桌面云安全防护

2021-07-27 13:41:05

威胁检测与定位

EDR在桌面云防护上，能够提供的重要价值在于高效的威胁检测与定位能力上。检测定位是防护的基础，也是终端检测响应系统的重要承载内容，本项目将利用威胁检测定位技术，为桌面云安全建设保驾护航。

虚拟机合规检测

虚拟终端的安全合规性是重中之重，信息系统中终端一旦不合规将产生不可预知的安全风险，正因如此，无论是国家法律法规，还是组织内部的规章指引，对于主机方面都具有明确的安全要求，深信服EDR支持对桌面云终端进行安全合规审查，依据等级保护的主机安全要求进行检查项设置，对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查，满足企业建设等级保护系统的主机安全要求。

未知威胁检测

通过终端检测与响应系统的应用，全面解决云桌面层出不穷的威胁问题，系统使用多维度轻量级的无特征检测技术，包含AI技术的SAVE引擎、行为引擎、云查引擎、全网信誉库等，具备已知病毒99%检出率、未知病毒/变种97.85%检出率的检测能力，并呈现威胁检测更智能、更精准，响应更快速，资源占用更低消耗等特点。

僵尸网络检测

EDR可以对潜藏在桌面云环境内的僵尸网络进行有效检测，EDR可对报文的会话、报文netflow信息进行分析，检测主机是否有被木马程序控制并形成僵尸网络，系统可全面展现僵尸网络主机的详细信息，如显示僵尸网络文件检测产生的事件日志，例如恶意文件名称、文件名称、操作动作、发现时间等，另系统还可支持显示僵尸网络文件检测过程的详情内容，例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为等信息。

Web后门综合检测

传统的 WebShell 文件检测是基于特征码的检测技术，严重依赖于特征库，很难及时检测新的变种，检测效率也随着特征库的变大而迅速降低。采用机器学习的检测方法，通过先利用语法分析器生成语法树，基于语法树提取出危险特征以及正常特征，特征包含数量统计特征、字符串熵、运算符号统计等，再学习已标记样本特征数据来构建检测模型，然后利用此模型对样本进行检测判定，该方法不仅可以正确检测出已有样本数据，对未知样本也有很好的检测效果。

对 WebShell 文件的检测综合利用文件信誉库、静态分析、机器学习等手段对文件进行判断，相比流量侧的防御，检测方案将会更全面地分析文件。

威胁定位

当某一台终端发现病毒文件，基于文件信誉引擎立即将此病毒文件的md5特征值进行全网通报，做到一台发现，全网感知，在全网进行围剿式查杀。

漏洞补丁管理

补丁检测极大地简化了管理员甄别终端资产漏洞的流程，EDR产品支持各种类型不同的操作系统以及不同版本的操作系统的补丁规则库的更新，可以做到最新漏洞的实时检测与防御，并提供了漏洞检测与处置的功能，可以指定不同的终端进行全部、高危或者指定漏洞的检测，得到每一台终端的全部漏洞信息，并且可指定漏洞进行修复或者忽略处理。终端根据最新的补丁规则库进行系统补丁检测，匹配来判断当前是否已经进行补丁的安装，同时终端支持多种方式来获取最新的补丁安装包，包括微软补丁服务器、官方补丁服务器、管理平台以及自定义服务器。保证在网络隔离环境下，终端也可以通过管理平台来进行补丁的升级。EDR产品的漏洞检测、补丁更新，大大提高了管理效率，增强了终端资产的安全性。

针对桌面云的特殊环境要求，EDR对虚拟终端漏洞扫描和补丁下发进行了专门的适配和优化，可以保证漏洞扫描、漏洞修复过程不会影响桌面云终端的使用体验。

虚拟化微隔离

EDR针对微隔离提出了自己的创新方案。EDR微隔离提供基于安全域应用角色之间的流量访问控制解决方法，系统可实现基于桌面客户端对主机应用的访问控制，做到可视化的安全访问策略配置。并且基于安装轻量级主机Agent软件的微隔离访问控制，不受虚拟化平台、物理机器和虚拟机器影响。另一方面，微隔离功能的应用，可在发生病毒感染情况下，将威胁放置在可控范围内，从而有效提升安全防护水平。
可视化的安全访问策略配置。
EDR微隔离的功能，使桌面云客户端的业务访问行为受控，降低业务通信的安全风险。

虚拟流量可视化

在访问关系可视化中，采用统一管理的方式对终端的网络访问关系进行图形化展示，可以看到每个业务域内部各个终端的访问关系展示以及访问记录，也可以看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行，同时可以根据每个访问关系会生成访问关系控制策略，让用户决定是否启用该策略，减少了手动新增策略的工作量，提高了安全管理的效率。

EDR实现对桌面云流量可视化管理，不受虚拟网络边界动态变化的影响，始终可以让IT运维团队掌握全局流量视图，在此基础上进行风险分析，从而制定针对性的安全防护策略或者进行策略优化。

桌面云安全防护