面对未知威胁,如何做好终端安全?

2019-11-08 15:33:55

来源:深信服科技

2019 企业信息安全展览会于上海盛大召开,11月7日,在统一端点安全解决方案论坛上,深信服终端安全市场运营总监田皓野发表主题演讲,《深信服下一代终端安全 :终端检测响应平台EDR》。

企业级的端点安全解决方案一直在跟随 IT 环境、安全技术的变化而不断创新。 田皓野在现场围绕有效应对未知威胁分享了深信服的下一代终端安全防护思路 。

未知威胁层出不穷

明天和意外究竟哪一个先来

未知威胁不断激增(包括新型病毒、变种病毒、未知漏洞等),防御者不知道攻击者的目标、方式以及时间。这是未知威胁带来的“恐惧”,明天和意外究竟哪一个先来。

▲深信服终端安全市场运营总监田皓野

在会上,田皓野分享到基于静态特征的传统安全防护体系,已无法应对当前未知威胁层出的安全形势: 

1. 变种病毒的工具越来越简单化、批量化,单纯依赖找出病毒的静态特征已远远跟不上病毒的指数级增长;

2. 随着特征库变大,病毒检测时,会使终端资源消耗不断增加,响应速度变慢。

目前的传统终端安全软件主要基于已知静态特征构建防护体系,而未知威胁的静态特征并未被传统终端安全软件记录,这便会导致传统终端安全软件无法有效响应。

高效处置未知威胁

深信服EDR在有效抵御已知威胁的基础上不断创新突破,为用户提供有效抵御未知威胁的终端安全解决方案。

在面对未知威胁的检测方面,深信服EDR采用轻量级人工智能检测引擎SAVE和多维度漏斗型检测框架。 

区别于基于静态特征的传统安全防护体系,深信服EDR创新基于AI的轻量级人工智能检测引擎SAVE,利用深度学习技术对数亿维的原始特征进行分析和综合,结合安全专家的领域知识,最终选出数千维最有效的高维特征对未知病毒进行有效鉴定。 

同时,基于文件的检测,深信服EDR构建了一个多维度、轻量级的漏斗型检测框架,包含文件信誉检测引擎、基因特征检测引擎、SAVE安全智能检测引擎、行为引擎、云查引擎等。通过层层过滤,达到对未知威胁的准确检测。

在面对未知威胁的响应方面,需要建立快速有效的响应机制,及时发现处置威胁。 

新型勒索病毒和勒索病毒变种是常见的未知威胁,深信服EDR会通过在系统关键目录及随机目录放置诱饵文件。当勒索病毒调用加密进程对终端文件加密,在加密到诱饵文件时,诱饵文件会将加密进程反馈至EDR客户端,EDR客户端会立即杀掉加密进程阻止加密,并对病毒源文件进行查杀。

在某一台终端发现病毒文件后,深信服EDR会立即将此病毒文件的特征值进行全网通报,做到一台发现,全网感知,在全网进行围剿式查杀。

除此之外,深信服EDR微隔离技术可以通过对不同终端的精细化安全隔离,实现对不同部门间,不同角色间,不同业务系统间的安全域进行完善的安全隔离与细粒度的访问控制。微隔离功能的应用,可在发生病毒感染情况下,将威胁放置在可控范围内,从而有效提升安全防护水平。
       深信服终端检测响应平台EDR,围绕终端资产安全生命周期,从预防、防御、检测、响应四个阶段提供多角度实时防护能力,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建能够有效应对未知威胁的下一代终端安全系统。

相关阅读
<