中醫(yī)講：“秋季養(yǎng)生要養(yǎng)肝”

紅隊講：“攻防演練要護端”

每年一次的「攻防演練」已經(jīng)進行幾天了，僅在這幾天里，TrustOne就表現(xiàn)出了超迷人的氣質(zhì)，讓客戶連連夸贊。

究竟發(fā)生了什么，讓客戶對TrustOne這么稱贊？據(jù)取到的第一手消息：

客戶：

中國XXXX保險總公司

事件：

1. EDR 檢測到高風(fēng)險事件，通過安全運營人員分析調(diào)查，是由于企業(yè)環(huán)境內(nèi)存在終端違規(guī)外聯(lián)一些惡意網(wǎng)址

2. 在攻防演練中，網(wǎng)絡(luò)端的安全事件線索，可以通過終端 EDR 調(diào)查溯源出威脅在本地的攻擊路徑及進程信息

反饋：

客戶對TrustOne的EDR檢測效果很認(rèn)可，后續(xù)計劃將在全部子公司部署EDR，預(yù)計部署規(guī)模將達30萬+

通過這個案例，我們可以發(fā)現(xiàn)一個問題是由于終端用戶違規(guī)外聯(lián)，另一個問題是網(wǎng)絡(luò)側(cè)防護產(chǎn)品雖然檢測到了威脅來源，但是不能監(jiān)測到威脅攻擊路徑，需要借助終端能力才能還原攻擊真相。所以“秋季養(yǎng)生要養(yǎng)肝，攻防演練要護端”，才能做到真防護。

那么，結(jié)合攻防演練場景，TrustOne在終端的真防護上，下了哪些真功夫呢？

\ 極簡短 · 全流程處置周期 /

TrustOne 的 EDR 模塊通過高清的日志記錄做為基礎(chǔ)，結(jié)合威脅情報，IOA 規(guī)則關(guān)聯(lián)分析和平臺側(cè)的大數(shù)據(jù)智能算法和可見性設(shè)計，全面提供事前預(yù)警，事中記錄響應(yīng)，事后追溯審計的完整閉環(huán)，將安全事件調(diào)查響應(yīng)從數(shù)周縮短至數(shù)小時，為業(yè)務(wù)和數(shù)據(jù)保護爭取寶貴的時間窗口。

事前能夠偵測

根據(jù)IOA/IOC能夠偵測“已知”和“未知”威脅，及早處理避免在重要時間節(jié)點集中發(fā)作。

產(chǎn)品功能：自定義檢測規(guī)則、自定義白名單

事中記錄響應(yīng)

從內(nèi)核層面詳細(xì)記錄：文件操作、進程啟停、模塊加載、網(wǎng)絡(luò)連接。并能根據(jù)自動化響應(yīng)規(guī)則自動處置響應(yīng)，提高運營效率。

產(chǎn)品功能：入侵檢測事件、失陷檢測事件、手動響應(yīng)、自動化響應(yīng)

事后可以追溯

調(diào)查取證、高級審計，繪制進程事件樹真實模擬還原攻擊過程。

產(chǎn)品功能：調(diào)查溯源、進程事件樹、文件流轉(zhuǎn)視圖

\ 極省心 · 自動化響應(yīng)處置 /

對于產(chǎn)生的告警，需要安全運營人員分析確認(rèn)為真實威脅后，再進行手動處置，對于威脅處置存在較嚴(yán)重的滯后性。此外，處置的手段相對也比較單一。所以對于威脅比較敏感的客戶，需要及時的自動響應(yīng)處置，避免人工調(diào)查分析的疏漏和響應(yīng)時間過長。

亞信安全 TrustOne 針對不同 EDR 告警場景，具備三種自動化響應(yīng)動作：

【網(wǎng)絡(luò)封?！?/strong>

支持配置自動響應(yīng)的時間段，即生效周期和生效時間，支持設(shè)置封停時長。自動封停后的 IP 記錄在封停列表，封停時長過后自動解封。

【文件隔離】

支持配置自動響應(yīng)的時間段，即生效周期和生效時間。自動隔離的文件記錄在文件隔離列表，可解除隔離。

【進程阻斷】

針對自定義進程規(guī)則，支持配置進程阻斷的自動化響應(yīng)動作。

\ 極靈活 · 檢測規(guī)則調(diào)整 /

針對同一入侵場景，入侵的方法不是固定的，攻擊原理可能會比較類似，但是攻擊手法會有千變?nèi)f化，原有內(nèi)置的 IOA 規(guī)則無法去應(yīng)對這些隨時變化的攻擊場景?？梢酝ㄟ^更新檢測規(guī)則來解決，但是會存在較長的滯后性，無法快速應(yīng)對高級威脅。通過開放自定義檢測規(guī)則的接口，運維人員可以非常便捷的配置當(dāng)前威脅的檢測規(guī)則及對應(yīng)的處置動作，提升檢測響應(yīng)的時效性。

目前支持自定義規(guī)則的場景包括：

【合法登錄規(guī)則】

【W(wǎng)ebShell】

【可疑操作】

【自定義進程規(guī)則】

\ 極迷人 · TrustOne EDR /

隨著新一代終端安全 TrustOne顛覆而來，EDR檢測響應(yīng)能力更上一層樓，操作系統(tǒng)、應(yīng)用軟件和賬號資產(chǎn)的動態(tài)發(fā)現(xiàn)更迅速，高級威脅關(guān)聯(lián)分析及檢測更準(zhǔn)確，助力用戶解決更多攻擊場景問題。

這么好的產(chǎn)品，攻防演練就該它火?。?！

標(biāo)簽：信息安全極簡新新一代終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全攻防演練亞信安全TrustOne高級威脅治理HW