終端一直是網(wǎng)絡(luò)安全對抗中的主戰(zhàn)場之一，面臨著勒索軟件肆虐，高級持續(xù)性攻擊等多重威脅。而當(dāng)前終端的防御仍存在諸多問題，很多品類的終端安全產(chǎn)品是按自身業(yè)務(wù)需要獲取資產(chǎn)信息的，缺乏全面、清晰、可視的資產(chǎn)清點(diǎn)能力，以及無法全面了解終端環(huán)境的違規(guī)配置、脆弱性和暴露面，導(dǎo)致資產(chǎn)風(fēng)險(xiǎn)無法及時(shí)發(fā)現(xiàn)。面對復(fù)雜多樣的定向“勒索+竊密”攻擊、APT攻擊、0/1day漏洞利用等攻擊手段，以及突發(fā)性安全事件，無法快速進(jìn)行事件調(diào)查，缺乏及時(shí)有效的處置能力，存在應(yīng)急響應(yīng)能力薄弱等問題，造成終端安全挑戰(zhàn)更加嚴(yán)峻。

1.產(chǎn)品簡介

安天持續(xù)探索上述問題的解決之道，結(jié)合多年終端安全的實(shí)戰(zhàn)經(jīng)驗(yàn)及防護(hù)需求，在2022安天新品發(fā)布會上推出智甲終端檢測與響應(yīng)系統(tǒng)（簡稱“智甲EDR”）。該產(chǎn)品是一款提供端點(diǎn)對象數(shù)據(jù)采集、資產(chǎn)識別塑造、威脅檢測、執(zhí)行體管控、預(yù)警響應(yīng)等服務(wù)的安全防護(hù)產(chǎn)品，以終端全要素對象數(shù)據(jù)為核心，結(jié)合風(fēng)險(xiǎn)檢測、威脅深度分析、攻擊溯源、分布式防火墻、執(zhí)行體向量分析、事件調(diào)查等技術(shù)，全面提升資產(chǎn)管控、威脅檢測與響應(yīng)處置等方面的效果，從識別、塑造、防護(hù)、檢測、響應(yīng)五個維度打造更強(qiáng)有力的終端安全運(yùn)行閉環(huán)。

2.產(chǎn)品優(yōu)勢

1.端點(diǎn)全要素的對象數(shù)據(jù)采集、規(guī)則化資產(chǎn)環(huán)境和系統(tǒng)行為分析

智甲EDR建立端點(diǎn)全要素對象清單，針對不同對象和場景，配置采集周期和數(shù)據(jù)要素等，可基于用戶需求、數(shù)據(jù)價(jià)值度等，建立多種貼合用戶環(huán)境的數(shù)據(jù)采集。通過全要素采集能力，滿足規(guī)則化場景分析引擎和異常事件發(fā)現(xiàn)所需數(shù)據(jù)集，實(shí)現(xiàn)及時(shí)獲取主機(jī)各類對象數(shù)據(jù)屬性和操作行為閉環(huán)。

2.事件快速響應(yīng)和策略配置，滿足發(fā)現(xiàn)及處置安全事件活動的及時(shí)性要求

可針對各類事件提供快速響應(yīng)能力，包括策略快速形成、指令快速下發(fā)、動作快速執(zhí)行、結(jié)果快速回執(zhí)，保證對安全事件處置的及時(shí)性，同時(shí)系統(tǒng)可針對不同場景運(yùn)行情況，快速切換系統(tǒng)防護(hù)方案和等級，保證安全事件發(fā)生時(shí)，可及時(shí)行為采集、分析定位、策略生成和處置加固。

3.向量級執(zhí)行體鑒定與細(xì)粒度行為約束能力，構(gòu)建安全運(yùn)行空間

基于威脅框架、安全服務(wù)與分析經(jīng)驗(yàn)等建立執(zhí)行體運(yùn)營指標(biāo)體系，將執(zhí)行體對象采集、文件鑒定、信譽(yù)標(biāo)定和執(zhí)行約束形成閉環(huán)運(yùn)營，并配置對象采集范圍和頻率，聯(lián)動情報(bào)系統(tǒng)形成鑒定結(jié)論，支持用戶調(diào)試三種不同規(guī)則等級的信譽(yù)標(biāo)定，并結(jié)合執(zhí)行體活躍軌跡分析，形成細(xì)顆粒的執(zhí)行體約束能力，提高了快速發(fā)現(xiàn)威脅和異常事件的能力，能夠滿足各威脅場景下的執(zhí)行體治理需求。

3.應(yīng)用場景

1.資產(chǎn)的識別與塑造場景

主機(jī)的暴露面與脆弱性管理是安全工作中的一項(xiàng)重要工作，而對于資產(chǎn)暴露面與脆弱性的管理不僅僅是要依據(jù)相關(guān)制度，更是要將管控與實(shí)際業(yè)務(wù)環(huán)境相兼容，這就需要安全防護(hù)系統(tǒng)具有對于主機(jī)安全相關(guān)對象的全要素?cái)?shù)據(jù)采集和識別能力，并且這個能力要可細(xì)粒度配置，智甲EDR針對不同業(yè)務(wù)場景和需求可構(gòu)建專屬的采集方案及具有資產(chǎn)風(fēng)險(xiǎn)評估的能力，針對主機(jī)資產(chǎn)可能存在的安全風(fēng)險(xiǎn)提供相關(guān)的加固建議和加固能力。

2.威脅、風(fēng)險(xiǎn)與資產(chǎn)狀態(tài)檢測場景

面對主機(jī)資產(chǎn)的安全狀態(tài)、運(yùn)行狀態(tài)、環(huán)境特征和安全管理員的檢測需求，智甲EDR集成多類針對資產(chǎn)環(huán)境的檢測模塊，包括威脅檢測模塊、資產(chǎn)風(fēng)險(xiǎn)模塊、環(huán)境檢測模塊、網(wǎng)絡(luò)流量檢測模塊等，可以實(shí)現(xiàn)各類檢測需求，同時(shí)這些檢測要具有可配置、可管理、低負(fù)載、可持續(xù)升級等能力。

3.威脅遏制場景

主機(jī)安全防護(hù)中針對攻擊入侵、系統(tǒng)破壞、違規(guī)操作的防護(hù)核心目標(biāo)是在危險(xiǎn)動作執(zhí)行前實(shí)現(xiàn)感知和攔截，智甲EDR具有深度內(nèi)核級的防護(hù)能力，研判是否存在持久化、提權(quán)、信息竊取等攻擊動作，判斷是否存在批量讀寫、刪除、移動文件或扇區(qū)等操作，及文件授信（簽名驗(yàn)證）機(jī)制，過濾正常應(yīng)用操作動作以降低誤報(bào)。威脅遏制能力的有效性是安全防護(hù)的重要核心指標(biāo)之一。

4.安全事件響應(yīng)場景

從WannaCry到Log4j等各類安全事件可以看出，目前的威脅對抗中留給企業(yè)的防護(hù)響應(yīng)時(shí)間越來越短，很多突發(fā)性安全事件如果不能第一時(shí)間響應(yīng)，就會被攻擊者利用，因此對于響應(yīng)場景，需要系統(tǒng)具有快速完成終端資產(chǎn)細(xì)粒度調(diào)查的能力，包括對于文件、服務(wù)、注冊表、配置、系統(tǒng)漏洞、賬號等一系列重要資產(chǎn)的調(diào)查，同時(shí)針對不同資產(chǎn)構(gòu)建處置能力，可以讓企業(yè)快速完成資產(chǎn)問題的排查與處置工作。

智甲EDR通過精細(xì)元數(shù)據(jù)捕獲與分析、執(zhí)行體運(yùn)行基線構(gòu)建、資產(chǎn)狀態(tài)與風(fēng)險(xiǎn)全周期監(jiān)控、安全事件可編排調(diào)查等優(yōu)勢能力為用戶構(gòu)建一體化終端安全防御體系。