一体化终端管理
支持全类型终端的统一管理与集中策略下发
多层次的无特征精准检测
基于人工智能的轻量级检测引擎,有效打击已知与未知威胁
勒索病毒的专杀克星
针对勒索病毒全流程感染路径,制定针对性查杀策略,识别率高达99%
创新微隔离与流量可视化
微隔离将病毒抑制与制定范围内,有效降低威胁暴露面
云网端协同联动
支持与下一代防火墙,安全感知平台等网络端设备实时联动,协同处置
终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件和管理平台软件共同组成。EDR 的管理平台支持统一的终端资产管理、终端安全体检、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件 IOC 的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等。深信服的 EDR 产品也支持与 NGAF、AC、SIP 产品的联动协同响应,形成新一代的安全防护体系
终端安全困局
以勒索软件为首的恶意软件广泛影响全球网络环境
WannaCry利用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户,包括学校、医疗、政府等各个领域。据华尔街日报报道,Wannacry至少造成了80亿美元的损失,勒索赎金超过2500万美元
高级威胁层出不穷,静态特征趋近失效
以恶意软件为主的攻击事件持续成长。人为操作的APT攻击(高级持续性威胁),更倾向于选用定制化的恶意变种病毒,更快速绕过基于静态特征构建的终端安全防护体系。由于人工无法应对病毒的指数增长、病毒库数量远小于已知病毒样本,静态特征匹配加重终端资源消耗、依赖云查离线检测能力骤降,静态特征防护已无法应对当前安全形势
终端种类多,分布广,难以实现集中管理
分裂的管理区域和终端、单一的防护匹配关系、所需防护的终端类型多种多样(pc、笔记本等)使得管控不满足普适性与兼容性的要求
检测响应机制显著不足
85%的入侵在数分钟内完成,60%的数据泄露发生在一天以内,但是大部分发现时间与治理时间都要超过数天甚至于数月,问题由是否被黑转变为何时被黑与何时发现备份
产品亮点
功能优势
轻量级人工智能检测引擎SAVE
通过高维度特征查杀文件检测率达到99.7,多类分类检测率达到90.3%
网端联动闭环
网络端设备发现终端威胁,自动化告知EDR检测平台对终端进行处置。
终端肃杀
一台发现威胁,全网威胁感知,并且在网络中所有终端中查杀相同病毒文件,做到终端肃杀,片甲不留。
勒索诱饵
通过在系统关键目录及随机目录放置诱饵文件,当诱饵文件被加密时立马启动应急机制,阻止加密进程,查杀病毒安源文件。
端点安全的立体可视和发现
通过EDR控制中心对全网终端进行多维度高效管理,使全网终端风险可视,终端流量关系可视,终端资产可控,资产责任人可追
云端自研Zsand行为监控沙箱
深信服公司自研的ZSand沙箱基于用户态和内核态行为监控技术以及异常行为识别引擎,可提供文件动态鉴定、流量IoC提取、恶意行为记录能力。
多维度漏斗型检测框架
通过多维度漏斗型检测框架有效提升检测效率,轻量化终端资源消耗,通过包括人工智能检测引擎,安全云脑检测引擎等多维度引擎对全文件进行有效查杀。
终端闭环,遵循Gartner自适应闭环架构四阶段模型
根据Gartner四阶段模型,定义了在预防、组织、检测、响应各阶段共12个关键功能来有效保护终端安全,深信服EDR根据该框架推出了全维度的终端安全解决方案。
微隔离并降低威胁影响面
利用应用角色之间的主机流量访问控制的技术,提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置,提供简单可视化的安全访问策略配置,提高了安全管理的效率。
等级保护的主机安全合规检查
终端安全合规审查依据等级保护的主机安全要求进行设计,对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等策略进行合规性审查,满足企业建设等级保护系统的主机安全要求。
虚拟化底层平台解耦合,构建动态安全边界
创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。
应用场景
病毒防护
风险场景:
基于传统服务器,云化虚拟机等数据中心场景,域内不同权限业务域访问关系混乱,流量不可视,无法应对业务承载位置动态变化导致的边界消失,威胁横向漂移等诸多问题
风险场景:
创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
设备联动
风险场景:
绝大部分组织内部均已部署如防火墙、入侵防御等边界网关设备,但相关设备往往是各司其职,无法形成有效的整体安全防御体系
风险场景:
深信服 EDR 产品能与 NGAF、AC、SIP、安全云脑等进行产品进行协同联动响应,形成涵盖云、边界、端点上中下立体防御架构,内外部威胁情报可实时共享。EDR产品可与安全云脑协同响应,关联在线数十万台安全设备的云反馈威胁情报数据,以及第三方合作伙伴交换的威胁情报数据,智能分析精准判断,超越传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支持。可与防火墙 NGAF、SIP 产品进行关联检测、取证、响应、溯源等防护措施,与 AC 产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
服务器主机防护
风险场景:
基于传统服务器,云化虚拟机等数据中心场景,域内不同权限业务域访问关系混乱,流量不可视,无法应对业务承载位置动态变化导致的边界消失,威胁横向漂移等诸多问题
风险场景:
创新微隔离技术架构于主机防火墙之上,致力解决病毒东西向、横向移动和内网扩散和处置问题,提出了一种基于安全域应用角色之间的流量访问控制的系统解决方方案,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。集中统一管理服务器的访问控制策略。并且基于安装轻量级主机 Agent 软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
成功案例
