安全前移,云涌EDR 1.0正式发布
- 分类:必赢242ne
- 作者:
- 来源:
- 发布时间:2022-04-29
- 访问量:3643
安全前移,云涌EDR 1.0正式发布
【概要描述】
当今万物互联的场景越来越多,极大的方便了人们的工作和生活。据IDC预测,到2025年,全球仅IOT设备数量将达到416亿个,未来几年IOT设备增长率将持续高于30%。随着5G、云计算、物联网等技术已经兴起,网络边界已经越来越模糊,端点保护已成为企业在传统安全边界消失时,抵御复杂的APT攻击和防不胜防的零日漏洞的第一道防线。
传统的端点安全防护主要是靠杀毒软件,通过病毒特征码匹配进行本地查杀,属于单机被动防御产品。之后的EPP(端点保护平台)虽然作为平台级端点主动防御解决方案并在企业广泛应用,但该产品还是采用了防御型技术,难以应对复杂攻击和高级威胁。随着终端泛在化,未来所有的网络节点都将是终端,端点安全的关注点,已经从单一安全防御转移到更注重威胁发现和自动化处置能力,对自动化威胁检测、响应、处理、运维能力要求越来越高。在此基础上,EDR应运而生。
什么是EDR?
EDR全称端点检测与响应,是Gartner在2013年定义的一种安全技术和实践。其中:
端点 - 端点是诸如手机,笔记本电脑,用户工作站或服务器之类的设备。
检测 - EDR检测威胁并阻止对端点设备的攻击,并提供对可帮助安全团队调查攻击的信息的访问。
响应 - EDR工具可以通过执行阻止恶意进程和隔离端点的操作来自动响应攻击。
EDR系统的主要目标是通知安全团队有关端点上的恶意活动,并调查攻击的范围和根本原因。
云涌EDR
云涌终端安全检测与响应平台,由部署到终端负责收集上报数据的代理程序、以及负责数据分析、展示及响应的中心服务组成。
平台通过安全事件监控、漏洞扫描、攻击威胁检测、文件完整性监测、安全配置评估、操作行为审计及异常行为侦测等模块,来实时通知安全团队有关端点上的恶意活动,并适时采取相应的措施来阻止恶意行为。平台通过可视化的展示整个系统的终端安全态势,通过分析其行为来确定用户活动是合法的还是恶意的,从而达到防止外部攻击或内部人员恶意操作的目的。
云涌EDR的产品特性
云涌EDR 通过轻量级代理程序上报端点侧系统日志及应用数据,借助平台的漏洞库比对、大数据分析及态势感知能力,有效帮助安全团队实时掌握终端设备安全状况,有效阻止APT等高级威胁与攻击。
- IT资产可视化
云涌EDR平台汇总展示终端的硬件及网络配置、操作系统及应用软件信息、甚至运行的进程信息等。同时依据规则分析,实时展示设备的安全风险如安全事件趋势、漏洞信息、安全配置扫描结果、文件完整性日志等。
EDR代理程序支持主流操作系统如Windows,Ubuntu、CentOS、MacOS,以及信创平台如中标麒麟,统信UOS等。
- 安全事件监控
云涌EDR通过轻量级的代理程序收集终端操作系统及应用程序日志,并将数据加密传输到服务端。服务端基于海量规则,通过大数据分析,实时展示企业IT资产的安全风险和趋势,帮助安全运维团队快速发现问题并及时做出响应。
- 漏洞检测
Agent提取终端软件清单并将数据发送到服务端,在服务端中与持续更新的自维护漏洞数据库做匹配,以识别已知漏洞。自动化的漏洞检测功能帮助用户找到关键资产中的弱点并在攻击者利用它们破坏业务或窃取机密数据之前采取相应措施。
云涌在公有云维护了EDR产品专属漏洞库,实时同步NVD(美国国家信息安全漏洞库)、CNVD(中国国家信息安全漏洞库)以及各大主流操作系统官方漏洞数据。支持手动维护尚未收录的漏洞信息。支持在私有部署EDR环境里离线导入漏洞数据
- 基于ATT&CK模型的攻击威胁检测
ATT&CK是由MITRE创建并维护的针对网络攻击行为的模型和知识库。它基于实战以攻击者视角出发的,从真实网络威胁中提炼归纳并以矩阵形式展示的14种攻击战术、188种攻击技术及379种子技术的集合。
云涌EDR依据ATT&CK模型,将端点侧命中的安全事件归类汇总,以热力图形式展示当前系统所处攻击威胁的阶段和技术,标识风险点。
- 文件完整性监控
云涌EDR支持监控终端的文件系统及注册表项,根据用户实际场景下的监控需求,识别所监控文件的内容、权限、所有者、属性变化等。此外,系统还支持监控用于创建或修改这些文件的用户或应用信息,以识别风险或威胁。
- 安全配置评估
安全配置评估(SCA)主要的检查范围是由人为疏忽造成的终端配置问题,主要包括了账号、口令、授权、日志、IP通信等方面内容。安全配置与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的。
云涌EDR依据CIS标准,通过扫描策略文件方式对比当前系统与标准系统的设置项包括注册表项,逐条列出对比结果,以此评估主机配置是否安全。
- 异常行为审计
云涌EDR通过扫描终端系统日志和关键文件来寻找恶意软件、木马和一切可疑行为。 平台支持检测隐藏文件、隐藏进程或未注册的网络监听器,以及识别系统调用与响应中的不一致行为。此外平台使用基于签名的方法,通过正则引擎来分析终端日志数据并进行入侵检测识别。
- 实时响应
平台针对安全风险较高的场景(如终端上报了高危安全事件,或触发了特殊的安全策略)可以快速响应并自动下发处置措施,及时阻断已知、未知或高级威胁,全面防护企业终端安全。
云涌EDR的使用场景
云涌EDR可以独立部署,用于增强企业端点设备安全防护能力,主动发现高级威胁和复杂攻击,帮助安全团队及时了解企业IT资产安全风险状况,并实时缓解措施以减少攻击面。
除此之外,EDR作为端点侧安全防护的重要模块,还能与云涌零信任安全管理平台、边缘计算安全管控平台,物联网云平台等公司其他产品组合部署。EDR能够极大的增强零信任“访问安全”过程中访问主体所处环境的安全性,提前预知风险,将安全前移。
- 分类:必赢242ne
- 作者:
- 来源:
- 发布时间:2022-04-29
- 访问量:3643
当今万物互联的场景越来越多,极大的方便了人们的工作和生活。据IDC预测,到2025年,全球仅IOT设备数量将达到416亿个,未来几年IOT设备增长率将持续高于30%。随着5G、云计算、物联网等技术已经兴起,网络边界已经越来越模糊,端点保护已成为企业在传统安全边界消失时,抵御复杂的APT攻击和防不胜防的零日漏洞的第一道防线。
传统的端点安全防护主要是靠杀毒软件,通过病毒特征码匹配进行本地查杀,属于单机被动防御产品。之后的EPP(端点保护平台)虽然作为平台级端点主动防御解决方案并在企业广泛应用,但该产品还是采用了防御型技术,难以应对复杂攻击和高级威胁。随着终端泛在化,未来所有的网络节点都将是终端,端点安全的关注点,已经从单一安全防御转移到更注重威胁发现和自动化处置能力,对自动化威胁检测、响应、处理、运维能力要求越来越高。在此基础上,EDR应运而生。
什么是EDR?
EDR全称端点检测与响应,是Gartner在2013年定义的一种安全技术和实践。其中:
端点 - 端点是诸如手机,笔记本电脑,用户工作站或服务器之类的设备。
检测 - EDR检测威胁并阻止对端点设备的攻击,并提供对可帮助安全团队调查攻击的信息的访问。
响应 - EDR工具可以通过执行阻止恶意进程和隔离端点的操作来自动响应攻击。
EDR系统的主要目标是通知安全团队有关端点上的恶意活动,并调查攻击的范围和根本原因。
云涌EDR
云涌终端安全检测与响应平台,由部署到终端负责收集上报数据的代理程序、以及负责数据分析、展示及响应的中心服务组成。
平台通过安全事件监控、漏洞扫描、攻击威胁检测、文件完整性监测、安全配置评估、操作行为审计及异常行为侦测等模块,来实时通知安全团队有关端点上的恶意活动,并适时采取相应的措施来阻止恶意行为。平台通过可视化的展示整个系统的终端安全态势,通过分析其行为来确定用户活动是合法的还是恶意的,从而达到防止外部攻击或内部人员恶意操作的目的。
云涌EDR的产品特性
云涌EDR 通过轻量级代理程序上报端点侧系统日志及应用数据,借助平台的漏洞库比对、大数据分析及态势感知能力,有效帮助安全团队实时掌握终端设备安全状况,有效阻止APT等高级威胁与攻击。
- IT资产可视化
云涌EDR平台汇总展示终端的硬件及网络配置、操作系统及应用软件信息、甚至运行的进程信息等。同时依据规则分析,实时展示设备的安全风险如安全事件趋势、漏洞信息、安全配置扫描结果、文件完整性日志等。
EDR代理程序支持主流操作系统如Windows,Ubuntu、CentOS、MacOS,以及信创平台如中标麒麟,统信UOS等。
- 安全事件监控
云涌EDR通过轻量级的代理程序收集终端操作系统及应用程序日志,并将数据加密传输到服务端。服务端基于海量规则,通过大数据分析,实时展示企业IT资产的安全风险和趋势,帮助安全运维团队快速发现问题并及时做出响应。
- 漏洞检测
Agent提取终端软件清单并将数据发送到服务端,在服务端中与持续更新的自维护漏洞数据库做匹配,以识别已知漏洞。自动化的漏洞检测功能帮助用户找到关键资产中的弱点并在攻击者利用它们破坏业务或窃取机密数据之前采取相应措施。
云涌在公有云维护了EDR产品专属漏洞库,实时同步NVD(美国国家信息安全漏洞库)、CNVD(中国国家信息安全漏洞库)以及各大主流操作系统官方漏洞数据。支持手动维护尚未收录的漏洞信息。支持在私有部署EDR环境里离线导入漏洞数据
- 基于ATT&CK模型的攻击威胁检测
ATT&CK是由MITRE创建并维护的针对网络攻击行为的模型和知识库。它基于实战以攻击者视角出发的,从真实网络威胁中提炼归纳并以矩阵形式展示的14种攻击战术、188种攻击技术及379种子技术的集合。
云涌EDR依据ATT&CK模型,将端点侧命中的安全事件归类汇总,以热力图形式展示当前系统所处攻击威胁的阶段和技术,标识风险点。
- 文件完整性监控
云涌EDR支持监控终端的文件系统及注册表项,根据用户实际场景下的监控需求,识别所监控文件的内容、权限、所有者、属性变化等。此外,系统还支持监控用于创建或修改这些文件的用户或应用信息,以识别风险或威胁。
- 安全配置评估
安全配置评估(SCA)主要的检查范围是由人为疏忽造成的终端配置问题,主要包括了账号、口令、授权、日志、IP通信等方面内容。安全配置与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的。
云涌EDR依据CIS标准,通过扫描策略文件方式对比当前系统与标准系统的设置项包括注册表项,逐条列出对比结果,以此评估主机配置是否安全。
- 异常行为审计
云涌EDR通过扫描终端系统日志和关键文件来寻找恶意软件、木马和一切可疑行为。 平台支持检测隐藏文件、隐藏进程或未注册的网络监听器,以及识别系统调用与响应中的不一致行为。此外平台使用基于签名的方法,通过正则引擎来分析终端日志数据并进行入侵检测识别。
- 实时响应
平台针对安全风险较高的场景(如终端上报了高危安全事件,或触发了特殊的安全策略)可以快速响应并自动下发处置措施,及时阻断已知、未知或高级威胁,全面防护企业终端安全。
云涌EDR的使用场景
云涌EDR可以独立部署,用于增强企业端点设备安全防护能力,主动发现高级威胁和复杂攻击,帮助安全团队及时了解企业IT资产安全风险状况,并实时缓解措施以减少攻击面。
除此之外,EDR作为端点侧安全防护的重要模块,还能与云涌零信任安全管理平台、边缘计算安全管控平台,物联网云平台等公司其他产品组合部署。EDR能够极大的增强零信任“访问安全”过程中访问主体所处环境的安全性,提前预知风险,将安全前移。