安全防护升级!来看深信服的下一代终端安全EDR

一些新鲜事物的出现,在人类历史的长河中具备划时代的意义。工具的诞生和使用,奠定了人类原始文明的基础,也让人类得以爬到食物链的顶端。从石器到青铜,从黑铁到蒸汽,从电机到计算机,工具定义了我们的生产力水平和文明水平。但直到互联网出现后,才催生了接下来的故事。

在互联网里,大家都有一个共同的敌人

在我国互联网的发展可以大概分成3个阶段:1986年-1993年是研究试验阶段、1994年-1996年是起步阶段、1997年之后是快速增长阶段。计算机和互联网的出现,让人类进入到数字化信息时代,人们工作和生活的进程也变得空前的便捷高效。但正如工具的发展诞生了武器,从而引发了人类历史上无数的攻防对抗,属于互联网时代战争的永恒话题便是“安全”。

先来回顾下网络安全恶性事件频发的2017年,包括肆虐全球的勒索病毒WannaCry、只为破坏的勒索病毒Petya、难以清除的恶性病毒Kuzzle等等,计算机病毒作为一个程序、一段可执行码,它就像生物病毒一样,具备传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性等特点,它们能够快速蔓延,又常常难以根除。如何有效防控计算机病毒对互联网时代的影响,是每一个网络安全从业者,甚至每一个互联网使用者,都需要关注的思考的事情,正如古代先人为防止蛮夷入侵所修建的长城一样,企业在互联网的安全中也在不断搭建自己的“围墙”。

早期的互联网,病毒的防控需要“调兵遣将”

不同于现在的云端和分布式,自动化的检查和加固在以前人们的印象里还属于“天方夜谭”,企业更多的是让安全工程师逐条命令的去检查和加固,虽然当时的人们完全有能力把它形成脚本,但是那个年代服务器比较金贵,懂得人又比较少,大家担心它的影响,不敢用自动化的方法去做,即使安全工程师们脚本都已经写出来了,客户也不敢用,怕系统瘫痪无人能修。

所以,那时候当一个企业的服务器出现故障,像IBM和惠普更多的是从原厂调一个人过来,从出门开始算钱,然后住五星级酒店,费用着实高的吓人。后来随着Linux系统得到了普及,代替了原来的IBM的IX和惠普Unix,会的人多了费用才降了下来。

过去的诸如对登陆设备用人工进行调试、下发策略、修复系统漏洞等应急响应方式,在随着互联网进程的加快,服务器的数量达到前所未有的新高的现在已然不再适用。

当客户出现安全问题的时候,纵使可以一个安全公司的全员出动解决问题,但是当1000个地方的服务器出现问题,又如何来响应呢?正如多个城池同时遭受了无差别攻击,无论如何调兵遣将,也无法弥补人数上的不足,终会是“弃车保帅”的结果,往往响应工作还没有完成,数据已经被窃取了。

新的环境带来了新的安全形势,在科技发展的进程中,针对早期病毒“量少而精”的特征杀毒,就像当年的单纯依靠人力进行安全加固一样,由于缺乏快速响应机制、难以实现一体化防护,管理运维量大,而最终走向失效。

科技的发展带了攻击方的攻击形式进化,新型攻击形式日益增多,从渗透攻击到社工攻击再到定向攻击APT与大量快速随机传播的无差别攻击勒索程序,无论从数量、传播速度、破坏性上都大幅超过以往。

而传统特征杀毒由于严重依赖特征库和云端杀毒能力,在企业内网的隔离网环境中,难以有效发挥功能;而日益冗余的特征库对资源的大量占用更是严重影响了企业的业务能力,这导致的结果就是企业内网纷纷中招,一台终端被攻破后,短时间内迅速蔓延至整个企业内网,让企业损失惨重。

而另一方面,作为防护方,虽然单纯依靠特征或特征库的方式再难以有效应对新的未知威胁,但通过利用人工智能技术从特征识别转向行为分析,从而形成应对新威胁的有效手段。

在Gartner发布的《2019十大技术趋势》中,排在前三位的分别是自主设备、增强分析和AI驱动的开发,这三者都与AI相关。伴随着数据积累和计算能力的升级,AI技术在安全领域的攻防中将扮演着越来越重要的角色。

对防护方来说,人工智能可以轻松处理海量安全日志,较之人力更快、更好的分析企业安全状态。在新的安全形势下,企业的安全防护需要更加自动化、工具化的方法,通过自动化的安全响应即时发现威胁,通过安全策略自动编排的方式自动响应,从而快速消除威胁。

应对新挑战!下一代终端安全EDR助力企业打造新的安全防护体系

如今,由于云计算的普及,我们恢复一台系统的成本变得更低,去还原系统的成本也变得更低,而机房大量设备的存在也是人力所无法监管的,在这种情况下,企业普遍接受了自动化运维的方式。但是终端安全管理工具是有多种形态的,有的偏向于恶意代码杀毒,有的偏向于非法链接,有的偏向于防泄密,还有的甚至于是一些终端的优化工具,比如给你得出一个分数,给你做加速等等。由于企业自身的需求,它就需要在一台电脑上装很多个端,端之间可能有冲突,对性能可能有影响,在PC上也许可以克服,多一些容忍,但在服务器上就无法接受一下装很多个终端。

再有就是政府、教育、医疗、制造业等企业,我们以制造行业为例,像他们终端的这些现场系统,比如说工厂里面电器班组用于组态和检测的系统,与我们平时用的PC的区别是它不太可能连互联网,也不方便升级它的病毒库或策略库,所以是勒索病毒常年爆发的领域。这种情况下,深信服的下一代终端安全EDR产品优势便显示出来了。

EDR即“Endpoint Detection and Response”,翻译成中文是“端点检测和响应”,在形式上,它整合了各个终端的能力,利用一个终端解决所有的问题;在管理上,它是由平台层去管理所有的端,它的管理主体变了,原来的管理主体是服务器的使用者,那么现在它的管理主体则变成了整个公司,由一个公司的资产来去集中进行管理。

深信服主要关注两部分,一个是覆盖能力,也叫做面,就是你怎么能更好的去减少被攻击的面;其次需要留一些终端,也叫做点,去做端口的防护。

深信服新一代防火墙NGAF、安全感知平台SIP、上网行为管理AC就是面。深信服的网关类设备是下一代防火墙,除了能做网络层的访问控制以外,更加关注于应用层与数据内容,包括外部防护的安全防护功能和内容安全防护的功能。

深信服下一代终端安全EDR则是点, EDR在终端上弥补了在边界上隔离的不足,深信服可以在端上发现问题,在网上去封堵;也可以在网上发现疑似问题,在端上确认和处置。比如在处置的时候,在边界上做一个隔离,但是对网内可能还有影响,但是通过有EDR这种在端点的工具,就能够有效的响应和处置。

而将“点“和”面“结合、做深做细,则需要能网端联动和自动化响应。这离不开背后的深信服安全云脑与SAVE安全智能检测引擎。

深信服安全云脑作为威胁情报搜集和响应的中心,当发现到威胁情报后会第一时间推送给深信服新一代终端安全EDR与深信服新一代防火墙NGAF、安全感知平台SIP、上网行为管理AC等网络安全管理,通过多维度、快速响应,极大缩短了威胁驻留时间。

SAVE的全称是Sangfor AI-based Vanguard Engine,Vanguard有“先锋、领导者”之意,中文名是“SAVE安全智能检测引擎”,通过它的支持让企业的安全防护体系能实现了“智“的飞跃,它基于人工智能,能够在不升级策略库的情况下,对大部分的恶意文件进行识别,对未知病毒查出率可达97.85%,对已知病毒检出率高于99%。

通过对云、网、端的融合,结合了EDR的全网安全设备联动机制是一整套的云管端闭环系统,解决了传统安全防护的体系弱点和能力缺失,可以高效实现病毒防护、具有对已/未知威胁的准确检测与发现、快速响应等功能。

安全产业需要面向未来、有效保护

既然深信服的下一代终端安全EDR有效利用了人工智能,那就不得不讲讲它的三个要素:算力、算法和数据。

在算力方面,深信服是全球图形技术和数字媒体处理器行业领导厂商NVIDIA的合作伙伴;在数据上,一方面,深信服依靠十余年来从事安全防护而获得的大量的一手经验、包括在客户授权的情况下,从大量设备日志、安全托管服务中获得真实威胁数据信息等,另一方,深信服也投入大量资金购买高质量的外部威胁情报,包括企业级数据信息所面临的恶意代码或者恶意流量;

在算法上,深信服更加关注目前影响覆盖率比较大的勒索软件,对文件进行结算和各种算法的尝试。深信服投入了大量的博士和博士后从事专门研究,并每年拿出20%以上的收入去做研发,在大量资源的支持下,深信服下一代终端安全EDR对未知病毒查出率远高于业界平均水准。

在现代互联网安全问题上,深信服有自己的思考:网络安全行业的发展有两个大的方向,一个是能力的提升,基于大数据和人工智能的出现让安全产品变得更聪明,更能解决复杂的问题;一个是场景的变化,比如云计算、物联网和移动互联网的出现,云管理平台和虚拟化部分需要新的方式去保护。

以目前业界安全建设的标准模型PDR模型,Protection(防护)、Detectioon(检测)、Response(响应)为例。

首先,在PDR上需要先落实好防护、检测和响应,通过能力的提升将事情做到精致;其次,在PDR能力的基础之上,要基于AI去做风险的整体评估和识别,以及预测的活动;最后,站在客户的角度上去运营,通过自动化的运营和企业方、渠道方、深信服及其他安全厂商的多方联动,将安全产品运用起来,才能真正的实现“面向未来,有效保护”。

中国造!深信服下一代终端安全EDR更符合国人的使用习惯

与国外的安全厂商相比,由于国内和国外网络环境不同,用户使用场景、需求及使用习惯的区别,导致终端安全产品的定位也不一样。

首先,国内的企业内网环境更为复杂,机器的型号也各不相同,甚至于一些高速路、医院等民生机构的系统还停留在Windows XP阶段,在适配性上问题重重;其次,在等保合规、国产化的要求下,诸多国外安全厂商大幅减少国内的服务点数量,导致企业网络安全出现问题时没有人能来进行及时的应急响应。还有,国外和国内的应用不同,国内用WPS,而国外有它特殊的办公系统和使用习惯,比如正版化的问题,国外的正版化率较高,而国内的有些盗版系统根本就无法升级,就可能遇到安全问题;最后,国外杀毒软件的界面其实并不友好,好像国内十年前的样子,而国内的UI更加符合中国人的习惯。

在这样的情况下,深信服下一代终端安全EDR 以其强大的适配性、对未知威胁的及时防护、快速响应和处置,对企业级运维的强大加持,以及帮助企业做到等保合规上,都有着巨大的优势。

本着移情客户、以保护客户资产为核心的理念,深信服下一代终端安全EDR在企业面对不可统一防护、终端类型多、无法统一管理的问题时,能通过一个统一的管控平台对接包括服务器、 PC的Windows、Linux的不同场景不同系统的EDR终端,实现一体化的管控。在售后服务上,深信服更是从一线城市城市下沉到了重点区域县级的技术支持,当端上遇到问题时,能最快速的应急响应,真正帮助客户解决问题。

为了能帮助客户真正的解决问题,深信服通过将技术端与市场端相打通,第一时间发现客户的需求,用技术去覆盖到企业端点的问题解决上。

以Webshell的防御为例,深信服新一代终端安全EDR的技术团队通过机器学习对几十万个Webshell样本进行了分析和建模,利用它的SSTB是否合乎哈希以及对php等的语法解析、获取函数的点,执行函数里有出入的一些参数,进而判断这些参数有没有带有一些攻击特征,最终检测出它的全部变种。

至于等保合规,网络安全法出台后,法律法规更加细化,明确了整个网络安全的责任人,而跟服务器关系最大的就是终端,终端安全的建设成为了大家愈发关注的一方面。

以篡改事件为例,合规要求一小时之内必须响应,解决完,这考验的就是落实到终端安全的即时检测与响应。而深信服新一代终端安全EDR的‘全面适配,统一管理’,能通过形成立体的安全保护体系对各区域实施灵动、智能而全面的安全保护措施,让客户在安全运维中做好基线检查,确保终端安全合规。

深信服下一代终端安全EDR赋予了用户以持续进化的预警、防御、检测与响应能力,守护住了企业用户安全建设中的最后一公里。它为用户的IT和业务提供了持续保护,让企业用户的安全建设更加高效、简单,从而解放了企业在安全运维中的时间与精力,助力企业在业务中创造更多的价值!