终端防护响应(EDR)解决方案
信息安全-终端威胁检测响应平台EDR解决方案
信息安全-终端威胁检测响应平台EDR解决方案摘要本文档旨在介绍一种名为终端威胁检测响应平台(Endpoint Detection and Response,简称EDR)的解决方案,以帮助组织有效应对信息安全威胁。
EDR是一种集成了多种安全功能的平台,能够及时检测和响应终端设备上的安全威胁,提供实时监控和自动化应对能力。
通过使用EDR解决方案,组织可以提高其信息安全水平,减少潜在的风险和损失。
背景随着网络安全威胁的不断增加和不断进化,传统的防护措施已经无法满足组织对信息安全的需求。
传统的防火墙和杀毒软件等安全工具只能提供有限的保护能力,难以检测和应对高级威胁和持续性攻击。
为了更好地保护组织的终端设备免受威胁的侵害,EDR解决方案应运而生。
解决方案EDR解决方案提供了一套综合的安全功能,可以有效地检测、响应和修复终端设备上的安全威胁。
EDR解决方案的核心功能包括以下几个方面:实时监控和检测EDR解决方案通过对终端设备上的活动进行实时监控和分析,能够快速检测到可能的安全威胁。
它可以监控文件系统、进程、注册表等关键系统组件的变化,以及网络活动、用户行为等,从而及时发现异常行为和潜在的威胁。
高级威胁检测EDR解决方案利用先进的威胁情报和行为分析技术,可以检测和识别各种高级威胁,包括零日漏洞攻击、持久性威胁和潜在的内部威胁等。
通过对异常活动和恶意行为的自动分析和识别,EDR可以帮助组织及时发现和应对这些威胁。
自动化响应和修复EDR解决方案不仅能够及时发现安全威胁,还能够自动化地应对和修复这些威胁。
它可以自动隔离受感染的终端设备,阻止恶意进程的运行,并清除恶意软件。
同时,EDR还可以提供详细的报告和日志,帮助组织了解和分析安全事件,以便进行进一步的调查和修复工作。
集成和可扩展性EDR解决方案可以与其他安全工具和系统集成,提供更全面、一体化的安全防护能力。
它可以与防火墙、入侵检测系统等配合使用,实现多层次的安全保护。
终端安全解决方案 (2)
终端安全解决方案
终端安全是指保护终端设备免受恶意软件、攻击和数据泄
露的手段。
以下是一些常见的终端安全解决方案:
1. 防病毒软件:安装和更新可靠的防病毒软件,定期扫描
终端设备以检测和删除恶意软件。
2. 防火墙:通过配置和管理终端设备上的防火墙来限制对
系统的未授权访问,防止恶意活动。
3. 操作系统补丁:保持终端设备的操作系统和应用程序更
新至最新版本,以修复安全漏洞和增强系统的安全性能。
4. 强密码策略:为终端设备设置强密码,并定期更改密码,避免使用弱密码或者重复密码。
5. 多因素身份验证:使用多种身份验证方式,如指纹、生
物特征或硬件令牌,增加安全性。
6. 数据加密:对敏感数据或敏感文件进行加密,确保数据在传输和存储过程中的安全。
7. 远程擦除:启用远程擦除功能,以防止设备丢失或被盗情况下的信息泄露。
8. 定期备份:定期备份终端设备中的重要数据,以防止数据丢失或受损。
9. 终端审计:定期审计终端设备的安全配置和使用情况,及时发现和纠正潜在的安全风险。
10. 培训和意识提高:为终端用户提供安全培训,教育用户如何避免安全威胁,提高安全意识。
需要根据实际情况选择和实施终端安全解决方案,以提高终端设备的安全性。
计算机终端安全防护策略
计算机终端安全防护策略计算机终端安全防护策略是保护计算机终端免受恶意攻击和未经授权的访问的一系列措施。
计算机终端是指个人电脑、笔记本电脑、智能手机、平板电脑等终端设备,这些设备通常包含个人和商业敏感信息,因此必须采取措施保护其安全。
下面是一些常见的计算机终端安全防护策略:1.使用防火墙:防火墙是一种网络安全设备,可以监控和控制网络通信,阻止恶意流量进入终端。
防火墙可以设置访问控制规则,过滤来自不可靠来源的流量,并提供入侵检测和入侵防御功能。
2.安装和更新杀毒软件:杀毒软件是一种用于检测和删除计算机中的病毒、恶意软件和间谍软件的应用程序。
用户应该定期更新杀毒软件的病毒数据库,以确保其有效性。
3.使用强密码:密码是保护终端上个人和商业敏感信息的第一道防线。
用户应该使用强密码,包括字母、数字和特殊字符的组合,并定期更改密码。
此外,不同的网站和应用程序应该使用不同的密码,以防止一个密码被破解后导致其他账户的被盗。
4.定期更新操作系统和应用程序:及时更新操作系统和应用程序是保持终端安全的重要步骤。
这些更新包含修复已知漏洞和错误的安全补丁,以防止黑客利用这些漏洞对系统进行攻击。
5.安全浏览网页:访问恶意或未知来源的网站可能导致终端感染恶意软件。
用户应该避免点击可疑的链接,不下载可疑的文件,并定期清理浏览器缓存和Cookie。
6.使用虚拟专用网络(VPN):公共Wi-Fi网络往往没有安全保护,黑客可以轻易窃取用户的信息。
使用VPN可以加密终端和互联网之间的通信,保护用户的隐私和数据安全。
7.多因素身份验证:启用多因素身份验证可以提供额外的安全层。
除了密码,终端用户需要提供其他身份验证因素,如指纹、面部识别或独立的验证码,以确保只有授权用户可以访问敏感信息。
8.备份数据:定期备份终端上的数据是预防数据丢失的重要手段。
备份可以通过外部硬盘、云存储或网络存储设备来完成。
如果终端受到攻击或丢失,用户仍然可以通过备份恢复其数据。
h3c,ead解决方案
h3c,ead解决方案篇一:H3C_EAD_终端准入解决方案1H3C EAD终端准入控制解决方案目录导读................................................. ................................................... ...................................................3前言................................................. ................................................... ...................................................4实践是检验真理的唯一标准................................................. ................................................... (4)第1章EAD解决方案概述 ................................................ ................................................... (6)第2章部署篇 ................................................ ................................................... (9)1. 在园区网中部署EAD解决方案 ................................................ (9)2. 在广域网中部署EAD解决方案 ................................................ .. (11)3. 在VPN网络中部署EAD解决方案 ................................................ (13)4. 在无线局域网中部署EAD解决方案 ................................................ . (14)5. 在异构网络中部署EAD解决方案................................................. . (15)第3章技术专题篇 ................................................ (16)1. EAD与iMC融合管理解决方案 ................................................ .. (16)2. 基于的客户端快速部署技术 ................................................ .. (20)3. Windows域统一认证技术 ................................................ ................................................... .. (21)4. EAD可控软件技术................................................. ................................................... .. (23)5. EAD匿名认证技术................................................. ................................................... .. (25)6. EAD无客户端技术................................................. (27)7. EAD桌面资产管理解决方案................................................. ...................................................308. EAD分级管理解决方案................................................. ................................................... . (33)9. EAD高可靠性解决方案................................................. ................................................... . (36)第4章案例篇 ................................................ ................................................... .. (38)1. EAD案例:国家统计局................................................. ................................................... . (38)2. EAD案例:新华社................................................. ................................................... .. (41)3. EAD案例:中国国际广播电台 ................................................ (43)4. EAD案例:海南省电子政务网 ................................................ (45)5. EAD案例:成都市政府数据中心................................................. .. (47)6. EAD案例:中国银行总行 ................................................ ................................................... . (48)7. EAD案例:中国建设银行厦门开发中心 ................................................ . (49)8. EAD案例:华夏银行 ................................................ (50)9. EAD案例:民生银行 ................................................ ................................................... .. (52)10. EAD案例:湖南省农村信用社 ................................................ (54)11. EAD案例:用友软件 ................................................ ................................................... .. (57)12. EAD案例:太原钢铁 ................................................ ................................................... .. (60)13. EAD案例:H3C公司................................................. ................................................... . (63)第5章附录:EAD部分用户名................................................... .. (67)? 政府................................................. ................................................... (67)? 金融................................................. ................................................... ....................................68 ??? 公共事业................................................. ................................................... .............................68 企业................................................. ................................................... ....................................69 运营商 ................................................ ................................................... (70)导读在创新无处不在的IT世界里,从要求可用性到安全性再到高效率,只经历了短短的几年时间。
edr网络安全
edr网络安全
EDR(终端检测与响应)是一种网络安全工具,旨在检测和应对恶意活动和威胁。
EDR技术通过对终端设备进行实时监控,收集和分析各种事件和指标的数据,并对异常行为进行检测和响应。
它能够帮助组织发现和应对各种威胁,包括恶意软件,网络攻击,未经授权的访问等。
EDR在网络安全领域起着重要作用。
通过收集终端设备上的
数据,EDR可以生成详细的安全事件报告,迅速定位和识别
威胁。
EDR还能够自动化响应过程,如强制终端设备下线,
阻止恶意软件运行等,从而迅速解决安全问题。
与传统安全工具相比,EDR具有许多优势。
首先,EDR可以
提供实时的、全面的终端设备数据,帮助组织更好地了解风险和威胁。
其次,EDR可以对终端设备进行远程响应,实现快
速封堵威胁和恶意行为。
此外,EDR还具有高度可扩展性,
可以适应各种规模和复杂度的网络环境。
然而,EDR也存在一些挑战。
首先,EDR需要大量的计算和
存储资源来处理和分析终端数据。
其次,EDR对网络环境的
可见性有一定的要求,如果网络环境复杂或缺乏监控控制,EDR的有效性可能会受到影响。
总的来说,EDR是一种强大的网络安全工具,可以帮助组织
检测和响应各种威胁和恶意行为。
在不断变化和复杂化的网络环境中,使用EDR可以提高网络安全防护的能力,帮助组织
更好地应对安全挑战。
深信服终端检查响应平台 EDR 用户手册说明书
深信服终端检测响应平台EDR 用户手册产品版本 3.5.18文档版本01发布日期2022-2-14深信服科技股份有限公司深信服终端检查响应平台EDR用户手册密级:公开版权声明版权所有©深信服科技股份有限公司2022。
保留一切权利(包括但不限于修订、最终解释权)。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
特别提示您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新,如有变更,恕不另行通知。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保,深信服科技股份有限公司不对本文档中的遗漏、变更及错误所导致的损失和损害承担任何责任。
联系我们售前咨询热线:400-806-6868售后服务热线:400-630-6430(中国大陆)深信服科技官方网站:7*24小时智能客服,排障咨询好帮手:https:///plugin.php?id=common_plug:online&ref=文档符号说明在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
目录目录 (iv)1.产品概述 (1)1.1.产品简介 (1)1.2.关键特性 (2)2.首次上线 (3)2.1.准备工作 (3)2.1.1.管理端安装环境 (3)2.1.2.客户端安装环境 (3)2.1.3.网络连通性要求 (4)2.1.4.收集白名单文件 (5)2.2.管理端部署 (5)2.2.1.软件管理端部署 (5)2.2.2.硬件管理端部署 (9)2.3.产品激活 (11)2.3.1.销售授权激活 (12)2.3.2.试用授权激活 (21)2.4.分组管理 (25)2.5.策略配置 (26)2.5.1.白名单配置 (26)2.5.2.安全策略配置 (27)2.6.终端部署 (30)2.6.1.Windows系统部署 (30)2.6.2.Linux服务器部署 (45)2.6.3.MAC OS部署 (49)2.6.4.终端Agent部署成功确认 (53)3.管理端使用 (54)3.1.管理端登录 (54)3.2.首页展示 (54)3.3.终端管理 (64)3.3.1.终端分组管理 (64)3.3.2.终端清点 (74)3.3.3.终端发现 (78)3.3.4.策略中心 (79)3.4.微隔离 (119)3.4.1.业务梳理 (119)3.4.2.创建对象 (119)3.4.3.策略配置 (122)3.4.4.流量查看 (123)3.5.威胁检测 (124)3.5.1.终端病毒查杀 (124)3.5.2.终端漏洞查补 (127)3.5.3.终端基线检查 (130)3.6.响应中心 (133)3.6.1.威胁响应 (133)3.6.2.漏洞响应 (136)3.6.3.远程运维 (139)3.7.日志报表 (139)3.7.1.安全日志 (140)3.7.2.联动日志 (140)3.7.3.运维日志 (141)3.7.4.操作日志 (141)3.7.5.风险报告 (141)3.8.系统管理 (142)3.8.1.联动管理 (143)3.8.2.分支管控 (199)3.8.3.账号管理 (205)3.8.4.授权管理 (210)3.8.5.系统设置 (214)4.Agent使用 (226)4.1.Windows系统Agent使用 (226)4.1.1.首页展示 (226)4.1.2.安全中心 (226)4.1.3.病毒查杀 (227)4.1.4.漏洞防护 (230)4.1.5.实时防护 (231)4.1.6.系统工具 (233)4.1.7.设置中心 (233)4.1.8.安全日志 (237)4.1.9.隔离区/信任区 (238)4.1.10.托盘 (239)4.2.MAC OS Agent使用 (241)4.2.1.病毒查杀 (241)4.2.2.隔离区 (242)5.产品升级 (243)5.1.新版本升级 (243)5.2.安全补丁更新 (245)5.3.病毒库升级 (248)5.4.漏洞规则库升级 (249)6.高危操作 (250)7.FAQ (252)7.1.安装部署 (252)7.2.病毒查杀 (254)7.3.微隔离 (256)7.4.终端Agent卸载 (257)7.4.1.Windows系统卸载Agent (257)7.4.2.Linux服务器卸载Agent (258)7.4.3.管理端卸载Agent (258)7.5.其它 (259)8.缩略语 (260)1.产品概述终端检测响应平台EDR(Endpoint Detection and Response)是深信服公司提供的一套终端安全解决方案,方案由轻量级端点安全软件Agent和管理端组成。
终端安全防护系统
终端安全防护系统随着信息技术的飞速发展,终端设备在我们的生活中扮演着越来越重要的角色。
从个人电脑到智能手机、平板电脑,再到各种物联网设备,终端设备已经深入到我们的日常生活中的方方面面。
然而,随之而来的安全威胁也日益增加,给我们的信息和数据带来了严重的风险。
为了保护终端设备的安全,终端安全防护系统应运而生。
终端安全防护系统是一种综合性的安全解决方案,旨在保护终端设备免受恶意攻击、病毒感染、数据泄露等安全威胁。
它通常包括防火墙、反病毒软件、入侵检测系统、数据加密等多种安全技术手段,以构建起一道坚固的防线,保障终端设备的安全。
首先,终端安全防护系统的核心是防火墙。
防火墙是一种网络安全设备,用于监控和控制网络流量,阻止未经授权的数据包进入或离开私人网络。
它可以有效地防止网络攻击、入侵和恶意软件的传播,保护终端设备免受外部威胁。
其次,反病毒软件也是终端安全防护系统中不可或缺的一部分。
随着计算机病毒的不断演变和变异,传统的反病毒软件已经不能满足日益增长的安全需求。
因此,现代的反病毒软件不仅仅能够检测和清除病毒,还能够对恶意软件、间谍软件等进行有效防护,保障终端设备的安全。
此外,入侵检测系统也是终端安全防护系统中的重要组成部分。
入侵检测系统能够监控网络流量和系统日志,检测可能的入侵行为,并采取相应的防御措施,及时发现和应对安全威胁,保护终端设备的安全。
最后,数据加密是终端安全防护系统中的最后一道防线。
数据加密可以保护敏感数据不被未经授权的访问和窃取,有效防止数据泄露和信息安全事件的发生,保障终端设备中重要数据的安全。
综上所述,终端安全防护系统是保护终端设备安全的重要手段,它通过防火墙、反病毒软件、入侵检测系统和数据加密等多种安全技术手段,构建起一道坚固的防线,保护终端设备免受各种安全威胁。
在信息化时代,终端安全防护系统的重要性不言而喻,我们应该充分重视终端安全,采取有效的安全措施,保护终端设备的安全。
深信服终端安全检测响应平台-EDR
深信服终端安全检测响应平台彩页
应用场景
防病毒场景
风险场景:组织内部终端呈现覆盖面广、点数众多、网络化办公等特点,新 型未知病毒、勒索病毒出现,严重影响用户日常办公,无法保障内部核心数 据安全。 应用效果:
基于 AI 技术的查杀引擎,利用深度学习的技术,通过对海量样本数据的学习,提炼出 来的高维特征,具备有很强的泛化能力,从而可以应对更多的未知威胁。而这些高维特征数 量极少,并且不会随着病毒数同步增长,因此,AI 技术具有更好检出效果、更低资源消耗的
杀毒处置方式落后无法适应病毒新的传播方式与环境 采取基于文件隔离的处置方式相对落后,如文件隔离失败情况产生,单点威
深信服终端安全检测响应平台彩页
胁将快速辐射到面,因此传统防毒产品已经无法适应新的病毒传播方式及环 境。
深信服终端安全检测响应平台
围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细 致的隔离策略,更为精准的查杀能力、更为持续的检测能力、更为快速的处 置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多 层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响 应快的下一代终端安全系统-深信服终端检测响应平台EDR
深信服终端安全检测响应平台彩页
深信服终端安全检测响应平台-EDR
新时代下企业级终端安全面临严峻挑战
相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等 不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途 径,正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等 多方面提出更高要求。 人工运维加剧威胁防御成本 传统终端安全产品以策略、特征为基础,辅以组织规定以及人员操作制度驱 动威胁防御,高级威胁一旦产生,将会不可控的传播,势必带来人工成本的 几何增长,且对企业运维人员专业性要求极高,有效应对威胁难度大。
信服云_EDR的概述和介绍V1
EDR基本功能-终端管理-策略中心
通过实时防护策略对终端进行有效的安全检测,从而避免安全风险保护系统安全。
EDR基本功能-终端管理-策略中心
当前通过远程桌面二次认证防止RDP爆破进行勒索防护,如下图:
EDR基本功能-终端管理-策略中心
EDR部署结构原理
1、【产品与服务】→【云主机】界面导入EDR服务端(即一台Linux 服务器集成EDR管理平台)。 2、在终端(windows、linux)上需要安装agent程序,用于检测终端 安全。 3、EDR管理平台通过向agent下发安全策略,完成终端的威胁检测和 安全防护 * 终端检测响应平台(EDR)部署在用户VPC,Agent安装在每台服务 器上。EDR通过公网与深信服安全云联动,内网每台服务器Agent与终 端检测响应平台联动,实现对云端服务器的用户提供准确的安全情报 和解决方案,通信过程数据加密。无需服务器有访问公网权限,安全 隔离。
信服云_EDR产品概述和介绍
第1页
1.EDR产品介绍 2.EDR功能介绍
第2页
第3页
EDR产品概述及其产品价值
EDR是以终端资产为核心,通过预防、防御、检测、响应赋予终端更为精准、持续的检测、快速处置能力,它能够 有效应对勒索病毒等高级威胁,并提供联动协同、威胁情报共享、多层级响应机制,帮助企业快速检测、处置终端安 全问题,构建全新轻量级、智能化、响应快的下一代终端安全系统。
配置终端所在分组漏洞修复策略,一般保持默认配置即可,漏洞修复策略介绍如下图:
EDR基本功能-威胁检测
【威胁检测】->【终端病毒查杀】中可以设置终端病毒查杀任务,进行快速查杀和全盘查杀,如下图:
信息安全-终端检测响应平台EDR解决方案
第一章概述二十一世纪以计算机和网络通信为代表的信息化技术迅速发展,现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖,信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。
组织机构的正常运行高度依赖于信息系统,而针对其所承载的服务和数据的安全保护就显得尤为重要,如数据的安全性、完整性,终端计算机的可靠性、可用性等方面出现缺陷,将会给组织机构带来不可计量的损失。
而如今,全球化的互联网使得组织机构不仅依赖信息系统,还不可避免地通过计算机与外部的信息系统建立密切联系。
面对来自外部以及内部的威胁,对信息系统及系统终端的保护需求则更为突出。
面对日益严峻的安全风险,大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系,并在一定程度上抵御来自外部的攻击,然而内部信息系统是不断变化发展的,系统环境在任何时刻都会呈现开放、共享等特点,不应以孤岛形式存在,外部威胁只是安全风险的一部分,作为办公环境的重要组成,开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。
正因如此,终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。
XX终端计算机具有点数多、覆盖面大、难管理等特点,加之XX信息安全人员人手有限,终端分布环境复杂,威胁风险事件较多,使信息安全人员对终端安全工作处于被动状态。
在终端安全方面,一旦出现病毒感染、恶意破坏传播、数据丢失等事件,将会给XX造成严重损失,后果不堪设想。
现由于XX各部门及员工对计算机的合规使用、对终端安全以及病毒防范的意识和能力参差不齐,已严重影响到计算机信息系统安全性。
正因如此,全方位做好XX信息系统的终端安全防护工作,在XX建设一套终端安全检测与响应系统,以确保XX的日常办公安全、稳定、高效运行。
第二章应用场景与风险分析2.1防病毒应用概况信息化飞速发展,组织内部人员的正常办公,与计算机终端密不可分,它为使用者带来便利同时,亦产生了层出不穷的安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 终端响应(Response)
• 厂商下发针对不同威胁的响应策略 • 终端用户可自主定制针对特定威胁的响应
策略
Gartner
2016年十大信息安全技术
Contents
1 终端安全面临的问题 2 面向威胁,快速闭环的终端安全方案 3 方案价值 4 性能指标说明
整体逻辑架构
OA业务域 OA业务域
应用提供者 WEB应用角色 DB应用角色
ALL DB应用角色
ALL
应用服务 Apache(Http,80) MySQL(TCP,3306)
ALL MySQL(TCP,3306)
ALL
应用使用者 All
WEB应用角色 ALL
邮件应用角色 ALL
策略动作 允许 允许 拒绝 允许 拒绝
安全处置的新思路
预防
风险评估 安全基线
安全防御
响应
安全响应
可视化 自适应 持续闭环
防御
安全隔离 攻击阻止
事件监测
风险检测
检测
数据采集、分析和检测、响应能力
安全行业的新应用
• Endpoint Detection and Response
• 终端检测(Detection)
• 在终端安置“探针”,感知威胁信息 • 在云端或企业内网搭建威胁信息处理平台,
业务安全域 数据库业务域 数据库业务域
应用提供者 DB应用角色 DB应用角色
应用服务 MySQL(TCP,3306) MySQL(TCP,3306)
应用使用者 OA业务域 研发业务域
策略动作 允许 允许
防御--基于AI的勒索病毒防御
SAVE
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
恶意文件检测
暴破入侵防御
入侵攻击检测
后门上传防御
WEB后门检测
活跃僵尸程序防御
热点事件检测
持续闭环的指导思路
响应
全网威胁定位 一键文件隔离 一键主机隔离 联动响应机制
预防-终端资产盘点管理
终端资产管理:全面盘点终端资产,包含服务器和PC终端。 资产责任人管理:每一台终端都有责任人,每一个安全事件责任到人。
预防—等级保护的主机安全合规检查
终端合规检查:
-支持对终端账号、密码策略等合规 项检查
-支持恶意代码项的检查
-支持访问控制项的检查
-支持具体合规项检查说明和整改建 议
预防-基于安全域的访问控制加固
同一租户业务安全域内的访问控制
同一租户的业务安全域之间的访问控制
业务安全域 门户网站业务域 门户网站业务域 门户网站业务域
业务资产弹性变化,安全策略随之迁移
安全策略跟随
业务动态迁移
业务A
业务B
hypervisor
流行事件快速分析,终端威胁闭环处置
以资产为中心,构建终端威胁快速闭环的体系
Contents
1 终端安全面临的问题 2 面向威胁,快速闭环的终端安全方案 3 方案价值 4 性能指标说明
繁杂的资产,难以定位的责任
IIS
分 散 的 信 息 资 产
apache
资产梳理表
人员
物理资产 软件资产
A部门 B部门
?
谁的资产?
谁对资产的安全问题负责?
SAVE
第三方 引擎
云引擎
预防
基线核查
持 安全检测 续
检 入侵检测 测
合规审查
防御
可视化
检测
终端资产
轻量级 智能化 响应快
响应
一键查杀
快 速 一键隔离 响 应 攻击溯源
联动响应
AC AF SIP
终端检测响应平台的主要功能
预防
终端资产盘点 安全基线审查 微隔离访问控制 东西向流量可视
防御
检测
勒索软件防御
无监督方法一
高层表示一
无监督方法二
高层表示二
分类器
无监督方法三
高层表示三
基于机器学习的下一代恶意文件检测系统, 由数据驱动,不再依赖传统的特征和签名
BadRabbit
2017年八月份的模型能够以100%的成功率查出9月 份爆发的BadRabbit勒索病毒,有效说明了该模型具 有一定的检测未知威胁的能力
被突破的边界,难以控制的内部横向移动
IPS
主机层面
数
1. 边界防火墙威胁横向移突破边界 动影据 库 区 域响范围更广泛横 2. 内部威胁很难被限制在最小区域向移动内
业
WEB
边
务
界
承
防 火 墙
防 火 墙
载 区 域
横 向 移 动
不断更新的勒索病毒,难以持续检测响应
上千台机器中招蓝屏,系统恢复响应时间至少一周以上 基于特征和签名的杀毒方式略显滞后
业务系统逻辑架构
平台解耦,广泛适用 部署在操作系统上,与平台解耦, Vmware、OpenStack、Hyper-v 等平台均适用;支持服务器操作 系统和PC操作系统。 集中管控 可以实现整个环境内所有终端安 全控制策略的统一管控
终端检测响应平台价值主张
价值主张:以资产为中心,提供精准防御、持续检测,协同响应帮助客 户快速处置事件的能力。
检测--多维度的恶意文件检测
行为引擎
AI引擎
云查引擎
全网文 件信誉
无特征,轻量级,多维度,持续检测
检测--热点安全事件响应处置
基于威胁情报IOC的热点事件快速检测
响应--全网威胁快速定位分析
全网快速威胁定位,对事件进行溯源分析
响应—安全事件一键隔离处置
一件处置、快速隔离
响应—产品深度集成联动响应
产品深度集成合作,形成联动响应
认证
深
信
服
取证
EDR
硬
件 产
响应
品
溯源
Contents
1 终端安全面临的问题 2 面向威胁,快速闭环的终端安全方案 3 方案价值 4 性能指标说明
终端资产全面盘点,安全事件责任到人
资产盘点
EDR
IIS
apache
责任到人
A部门
A部门
B部门
B部门
终端威胁实时防御,预防和检测勒索病毒
暴力破解
暴力破解入侵防御:基于 Agent的RDP和SSH登录 日志检测,并且自动封堵 攻击源IP处理
Web后门上传防御
自动学习web系统目录文件 或变动的文件,基于本地与 云端特征库通过机器学习算 法检测引擎、数据流分析引 擎,判断恶意文件并加入隔 离区域
活跃僵尸程序行为防御
活跃僵尸程序防御:对服务器 外联的DNS请求、活动行为进 行持续监控,文件为已知的威 胁文件时,则自动进行文件隔 离操作
创新人工智能无特征技术;确检测未知病毒
Bad Rabbit
2017年底出现的最新勒索病毒
100%
查杀成功率
120万样本勒索软件查杀率
97.85%
100%
50%
0.1%
0%
Sangfor SAVE 引擎
32% 0.04%
61.4% 0.09%
开源 杀毒引擎
业界厂商
病毒检出率
病毒误报率
防御—暴力破解、webshell、活跃僵尸等常见威胁防御