● 需求来源
近年来,针对终端设备的攻击层出不穷,这些攻击大多会利用操作系统上未公开的漏洞,由于传统的防护手段在面临APT、0day等高级攻击时,无法形成有效防御。因此,面对新型攻击手段和未知安全漏洞,终端安全亟需打破传统防御思路,从技术上主动发现、识别各类已知和未知安全威胁,及时阻断网络入侵行为,同时提供一种安全防护托底的手段,在安全事件发生后,对安全事件进行取证分析和追踪溯源。
Gartner将EDR(Endpoint detection and response,端点检测和响应)定义为“记录和存储端点系统级行为的解决方案,使用各种数据分析技术检测可疑系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。主要功能包括:检测安全事件、调查安全事件、在端点上遏制安全事件、将端点修复到感染前状态。
● 解决方案
联软终端检测与响应系统是联软科技基于Gartner提出EDR概念结合CARTA“持续自适应风险与信任”安全模型开发的,用于解决终端高级威胁攻击、威胁攻击溯源及协助企业持续化改进的终端安全管控平台。产品可通过现有联软EPP管控平台进行扩展,在统一管理平台统一客户的基础上,实现安全能力互补,发现威胁、处置威胁、分析威胁、持续化改进终端安全管理配置。
联软EDR通过持续监测采集各种类型端点上的行为信息和运行状态,并通过大数据、机器学习等技术,对端点的相关数据进行持续性的关联行为分析、威胁检测、高级威胁分析等,并提供事件响应处置、追踪溯源、调查取证等功能,从而实现对终端从预测、防护到检测、响应的全生命周期的持续性安全防护,为终端提供积极主动的防护能力。
