终端安全解决方案
终端安全是影响信息系统安全的根源。从攻击者的角度来看,无论发起多么复杂的攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。终端正是大多数安全事件发生过程的跳板、目标或者发生地。然而以防御已知威胁为主的传统终端反病毒方案已无法应对当下未知威胁频发的安全形势,以WannaCry勒索事件为例,WannaCry感染全球30余万用户,导致政府、医疗、教育、金融、制造业等多行业用户业务中断。可见,企业级用户亟需能够有效应对未知威胁的下一代终端安全。
业务痛点
1、查杀方案跟不上病毒发展
传统方案下病毒查杀处置方式较为单一,往往处置速度跟不上病毒在网络终端的蔓延速度,对业务威胁大。
2、终端安全面临挑战
终端频繁成为勒索病毒攻击的重要目标,而传统终端安全解决方案无法应对勒索病毒变种等未知威胁攻击,数据资产频繁受到威胁。
3、难以统一管控多样化的系统
系统复杂多样,终端资产安全基线难以统一管控。
解决方案
1、智能检测,有效应对未知威胁
下一代终端安全大幅提升了对未知威胁的检测能力。通过人工智能持续学习、自我进化能力实现无特征检测,更有效鉴定未知病毒。 深信服EDR产品应用深信服SAVE安全智能检测引擎,利用深度学习训练数千维度的算法模持续学习,具备泛化能力,对未知病毒检测率高达97.8%。 同时辅以信誉库,加上行为分析、基因特征等技术,构建多维度漏斗型检测框架,实现全面预防、有效检测。
2、高效处置,快速响应威胁
下一代终端安全应能够及时、高效地响应处置安全威胁。一方面,其本身应根据检测命中的威胁内容进行及时处置。另一方面,终端安全作为安全建设的关键一环,应能够与其他安全设备联动进行协同响应,形成立体防护能力,快速封堵威胁,缩短威胁发现和处置时间。深信服EDR提供基于文件、机器、群组等全面处置手段。隔离响应手段包括:终端主机隔离、业务组隔离、文件信任、文件隔离、文件删除、文件恢复等。此外, 深信服EDR能够与深信服下一代防火墙、深信服态势感知等安全设备进行有效的联动,形成集预警、检测、防御、响应于一体的安全闭环防护体系。
3、一体化管理,终端资产全面识别
通过一体化统一管理方式进行应用,实现全网终端资产全面盘点。使得每一台终端上的资产信息清晰可见,同时能够对终端进行统一的管控,如合规审查等。深信服EDR全面兼容不同终端/服务器形态、操作系统类型,全类型资产策略一体化,并辅以多层次威胁检测、Web后门检测、僵尸网络检测、入侵攻击检测、基线合规检测、热点事件IOC检测等手段,确保终端具备更为全面的防护能力,也使得每一台终端上的资产信息更加清晰,便于管理。
典型应用场景
1、勒索病毒及未知威胁防御场景
通过在内部业务系统终端部署EDR客户端,可及时定位已经失陷的终端,响应已知、未知终端威胁,避免组织内部大面积终端安全事件的爆发,如勒索病毒全网蔓延。
2、等级保护合规场景
通过在需要进行等级保护测评的业务系统服务器上,部署终端安全EDR客户端,开启终端安全防护策略,全面满足在等保2.0标准中针对主机防病毒补丁、漏洞管理集中管控等安全控制点的合规要求,帮助用户实现等级保护二、三级建设。
3、混合云防护场景
支持底层虚拟化解耦合,适配包括VMware、OpenStack、Hyper-v、超融合等所有云平台,克服传统静态隔离的弱点,有效对云内主机进行微隔离响应处置。