终端安全防护
终端安全是影响信息系统安全的根源。从攻击者的角度来看,无论发起多么复杂的攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。终端正是大多数安全事件发生过程的跳板、目标或者发生地。
然而以防御已知威胁为主的传统终端反病毒方案已无法应对当下未知威胁频发的安全形势,以WannaCry勒索事件为例,WannaCry感染全球30余万用户,导致政府、医疗、教育、金融、制造业等多行业用户业务中断。可见,企业级用户亟需能够有效应对未知威胁的下一代终端安全。
智能检测,有效应对未知威胁
下一代终端安全大幅提升了对未知威胁的检测能力。通过人工智能持续学习、自我进化能力实现无特征检测,更有效鉴定未知病毒。 深信服EDR产品应用深信服SAVE安全智能检测引擎,利用深度学习训练数千维度的算法模持续学习,具备泛化能力,对未知病毒检测率高达97.8%。 同时辅以信誉库,加上行为分析、基因特征等技术,构建多维度漏斗型检测框架,实现全面预防、有效检测。
高效处置,快速响应威胁
下一代终端安全应能够及时、高效地响应处置安全威胁。一方面,其本身应根据检测命中的威胁内容进行及时处置。另一方面,终端安全作为安全建设的关键一环,应能够与其他安全设备联动进行协同响应,形成立体防护能力,快速封堵威胁,缩短威胁发现和处置时间。深信服EDR提供基于文件、机器、群组等全面处置手段。隔离响应手段包括:终端主机隔离、业务组隔离、文件信任、文件隔离、文件删除、文件恢复等。此外, 深信服EDR能够与深信服下一代防火墙、深信服态势感知等安全设备进行有效的联动,形成集预警、检测、防御、响应于一体的安全闭环防护体系。
一体化管理,终端资产全面识别
通过一体化统一管理方式进行应用,实现全网终端资产全面盘点。使得每一台终端上的资产信息清晰可见,同时能够对终端进行统一的管控,如合规审查等。深信服EDR全面兼容不同终端/服务器形态、操作系统类型,全类型资产策略一体化,并辅以多层次威胁检测、Web后门检测、僵尸网络检测、入侵攻击检测、基线合规检测、热点事件IOC检测等手段,确保终端具备更为全面的防护能力,也使得每一台终端上的资产信息更加清晰,便于管理。
|
勒索病毒及未知威胁防御场景
通过在内部业务系统终端部署EDR客户端,可及时定位已经失陷的终端,响应已知、未知终端威胁。 |