随着人工智能技术的不断突破,网络攻防逐步进入智能化对抗时代。当前全球重大网络安全事件频发,网络攻击威胁持续上升,勒索软件、数据泄漏、黑客攻击等威胁手段层出不穷,且更具危害性,对政府、企业造成了严重威胁。
传统端点安全产品存在的问题越来越突出:应对机制是被动的,组织只有在受到攻击后才能感知和捕获,并将其特征放到病毒库中,然后通过升级杀毒软件并应用到用户才能应对。对于利用恶意软件变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等具有针对性的攻击,传统的安全产品无法有效防御。随着更多设备接入互联网,这也意味着将有更多开放端点成为攻击者的目标。
同时,防火墙和杀毒软件是基于各种“库”来实现其功能的,如病毒库、应用程序库等,随着这些库的不断建设,其整体规模也越来越臃肿,效率变得非常低下,防范未知威胁的效果并不尽如人意。
为了弥补传统安全产品的不足,新的技术指向——EDR(Endpoint Detection and Response)应运而生。
终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为软件为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。
星河安全紧跟技术脚步,推出了基于云部署方式的星河终端威胁检测与响应系统(Salaxy EDR)。
常见的网络攻击手段
监听:监听并分析目标计算机与其他计算机通信的数据,以获取关键信息。
扫描:利用程序扫描目标计算机开放的端口,以发现漏洞,便于入侵。
入侵:探测发现对方计算机存在漏洞后,入侵目标计算机进行监控或获取信息。
设置后门:成功入侵目标计算机后,不法分子会留下秘密通道(后门),以便随时进入。
消除痕迹:入侵完毕后,清除入侵痕迹,防止被管理员发现并修补漏洞、清除后门。
星河终端威胁检测与响应系统(Salaxy EDR)
Salaxy EDR通过对端点数据的分析,不仅能够检测出威胁攻击,同时提供主动防御能力,并且溯源整个攻击过程,实现精准追踪与可视化,提供新一代的安全防御解决方案。系统以“资产多维度监控”、“主动威胁狩猎”、“大数据分析结合人工智能技术”、“准确识别恶意攻击链条”、“全路径溯源”为核心,打造全链路闭环的端点安全防护系统。
1. 预防阶段
资产识别:准确识别资产,进行脆弱性检查、漏洞管理、补丁管理、基线检查、流量可视、USB管控等功能,预防病毒或攻击行为的渗透。
2. 防护阶段
勒索诱捕:加入勒索诱捕机制。
进程黑白名单:管理进程黑白名单。
自动微隔离:自动隔离恶意文件。
3. 检测阶段
AI和行为分析:基于人工智能和行为分析的检测引擎对终端进行持续检测,从海量病毒样本中机器学习基因特征,发现未知病毒。
离线检测:具备离线检测能力,全方面覆盖ATT&CK的IOA检测能力,包括违规外联监控、暴力破解、webshell检测、流行病毒快速检测框架(如手动输入MD5全局检测)。
4. 响应阶段
XDR联动响应:与XDR形成联动响应,保证在某主机上发现病毒文件,联动形成安全闭环及时响应处置。
云部署:云部署方式使得数据集中,提供更强大的检测分析功能,通过整合实时数据,在后端使用机器学习和其他检测技术,提升检测能力。
星河终端威胁检测与响应系统(Salaxy EDR)通过多维度的监控和分析,结合先进的人工智能技术,为用户提供了全面、精准、高效的安全防护解决方案,在智能化网络攻防时代,真正实现了“以EDR应万变”。