一、數(shù)字時(shí)代終端安全的新威脅

隨著科技的不斷發(fā)展，我們已經(jīng)深處數(shù)字時(shí)代。然而，數(shù)字環(huán)境的網(wǎng)絡(luò)世界中卻充滿了各種新威脅，包括惡意軟件、勒索軟件、網(wǎng)絡(luò)釣魚攻擊、零day攻擊和無文件攻擊，對(duì)我們的終端安全構(gòu)成了重大挑戰(zhàn)。

7月24日，挪威政府部門遭遇了網(wǎng)絡(luò)攻擊，黑客利用第三方軟件的零day漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊，挪威12個(gè)部委的員工無法使用手機(jī)和平板閱讀工作郵件。

7月26日，武漢市地震監(jiān)測中心部分地震速報(bào)數(shù)據(jù)前端臺(tái)站采集點(diǎn)的網(wǎng)絡(luò)設(shè)備遭受網(wǎng)絡(luò)攻擊，相關(guān)的地震烈度數(shù)據(jù)極有可能被竊取，嚴(yán)重威脅我國國家安全。

數(shù)字時(shí)代，網(wǎng)絡(luò)犯罪分子不斷設(shè)計(jì)高級(jí)且隱蔽的攻擊方法，來破壞網(wǎng)絡(luò)環(huán)境或利用終端設(shè)備中的漏洞導(dǎo)致嚴(yán)重后果，例如數(shù)據(jù)泄露、財(cái)務(wù)損失和聲譽(yù)損害。傳統(tǒng)的終端安全解決方案往往不足以抵御這些新威脅，因此需要采用更先進(jìn)的應(yīng)對(duì)措施。

二、市場常見終端檢測和響應(yīng)（EDR）方案存在的不足

（1）基于簽名的檢測：

工作原理是將已知惡意軟件的已知模式或簽名與終端上的文件和應(yīng)用程序進(jìn)行匹配。此方法可以有效地檢測已知威脅，但對(duì)缺乏可識(shí)別特征的威脅和剛出現(xiàn)的新威脅方面存在不足。因此，零day漏洞和多態(tài)惡意軟件可以更改代碼輕松逃避此種檢測，使終端容易受到攻擊。

（2）缺乏實(shí)時(shí)可見性：

缺乏實(shí)時(shí)監(jiān)控和持續(xù)分析能力，可能會(huì)導(dǎo)致網(wǎng)絡(luò)事件的檢測和響應(yīng)延遲，從而導(dǎo)致威脅未被檢測到并長時(shí)間駐留在網(wǎng)絡(luò)中。

（3）無法檢測高級(jí)威脅：

高級(jí)威脅通常采用復(fù)雜而隱蔽的技術(shù)來逃避檢測。例如無文件惡意軟件在內(nèi)存中運(yùn)行，不會(huì)在磁盤上留下可檢測到的痕跡。此外，高級(jí)持續(xù)性威脅(APT)等定向攻擊旨在繞過傳統(tǒng)安全措施，長時(shí)間不被發(fā)現(xiàn)。

（4）警報(bào)疲勞和誤報(bào)：

一些EDR產(chǎn)品會(huì)生成大量警報(bào)，導(dǎo)致安全團(tuán)隊(duì)面臨誤報(bào)。對(duì)大量警報(bào)進(jìn)行分類以識(shí)別真正的威脅，可能非常耗時(shí)且占用資源，導(dǎo)致關(guān)鍵威脅可能會(huì)被忽視，從而使組織容易受到潛在攻擊。

三、江民赤豹終端檢測和響應(yīng)（EDR）解決方案

面對(duì)數(shù)字時(shí)代不斷變化的威脅形勢，江民赤豹終端檢測和響應(yīng)(EDR)作為領(lǐng)先的終端安全解決方案，解決了常見EDR方案的不足之處，使用戶能夠快速發(fā)現(xiàn)和處理數(shù)字時(shí)代的威脅。

江民赤豹EDR的主要亮點(diǎn)和優(yōu)勢：

實(shí)時(shí)持續(xù)監(jiān)控：

提供對(duì)終端的實(shí)時(shí)、連續(xù)監(jiān)控，通過實(shí)時(shí)分析大量終端數(shù)據(jù)，可以快速識(shí)別發(fā)生的潛在威脅，從而縮短檢測和響應(yīng)網(wǎng)絡(luò)事件的時(shí)間。

行為分析和人工智能驅(qū)動(dòng)的威脅檢測：

采用人工智能(AI)和機(jī)器學(xué)習(xí)算法來為每個(gè)終端建立行為基線，能夠檢測表明全新的或未知的惡意活動(dòng)異常和偏差。加上行為分析和人工智能驅(qū)動(dòng)的威脅檢測相結(jié)合，使得江民赤豹EDR能夠阻止各種威脅。

威脅狩獵和主動(dòng)響應(yīng)：

支持威脅狩獵，搜索潛在的威脅指標(biāo)(IOC)，并發(fā)現(xiàn)可能逃避自動(dòng)檢測的隱藏威脅。針對(duì)檢測到的威脅采取果斷行動(dòng)，立即觸發(fā)自動(dòng)響應(yīng)操作，例如隔離受損終端和隔離可疑文件，以迅速遏制和補(bǔ)救事件。

集成威脅情報(bào)：

江民EDR可以與本公司的威脅情報(bào)平臺(tái)或其他情報(bào)平臺(tái)無縫集成。通過實(shí)時(shí)威脅情報(bào)源豐富了EDR數(shù)據(jù)，提供背景信息并增強(qiáng)對(duì)潛在威脅的分析，將終端活動(dòng)與已知威脅參與者、活動(dòng)以及策略、技術(shù)和程序 (TTP) 相關(guān)聯(lián)，減少了誤報(bào)。

輕量級(jí)Agent：

利用輕量級(jí)代理，可以在不同的終端上高效運(yùn)行，確保用戶可以不間斷地工作，同時(shí)免受網(wǎng)絡(luò)威脅。

在數(shù)字時(shí)代，終端是企業(yè)和組織的重點(diǎn)防護(hù)對(duì)象。借助江民赤豹終端檢測和響應(yīng)(EDR)，通過行為分析、人工智能驅(qū)動(dòng)的威脅檢測、威脅狩獵和主動(dòng)響應(yīng)的無縫集成，江民赤豹EDR使用戶能夠快速發(fā)現(xiàn)和處理數(shù)字時(shí)代的終端威脅，保護(hù)其數(shù)字基礎(chǔ)設(shè)施、降低風(fēng)險(xiǎn)并保持強(qiáng)大的網(wǎng)絡(luò)安全防御。

江民赤豹終端安全團(tuán)隊(duì)專注于終端安全攻防技術(shù)研究和產(chǎn)品研發(fā)，開發(fā)了包括江民速智版殺毒軟件、江民網(wǎng)絡(luò)版殺毒軟件、赤豹終端安全管理系統(tǒng)、赤豹近衛(wèi)終端安全防御系統(tǒng)、赤豹終端安全檢測與響應(yīng)系統(tǒng)等多款終端安全產(chǎn)品。赤豹終端安全團(tuán)隊(duì)持續(xù)聚焦終端高級(jí)威脅防護(hù)和攻防對(duì)抗，可以幫助客戶建立面向已知和未知威脅防護(hù)以及統(tǒng)一管控、高效運(yùn)維的新一代終端安全立體防護(hù)體系。