中文
2023-10-21 10:17:26
随着全球攻击技术持续变化和演进,威胁种类越来越多样,但真正会对业务带来重大危害的攻击类型却越来越聚焦,勒索、钓鱼、0day、APT成为当前最普遍的威胁。
为什么要迈向自动化防护?
在面临这类高危害手段,当下两种主流端点安全方案却暴露着弊端:
以防病毒为主的方案,面对高危害手段直接失效
因为防病毒机制本身是需要不断地提取特征然后入库的,识别威胁的机制就是去扫描文件匹配特征,但高级攻击手法中的无文件攻击,是没有恶意文件落地的,杀毒的扫描机制就不会触发;另外,对于零日的新病毒,杀毒软件也无法立即有对应的特征库,造成防御的空窗期,等新的检测特征入库,攻击已经结束了。
以EDR技术为主的方案,响应时效差
尽管EDR技术在行为采集和分析关联等技术能够为溯源工作提供支撑,但在实际落地中,一是由于EDR技术核心是检测和响应,所以时效性较差,大部分攻击都是在事后发现的;二是对于分析人员的要求较高,需要专业的安全人员参与分析、溯源、研判,大部分用户的专家资源有限,导致现有的以EDR技术为主的方案在用户侧实际防护效果并不好。
在端点安全攻与防的演进中,深信服已然意识到,想要解决当前遇到的难题,端点安全的防护不仅需要实现更精准高效的检测,更要实现自动化的处置!
aES基于深耕多年的深信服EDR、CWPP、容器安全等端点安全产品,迎来了一次全面的创新性的能力升级,以AI Defense技术理念为核心,以全场景安全效果最好为目标,实现端点安全的自动化防护!
AI Defense技术创新“三部曲”
Step1:AI+行为关联=精准检测
aES全量采集端点侧的行为遥测数据,并基于AI及行为关联分析,精准判定事件。
Step2:AI+攻击关键点提取=自动阻断
自动提取钓鱼攻击产生的关键点,如恶意行为、文件、驻留项等,自动阻断恶意行为,自动清除恶意文件,无需人工介入。
Step3:AI+精细化处置=自动恢复/回滚
通过AI精准判断攻击者恶意操作,如创建计划任务、建立注册表项等,自动将端点状态恢复到攻击发生前;已发生的恶意行为如勒索加密,也能根据动态备份,用最轻最小的资源占用进行加密文件回滚。
来看看实际效果演示!
当HR收到一封精心“包装”过的简历,毫无防备地打开后,攻击者悄无声息地入侵,防守方无人在线,aES如何应对钓鱼攻击?
当攻击者通过注入工具进行白利用攻击,勒索事件一触即发,aES又如何秒级化解并动态备份被锁文件?
*白利用攻击:将病毒/恶意程序注入到合法程序中,该合法程序在杀毒软件白名单内,杀毒软件无法检测到异常,且放行后不再关注。
告别以往在实际落地中,当攻击者已经拿下端点,在外联的时候被态势感知或者流量检测类的设备发现时,在端侧却查不到、怀疑是态势感知误判、查杀的文件反复复发的“无效”联动,真联动就要实现准、狠、智!
深信服aES从真正联动协同的逻辑去考虑解决这个问题:
1.源头定位
在联动的时候,态势感知将域名信息自动同步给aES,aES基于端侧全量行为采集能力,可以直接追溯到发起外联的恶意程序;
2.一键遏制
通过态势感知对aES的联动一键遏制,就可以快速地阻断进程的C2外联和横向扩散,保障威胁不在端侧造成业务损害;
3.一键根除
aES在基于这个恶意程序去定位进程链和上下文信息,找到是否有驻留项,找到后,通过态势感知对aES的联动一键根除,就可以将恶意程序与相关的注册表、启动项等彻底删除。删除后,攻击者无法再自动创建文件和进程,事件闭环不复发。
再来看看效果吧!
aES是国内率先能够做到PC、服务器/虚拟机、容器三大场景的统一管理、同时每个场景下都具备这个场景下所需的专业化能力的端点安全产品,让用户可以通过一套端点安全产品,对全网端点的安全状态做到可视可控,一端发现处置威胁后、全网免疫。
深信服一端一中心方案,无论在PC还是工作负载侧,都做到融合一体化,通过简洁的一个端点,提供端点全生命周期的业务和数据保护能力,用户可以选择自己所需的能力。
深信服自2018年发布EDR(aES上一代)以来,一直在端点安全领域深耕,从1600+用户、1400w+终端中,不断根据用户反馈进行优化,观察端点安全形势变化和用户所需。而今,深信服端点安全迎来下一代焕新升级,以AI Defense智防护为技术理念,致力于打造全场景下安全效果最好的端点安全产品,让所有用户的端点安全领先一步。
下一代端点安全新范式
(原深信服EDR老用户可免费升级为aES)
欢迎试用体验
联系我们 
