終端檢測響應(yīng)平臺(EDR)是深信服公司提供的一套終端安全解決方案,方案由輕量級 的端點安全軟件(Agent)和管理平臺(MGR)共同組成。 EDR 的管理平臺支持統(tǒng)一的終端資產(chǎn)管理、終端病毒查殺、終端合規(guī)檢查,支持微隔離 的訪問控制策略統(tǒng)一管理,支持對安全事件的一鍵隔離處置,以及熱點事件 IOC 的全網(wǎng)威脅 定位。 端點軟件支持防病毒功能、入侵防御功能、防火墻隔離功能、數(shù)據(jù)信息采集上報、一鍵 處置等。深信服的 EDR 產(chǎn)品也支持與 AC、SIP、AF、SOC、X-central 產(chǎn)品的聯(lián)動協(xié)同響應(yīng), 形成新一代的安全防護(hù)體系。
終端資產(chǎn)的全面清點:
全網(wǎng)終端資產(chǎn)的全面清點,包含業(yè)務(wù)服務(wù)器和用戶 PC 的終端資 產(chǎn)清點。清點每臺終端硬件信息、軟件信息和資產(chǎn)管理信息等。幫助 IT 管理員實現(xiàn)對主機(jī) 資產(chǎn)的“兩清一減”:即看清全網(wǎng)主機(jī)資產(chǎn)全貌,理清全網(wǎng)主機(jī)風(fēng)險暴露面,從而削減全網(wǎng) 主機(jī)攻擊面。
終端安全的合規(guī)審查:
每一個組織都有自己的終端安全合規(guī)要求,特別是等級保護(hù)的 合規(guī)要求,對主機(jī)的安全要求。終端安全合規(guī)審查依據(jù)等級保護(hù)的主機(jī)安全要求進(jìn)行設(shè)計, 對身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等策略進(jìn)行合規(guī)性審查,滿足 企業(yè)建設(shè)等級保護(hù)系統(tǒng)的主機(jī)安全要求。
勒索病毒的實時防御:
勒索病毒通過加密文件的方式,要求中招者支持一定數(shù)額的贖 金。這種攻擊方式越來越流行,每天都有客戶反饋中招。深信服 EDR 能夠非常精準(zhǔn)的識別不 同的勒索軟件家族,并通過專業(yè)分析識別出種種勒索病毒感染行為和加密特征,對最新的勒 索軟件進(jìn)行有效的查殺,防止用戶感染最新的勒索軟件。
系統(tǒng)漏洞檢測與修復(fù):
系統(tǒng)存在不同風(fēng)險等級的漏洞,如果沒有及時識別和修復(fù),攻 擊者很可能利用系統(tǒng)漏洞進(jìn)入客戶內(nèi)網(wǎng),對業(yè)務(wù)造成的影響和損失經(jīng)常無法估計。EDR 能夠 幫助管理員識別內(nèi)網(wǎng)終端系統(tǒng)漏洞風(fēng)險,并進(jìn)行修復(fù),加強(qiáng)系統(tǒng)安全性。
入侵攻擊的主動檢測:
終端主機(jī)被入侵攻擊,導(dǎo)致感染勒索病毒或者挖礦病毒,其中 10 大部分攻擊是通過暴力破解的弱口令攻擊產(chǎn)生的。深信服的 EDR 主動檢測暴力破解行為,并 對發(fā)現(xiàn)攻擊行為的 IP 進(jìn)行封堵響應(yīng)。針對 Web 安全攻擊行為,則主動檢測 Web 后門的文件。
熱點事件快速響應(yīng):
深信服安全云腦通過全球的大數(shù)據(jù)安全分析,提供熱點事件的 IOC 情報,推送情報數(shù)據(jù)給 EDR 產(chǎn)品。EDR 產(chǎn)品能根據(jù) IOC 情報數(shù)據(jù)快速的全網(wǎng)威脅定位分析, 及時發(fā)現(xiàn)和響應(yīng)最新的熱點事件,并且根據(jù)歷史行為數(shù)據(jù)進(jìn)行溯源分析,避免組織受到安全 事件的通報。