EDR最早由Gartner在2013年提出,并连续多年被Gartner列为十大技术之一。最初提出EDR概念是为了弥补传统终端管理系统(EPP)的不足,而现在EDR与EPP相互补充融合,逐渐已成为各大安全厂商主流的终端防护部署方式。而随着互联网的发展,端点数量呈几何增长态势,安全形势愈加严峻,EDR也不断与其他相关技术融合发展,丰富其功能,近些年EDR市场也发展迅猛。
近日,启明星辰推出了天珣终端高级威胁检测与响应系统(以下简称:天珣EDR)。天珣EDR是启明星辰依据在终端安全管理和建设相关领域多年的实践经验,自主研发的终端安全产品。据启明星辰终端安全产品线总经理万淼介绍,该产品采用全新的极其轻量的agent、重server产品架构与设计思路,打破传统安全以合规约束的安全防护理念,转变为更加灵活的、精确的、智能的、全面的采集和关联分析终端信息,及时检测终端主机的安全状态和安全风险,以最小化影响的指令级控制方式抑制安全威胁,并通过完善的分析技术,对终端所面临的已知、未知安全威胁进行全面防护,为终端安全保驾护航。
终端威胁持续升级,EDR重用正当时
随着互联网的发展,网络安全威胁日趋复杂,愈演愈烈。根据CNCERT发布的《2020年上半年我国互联网网络安全监测数据分析报告》显示,2020年上半年,捕获计算机恶意程序样本数量约1,815万个,日均传播次数达483万余次,涉及计算机恶意程序家族约1.1万余个,我国境内受计算机恶意程序攻击的IP地址约4,208万个,约占我国IP总数的12.4%。面对如此严峻的安全形势,业界对端点防护的要求越来越高,EDR的出现正好能有效弥补传统端点防护手段在新形势面前的缺憾,对安全威胁进行持续检测并及时作出响应。
万淼表示,自EDR概念提出以来,其主要发展大多是在欧美市场,在我国并未得到迅速发展,主要原因是早期我国网络基础设施建设与欧美存在一定差异。而在2018年“永恒之蓝”勒索病毒的出现,使得传统EPP和杀毒软件失去作用,于是EDR在国内市场开始得到广泛重视。启明星辰在终端安全方面已有超过17年的积累,有着诸如终端准入、桌面管理、杀毒、数据防泄露、文档加密等多个成熟的终端产品。我们为什么没有在早期就推出自己的EDR产品,而是选择现在才发布天珣EDR呢?我们在意的是能够真正解决用户的实际问题,要打造一款能经得起用户实际需求考验的好产品。我们从产品计划的初期,就充分结合市场和用户的实际情况,对产品架构进行反复的论证和推敲,并结合许多行业用户进行充分试点,让产品一步步走向成熟。我们认为一款能解决用户实际问题的好产品是不存在早晚之分的。目前,天珣EDR已开始为政府、金融、能源等重要行业进行服务。
启明星辰EDR产品经理宋晓鹏也表示,安全威胁正在不断变革,新兴的攻击方式层出不穷,无文件攻击已占到去年所有攻击的51%,这些都导致了传统终端防护手段的能力逐步下降,加之无法“看清”攻击威胁的来源,更是导致不能对攻击威胁做出及时有效的响应。而传统的单点防护也存在一定局限,导致管理人员一直处于疲于“救火”的状态,无法从源头去根本解决安全问题。正是基于目前这些用户的常见实际问题,我们推出了启明星辰天珣EDR。与传统技术手段相比,我们将EDR做轻量化部署,其实就是把安全能力剥离出来,终端只进行信息采集和响应,其主要优势是能够通过终端的持续监测,从一系列常态化数据中发现异常态行为和未知威胁。同时基于大量的终端线索数据采集和上下文分析,实现威胁的源头追溯,弥补现有安全问题漏洞和防御能力的不足。
提升EDR产品能力,独创“数据随动机制”
近几年,EDR在国内网络安全行业发展迅速,由于网络端点数量的激增以及安全威胁的升级,用户对于EDR的需求愈加旺盛。其实,行业对于EDR并没有严格的标准定义,各厂商推出的EDR产品在功能上也都有所差异。在万淼看来,一款优秀合格的EDR产品需要拥有这些能力:要有灵活的数据随动机制,EDR是对传统EPP能力的补充,灵活的调动机制可减轻运行负担,从而更好的对威胁进行追踪和定位;EDR需要极简的架构,面对万物互联下海量的智能终端,终端本身资源是很有限的,这就需要一个极简轻量的客户端去进行防护,减少资源占用;对终端安全进行持续监控,及时发现异常行为和未知威胁,并快速处置;对威胁进行溯源,对安全威胁提供一些网络溯源、文件溯源以及进程溯源,以便后续提供更好的处置建议。
值得一提的是,本次启明星辰发布的天珣EDR拥有业内独创的“数据随动机制”自适应闭环设计理念,据宋晓鹏介绍,天珣EDR使用极致轻量级客户端(最小500k)作为终端信息采集和安全响应点,配合高性能管理平台对终端采集的原始数据进行清洗、聚合、威胁检测、行为分析,应用业内独创的“数据随动机制”自适应闭环设计理念,对终端威胁进行全面安全响应,依托全量信息采集能力,实现对威胁全视角、全过程溯源。由于不同的客户、不同的终端,面临的网络环境也是多种多样,“数据随动机制”就可以根据不同的终端环境调用相应的引擎进行威胁分析和溯源,利用前后端设计分离的优势,占用最少的资源,达到最好的响应和追踪效果。
天珣EDR的核心能力:
细颗粒度资产盘点——天珣EDR具有多维度的数据采集能力,支持对终端静态信息和动态信息进行采集盘点,包括硬件配置信息、软件应用信息、安全合规信息、系统运行信息并且具备精细化采集到开放端口、使用账号、中间件(名称、系列、版本)等具备潜在威胁隐患信息能力,掌握终端的基础安全状态和工作常态,便于更好地发现终端中的异常态势和威胁线索,让组织对基础安全现状看得见、看得全、理得清、查得到。
安全威胁态势可视化——天珣EDR采用全因素综合研判机制,发现未安装的重要补丁、应用配置缺陷、应用新型漏洞、异常账户、弱口令及威胁留存等安全因素,通过管理平台对终端安全状态以数值形式量化呈现,对威胁维度、范围、趋势、走向进行预判,帮助管理人员通过直观、可视化的界面,了解内网终端安全威胁态势。
主机东西向流量可视化——采用东西向流量画像技术,构建清晰可视的东西向流量详情,帮助管理人员理清子网、出入口和终端访问关系,同时对于连接安全性进行研判,根据研判结果和内网访问规划,通过微隔离技术细化网络访问控制。
安全闭环的数据随动机制——搭载业内首创的数据随动机制防御体系,天珣EDR采用1xN检测能力,即1个信息源(终端),N个检查引擎,层层匹配。通过信息采集驱动威胁检测、威胁检测驱动关联分析、关联分析驱动响应处置、响应处置驱动威胁溯源,从而打通安全不间断的终端防御闭环。
威胁溯源——通过网络连接溯源、文件流转路径溯源和进程关联关系溯源,天珣EDR可以对终端所有已经发生和正在发生的安全事件定位威胁源头、威胁发生过程及威胁影响范围,为善后、整改提供有效的数据支撑,从而帮助管理人员看到、看清、看全内网安全威胁。
目前,EDR在国内仍处于早期发展阶段,产品设计与用户需求仍需要不断磨合,万淼认为,未来国内EDR市场会有非常大的发展潜力,用户对终端防护需求迫切,对数据信息的采集、未知威胁的检测、响应及溯源需求都很明确,这些为EDR市场发展提供了充足动力。EDR本身是一个功能复杂的安全产品,这就需要在今后的发展中不断优化架构、完善功能,持续跟客户进行沟通和磨合,进一步完善和添加联动的引擎,完善数据采集的维度和响应的精确度,在实战中对产品进行不断的打磨和优化。
信息化发展和数字化转型给网络安全带来了更多威胁,EDR以其独特优势,将会成为解决终端安全痛点的主要手段。启明星辰作为网安行业的领军企业,深耕终端安全领域多年,依靠丰富经验和积累推出的拥有独创“数据随动机制”的天珣EDR,为终端安全防护带来“一剂良药”。期望今后,启明星辰继续加大自主研发投入,为我国网络安全事业贡献力量,带来更多有效解决网络安全问题和用户实际需求的好产品。
原文来源:中国信息安全
本文始发于微信公众号(关键基础设施安全应急响应中心):行业 | 守护终端安全,我们究竟需要怎样的EDR?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论