“数字经济”国家战略之下,数字化转型升级,叠加新冠疫情及当前国际环境,传统终端保护方案无法有效解决未知威胁、高级威胁等定向性攻击手段,在终端安全管控方面,大型政企面临着新的困难与挑战。
80%的系统抵御不了80%的风险
首先,我们可以来看几组数据——
2019年全球安全厂商披露APT攻击总报告数量近500起,对比18年增长约10%;2019年统计显示被勒索病毒攻击的计算机已连续两年超400万台以上;数据泄露数量对比18年增长52%,成本在五年内增加了12%,达392万美元......
事实上,针对通常采用免杀、未知木马、0day漏洞攻击等复杂手段的APT攻击以及勒索病毒攻击,传统的防病毒技术难以有效防范,传统安全产品往往力不从心。企业信息化安全建设投入逐年增长,各类安全系统逐步上线,但80%的系统依然抵御不了80%的风险。一旦发生网络安全事件,政企难以进行及时预警以及威胁处置。
传统终端保护方案无法抵御当前攻击手段
● 无特征攻击让传统防御手段无从下手
传统的安全防御理念,都是以控制为核心,通过各种网络安全系统对信息资源进行保护,但从网络攻击行为的发展趋势来看,“潜伏性”和“持续性”是现网络攻击最显著的特征,这让攻击行为的阻断越来越困难。0day攻击、无文件型攻击和长期潜伏类等不含有具体文件特征的攻击手段让传统防御手段无从下手。
● 警报疲劳导致应急响应周期长
现今随着安全警报数量不断增加,安全团队越来越难以对重要警报做出快速响应。有报告显示近三分之二的企业受访者表示,只有不到10%的警报为有效警报,需要进一步关注。比如一个终端数量达到10w+的大型政企,每天可能会接收到数千条警报信息。运维人员面对大量的非关键/错误警报,极易陷入“警报疲劳”。并且,大量的非关键/错误警报导致真实警报被忽略,运维人员将时间浪费在追踪误报上,从而错过了真正的威胁,企业对威胁事件响应时间无法缩短。
● 单一数据分析造成攻击威胁溯源困难
传统单一终端、单一时间段、单一系统的数据分析,无法关联检测对照,导致无法完整分析攻击事件过程。终端保护不仅是防御攻击,还需要对攻击威胁进行溯源分析,而溯源分析的价值不在于追捕攻击者,更大的价值在于发现未知的新型攻击行为、针对性采取合适的对策、确定下一步该做什么,优化从预防到响应的整个过程。而这对于大型政企来说尤为重要,也是关注的焦点之一。
也正是在这样的背景下,终端检测与响应(EDR)开始密集进入大型政企的视线。
2013年Gartner提出了ETDR概念,2015年命名为EDR,将端点检测和响应解决方案定义为“记录和存储端点系统级行为的解决方案,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。
EDR主要能力:检测安全事件、调查安全事件、在端点上遏制安全事件、将端点修复到感染前状态。
目前,对EDR项目保持较高关注度的大型政企基本具备以下几大特征——
大型政企涉及终端种类、数量众多,环境复杂, 影响面大,对客户端兼容性、稳定性提出了更高的要求。
大型政企终端的全量数据采集不仅采集内容要求全面,采集的数据量大,对数据的传输、存储、分析要求较高。
大型政企本身具有强大的安全攻防能力和团队,EDR作为政企攻防体系良好的补充,而不仅仅是标准的情报利用。
大型政企所遭遇的安全攻击不是传统威胁情报、病毒情况可发现的,要求EDR具有较强的基础能力。
这些大型政企,都亟需构建更强大的EDR系统,保障终端安全。
一个可落地、有效果、能持续为客户带来价值的EDR产品应该具备以下能力——
● 记录(对终端上静态信息、动态行为等内容进行完整记录):采集数据的多样性、采集内容的精准性检测对抗能力;
● 告警(根据记录信息匹配风险规则,快速告警):外部情报对接、海量数据处理;
● 发现(基于告警信息和记录内容发现明确威胁事件):自定义专家规则、主流专家规则兼容;
● 调查(调查威胁事件发生原由、安全漏洞及影响面):实时调查能力、顺序调查能力;
● 处置(针对威胁事件影响面终端快速响应处置,针对安全漏洞快速加固):威胁事件响应能力、安全漏洞加固能力。
联软科技通过UniEDR终端检测与响应系统为大型政企提供威胁检测和响应处置于一体的终端防御平台,通过记录、告警、发现、调查,处置,最终形成闭环。高度匹配大型政企项目需求,为用户构筑强大的风险展示能力、风险检测能力、威胁响应能力,以及信息处理能力。
联软UniEDR是联软科技基于Gartner提出EDR概念结合CARTA“持续自适应风险与信任”安全模型开发的,用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管控平台。
产品可通过现有联软EPP管控平台进行扩展,在统一管理平台统一客户的基础上,实现安全能力互补,通过UniEDR系统发现威胁、处置威胁、分析威胁,联软EPP平台通过威胁追溯分析结果持续化改进终端安全管理配置,使企业内部终端安全实现持续上升完善的趋势。
联软UniEDR通过终端系统级数据进行全面采集,基于ATT&CK框架对终端上的危险行为和入侵行为进行检测,基于机器学习对终端上的异常行为进行检测,内置专家规则和诱饵对恶意行为进行快速判定,同时针对上述威胁进行及时告警,并通过威胁调查工具进行全面取证,通过控制、隔离、删除等措施进行处置,并对受损终端进行恢复。
EDR产品在不同规模客户中的需求差异性巨大。联软UniEDR终端检测与响应系统完美契合大型政企客户需求,针对大型政企客户终端数量多、数据量大、当前国际环境下未知威胁等定向性攻击风险增多、客户配备了安全攻防团队这几大突出特点,联软UniEDR均有技可施!
● 针对终端数量多——
联软具有18年的终端管控经验,服务国内顶尖金融客户超过十四年以上,单服务器支持管控终端数量超10W+。
● 针对数据量大——
数据采集能力至关重要。需要保证“完整记录”,避免遗漏/错误数据导致的误判、漏判。如果该能力不够强,前期记录遗漏了关键信息,将导致后续效果大打折扣甚至收效甚微。
对此,联软专为EDR类业务设计的数据处理引擎,单服务数据处理能远高于mysql,且可以横向扩展;数据可以分级存储,摘要数据上传,详细数据保存在终端。并且在硬件,内核,应用3大层级都有采集器,通过对内核和应用层的RPC协议进行深度解析和破解,全面性采集各类安全数据。
全量数据采集:远超同行的数据采集能力,支持超18+大类、336+小类及关联行为采集内容;
按需采集技术:灵活高效的采集规则,支持超40种采集条件组合,100%兼容Sysmon规则。
经国内多家头部客户测评,联软数据采集能力(遥测数据)表现最为优异,远超同行。高质量数据采集,降低漏报误报率,为客户构筑更强大的安全情报威胁方面的响应和检测能力。
● 针对客户配备了安全攻防团队——
多类型专家规则自由组合,深度发现威胁事件。支持YARA/McAfee/Braise语法方式,可实现静态/动态/语言等不同维度的自定义方式,不仅满足复杂专家规则定义和开源规则使用,同时可复用大型政企已积累专家规划库。
内置脚本语言,客户安全专家规则可编程;开放性接口,可与第三方安全工具/平台对接;如:迅猛龙、kafka。
● 更高的ROI:良好的性能占用
CPU<=2%,内存<=150M
针对每一个类型的数据,分别采用不同的最高效的技术,尽可能在内核级别完成计算,减少内核到应用层的切换。
整体性架构平台,同一Agent集成准入控制、桌管、防泄密功能,根据企业需求与业务发展快速无缝扩展;1500万+Agent部署数量,良好的兼容性,系统资源占用更少,大幅节省终端硬件投入,提升员工使用体验;与联软NDR、CWPP无缝联动,所有产品基于统一威胁检测模型实现高效检测和更加全面的威胁处置。
● 更安全:多终端节点架构,保障客户环境稳定
节点服务器具备数据缓存能力:可支持定时上报,有效减轻网络并发压力,以及局域网专网出口的压力;
按需采集技术:根据实际威胁场景的检测点进行采集内容条件组合,实现高效的数据收集,同时支持数据上报速率自定义,降低对带宽影响;
内置轻量级数据库引擎:实现高保真度的分布式存储,可支持多级存储模式,终端上传核心关键安全数据,本地保留更丰富的基础数据,既保证终端数据的完整,也减少了服务端的存储和网络带宽压力。
● 更快速:基于ATT&CK攻击矩阵,快速识别告警安全风险
以MITER ATT&CK™为基础,系统化对威胁检测策略规划,相比传统依赖已知案例专家规则,能够更全面的对威胁进行防御,发现未知潜在威胁;独创的高速数据存储、处理引擎和图计算模型,大幅提升计算速度,有效提升威胁调查的速度,更早发现威胁。
● 更放心:终端数据实时查询,分钟级调查取证
基于威胁线索,对可疑终端进行实时调查。内置60+项单点运维功能,通过Agent接口调用终端实时状态和历史追溯,在不影响用户办公情况下实现远程调查取证工作。并且可以保障紧急时期的快速响应调查。
● 更全面:基于EPP的威胁响应,处置结合修复
● 更领先:18年终端技术积累和大型项目服务经验
联软科技在终端安全领域积累了雄厚的技术实力和丰富的大型项目服务经验。EDR产品必须经过大型客户联合打磨和实践,才能更符合大型政企的需求。联软EDR交付团具有丰富的大型EDR项目建设经验,充分了解把控和规避项目风险。
联软是国内为数不多具有超百亿级数据处理能力的安全厂商。同时,十万点以上终端案例数量,在业界少有。典型代表客户包括中兴通讯、顺丰速运、微众银行等。
近20年来,联软持续为15000000+个终端提供保护,具备超千万终端兼容性适配和调优经验,携手华为等生态合作伙伴及700多家代理商,为超过3000家高端行业客户构建网络安全防线。
近日,联软科技从众多激烈的竞标对手中脱颖而出,凭借终端检测与响应(EDR)大型项目建设经验、强大的技术支持力量,以及高品质的交付保障能力,中标金融科技某头部企业的终端检测与响应(EDR)项目,该项目包括了几十个成员单位共30万点的终端管控,联软的强劲实力再获客户认可!
未来,联软科技将继续深耕前沿科技,扎实推进创新发展,为推动政企网络安全体系建设、加快推进数字化转型升级提供有力支撑。