de)惡意活動，并調查攻擊的(de)範圍和(hé)根本原因。

雲湧EDR

      雲湧終端安全檢測與響應平台，由部署到終端負責收集上報數據的(de)代理(lǐ)程序、以及負責數據分(fēn)析、展示及響應的(de)中心服務組成。

      平台通(tōng)過安全事件監控、漏洞掃描、攻擊威脅檢測、文件完整性監測、安全配置評估、操作行爲審計及異常行爲偵測等模塊，來(lái)實時(shí)通(tōng)知安全團隊有關端點上的(de)惡意活動，并适時(shí)采取相應的(de)措施來(lái)阻止惡意行爲。平台通(tōng)過可(kě)視化(huà)的(de)展示整個(gè)系統的(de)終端安全态勢，通(tōng)過分(fēn)析其行爲來(lái)确定用(yòng)戶活動是合法的(de)還(hái)是惡意的(de)，從而達到防止外部攻擊或内部人(rén)員(yuán)惡意操作的(de)目的(de)。

雲湧EDR的(de)産品特性

      雲湧EDR 通(tōng)過輕量級代理(lǐ)程序上報端點側系統日志及應用(yòng)數據，借助平台的(de)漏洞庫比對(duì)、大(dà)數據分(fēn)析及态勢感知能力，有效幫助安全團隊實時(shí)掌握終端設備安全狀況，有效阻止APT等高(gāo)級威脅與攻擊。

• IT資産可(kě)視化(huà)

      雲湧EDR平台彙總展示終端的(de)硬件及網絡配置、操作系統及應用(yòng)軟件信息、甚至運行的(de)進程信息等。同時(shí)依據規則分(fēn)析，實時(shí)展示設備的(de)安全風險如安全事件趨勢、漏洞信息、安全配置掃描結果、文件完整性日志等。

      EDR代理(lǐ)程序支持主流操作系統如Windows，Ubuntu、CentOS、MacOS，以及信創平台如中标麒麟，統信UOS等。

• 安全事件監控

      雲湧EDR通(tōng)過輕量級的(de)代理(lǐ)程序收集終端操作系統及應用(yòng)程序日志，并将數據加密傳輸到服務端。服務端基于海量規則，通(tōng)過大(dà)數據分(fēn)析，實時(shí)展示企業IT資産的(de)安全風險和(hé)趨勢，幫助安全運維團隊快(kuài)速發現問題并及時(shí)做(zuò)出響應。

• 漏洞檢測

      Agent提取終端軟件清單并将數據發送到服務端，在服務端中與持續更新的(de)自維護漏洞數據庫做(zuò)匹配，以識别已知漏洞。自動化(huà)的(de)漏洞檢測功能幫助用(yòng)戶找到關鍵資産中的(de)弱點并在攻擊者利用(yòng)它們破壞業務或竊取機密數據之前采取相應措施。

      雲湧在公有雲維護了(le)EDR産品專屬漏洞庫，實時(shí)同步NVD(美(měi)國國家信息安全漏洞庫）、CNVD(中國國家信息安全漏洞庫)以及各大(dà)主流操作系統官方漏洞數據。支持手動維護尚未收錄的(de)漏洞信息。支持在私有部署EDR環境裏離線導入漏洞數據

• 基于ATT&CK模型的(de)攻擊威脅檢測

      ATT&CK是由MITRE創建并維護的(de)針對(duì)網絡攻擊行爲的(de)模型和(hé)知識庫。它基于實戰以攻擊者視角出發的(de)，從真實網絡威脅中提煉歸納并以矩陣形式展示的(de)14種攻擊戰術、188種攻擊技術及379種子技術的(de)集合。

      雲湧EDR依據ATT&CK模型，将端點側命中的(de)安全事件歸類彙總，以熱(rè)力圖形式展示當前系統所處攻擊威脅的(de)階段和(hé)技術，标識風險點。

• 文件完整性監控

      雲湧EDR支持監控終端的(de)文件系統及注冊表項，根據用(yòng)戶實際場(chǎng)景下(xià)的(de)監控需求，識别所監控文件的(de)内容、權限、所有者、屬性變化(huà)等。此外，系統還(hái)支持監控用(yòng)于創建或修改這(zhè)些文件的(de)用(yòng)戶或應用(yòng)信息，以識别風險或威脅。

• 安全配置評估

      安全配置評估(SCA)主要的(de)檢查範圍是由人(rén)爲疏忽造成的(de)終端配置問題，主要包括了(le)賬号、口令、授權、日志、IP通(tōng)信等方面内容。安全配置與系統的(de)相關性非常大(dà)，同一個(gè)配置項在不同業務環境中的(de)安全配置要求是不一樣的(de)。

      雲湧EDR依據CIS标準，通(tōng)過掃描策略文件方式對(duì)比當前系統與标準系統的(de)設置項包括注冊表項，逐條列出對(duì)比結果，以此評估主機配置是否安全。

• 異常行爲審計

      雲湧EDR通(tōng)過掃描終端系統日志和(hé)關鍵文件來(lái)尋找惡意軟件、木(mù)馬和(hé)一切可(kě)疑行爲。       平台支持檢測隐藏文件、隐藏進程或未注冊的(de)網絡監聽(tīng)器，以及識别系統調用(yòng)與響應中的(de)不一緻行爲。此外平台使用(yòng)基于簽名的(de)方法，通(tōng)過正則引擎來(lái)分(fēn)析終端日志數據并進行入侵檢測識别。

• 實時(shí)響應

      平台針對(duì)安全風險較高(gāo)的(de)場(chǎng)景（如終端上報了(le)高(gāo)危安全事件，或觸發了(le)特殊的(de)安全策略）可(kě)以快(kuài)速響應并自動下(xià)發處置措施，及時(shí)阻斷已知、未知或高(gāo)級威脅，全面防護企業終端安全。

雲湧EDR的(de)使用(yòng)場(chǎng)景

      雲湧EDR可(kě)以獨立部署，用(yòng)于增強企業端點設備安全防護能力，主動發現高(gāo)級威脅和(hé)複雜(zá)攻擊，幫助安全團隊及時(shí)了(le)解企業IT資産安全風險狀況，并實時(shí)緩解措施以減少攻擊面。

      除此之外，EDR作爲端點側安全防護的(de)重要模塊，還(hái)能與雲湧零信任安全管理(lǐ)平台、邊緣計算(suàn)安全管控平台，物(wù)聯網雲平台等公司其他(tā)産品組合部署。EDR能夠極大(dà)的(de)增強零信任“訪問安全”過程中訪問主體所處環境的(de)安全性，提前預知風險，将安全前移。

• 分(fēn)類：雲湧新聞
• 作者：
• 來(lái)源：
• 發布時(shí)間：2022-04-29
• 訪問量：1990