洞见威胁本质!下一代终端安全已来
作者:星期四, 九月 20, 20180

《终端安全》一书中,作者Mark S.Kadrich认为终端安全是影响信息系统安全的根源。在终端设备不断增加,黑客攻击愈演愈烈的趋势下,过去的网关防护已经远远不够,终端安全成为了安全建设不可忽视的最后一环节。

安全事件从未停止过。2017年数据泄露、网络攻击等呈爆发态势,无论在数量还是影响面上,均超过以往任何年度。2018年,安全事件愈发频发,单“Globelmposter”家族病毒,不断让医疗、法院等行业深受其害。

实际上,很多企业组织已经部署诸多网络安全产品,比如防火墙、访问控制设备、IPS、IDS等。那么,应用了这么多的安全产品,为什么发生安全事件的次数还是有增无减?

边界防御无法应对内网攻击

从近几年的黑客攻击形势看,内网终端的攻击逐渐增多。企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成办公局域网,带来更为复杂的病毒来源、感染、传播途径。过去企业组织常常认为堵住、拦住、防住网络上的攻击就可以确保网络安全,传统安全建设主要以组织边界和核心资产为保护对象,面对绕过边界防护的内网终端攻击,组织单位往往无能为力。

传统杀毒软件无法适应当下的攻击形势

要进行终端安全防护毋庸置疑。然而,不少企业装了传统杀毒软件,还是中招,原因何在?

一方面,基于特征匹配杀毒无法有效抵御新型病毒 。

实际上,传统的杀毒软件主要基于特征值扫描技术,其核心思想是反病毒公司从病毒体代码中,人工提取出病毒的特征值,然后由杀毒软件将被查对象与病毒特征值进行比对,如果被查对象中含有某个病毒的特征值就将其报为病毒,并进行查杀。这样的查毒流程,只能检测并查杀已知的病毒。即使现在流行的云查杀方式,也只是将特征库放到云端,只能提升检测效率,依然检测不了未知的病毒及变种。而当下网络环境日益复杂,2017年恶意软件变种的数量增长高达54%,以防御已知威胁为主的传统终端反病毒,在高级威胁持续产生的大环境下,呈现被动、后知后觉等检测特点,对于频发的未知风险的感知和捕获都力不从心。

另一方面,传统杀毒处置方式落后,无法适应病毒新的传播方式与环境。

随着攻击技术的不断发展,攻击方式更加多样化,病毒在内网能够通过邮件传播、漏洞传播、软件捆绑传播、僵尸网络传播、移动存储介质传播等方式进行横向或纵向扩散。而传统杀毒软件采取基于文件隔离的处置方式相对落后,比如出现文件隔离失败情况,单点威胁将快速辐射到面,难以适应新的病毒与传播方式。

下一代企业终端安全: EDR

那么,用户需要什么样的企业终端安全解决方案?

1. 洞见威胁本质,智能检测未知威胁

下一代终端安全应提升对未知威胁的检测能力。通过人工智能持续学习、自我进化能力实现无特征检测,洞见威胁本质,更有效的鉴定未知病毒。与此同时,结合传统终端安全软件本身的信誉库加上行为分析、基因特征等技术,构建完善的防御体系,全面预防、有效检测。

2.迅捷灵动处置,及时响应威胁

应用任何的网络安全产品,都是为了能够有效应对安全事件,及时止损。下一代终端安全应能够及时、高效地响应处置安全威胁。一方面,其本身应根据检测命中的威胁内容进行迅捷处置。区别于传统终端安全的文件隔离方式,下一代终端安全应提供基于文件、机器、群组等全面处置手段。隔离响应手段包括:终端主机隔离、业务组隔离、文件信任、文件隔离、文件删除、文件恢复等。

另一方面,安全建设不是孤立的,终端安全作为安全建设的关键一环,应能够与其他安全设备联动进行协同响应。通过智慧协同、自动处置,形成立体防护能力,帮助用户快速封堵威胁,缩短威胁在用户环境的发现和处置时间。

3.一体化管理,终端资产全面识别

组织单位只有掌握了自身资产状况,以及自身业务的安全状况,才能从容不迫的应对风险。下一代终端安全应通过一体化统一管理方式进行应用,实现全网终端资产全面盘点。使得每一台终端上的资产信息清晰同时能够对终端进行统一的管控,如合规审查等。

在深信服2018年创新技术论坛,深信服正式发布下一代终端安全产品EDR,这是全新轻量级、智能化、响应快的下一代终端安全平台,以终端资产为核心,通过预防、防御、检测、响应全面赋予终端威胁防御能力,使其达到洞见威胁本质,迅捷灵动处置效果,帮助用户快速检测、处置终端一系列安全问题。EDR产品作为深信服“网端云”安全架构的重要落地支撑之一,协同网络端下一代防火墙、安全感知平台等,以及云端安全云脑等共同为用户提供“面向未来,有效保护”的安全。

 

分享:

相关文章

写一条评论

 

 

0条评论