新品发布丨安天智甲EDR助力用户构建一体化终端安全防御闭环

时间:2022年12月09日    来源:安天


终端一直是网络安全对抗中的主战场之一,面临着勒索软件肆虐,高级持续性攻击等多重威胁。而当前终端的防御仍存在诸多问题,很多品类的终端安全产品是按自身业务需要获取资产信息的,缺乏全面、清晰、可视的资产清点能力,以及无法全面了解终端环境的违规配置、脆弱性和暴露面,导致资产风险无法及时发现。面对复杂多样的定向“勒索+窃密”攻击、APT攻击、0/1day漏洞利用等攻击手段,以及突发性安全事件,无法快速进行事件调查,缺乏及时有效的处置能力,存在应急响应能力薄弱等问题,造成终端安全挑战更加严峻。

01

产品简介

安天持续探索上述问题的解决之道,结合多年终端安全的实战经验及防护需求,在2022安天新品发布会上推出智甲终端检测与响应系统(简称“智甲EDR”)。该产品是一款提供端点对象数据采集、资产识别塑造、威胁检测、执行体管控、预警响应等服务的安全防护产品,以终端全要素对象数据为核心,结合风险检测、威胁深度分析、攻击溯源、分布式防火墙、执行体向量分析、事件调查等技术,全面提升资产管控、威胁检测与响应处置等方面的效果,从识别、塑造、防护、检测、响应五个维度打造更强有力的终端安全运行闭环。

针对以上情况,智甲EDR通过对资产的全生命周期进行风险检测与加固,对威胁进行深度检测与攻击画像绘制和执行鉴定与细粒度行为约束,结合可编报事件调查与响应等多种能力,缩小主机受攻击面,构建安全可执行空间并对各类安全事件快速响应。安天期望通过智甲EDR产品有效提升终端检测与响应能力,从识别、塑造、防护、检测、响应五个维度打造更强有力的终端安全运行闭环。

02

产品优势

1.端点全要素的对象数据采集、规则化资产环境和系统行为分析

智甲EDR建立端点全要素对象清单,针对不同对象和场景,配置采集周期和数据要素等,可基于用户需求、数据价值度等,建立多种贴合用户环境的数据采集。通过全要素采集能力,满足规则化场景分析引擎和异常事件发现所需数据集,实现及时获取主机各类对象数据属性和操作行为闭环。

2.事件快速响应和策略配置,满足发现及处置安全事件活动的及时性要求

可针对各类事件提供快速响应能力,包括策略快速形成、指令快速下发、动作快速执行、结果快速回执,保证对安全事件处置的及时性,同时系统可针对不同场景运行情况,快速切换系统防护方案和等级,保证安全事件发生时,可及时行为采集、分析定位、策略生成和处置加固。

3.向量级执行体鉴定与细粒度行为约束能力,构建安全运行空间

基于威胁框架、安全服务与分析经验等建立执行体运营指标体系,将执行体对象采集、文件鉴定、信誉标定和执行约束形成闭环运营,并配置对象采集范围和频率,联动情报系统形成鉴定结论,支持用户调试三种不同规则等级的信誉标定,并结合执行体活跃轨迹分析,形成细颗粒的执行体约束能力,提高了快速发现威胁和异常事件的能力,能够满足各威胁场景下的执行体治理需求。

03

应用场景

1.资产的识别与塑造场景

主机的暴露面与脆弱性管理是安全工作中的一项重要工作,而对于资产暴露面与脆弱性的管理不仅仅是要依据相关制度,更是要将管控与实际业务环境相兼容,这就需要安全防护系统具有对于主机安全相关对象的全要素数据采集和识别能力,并且这个能力要可细粒度配置,智甲EDR针对不同业务场景和需求可构建专属的采集方案及具有资产风险评估的能力,针对主机资产可能存在的安全风险提供相关的加固建议和加固能力。

2.威胁、风险与资产状态检测场景

面对主机资产的安全状态、运行状态、环境特征和安全管理员的检测需求,智甲EDR集成多类针对资产环境的检测模块,包括威胁检测模块、资产风险模块、环境检测模块、网络流量检测模块等,可以实现各类检测需求,同时这些检测要具有可配置、可管理、低负载、可持续升级等能力。

3.威胁遏制场景

主机安全防护中针对攻击入侵、系统破坏、违规操作的防护核心目标是在危险动作执行前实现感知和拦截,智甲EDR具有深度内核级的防护能力,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,及文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。威胁遏制能力的有效性是安全防护的重要核心指标之一。

4.安全事件响应场景

从WannaCry到Log4j等各类安全事件可以看出,目前的威胁对抗中留给企业的防护响应时间越来越短,很多突发性安全事件如果不能第一时间响应,就会被攻击者利用,因此对于响应场景,需要系统具有快速完成终端资产细粒度调查的能力,包括对于文件、服务、注册表、配置、系统漏洞、账号等一系列重要资产的调查,同时针对不同资产构建处置能力,可以让企业快速完成资产问题的排查与处置工作。

智甲EDR通过精细元数据捕获与分析、执行体运行基线构建、资产状态与风险全周期监控、安全事件可编排调查等优势能力为用户构建一体化终端安全防御体系。