2019-11-08 15:33:55
來源:深信服科技
企業(yè)級的端點安全解決方案一直在跟隨 IT 環(huán)境、安全技術(shù)的變化而不斷創(chuàng)新。 田皓野在現(xiàn)場圍繞有效應(yīng)對未知威脅分享了深信服的下一代終端安全防護思路 。
未知威脅層出不窮
明天和意外究竟哪一個先來
未知威脅不斷激增(包括新型病毒、變種病毒、未知漏洞等),防御者不知道攻擊者的目標(biāo)、方式以及時間。這是未知威脅帶來的“恐懼”,明天和意外究竟哪一個先來。
▲深信服終端安全市場運營總監(jiān)田皓野
在會上,田皓野分享到基于靜態(tài)特征的傳統(tǒng)安全防護體系,已無法應(yīng)對當(dāng)前未知威脅層出的安全形勢:
1. 變種病毒的工具越來越簡單化、批量化,單純依賴找出病毒的靜態(tài)特征已遠(yuǎn)遠(yuǎn)跟不上病毒的指數(shù)級增長;
2. 隨著特征庫變大,病毒檢測時,會使終端資源消耗不斷增加,響應(yīng)速度變慢。
目前的傳統(tǒng)終端安全軟件主要基于已知靜態(tài)特征構(gòu)建防護體系,而未知威脅的靜態(tài)特征并未被傳統(tǒng)終端安全軟件記錄,這便會導(dǎo)致傳統(tǒng)終端安全軟件無法有效響應(yīng)。
高效處置未知威脅
深信服EDR在有效抵御已知威脅的基礎(chǔ)上不斷創(chuàng)新突破,為用戶提供有效抵御未知威脅的終端安全解決方案。
在面對未知威脅的檢測方面,深信服EDR采用輕量級人工智能檢測引擎SAVE和多維度漏斗型檢測框架。
區(qū)別于基于靜態(tài)特征的傳統(tǒng)安全防護體系,深信服EDR創(chuàng)新基于AI的輕量級人工智能檢測引擎SAVE,利用深度學(xué)習(xí)技術(shù)對數(shù)億維的原始特征進行分析和綜合,結(jié)合安全專家的領(lǐng)域知識,最終選出數(shù)千維最有效的高維特征對未知病毒進行有效鑒定。
同時,基于文件的檢測,深信服EDR構(gòu)建了一個多維度、輕量級的漏斗型檢測框架,包含文件信譽檢測引擎、基因特征檢測引擎、SAVE安全智能檢測引擎、行為引擎、云查引擎等。通過層層過濾,達到對未知威脅的準(zhǔn)確檢測。
在面對未知威脅的響應(yīng)方面,需要建立快速有效的響應(yīng)機制,及時發(fā)現(xiàn)處置威脅。
新型勒索病毒和勒索病毒變種是常見的未知威脅,深信服EDR會通過在系統(tǒng)關(guān)鍵目錄及隨機目錄放置誘餌文件。當(dāng)勒索病毒調(diào)用加密進程對終端文件加密,在加密到誘餌文件時,誘餌文件會將加密進程反饋至EDR客戶端,EDR客戶端會立即殺掉加密進程阻止加密,并對病毒源文件進行查殺。
在某一臺終端發(fā)現(xiàn)病毒文件后,深信服EDR會立即將此病毒文件的特征值進行全網(wǎng)通報,做到一臺發(fā)現(xiàn),全網(wǎng)感知,在全網(wǎng)進行圍剿式查殺。
除此之外,深信服EDR微隔離技術(shù)可以通過對不同終端的精細(xì)化安全隔離,實現(xiàn)對不同部門間,不同角色間,不同業(yè)務(wù)系統(tǒng)間的安全域進行完善的安全隔離與細(xì)粒度的訪問控制。微隔離功能的應(yīng)用,可在發(fā)生病毒感染情況下,將威脅放置在可控范圍內(nèi),從而有效提升安全防護水平。
深信服終端檢測響應(yīng)平臺EDR,圍繞終端資產(chǎn)安全生命周期,從預(yù)防、防御、檢測、響應(yīng)四個階段提供多角度實時防護能力,通過云網(wǎng)端聯(lián)動協(xié)同、威脅情報共享、多層級響應(yīng)機制,幫助用戶快速處置終端安全問題,構(gòu)建能夠有效應(yīng)對未知威脅的下一代終端安全系統(tǒng)。
擬態(tài)分布式文件存儲設(shè)備云計算在軍隊信息化建設(shè)中的應(yīng)用在線學(xué)習(xí)室產(chǎn)品選型論:PC還是云桌面?---“軍事職業(yè)教育”在線學(xué)習(xí)室建設(shè)思考與分析【信服博士談存儲】海量非結(jié)構(gòu)化數(shù)據(jù)存儲中的小對象合并技術(shù)銀河麒麟云平臺軟件大數(shù)據(jù)技術(shù),發(fā)展趨勢如何?突破性能極限,阿里云神龍最新解讀弱電機房綜合布線如何設(shè)計與施工?數(shù)據(jù)中心可視化運維管理系統(tǒng)大數(shù)據(jù)引發(fā)混合云井噴 四大場景與三大技術(shù)
