终端一直是网络安全对抗中的主战场之一,面临着勒索软件肆虐,高级持续性攻击等多重威胁。而当前终端的防御仍存在诸多问题,很多品类的终端安全产品是按自身业务需要获取资产信息的,缺乏全面、清晰、可视的资产清点能力,以及无法全面了解终端环境的违规配置、脆弱性和暴露面,导致资产风险无法及时发现。面对复杂多样的定向“勒索+窃密”攻击、APT攻击、0/1day漏洞利用等攻击手段,以及突发性安全事件,无法快速进行事件调查,缺乏及时有效的处置能力,存在应急响应能力薄弱等问题,造成终端安全挑战更加严峻。
1.端点全要素的对象数据采集、规则化资产环境和系统行为分析
智甲EDR建立端点全要素对象清单,针对不同对象和场景,配置采集周期和数据要素等,可基于用户需求、数据价值度等,建立多种贴合用户环境的数据采集。通过全要素采集能力,满足规则化场景分析引擎和异常事件发现所需数据集,实现及时获取主机各类对象数据属性和操作行为闭环。
2.事件快速响应和策略配置,满足发现及处置安全事件活动的及时性要求
可针对各类事件提供快速响应能力,包括策略快速形成、指令快速下发、动作快速执行、结果快速回执,保证对安全事件处置的及时性,同时系统可针对不同场景运行情况,快速切换系统防护方案和等级,保证安全事件发生时,可及时行为采集、分析定位、策略生成和处置加固。
3.向量级执行体鉴定与细粒度行为约束能力,构建安全运行空间
基于威胁框架、安全服务与分析经验等建立执行体运营指标体系,将执行体对象采集、文件鉴定、信誉标定和执行约束形成闭环运营,并配置对象采集范围和频率,联动情报系统形成鉴定结论,支持用户调试三种不同规则等级的信誉标定,并结合执行体活跃轨迹分析,形成细颗粒的执行体约束能力,提高了快速发现威胁和异常事件的能力,能够满足各威胁场景下的执行体治理需求。
1.资产的识别与塑造场景
2.威胁、风险与资产状态检测场景
面对主机资产的安全状态、运行状态、环境特征和安全管理员的检测需求,智甲EDR集成多类针对资产环境的检测模块,包括威胁检测模块、资产风险模块、环境检测模块、网络流量检测模块等,可以实现各类检测需求,同时这些检测要具有可配置、可管理、低负载、可持续升级等能力。
3.威胁遏制场景
主机安全防护中针对攻击入侵、系统破坏、违规操作的防护核心目标是在危险动作执行前实现感知和拦截,智甲EDR具有深度内核级的防护能力,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,及文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。威胁遏制能力的有效性是安全防护的重要核心指标之一。
4.安全事件响应场景
智甲EDR通过精细元数据捕获与分析、执行体运行基线构建、资产状态与风险全周期监控、安全事件可编排调查等优势能力为用户构建一体化终端安全防御体系。