news
新聞中心
安全前移,云涌EDR 1.0正式發(fā)布
- 分類:云涌新聞
- 作者:
- 來源:
- 發(fā)布時間:2022-04-29
- 訪問量:6537
安全前移,云涌EDR 1.0正式發(fā)布
【概要描述】
當(dāng)今萬物互聯(lián)的場景越來越多,極大的方便了人們的工作和生活。據(jù)IDC預(yù)測,到2025年,全球僅IOT設(shè)備數(shù)量將達(dá)到416億個,未來幾年IOT設(shè)備增長率將持續(xù)高于30%。隨著5G、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)已經(jīng)興起,網(wǎng)絡(luò)邊界已經(jīng)越來越模糊,端點(diǎn)保護(hù)已成為企業(yè)在傳統(tǒng)安全邊界消失時,抵御復(fù)雜的APT攻擊和防不勝防的零日漏洞的第一道防線。
傳統(tǒng)的端點(diǎn)安全防護(hù)主要是靠殺毒軟件,通過病毒特征碼匹配進(jìn)行本地查殺,屬于單機(jī)被動防御產(chǎn)品。之后的EPP(端點(diǎn)保護(hù)平臺)雖然作為平臺級端點(diǎn)主動防御解決方案并在企業(yè)廣泛應(yīng)用,但該產(chǎn)品還是采用了防御型技術(shù),難以應(yīng)對復(fù)雜攻擊和高級威脅。隨著終端泛在化,未來所有的網(wǎng)絡(luò)節(jié)點(diǎn)都將是終端,端點(diǎn)安全的關(guān)注點(diǎn),已經(jīng)從單一安全防御轉(zhuǎn)移到更注重威脅發(fā)現(xiàn)和自動化處置能力,對自動化威脅檢測、響應(yīng)、處理、運(yùn)維能力要求越來越高。在此基礎(chǔ)上,EDR應(yīng)運(yùn)而生。
什么是EDR?
EDR全稱端點(diǎn)檢測與響應(yīng),是Gartner在2013年定義的一種安全技術(shù)和實(shí)踐。其中:
端點(diǎn) - 端點(diǎn)是諸如手機(jī),筆記本電腦,用戶工作站或服務(wù)器之類的設(shè)備。
檢測 - EDR檢測威脅并阻止對端點(diǎn)設(shè)備的攻擊,并提供對可幫助安全團(tuán)隊(duì)調(diào)查攻擊的信息的訪問。
響應(yīng) - EDR工具可以通過執(zhí)行阻止惡意進(jìn)程和隔離端點(diǎn)的操作來自動響應(yīng)攻擊。
EDR系統(tǒng)的主要目標(biāo)是通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動,并調(diào)查攻擊的范圍和根本原因。
云涌EDR
云涌終端安全檢測與響應(yīng)平臺,由部署到終端負(fù)責(zé)收集上報(bào)數(shù)據(jù)的代理程序、以及負(fù)責(zé)數(shù)據(jù)分析、展示及響應(yīng)的中心服務(wù)組成。
平臺通過安全事件監(jiān)控、漏洞掃描、攻擊威脅檢測、文件完整性監(jiān)測、安全配置評估、操作行為審計(jì)及異常行為偵測等模塊,來實(shí)時通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動,并適時采取相應(yīng)的措施來阻止惡意行為。平臺通過可視化的展示整個系統(tǒng)的終端安全態(tài)勢,通過分析其行為來確定用戶活動是合法的還是惡意的,從而達(dá)到防止外部攻擊或內(nèi)部人員惡意操作的目的。
云涌EDR的產(chǎn)品特性
云涌EDR 通過輕量級代理程序上報(bào)端點(diǎn)側(cè)系統(tǒng)日志及應(yīng)用數(shù)據(jù),借助平臺的漏洞庫比對、大數(shù)據(jù)分析及態(tài)勢感知能力,有效幫助安全團(tuán)隊(duì)實(shí)時掌握終端設(shè)備安全狀況,有效阻止APT等高級威脅與攻擊。
- IT資產(chǎn)可視化
云涌EDR平臺匯總展示終端的硬件及網(wǎng)絡(luò)配置、操作系統(tǒng)及應(yīng)用軟件信息、甚至運(yùn)行的進(jìn)程信息等。同時依據(jù)規(guī)則分析,實(shí)時展示設(shè)備的安全風(fēng)險(xiǎn)如安全事件趨勢、漏洞信息、安全配置掃描結(jié)果、文件完整性日志等。
EDR代理程序支持主流操作系統(tǒng)如Windows,Ubuntu、CentOS、MacOS,以及信創(chuàng)平臺如中標(biāo)麒麟,統(tǒng)信UOS等。
- 安全事件監(jiān)控
云涌EDR通過輕量級的代理程序收集終端操作系統(tǒng)及應(yīng)用程序日志,并將數(shù)據(jù)加密傳輸?shù)椒?wù)端。服務(wù)端基于海量規(guī)則,通過大數(shù)據(jù)分析,實(shí)時展示企業(yè)IT資產(chǎn)的安全風(fēng)險(xiǎn)和趨勢,幫助安全運(yùn)維團(tuán)隊(duì)快速發(fā)現(xiàn)問題并及時做出響應(yīng)。
- 漏洞檢測
Agent提取終端軟件清單并將數(shù)據(jù)發(fā)送到服務(wù)端,在服務(wù)端中與持續(xù)更新的自維護(hù)漏洞數(shù)據(jù)庫做匹配,以識別已知漏洞。自動化的漏洞檢測功能幫助用戶找到關(guān)鍵資產(chǎn)中的弱點(diǎn)并在攻擊者利用它們破壞業(yè)務(wù)或竊取機(jī)密數(shù)據(jù)之前采取相應(yīng)措施。
云涌在公有云維護(hù)了EDR產(chǎn)品專屬漏洞庫,實(shí)時同步NVD(美國國家信息安全漏洞庫)、CNVD(中國國家信息安全漏洞庫)以及各大主流操作系統(tǒng)官方漏洞數(shù)據(jù)。支持手動維護(hù)尚未收錄的漏洞信息。支持在私有部署EDR環(huán)境里離線導(dǎo)入漏洞數(shù)據(jù)
- 基于ATT&CK模型的攻擊威脅檢測
ATT&CK是由MITRE創(chuàng)建并維護(hù)的針對網(wǎng)絡(luò)攻擊行為的模型和知識庫。它基于實(shí)戰(zhàn)以攻擊者視角出發(fā)的,從真實(shí)網(wǎng)絡(luò)威脅中提煉歸納并以矩陣形式展示的14種攻擊戰(zhàn)術(shù)、188種攻擊技術(shù)及379種子技術(shù)的集合。
云涌EDR依據(jù)ATT&CK模型,將端點(diǎn)側(cè)命中的安全事件歸類匯總,以熱力圖形式展示當(dāng)前系統(tǒng)所處攻擊威脅的階段和技術(shù),標(biāo)識風(fēng)險(xiǎn)點(diǎn)。
- 文件完整性監(jiān)控
云涌EDR支持監(jiān)控終端的文件系統(tǒng)及注冊表項(xiàng),根據(jù)用戶實(shí)際場景下的監(jiān)控需求,識別所監(jiān)控文件的內(nèi)容、權(quán)限、所有者、屬性變化等。此外,系統(tǒng)還支持監(jiān)控用于創(chuàng)建或修改這些文件的用戶或應(yīng)用信息,以識別風(fēng)險(xiǎn)或威脅。
- 安全配置評估
安全配置評估(SCA)主要的檢查范圍是由人為疏忽造成的終端配置問題,主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大,同一個配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的。
云涌EDR依據(jù)CIS標(biāo)準(zhǔn),通過掃描策略文件方式對比當(dāng)前系統(tǒng)與標(biāo)準(zhǔn)系統(tǒng)的設(shè)置項(xiàng)包括注冊表項(xiàng),逐條列出對比結(jié)果,以此評估主機(jī)配置是否安全。
- 異常行為審計(jì)
云涌EDR通過掃描終端系統(tǒng)日志和關(guān)鍵文件來尋找惡意軟件、木馬和一切可疑行為。 平臺支持檢測隱藏文件、隱藏進(jìn)程或未注冊的網(wǎng)絡(luò)監(jiān)聽器,以及識別系統(tǒng)調(diào)用與響應(yīng)中的不一致行為。此外平臺使用基于簽名的方法,通過正則引擎來分析終端日志數(shù)據(jù)并進(jìn)行入侵檢測識別。
- 實(shí)時響應(yīng)
平臺針對安全風(fēng)險(xiǎn)較高的場景(如終端上報(bào)了高危安全事件,或觸發(fā)了特殊的安全策略)可以快速響應(yīng)并自動下發(fā)處置措施,及時阻斷已知、未知或高級威脅,全面防護(hù)企業(yè)終端安全。
云涌EDR的使用場景
云涌EDR可以獨(dú)立部署,用于增強(qiáng)企業(yè)端點(diǎn)設(shè)備安全防護(hù)能力,主動發(fā)現(xiàn)高級威脅和復(fù)雜攻擊,幫助安全團(tuán)隊(duì)及時了解企業(yè)IT資產(chǎn)安全風(fēng)險(xiǎn)狀況,并實(shí)時緩解措施以減少攻擊面。
除此之外,EDR作為端點(diǎn)側(cè)安全防護(hù)的重要模塊,還能與云涌零信任安全管理平臺、邊緣計(jì)算安全管控平臺,物聯(lián)網(wǎng)云平臺等公司其他產(chǎn)品組合部署。EDR能夠極大的增強(qiáng)零信任“訪問安全”過程中訪問主體所處環(huán)境的安全性,提前預(yù)知風(fēng)險(xiǎn),將安全前移。
- 分類:云涌新聞
- 作者:
- 來源:
- 發(fā)布時間:2022-04-29
- 訪問量:6537
當(dāng)今萬物互聯(lián)的場景越來越多,極大的方便了人們的工作和生活。據(jù)IDC預(yù)測,到2025年,全球僅IOT設(shè)備數(shù)量將達(dá)到416億個,未來幾年IOT設(shè)備增長率將持續(xù)高于30%。隨著5G、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)已經(jīng)興起,網(wǎng)絡(luò)邊界已經(jīng)越來越模糊,端點(diǎn)保護(hù)已成為企業(yè)在傳統(tǒng)安全邊界消失時,抵御復(fù)雜的APT攻擊和防不勝防的零日漏洞的第一道防線。
傳統(tǒng)的端點(diǎn)安全防護(hù)主要是靠殺毒軟件,通過病毒特征碼匹配進(jìn)行本地查殺,屬于單機(jī)被動防御產(chǎn)品。之后的EPP(端點(diǎn)保護(hù)平臺)雖然作為平臺級端點(diǎn)主動防御解決方案并在企業(yè)廣泛應(yīng)用,但該產(chǎn)品還是采用了防御型技術(shù),難以應(yīng)對復(fù)雜攻擊和高級威脅。隨著終端泛在化,未來所有的網(wǎng)絡(luò)節(jié)點(diǎn)都將是終端,端點(diǎn)安全的關(guān)注點(diǎn),已經(jīng)從單一安全防御轉(zhuǎn)移到更注重威脅發(fā)現(xiàn)和自動化處置能力,對自動化威脅檢測、響應(yīng)、處理、運(yùn)維能力要求越來越高。在此基礎(chǔ)上,EDR應(yīng)運(yùn)而生。
什么是EDR?
EDR全稱端點(diǎn)檢測與響應(yīng),是Gartner在2013年定義的一種安全技術(shù)和實(shí)踐。其中:
端點(diǎn) - 端點(diǎn)是諸如手機(jī),筆記本電腦,用戶工作站或服務(wù)器之類的設(shè)備。
檢測 - EDR檢測威脅并阻止對端點(diǎn)設(shè)備的攻擊,并提供對可幫助安全團(tuán)隊(duì)調(diào)查攻擊的信息的訪問。
響應(yīng) - EDR工具可以通過執(zhí)行阻止惡意進(jìn)程和隔離端點(diǎn)的操作來自動響應(yīng)攻擊。
EDR系統(tǒng)的主要目標(biāo)是通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動,并調(diào)查攻擊的范圍和根本原因。
云涌EDR
云涌終端安全檢測與響應(yīng)平臺,由部署到終端負(fù)責(zé)收集上報(bào)數(shù)據(jù)的代理程序、以及負(fù)責(zé)數(shù)據(jù)分析、展示及響應(yīng)的中心服務(wù)組成。
平臺通過安全事件監(jiān)控、漏洞掃描、攻擊威脅檢測、文件完整性監(jiān)測、安全配置評估、操作行為審計(jì)及異常行為偵測等模塊,來實(shí)時通知安全團(tuán)隊(duì)有關(guān)端點(diǎn)上的惡意活動,并適時采取相應(yīng)的措施來阻止惡意行為。平臺通過可視化的展示整個系統(tǒng)的終端安全態(tài)勢,通過分析其行為來確定用戶活動是合法的還是惡意的,從而達(dá)到防止外部攻擊或內(nèi)部人員惡意操作的目的。
云涌EDR的產(chǎn)品特性
云涌EDR 通過輕量級代理程序上報(bào)端點(diǎn)側(cè)系統(tǒng)日志及應(yīng)用數(shù)據(jù),借助平臺的漏洞庫比對、大數(shù)據(jù)分析及態(tài)勢感知能力,有效幫助安全團(tuán)隊(duì)實(shí)時掌握終端設(shè)備安全狀況,有效阻止APT等高級威脅與攻擊。
- IT資產(chǎn)可視化
云涌EDR平臺匯總展示終端的硬件及網(wǎng)絡(luò)配置、操作系統(tǒng)及應(yīng)用軟件信息、甚至運(yùn)行的進(jìn)程信息等。同時依據(jù)規(guī)則分析,實(shí)時展示設(shè)備的安全風(fēng)險(xiǎn)如安全事件趨勢、漏洞信息、安全配置掃描結(jié)果、文件完整性日志等。
EDR代理程序支持主流操作系統(tǒng)如Windows,Ubuntu、CentOS、MacOS,以及信創(chuàng)平臺如中標(biāo)麒麟,統(tǒng)信UOS等。
- 安全事件監(jiān)控
云涌EDR通過輕量級的代理程序收集終端操作系統(tǒng)及應(yīng)用程序日志,并將數(shù)據(jù)加密傳輸?shù)椒?wù)端。服務(wù)端基于海量規(guī)則,通過大數(shù)據(jù)分析,實(shí)時展示企業(yè)IT資產(chǎn)的安全風(fēng)險(xiǎn)和趨勢,幫助安全運(yùn)維團(tuán)隊(duì)快速發(fā)現(xiàn)問題并及時做出響應(yīng)。
- 漏洞檢測
Agent提取終端軟件清單并將數(shù)據(jù)發(fā)送到服務(wù)端,在服務(wù)端中與持續(xù)更新的自維護(hù)漏洞數(shù)據(jù)庫做匹配,以識別已知漏洞。自動化的漏洞檢測功能幫助用戶找到關(guān)鍵資產(chǎn)中的弱點(diǎn)并在攻擊者利用它們破壞業(yè)務(wù)或竊取機(jī)密數(shù)據(jù)之前采取相應(yīng)措施。
云涌在公有云維護(hù)了EDR產(chǎn)品專屬漏洞庫,實(shí)時同步NVD(美國國家信息安全漏洞庫)、CNVD(中國國家信息安全漏洞庫)以及各大主流操作系統(tǒng)官方漏洞數(shù)據(jù)。支持手動維護(hù)尚未收錄的漏洞信息。支持在私有部署EDR環(huán)境里離線導(dǎo)入漏洞數(shù)據(jù)
- 基于ATT&CK模型的攻擊威脅檢測
ATT&CK是由MITRE創(chuàng)建并維護(hù)的針對網(wǎng)絡(luò)攻擊行為的模型和知識庫。它基于實(shí)戰(zhàn)以攻擊者視角出發(fā)的,從真實(shí)網(wǎng)絡(luò)威脅中提煉歸納并以矩陣形式展示的14種攻擊戰(zhàn)術(shù)、188種攻擊技術(shù)及379種子技術(shù)的集合。
云涌EDR依據(jù)ATT&CK模型,將端點(diǎn)側(cè)命中的安全事件歸類匯總,以熱力圖形式展示當(dāng)前系統(tǒng)所處攻擊威脅的階段和技術(shù),標(biāo)識風(fēng)險(xiǎn)點(diǎn)。
- 文件完整性監(jiān)控
云涌EDR支持監(jiān)控終端的文件系統(tǒng)及注冊表項(xiàng),根據(jù)用戶實(shí)際場景下的監(jiān)控需求,識別所監(jiān)控文件的內(nèi)容、權(quán)限、所有者、屬性變化等。此外,系統(tǒng)還支持監(jiān)控用于創(chuàng)建或修改這些文件的用戶或應(yīng)用信息,以識別風(fēng)險(xiǎn)或威脅。
- 安全配置評估
安全配置評估(SCA)主要的檢查范圍是由人為疏忽造成的終端配置問題,主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大,同一個配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的。
云涌EDR依據(jù)CIS標(biāo)準(zhǔn),通過掃描策略文件方式對比當(dāng)前系統(tǒng)與標(biāo)準(zhǔn)系統(tǒng)的設(shè)置項(xiàng)包括注冊表項(xiàng),逐條列出對比結(jié)果,以此評估主機(jī)配置是否安全。
- 異常行為審計(jì)
云涌EDR通過掃描終端系統(tǒng)日志和關(guān)鍵文件來尋找惡意軟件、木馬和一切可疑行為。 平臺支持檢測隱藏文件、隱藏進(jìn)程或未注冊的網(wǎng)絡(luò)監(jiān)聽器,以及識別系統(tǒng)調(diào)用與響應(yīng)中的不一致行為。此外平臺使用基于簽名的方法,通過正則引擎來分析終端日志數(shù)據(jù)并進(jìn)行入侵檢測識別。
- 實(shí)時響應(yīng)
平臺針對安全風(fēng)險(xiǎn)較高的場景(如終端上報(bào)了高危安全事件,或觸發(fā)了特殊的安全策略)可以快速響應(yīng)并自動下發(fā)處置措施,及時阻斷已知、未知或高級威脅,全面防護(hù)企業(yè)終端安全。
云涌EDR的使用場景
云涌EDR可以獨(dú)立部署,用于增強(qiáng)企業(yè)端點(diǎn)設(shè)備安全防護(hù)能力,主動發(fā)現(xiàn)高級威脅和復(fù)雜攻擊,幫助安全團(tuán)隊(duì)及時了解企業(yè)IT資產(chǎn)安全風(fēng)險(xiǎn)狀況,并實(shí)時緩解措施以減少攻擊面。
除此之外,EDR作為端點(diǎn)側(cè)安全防護(hù)的重要模塊,還能與云涌零信任安全管理平臺、邊緣計(jì)算安全管控平臺,物聯(lián)網(wǎng)云平臺等公司其他產(chǎn)品組合部署。EDR能夠極大的增強(qiáng)零信任“訪問安全”過程中訪問主體所處環(huán)境的安全性,提前預(yù)知風(fēng)險(xiǎn),將安全前移。
應(yīng)用場景
產(chǎn)品及服務(wù)
新聞中心
關(guān)于云涌
聯(lián)系信息
總部地址:
江蘇省泰州市海陵區(qū)泰安路16號
電話號碼:
0523-86083877
