需求分析
隨著安全威脅的變革,0day攻擊、APT攻擊、無文件攻擊手段層出不窮,使得傳統的終端安全防護手段已經出現了疲于應對的情形,終端一旦出現安全性問題,輕則影響終端使用感觸,重則會導致業務受影響或中斷。在邊界高筑墻的安全防護邏輯中,已經被驗證出現了嚴重的安全威脅漏洞,在安全威脅突破邊界產品后,在終端基本處于暢通無阻并橫向擴大攻擊戰果。
根據CSI/FBI等權威機構公布的數據,超過80%的安全事件都發生在終端環境中,“落腳”在終端是所有所有安全威脅的最終目標,終端也因此經常被稱為是安全的最后一公里或者最后一道防線。傳統終端EPP側重于“基礎防御”,識別和阻斷已知威脅,但無法看清威脅全貌并且對于潛在威脅、未知威脅無法實現檢測與防御。EDR產品作為貫穿終端安全威脅全生命周期并且以攻擊者視角看威脅的終端安全產品應運而生,通過記錄終端發生的全量事件,結合已知威脅檢測、行為分析、數據聚合、機器學習等技術來檢測任何可能性的安全威脅,對安全威脅做出快速響應并可視化呈現攻擊路徑、影響范圍的新一代終端安全產品。
產品簡介
產品簡介
啟明星辰終端高級威脅檢測與響應系統(簡稱EDR),幫忙快速構建新一代終端安全防護系統,依托全量終端運行信息采集和業務資產盤點為核心,應用“數據隨動機制”對信息的輸入、輸出內容動態調整,讓檢測維度隨階段變化而變化、響應方法隨威脅變化而變化、溯源視角隨時間變化而變化,持續為終端提供威脅的檢測與響應能力。通過將高危命令、惡意行為、單點威脅、惡意代碼駐留進行安全矩陣映射,實現對高級持續性威脅的檢測和響應,提前截斷攻擊鏈條。在攻擊者視角幫助管理人員看到、看清、看全安全威脅發生過程,為安全威脅的處置及后續整改提供有力支撐。
功能特點
內置多重威脅檢測引擎,對惡意病毒、勒索病毒、挖礦病毒、web后門、惡意鏈接等安全問題進行有效檢測,及時發現安全威脅定位威脅終端。
基于惡意行為、高危指令、敏感操作等信息關聯分析,并使用ATT&CK攻擊模型,對于有動機的攻擊行為進行檢測,在更早時間截斷持續攻擊鏈條。
以終端黑盒子邏輯全量記錄終端運行信息,在發生安全威脅時有更多信息進行支撐前后文溯源分析,便于從終端運行常態中發現終端運行異常態。
采用基于大數據技術的日志關聯分析,不僅可以快速在海量的數據中檢索到想要的數據,同時對于終端主機中的橫向安全威脅進行有效溯源,通過攻擊者視角對終端安全威脅進行全路徑、全周期進行追溯。
Copyright ? 啟明星辰 版權所有 京ICP備05032414號 京公網安備11010802024551號