● 需求来源
近年来,针对终端设备的攻击层出不穷,这些攻击大多会利用操作系统上未公开的漏洞,由于传统的终端安全防护软件大多基于已有经验或者已知特征进行被动式防御,在面临 APT 攻击、0day 攻击等高级攻击时,无法形成有效防御。因此,面对攻击手段出现的这些新
变化,以及操作系统层出不穷的未知安全漏洞,终端安全亟需打破传统的防御思路,从技术上主动发现、识别各类已知和未知安全威胁,及时阻断网络入侵行为,同时提供一种安全防护托底的手段,在安全事件发生后,对安全事件进行取证分析和追踪溯源。
Gartner将EDR(Endpoint detection and response,端点检测和响应)定义为“记录和存储端点系统级行为的解决方案,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。主要功能包括:检测安全事件、调查安全事件、在端点上遏制安全事件、将端点修复到感染前状态。
● 解决方案
联软终端检测与响应系统是联软科技基于Gartner提出EDR概念结合CARTA“持续自适应风险与信任”安全模型开发的,用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管控平台。产品可通过现有联软EPP管控平台进行扩展,在统一管理平台统一客户的基础上,实现安全能力互补,通过UniEDR系统发现威胁、处置威胁、分析威胁,联软EPP平台通过威胁追溯分析结果持续化改进终端安全管理配置,使企业内部终端安全实现持续上升完善的趋势。
联软EDR通过持续监测采集各种类型端点上的行为信息和运行状态,并通过大数据、机器学习等技术,对端点的相关数据进行持续性的关联行为分析、威胁检测、高级威胁分析等,并提供事件响应处置、追踪溯源、调查取证等功能,从而实现对终端从预测、防护到检测、响应的全生命周期的持续性安全防护,为终端提供积极主动的防护能力。
