EDR解决方案

EDR解决方案

2021-07-27 13:13:14
产品概述:

       终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。

安全闭环

       Gartner自适应闭环架构四阶段模型,四个阶段共定义了12个建议项用来完善四阶段模型的各个防护阶段,EDR是业界唯一完全满足12个建议项的终端安全厂商。


预防阶段
1.通过系统漏洞检测来进行主动风险分析,明确系统层面的漏洞风险是否为可接受风险。
2.通过人工智能引擎SAVE,具有强泛化能力,可以使用半年前引擎模型即可查出最新勒索病毒,近乎于预测勒索病毒攻击。
3.通过安全基线核查,实现终端合规控制。

防护阶段
1.通过微隔离模块,细粒度管控终端间访问关系并做到可视化展现。
2.通过一键隔离阻止感染终端持续向外扩散,阻止时间进一步升级

检测阶段
1.通过文件实时监控与主动扫描持续检测威胁事件
2.通过终端围剿式查杀做到一台感染,全网感知,抑制事件进一步爆发
3.通过威胁等级分类确认风险,并按优先级排列,进一步明确内网安全情况,并按优先级进行处理

响应阶段
1.通过文件修复对受感染文件进行修复,当无法修复或修复失败时再进行隔离
2.通过云网端协同联动对全网网络安全架构进行设计,并通过不断完善云网端体系和版本升级进行持续迭代
3.通过EDR针对攻击事件进行溯源分析进行调查与取证,对供给链条进行重新审视,并针对审视结果

人工智能检测引擎
       EDR基于人工智能检测引擎SAVE,通过人工智能和深度学习技术,为未知威胁防御提供了坚实保障。
       在针对各类未知威胁的识别和查杀上,传统的方式是基于病毒特征库,应对变种病毒永远处于追赶的状态,防护乏力。SAVE智能检测引擎,不再依赖传统方法的字节级特征,而是使用AI 技术提取稳定可靠的高层次特征,依靠强大的泛化能力,可以精确检测未知病毒或者病毒变种。

 
       SAVE的检测过程分为本地查杀和云端查杀两个阶段。本地查杀阶段会调用规则引擎,AI引擎,变形对抗引擎,数字签名引擎。SAVE 通过规则引擎快速处理已知常见病毒,通过 AI 引擎应对新型未知攻击, 变形对抗引擎能有效处理恶意文件的免杀手段,数签引擎可以有效处理可信白文件。云端查杀主要处理本地引擎判为可疑的文件。在用户允许的前提下,SAVE会上传文件的检测特征到云端进行更细粒度的检测。云端部署了检测能力更强的检测引擎,可以对文件进行更深入的分析,做出准确判断。SAVE引擎的检测模型在云端(安全云脑)会自动持续演进,包括机器学习特征集更新、AI检测模型演进等。通过升级服务下发最新检测模型到终端或者设备上,不断提升本地检测的能力。

       轻代理是适用于桌面云环境的Agent部署形式,EDR采用的即是轻代理模式,在桌面云环境下支持也具备主动检测与防御能力,同时对系统资源的占用大大降低。轻代理插件适配包括Vmware、OpenStack、Hyper-v、超融合在内的所有云平台,且与虚拟化版本无强关联,具备广泛的适用性。