新型復雜威脅層出不窮,如APT類攻擊、人工參與的攻擊行為等。高級威脅可變幻各種攻擊手法入侵,繞過安全檢測,而“終端”是高級威脅進入單位內部網絡的重要途徑,因此傳統的終端安全軟件面臨極大挑戰:
1. 新威脅難檢測:高級威脅的攻擊方式更加復雜而隱蔽(如主流的無文件攻擊、0day利用攻擊),導致基于文件靜態檢測的傳統終端安全軟件無法應對。
2. 威脅響應滯后:傳統殺毒軟件、終端安全產品在高級威脅入侵后形成病毒文件才發現威脅,響應及處置滯后,導致威脅的影響面不斷擴大。
3. 根因難發現:威脅進入終端后,產生一系列的攻擊行為、惡意文件等,并不斷入侵更多的終端,而傳統的終端安全軟件無法全面識別威脅行為(如病毒操作、目的、影響面等),導致無法定位終端威脅的來源。
我們如何抵抗高級威脅?
如果將高級威脅比作一個“通緝犯”,該“通緝犯”擅于喬裝打扮其外部特征,繞過傳統終端安全產品的檢測,直達單位內部終端,甚至在單位內部終端中“惹是生非”致使威脅擴散。
威脅可偽裝,但在終端側的行為卻無法隱瞞。這就如同通緝犯,不管如何偽裝、隱藏特征,最終還是會在人或物品上產生惡意行為。
因此,只有具備全面行為檢測能力,才能對高級威脅快速定位,精準防護。通過持續監測、記錄終端系統層、應用層的行為數據,并結合用戶真實環境做強關聯分析,最終實現在攻擊過程早期階段就發現威脅。
同時,需具有強大的分析能力,才能做到更早發現、更快響應。終端行為特征龐大,傳統本地分析能力+云端的情報難以快速定位惡意行為,如果能通過云端強大的算力平臺,并實時采集IOC信息,再以終端威脅場景再現攻擊事件(如勒索、挖礦入侵路徑等),那么高級威脅檢測將會更加快速。
具備全面行為檢測能力前后變化
我們以一個常見的挖礦事件為例,看下終端具備全面行為檢測能力前后的變化:
未具備全面行為檢測能力的終端:當用戶發現終端卡頓、CPU占用率高,立即使用殺毒軟件進行全盤掃描查殺,在點擊“處置”相關威脅文件、進程后,電腦恢復正常。然而次日上班打開電腦,再次出現電腦卡頓現象,于是再次使用殺毒軟件、專殺工具查殺。最終,陷入病毒查殺循環,浪費人力精力。
具備了全面行為檢測能力的終端:在攻擊早期階段便可檢出高級威脅(即:挖礦還未在終端落地時就能提前發現),同時可以還原挖礦事件全過程并持續監控。
在這個過程中,用戶可以直觀地看到整個過程,包括挖礦病毒從哪里進來、進入系統后對終端采取了哪些操作、影響面有多大、是否還有其他終端含有類似挖礦行為等。因此可以準確定位挖礦根本原因并進行有效處置,還能預判其他終端是否含有潛伏挖礦行為,做到一次性處置同類型事件。
深信服EDR+SaaS XDR持續抵御高級威脅
深信服EDR全面采集終端行為,并通過威脅場景重現技術,同時結合云端XDR平臺強大的數據采集能力進行全網終端威脅狩獵、快速聯動響應:
全面的終端行為檢測能力,狙擊高級威脅
全面的端側行為數據采集能力:基于ATT&CK攻擊矩陣采集端側系統層、應用層行為數據,包括進程、文件、注冊表等13個類別數據,為攻擊全面分析提供豐富數據源,提升威脅研判的精準度,減少誤報。
創新的威脅場景重現技術:高級威脅經常利用正常軟件/系統操作相似性,而傳統終端安全軟件只能基于1-2個行為特征檢測,難以檢測出來。深信服EDR在自研SAVE人工智能檢測引擎基礎上,創新地合入場景重現IOA檢測技術(支持挖礦、勒索、webshell攻擊、無文件攻擊等十大場景),將各種行為和上下文信息進行聚合關聯后轉變為各種場景,從場景層面判別正常業務或惡意攻擊,從而獲得更高的威脅檢出率,成為國內首個以滿分通過AV-TEST測評的企業級終端安全產品。
與云端XDR平臺雙向賦能,實現快速響應
深信服EDR區別傳統終端安全軟件僅同步云端情報,還可聯動云端XDR平臺,通過強大算力對行為數據聚合分析,基于IOA+IOC全面精準研判攻擊,深度還原攻擊事件、定位根因,包括威脅從哪來、干了什么、影響多大、是否還有潛伏等,復雜的APT事件定位從幾天時間縮短為小時級,同時云端專家還可提供專業處置與加固建議,讓安全響應更快速。
深信服EDR基于全面的行為檢測+SaaS XDR聯動能力,實現端點一站式防護閉環,快速應對各類威脅。同時,深信服EDR憑借優秀的產品實力及安全效果,獲“主機入侵檢測類別”增強級認證,持續為用戶提供高級威脅檢測更全面,聯動響應更快的輕量級終端安全軟件。