安天持续探索上述问题的解决之道,结合多年终端安全的实战经验及防护需求,在2022安天新品发布会上推出智甲终端检测与响应系统(简称“智甲EDR”)。该产品是一款提供端点对象数据采集、资产识别塑造、威胁检测、执行体管控、预警响应等服务的安全防护产品,以终端全要素对象数据为核心,结合风险检测、威胁深度分析、攻击溯源、分布式防火墙、执行体向量分析、事件调查等技术,全面提升资产管控、威胁检测与响应处置等方面的效果,从识别、塑造、防护、检测、响应五个维度打造更强有力的终端安全运行闭环。
智甲EDR建立端点全要素对象清单,针对不同对象和场景,配置采集周期和数据要素等,可基于用户需求、数据价值度等,建立多种贴合用户环境的数据采集。通过全要素采集能力,满足规则化场景分析引擎和异常事件发现所需数据集,实现及时获取主机各类对象数据属性和操作行为闭环。
可针对各类事件提供快速响应能力,包括策略快速形成、指令快速下发、动作快速执行、结果快速回执,保证对安全事件处置的及时性,同时系统可针对不同场景运行情况,快速切换系统防护方案和等级,保证安全事件发生时,可及时行为采集、分析定位、策略生成和处置加固。
基于威胁框架、安全服务与分析经验等建立执行体运营指标体系,将执行体对象采集、文件鉴定、信誉标定和执行约束形成闭环运营,并配置对象采集范围和频率,联动情报系统形成鉴定结论,支持用户调试三种不同规则等级的信誉标定,并结合执行体活跃轨迹分析,形成细颗粒的执行体约束能力,提高了快速发现威胁和异常事件的能力,能够满足各威胁场景下的执行体治理需求。
主机的暴露面与脆弱性管理是安全工作中的一项重要工作,而对于资产暴露面与脆弱性的管理不仅仅是要依据相关制度,更是要将管控与实际业务环境相兼容,这就需要安全防护系统具有对于主机安全相关对象的全要素数据采集和识别能力,并且这个能力要可细粒度配置,智甲EDR针对不同业务场景和需求可构建专属的采集方案及具有资产风险评估的能力,针对主机资产可能存在的安全风险提供相关的加固建议和加固能力。
面对主机资产的安全状态、运行状态、环境特征和安全管理员的检测需求,智甲EDR集成多类针对资产环境的检测模块,包括威胁检测模块、资产风险模块、环境检测模块、网络流量检测模块等,可以实现各类检测需求,同时这些检测要具有可配置、可管理、低负载、可持续升级等能力。
主机安全防护中针对攻击入侵、系统破坏、违规操作的防护核心目标是在危险动作执行前实现感知和拦截,智甲EDR具有深度内核级的防护能力,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,及文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。威胁遏制能力的有效性是安全防护的重要核心指标之一。
从WannaCry到Log4j等各类安全事件可以看出,目前的威胁对抗中留给企业的防护响应时间越来越短,很多突发性安全事件如果不能第一时间响应,就会被攻击者利用,因此对于响应场景,需要系统具有快速完成终端资产细粒度调查的能力,包括对于文件、服务、注册表、配置、系统漏洞、账号等一系列重要资产的调查,同时针对不同资产构建处置能力,可以让企业快速完成资产问题的排查与处置工作。
智甲EDR通过精细元数据捕获与分析、执行体运行基线构建、资产状态与风险全周期监控、安全事件可编排调查等优势能力为用户构建一体化终端安全防御体系。
在2022安天新品发布会上揭晓的流量安全新品,请详见今日发布的第二条内容。
还没有评论,来说两句吧...