【概要描述】

      當今萬物互聯的場景越來越多，極大文草(dà)的方便了人們(men)的工(gōng)作和生件也活。據IDC預測，到2025年，全球僅IOT設備著還數量将達到416億個，未來幾年IOT設備增長(cháng習視)率将持續高于30%。随着5G、雲計算、物聯網等技術已經興起，網絡邊界志遠已經越來越模糊，端點保護已成為(wèi)企業在傳統安全邊界消失時(shí森呢)，抵禦複雜的APT攻擊和防不(bù)勝防的零日懂城漏洞的第一道防線。

      傳統的端點安全防護聽什主要是靠殺毒軟件，通(tōng)過病毒特征碼匹配進行本地查殺，屬于單機快但被動防禦産品。之後的EPP（端點保護平台）雖然作為(wèi)平近土台級端點主動防禦解決方案并在企業廣泛應用，但該産品還是采用了防禦廠錯型技術，難以應對複雜攻擊和高級威脅。随着終端泛在化，未來所有的網絡節點都将是跳人終端，端點安全的關注點，已經從單一安全防禦轉移到更注重威脅發現和自動化處置能力河會，對自動化威脅檢測、響應、處理、運維能力要求越來越高。在哥見此基礎上，EDR應運而生。

什麼是EDR？

      EDR全稱端點檢測與微件響應，是Gartner在2013年定義的一種安全子不技術和實踐。其中：

      端點線友 - 端點是諸如(rú)手機，筆記本電腦，用戶工(gōng)作站或服務器身關(qì)之類的設備。

      檢測 - ED懂都R檢測威脅并阻止對端點設備的攻擊，并提供對可幫助安全團隊調查攻在新擊的信息的訪問。

      響應大友 - EDR工(gōng)具可以通(tōn問銀g)過執行阻止惡意進程和隔離端點的操作來自動響應外我攻擊。

      ED道媽R系統的主要目标是通(tōng)知安全團隊有關端書務點上的惡意活動，并調查攻擊的範圍和根本原因。

雲湧EDR

      雲湧終端安是哥全檢測與響應平台，由部署到終端負責收集上報數據的代理程序、以及負責多內數據分析、展示及響應的中心服務組成。

      平台通她問(tōng)過安全事件監控、漏洞掃描、攻擊威脅檢測、文件完整性唱遠監測、安全配置評估、操作行為(wèi)審計及異常行線喝為(wèi)偵測等模塊，來實時(shí)通(tōng)知事輛安全團隊有關端點上的惡意活動，并适時(shí)關短采取相應的措施來阻止惡意行為(wèi)。道兵平台通(tōng)過可視化的展示整個系統的終端安全态勢，通(tōng)過分析金男其行為(wèi)來确定用戶活動是合法的還是惡意的現又，從而達到防止外部攻擊或内部人員惡意操作的目的。

雲湧EDR的産品特性

      雲湧EDR 通(tōng)過多體輕量級代理程序上報端點側系統日志及應用數據，借助平台的漏洞在就庫比對、大(dà)數據分析及态勢感知能力志放，有效幫助安全團隊實時(shí)掌握終端設備安全狀況，有效阻止APT等高級威脅火她與攻擊。

• IT資(zī)産可視化

      雲湧EDR平台彙總展示終高風端的硬件及網絡配置、操作系統及應用軟件信息、甚至運行的進程信息等。同時(shí技煙)依據規則分析，實時(shí)展示設備的安全風險如(rú)安全事件趨勢、漏內樹洞信息、安全配置掃描結果、文件完整性日志等。

      EDR代理程序支持主流操作刀兒系統如(rú)Windows，Ubuntu、CentOS、M白月acOS，以及信創平台如(rú)中标麒麟，統兵去信UOS等。

• 安全事件監控

      雲湧EDR通朋吃(tōng)過輕量級的代理程序收集終端操作系統及應從音用程序日志，并将數據加密傳輸到服務端。服務端基于海量規則，通(tōn子子g)過大(dà)數據分析，實時(shí)展示企業件短IT資(zī)産的安全風險和趨勢，幫助安全運維團隊快速發現問題并及時分請(shí)做出響應。

• 漏洞檢測

      Agent提取終端軟件清單并将數據生雨發送到服務端，在服務端中與持續更新的自維護漏洞數據那森庫做匹配，以識别已知漏洞。自動化的漏洞檢測功能幫助用戶找到關鍵資(z信分ī)産中的弱點并在攻擊者利用它們(men)破壞業務或竊取機這黑密數據之前采取相應措施。

      雲湧在公有雲維護了EDR産地草品專屬漏洞庫，實時(shí)同步NVD(美國國家(jiā討是)信息安全漏洞庫）、CNVD(中國國家(jiā)信息安全漏洞庫)以及各大(花國dà)主流操作系統官方漏洞數據。支持手動醫女維護尚未收錄的漏洞信息。支持在私有部署EDR環境裡離黃章線導入漏洞數據

• 基于ATT&CK模型的攻擊威脅檢測黑輛

      ATT&CK是由制鐘MITRE創建并維護的針對網絡攻擊行為(中鄉wèi)的模型和知識庫。它基于實戰以攻擊者視角出發的，從真實網絡威脅中提煉知校歸納并以矩陣形式展示的14種攻擊戰術、18用開8種攻擊技術及379種子(zǐ)技術的集合。

      雲湧ED信內R依據ATT&CK模型，将端點側命中的安全事件歸類彙總，以熱力的睡圖形式展示當前系統所處攻擊威脅的階段和技術，标識風險點。

• 文件完整性監控

      雲湧EDR支持監控山行終端的文件系統及注冊表項，根據用戶實際場景下的監控需兵對求，識别所監控文件的内容、權限、所有者、屬性變會間化等。此外，系統還支持監控用于創建或修改這些湖關文件的用戶或應用信息，以識别風險或威脅。

• 安全配置評估

      安全配置評估(SCA)主要的檢火對查範圍是由人為(wèi)疏忽造成的終端配置問題，主要包括了賬号、口令、授權、鄉人日志、IP通(tōng)信等方面内容。安全配置與系間科統的相關性非常大(dà)，同一個配置項在不(bù)同業務環境中的日你安全配置要求是不(bù)一樣的。

      雲習鐵湧EDR依據CIS标準，通(tōng)過掃描策光下略文件方式對比當前系統與标準系統的設置項包括注冊表項，逐條醫近列出對比結果，以此評估主機配置是否安全。

• 異常行為(wèi)審計

      生化雲湧EDR通(tōng)過掃描終端系統日志和關鍵文件來門白尋找惡意軟件、木(mù)馬和一切可疑行為(wèi)。&懂訊nbsp;   &生工nbsp;  平台支持檢測隐藏文件、隐藏進程或未注冊的網絡監聽器(廠影qì)，以及識别系統調用與響應中的不(bù)個電一緻行為(wèi)。此外平台使用基于簽名的方法，通(tōng)過正則引妹船擎來分析終端日志數據并進行入侵檢測識别。

• 實時(shí)響應

     內少 平台針對安全風險較高的場景（如(rú)終端上報了高危安全事件，或觸發了特殊廠綠的安全策略）可以快速響應并自動下發處置措從訊施，及時(shí)阻斷已知、未知或高級威脅，全面防護企業終端安全。

雲湧EDR的使用場景

      雲湧EDR可以獨立部署，用于增強短會企業端點設備安全防護能力，主動發現高級威脅和複雜攻擊，幫助安全團隊及時(sh厭就í)了解企業IT資(zī)産安全風險狀況，并實時(路他shí)緩解措施以減少攻擊面。

      除此之外，EDR作為(wèi票書)端點側安全防護的重要模塊，還能與雲湧零信任安全近銀管理平台、邊緣計算安全管控平台，物聯網雲平台等公司其他(tā)産品微電組合部署。EDR能夠極大(dà)的增強零信任“訪問安公理全”過程中訪問主體所處環境的安全性，提前預知風險，将安全前移。

• 分類：雲湧新聞
• 作者：
• 來源：
• 發布時(shí)間：2022-04-29
• 訪問量：1523