安全狗發(fā)布EDR技術云主機安全解決方案

時間：2023-01-13 15:16:01 | 來源：電子商務

時間：2023-01-13 15:16:01 來源：電子商務

云主機具有很多優(yōu)良的特性,比如簡單高效、安全可靠、處理能力可彈性伸縮等等,還有自助管理、自動故障恢復、數(shù)據(jù)安全保障等功能,對于企業(yè)用戶而言,可以很大程度上簡化開發(fā)部署和降低運維成本,按需構建和擴展網(wǎng)站框架,更好地適應快速多變的互聯(lián)網(wǎng)。

然而,全新的技術也帶來了全新的安全隱患。

云服務的興起使安全邊界進一步模糊

隨著云服務的日漸興起,越來越多的業(yè)務上云,虛擬機成了安全的重災區(qū)。

東西向的流量攻擊日漸洶涌

云平臺內(nèi)部不可視,用戶無法管控虛機上的流量和應用,虛機之間缺乏威脅隔離機制,網(wǎng)絡威脅一旦進入云平臺內(nèi)部,容易肆意蔓延。

0Day漏洞帶來的嚴重威脅

近幾年來,大量0day漏洞泄露,大多數(shù)系統(tǒng)都可能受到影響。

除了技術以外,不少企業(yè)對于主機安全防護的意識仍然比較淡薄,在主機安全在管理與維護上存在不少問題。

主機組件資產(chǎn)數(shù)量龐大難以維護

很多互聯(lián)網(wǎng)企業(yè)由于業(yè)務發(fā)展迅速,變更頻繁,企業(yè)內(nèi)部極少有人能及時了解本身的核心資產(chǎn)。

采用傳統(tǒng)安全解決方案問題重重

傳統(tǒng)安全解決方案無法自適應云計算時代的新架構,無法接入虛擬化環(huán)境,需要重新進行開發(fā)。并且傳統(tǒng)方案通常是單點防御,多個防御點難以聯(lián)動,防護效果不佳。

在這種新的安全形勢下,采取主動防御的方式保護端點安全越來越有必要。我們需要一種新的防護方案,這種方案應該兼?zhèn)鋵崟r監(jiān)控、檢測、高級威脅分析及響應等多種功能。因此,業(yè)界提出了一種新型的安全解決方案——EDR,即端點檢測與響應。

EDR全稱Endpoint Dextection and Response,即端點檢測與響應,是發(fā)端于美國的下一代終端安全防護技術,該技術屬于終端安全技術的重要分支之一,主要用來應對日益猖獗的APT攻擊。

在傳統(tǒng)安全產(chǎn)品的防護作用日益有限的現(xiàn)狀下,EDR基于進程監(jiān)控、多終端比對、溯源及訪問分析等操作訪問行為數(shù)據(jù)分析的防護理念,可以對APT等惡意攻擊進行有效的提前分析、阻斷,并進行溯源取證等反制措施,其重要性大大凸顯。

在前不久舉行的新產(chǎn)品發(fā)布會上,我們發(fā)布的安全狗·云眼正是針對云主機安全問題而研發(fā)的新一代(云)主機入侵監(jiān)測及安全防護平臺。云眼采用了先進的端點檢測及響應(EDR)技術模型及自適應安全架構相結合的理念思路,是新一代(云)主機入侵監(jiān)測及安全管理系統(tǒng),可以為用戶解決公有云、私有云和混合云環(huán)境中遇到的安全及管理問題。

云眼EDR技術的優(yōu)勢

未知威脅防護

采用了EDR的安全產(chǎn)品能夠“點亮”主機環(huán)境,讓未知威脅看得見,防得住:記錄多個端點和網(wǎng)絡事件,并將這些信息本地存儲在主機、服務器或集中式數(shù)據(jù)庫。政府和企業(yè)可通過機器學習、行為分析和攻擊指標數(shù)據(jù)庫來整合關聯(lián)分析,在攻擊產(chǎn)生危害前提前發(fā)現(xiàn)和預警,并對攻擊做出響應。

虛擬機安全

彌補了虛擬化環(huán)境安全產(chǎn)品的空白:基于應用程序?qū)Σ僮飨到y(tǒng)調(diào)用行為進行分析,不依賴于傳統(tǒng)靜態(tài)特征防護機制,能實現(xiàn)未知威脅的秒級檢測與響應。云眼超輕量化安全探針,使系統(tǒng)資源消耗量與同類產(chǎn)品相比可降低90%;而從安裝到運行,輕盈穩(wěn)定高效。云眼還可混合云跨平臺統(tǒng)一部署管理,兼容Windows/Linux主機系統(tǒng)所有版本,針對虛擬化環(huán)境優(yōu)化任務和資源調(diào)度,管理運維更簡單省心,大幅降低“安全TCO”。

Web網(wǎng)站實時監(jiān)測與防護

為Web網(wǎng)站持續(xù)監(jiān)控和實時干預提供了必要手段:把檢測和響應探針推到Web網(wǎng)站服務器,部署系統(tǒng)級的防護。通過“人眼識別”的技術對網(wǎng)站進行實時拍照比對,一旦發(fā)現(xiàn)問題便即時“熔斷”,保證惡意行為不擴散。同時,通過5分鐘訪問流量緩存采集數(shù)據(jù),獲取黑客的攻擊路徑,第一時間找到漏洞以便網(wǎng)站快速恢復重新上線。

威脅獵捕

威脅獵捕是威脅情報和大數(shù)據(jù)分析相結合的產(chǎn)物,是綜合EDR解決方案的關鍵組成部分。云眼不依賴已知的威脅簽名,而是通過搜索大量數(shù)據(jù)以發(fā)現(xiàn)威脅行為者或新型攻擊的跡象。結合我們的威脅情報和大數(shù)據(jù)技術能力,可以對文件及進程的hash值、C&C域名、黑IP等類型的威脅進行獵捕。

為了更貼合云環(huán)境下的安全需求,我們同時采用了CWPP(Cloud Workload Protection Platforms,云工作負載安全平臺方案)設計,采用輕量級Agent,與全部功能的重量級Agent相比,輕量級Agent實現(xiàn)了功能的最小集合,大大減輕Agent對于主機性能的影響。并且輕量級agent簡單,能夠動態(tài)地升級和更新,實現(xiàn)的代碼少,容易傳輸。

安全狗的端點檢測及響應流程分為下面四個主要步驟

1、主機數(shù)據(jù)采集

通過主機端點上安裝的輕代理對主機上的安全數(shù)據(jù)匯總到數(shù)據(jù)采集模塊上進行統(tǒng)一的歸類、加密,并傳輸給大數(shù)據(jù)分析模塊。

2、威脅情報獲取

基于安全狗公司云端的海量數(shù)據(jù)處理獲取到未知威脅,并將威脅情報信息導入云眼系統(tǒng)大數(shù)據(jù)分析模塊。

3、大數(shù)據(jù)分析

對主機端點采集到的安全數(shù)據(jù)結合獲取到的威脅情報信息,進行威脅情報大數(shù)據(jù)分析,準確識別出威脅事件。

4、告警及響應

對識別出的威脅事件進行告警通知及響應處置。安全狗可通過威脅情報的指引,借由最新的安全線索快速鎖定威脅主機,通過實時數(shù)據(jù)和歷史主機信息對于受害主機進行全面評估,揭示主機的安全缺陷,通過自動化響應機制進行處置。在威脅情報的指引下,可將一個復雜的高級威脅安全響應,分解成為一系列行動過程,從而解決了高級威脅難以處置的問題。

隨著網(wǎng)絡襲擊事件數(shù)量的不斷攀升,傳統(tǒng)安全防御手段已難以招架規(guī)模龐大、攻勢越猛的新式攻擊。利用包括EDR在內(nèi)的新型的安全技術和思路,可以讓我們在應對新型的網(wǎng)絡安全威脅時更加游刃有余。安全狗作為云安全領域的佼佼者,一直致力于推出更好、更專業(yè)的安全產(chǎn)品和服務,安全狗·云眼在未來會持續(xù)進化,在云主機安全的方向上做得更好,提供更好更強大的功能和服務!