深信服EDR全面行為檢測，讓高級威脅盡在掌控

新型復(fù)雜威脅層出不窮，如APT類攻擊、人工參與的攻擊行為等。高級威脅可變幻各種攻擊手法入侵，繞過安全檢測，而“終端”是高級威脅進(jìn)入單位內(nèi)部網(wǎng)絡(luò)的重要途徑，因此傳統(tǒng)的終端安全軟件面臨極大挑戰(zhàn)：

1. 新威脅難檢測：高級威脅的攻擊方式更加復(fù)雜而隱蔽(如主流的無文件攻擊、0day利用攻擊)，導(dǎo)致基于文件靜態(tài)檢測的傳統(tǒng)終端安全軟件無法應(yīng)對。

2. 威脅響應(yīng)滯后：傳統(tǒng)殺毒軟件、終端安全產(chǎn)品在高級威脅入侵后形成病毒文件才發(fā)現(xiàn)威脅，響應(yīng)及處置滯后，導(dǎo)致威脅的影響面不斷擴(kuò)大。

3. 根因難發(fā)現(xiàn)：威脅進(jìn)入終端后，產(chǎn)生一系列的攻擊行為、惡意文件等，并不斷入侵更多的終端，而傳統(tǒng)的終端安全軟件無法全面識別威脅行為(如病毒操作、目的、影響面等)，導(dǎo)致無法定位終端威脅的來源。

一、我們?nèi)绾蔚挚垢呒壨{?

如果將高級威脅比作一個(gè)“通緝犯”，該“通緝犯”擅于喬裝打扮其外部特征，繞過傳統(tǒng)終端安全產(chǎn)品的檢測，直達(dá)單位內(nèi)部終端，甚至在單位內(nèi)部終端中“惹是生非”致使威脅擴(kuò)散。

威脅可偽裝，但在終端側(cè)的行為卻無法隱瞞。這就如同通緝犯，不管如何偽裝、隱藏特征，最終還是會在人或物品上產(chǎn)生惡意行為。

因此，只有具備全面行為檢測能力，才能對高級威脅快速定位，精準(zhǔn)防護(hù)。通過持續(xù)監(jiān)測、記錄終端系統(tǒng)層、應(yīng)用層的行為數(shù)據(jù)，并結(jié)合用戶真實(shí)環(huán)境做強(qiáng)關(guān)聯(lián)分析，最終實(shí)現(xiàn)在攻擊過程早期階段就發(fā)現(xiàn)威脅。

同時(shí)，需具有強(qiáng)大的分析能力，才能做到更早發(fā)現(xiàn)、更快響應(yīng)。終端行為特征龐大，傳統(tǒng)本地分析能力+云端的情報(bào)難以快速定位惡意行為，如果能通過云端強(qiáng)大的算力平臺，并實(shí)時(shí)采集IOC信息，再以終端威脅場景再現(xiàn)攻擊事件(如勒索、挖礦入侵路徑等)，那么高級威脅檢測將會更加快速。

　　二、具備全面行為檢測能力前后變化

我們以一個(gè)常見的挖礦事件為例，看下終端具備全面行為檢測能力前后的變化：

未具備全面行為檢測能力的終端：當(dāng)用戶發(fā)現(xiàn)終端卡頓、CPU占用率高，立即使用殺毒軟件進(jìn)行全盤掃描查殺，在點(diǎn)擊“處置”相關(guān)威脅文件、進(jìn)程后，電腦恢復(fù)正常。然而次日上班打開電腦，再次出現(xiàn)電腦卡頓現(xiàn)象，于是再次使用殺毒軟件、專殺工具查殺。最終，陷入病毒查殺循環(huán)，浪費(fèi)人力精力。

具備了全面行為檢測能力的終端：在攻擊早期階段便可檢出高級威脅(即：挖礦還未在終端落地時(shí)就能提前發(fā)現(xiàn))，同時(shí)可以還原挖礦事件全過程并持續(xù)監(jiān)控。

在這個(gè)過程中，用戶可以直觀地看到整個(gè)過程，包括挖礦病毒從哪里進(jìn)來、進(jìn)入系統(tǒng)后對終端采取了哪些操作、影響面有多大、是否還有其他終端含有類似挖礦行為等。因此可以準(zhǔn)確定位挖礦根本原因并進(jìn)行有效處置，還能預(yù)判其他終端是否含有潛伏挖礦行為，做到一次性處置同類型事件。

三、深信服EDR+SaaS XDR持續(xù)抵御高級威脅

深信服EDR全面采集終端行為，并通過威脅場景重現(xiàn)技術(shù)，同時(shí)結(jié)合云端XDR平臺強(qiáng)大的數(shù)據(jù)采集能力進(jìn)行全網(wǎng)終端威脅狩獵、快速聯(lián)動響應(yīng)：

1.全面的終端行為檢測能力，狙擊高級威脅

①全面的端側(cè)行為數(shù)據(jù)采集能力：基于ATT&CK攻擊矩陣采集端側(cè)系統(tǒng)層、應(yīng)用層行為數(shù)據(jù)，包括進(jìn)程、文件、注冊表等13個(gè)類別數(shù)據(jù)，為攻擊全面分析提供豐富數(shù)據(jù)源，提升威脅研判的精準(zhǔn)度，減少誤報(bào)。

②創(chuàng)新的威脅場景重現(xiàn)技術(shù)：高級威脅經(jīng)常利用正常軟件/系統(tǒng)操作相似性，而傳統(tǒng)終端安全軟件只能基于1-2個(gè)行為特征檢測，難以檢測出來。深信服EDR在自研SAVE人工智能檢測引擎基礎(chǔ)上，創(chuàng)新地合入場景重現(xiàn)IOA檢測技術(shù)(支持挖礦、勒索、webshell攻擊、無文件攻擊等十大場景)，將各種行為和上下文信息進(jìn)行聚合關(guān)聯(lián)后轉(zhuǎn)變?yōu)楦鞣N場景，從場景層面判別正常業(yè)務(wù)或惡意攻擊，從而獲得更高的威脅檢出率，成為國內(nèi)首個(gè)以滿分通過AV-TEST測評的企業(yè)級終端安全產(chǎn)品。

2.與云端XDR平臺雙向賦能，實(shí)現(xiàn)快速響應(yīng)

深信服EDR區(qū)別傳統(tǒng)終端安全軟件僅同步云端情報(bào)，還可聯(lián)動云端XDR平臺，通過強(qiáng)大算力對行為數(shù)據(jù)聚合分析，基于IOA+IOC全面精準(zhǔn)研判攻擊，深度還原攻擊事件、定位根因，包括威脅從哪來、干了什么、影響多大、是否還有潛伏等，復(fù)雜的APT事件定位從幾天時(shí)間縮短為小時(shí)級，同時(shí)云端專家還可提供專業(yè)處置與加固建議，讓安全響應(yīng)更快速。

深信服EDR基于全面的行為檢測+SaaS XDR聯(lián)動能力，實(shí)現(xiàn)端點(diǎn)一站式防護(hù)閉環(huán)，快速應(yīng)對各類威脅。同時(shí)，深信服EDR憑借優(yōu)秀的產(chǎn)品實(shí)力及安全效果，獲“主機(jī)入侵檢測類別”增強(qiáng)級認(rèn)證，持續(xù)為用戶提供高級威脅檢測更全面，聯(lián)動響應(yīng)更快的輕量級終端安全軟件。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）