新時代下企業級終端安全面臨嚴峻挑戰
相較于個人終端而言,企業終端、數據等資產價值更高,由終端、服務器等不同軟硬件所組成辦公局域網,帶來更為復雜的病毒來源、感染、傳播途徑,正因此企業用戶面臨更為嚴峻的終端安全挑戰,對防護、管理、應用等多方面提出更高要求。
●人工運維加劇威脅防御成本
傳統終端安全產品以策略、特征為基礎,輔以組織規定以及人員操作制度驅動威脅防御,高級威脅一旦產生,將會不可控的傳播,勢必帶來人工成本的幾何增長,且對企業運維人員專業性要求極高,有效應對威脅難度大。
● 基于特征匹配殺毒無法有效抵御新型病毒
基于病毒特征庫方式進行殺毒,在高級威脅持續產生的大環境下,呈現被動、后知后覺等檢測特點,無法及時有效防御新型病毒,如WannaCry勒索病毒。另外,本地特征庫數量受限,現有特征庫文件規模無法滿足已知病毒的查殺需求。
● 病毒特征庫數量增長加重主機運算資源
本地病毒特征庫數量日益增多,加重終端存儲、運算資源成本,防御威脅過程已嚴重影響用戶日常辦公,無法適應如云化等新的特定場景。
● 殺毒處置方式落后無法適應病毒新的傳播方式與環境
采取基于文件隔離的處置方式相對落后,如文件隔離失敗情況產生,單點威脅將快速輻射到面,因此傳統防毒產品已經無法適應新的病毒傳播方式及環境。
終端安全檢測平臺
圍繞終端資產安全生命周期,通過預防、防御、檢測、響應賦予終端更為細致的隔離策略,更為精準的查殺能力、更為持續的檢測能力、更為快速的處置能力。在應對高級威脅的同時,通過云網端聯動協同、威脅情報共享、多層級響應機制,幫助用戶快速處置終端安全問題,構建輕量級、智能化、響應快的下一代終端安全檢測平臺。
終端安全檢測平臺架構
應用場景
● 防病毒
風險場景:組織內部終端呈現覆蓋面廣、點數眾多、網絡化辦公等特點,新型未知病毒、勒索病毒出現,嚴重影響用戶日常辦公,無法保障內部核心數據安全。
應用效果:基于 AI 技術的查殺引擎,利用深度學習的技術,通過對海量樣本數據的學習,提煉出來的高維特征,具備有很強的泛化能力,從而可以應對更多的未知威脅。而這些高維特征數量極少,并且不會隨著病毒數同步增長,因此,AI 技術具有更好檢出效果、更低資源消耗的優點。
當然,僅靠一個 AI 殺毒引擎是不夠的,深信服的 EDR 產品構建了一個多維度、輕量級的漏斗型檢測框架,包含文件信譽檢測引擎、基因特征檢測引擎、AI 技術的 SAVE 引擎、行為引擎、云查引擎等。通過層層過濾,檢測更準確、更高效,資源占用消耗更低。
● 設備聯動場景
風險場景:絕大部分組織內部均已部署如防火墻、入侵防御等邊界網關設備,但相關設備往往是各司其職,無法形成有效的整體安全防御體系。
應用效果:終端安全檢測響應平臺能與 NGAF、AC、SIP、安全云腦等進行產品進行協同聯動響應,形成涵蓋云、邊界、端點上中下立體防御架構,內外部威脅情報可實時共享。終端安全檢測響應平臺可與安全云腦協同響應,關聯在線數十萬臺安全設備的云反饋威脅情報數據,以及第三方合作伙伴交換的威脅情報數據,智能分析精準判斷,超越傳統的黑白名單和靜態特征庫,為已知、未知威脅檢測提供有力支持。可與防火墻 NGAF、SIP 產品進行關聯檢測、取證、響應、溯源等防護措施,與 AC 產品進行合規認證審查、安全事件響應等防護措施,形成應對威脅的云管端立體化縱深防護閉環體系。
● 服務器主機防護場景
風險場景:基于傳統服務器,云化虛擬機等數據中心場景,域內不同權限業務域訪問關系混亂,流量不可視,無法應對業務承載位置動態變化導致的邊界消失,威脅橫向漂移等諸多問題
應用效果:創新微隔離技術架構于主機防火墻之上,致力解決病毒東西向、橫向移動和內網擴散和處置問題,提出了一種基于安全域應用角色之間的流量訪問控制的系統解決方案,提供全面基于主機應用角色之間的訪問控制,做到可視化的安全訪問策略配置,簡單高效地對應用服務之間訪問進行隔離技術實現。集中統一管理服務器的訪問控制策略。并且基于安裝輕量級主機 Agent 軟件的訪問控制,不受虛擬化平臺的影響,不受物理機器和虛擬機器的影響。
平臺優勢特性
● 下一代人工智能殺毒引擎
相比傳統殺毒引擎,SAVE引擎采用了人工智能無特征技術,對不在病毒庫里的未知病毒或變種,也能有效地鑒定。
● 創新微隔離
創新微隔離技術,有效應對高級威脅快速傳播,將病毒遏制在指定范圍之內,使信息系統環境可控性大大提高。
● 流量可視化
部署于每臺物理PC/VM上的端點agent,能夠對不同端點、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應,使網內互訪行為,全面直觀掌握。
● 廣泛的兼容特性
