ITPub博客

首页 > IT基础架构 > 网络安全 > 首创“数据随动机制” 启明星辰天珣助力深耕EDR市场

首创“数据随动机制” 启明星辰天珣助力深耕EDR市场

原创 网络安全 作者:高博 时间:2020-10-23 20:10:48 0 删除 编辑

伴随网络安全威胁的爆发式增长,传统的网络安全防御已经难以和全新的网络安全威胁正面“硬碰硬”。纵观整体网络安全行业,目前对于已知安全威胁的防御已经相当成熟,但如何才能有效检测感知并防范未知威胁成为很多企业的一大心病。

尤其随着用户安全防护能力的大幅提升,网络安全入侵对抗进入僵持期,攻击方“吊打”防御方的时代已经结束,同时用户的安全防护思路也有着较大的提升和改进,一方面要求安全服务商对威胁的检测精度要提升;另一方面对威胁是如何进行的也要清楚,即要求服务商对威胁溯源的能力;第三,对于威胁的响应,也不再是断网、应用停摆这种休克疗法,而是根据威胁溯源进行精确的响应。EDR,全称Endpoint Detection and Response,即终端检测与响应,正是在这样的时代背景下产生的。

在和启明星辰终端安全产品线总经理万淼沟通时,万淼提到:“EDR的概念最早是在2013年由Gartner提出的,当时主要是面向欧美市场。EDR概念刚刚提出时,由于我国本身的网络基础设施建设和欧美存在一定差异,所以当时并没有落地。”

她提到,EDR概念在国内真正被重视是在2018年左右,当时正值永恒之蓝爆发前后,大家发现当时传统的终端防护手段无法进行有效防护,传统终端安全产品如杀毒软件、终端防护软件等会被新型威胁绕过,用户急需补充新的安全能力,EDR由于具备对异常行为、未知威胁的检测能力以及对威胁的溯源能力,在国内安全市场的热度有了迅速提升。

不追热点,对症下药 | 天珣EDR应运而生

启明星辰在终端安全层面的积累已有十多年,拥有现成的传统EPP、准入、DLP、文档保护等产品。如果为赶热点,启明星辰当时完全可以很快地基于传统的技术包装出EDR产品并推出市场,也就是所谓的新瓶装旧酒,但启明星辰沉住了气。

启明星辰通过对架构进行反复的论证、推敲,并综合国内外用户对EDR产品的定义及需求,看哪些需求是传统技术手段所不能解决的,从而真正开发设计了一款能够在用户现场解决实际问题,经受用户考验的产品——天珣终端高级威胁检测与响应系统(下简称:天珣EDR)。

匠心所致 | 只为做出一款经受住用户考验的EDR产品。

根据启明星辰EDR产品经理宋晓鹏介绍,目前市场上主要存在三种形式的EDR产品:

第一种,传统EPP:本土化EDR的雏形,其着重杀毒能力,能够在终端上处理所有事物,此类EDR产品交互性强,但对于终端的资源占用也较高;

第二种,重EDR:本土化EDR的进阶形式,大部分是在老EDR形式上进行包装,着重触发式的威胁检测能力;

第三种,轻EDR:将EDR整体做一个应用,并将其安全能力进行剥离,依靠平台来做整体分析,终端只做信息采集和响应使用。终端不需要处理任何业务,从而做到特别轻量化,将终端的资源占用做到最低。

而启明星辰的天珣EDR解决方案就采用了轻EDR的方式,总结下来就是“至轻、至简、至用”。根据介绍,天珣EDR使用极致轻量级客户端作为终端信息采集和安全响应点,最小仅为500k。客户端“零”配置,静默运行,极至便利的用户使用。配合高性能管理平台对终端采集的原始数据进行清洗、聚合、威胁检测、行为分析,应用业内独创的“数据随动机制”自适应闭环设计理念,对终端威胁进行全面安全响应,依托全量信息采集能力,实现对威胁全视角、全过程溯源,从而有效检测安全威胁,提高安全防护效果。

而在产品能力层面,天珣EDR解决方案主要具备有 五大核心能力

●细颗粒度资产盘点:具有多维度的数据采集能力,支持对终端静态信息和动态信息进行采集盘点,包括硬件配置信息、软件应用信息、安全合规信息、系统运行信息并且具备精细化采集到开放端口、使用账号、中间件(名称、系列、版本)等具备潜在威胁隐患信息能力,掌握终端的基础安全状态和工作常态,便于更好地发现终端中的异常态势和威胁线索,让组织对基础安全现状看得见、看得全、理得清、查得到。

●安全威胁态势可视化:采用全因素综合研判机制,发现未安装的重要补丁、应用配置缺陷、应用新型漏洞、异常账户、弱口令及威胁留存等安全因素,通过管理平台对终端安全状态以数值形式量化呈现,对威胁维度、范围、趋势、走向进行预判,帮助管理人员通过直观、可视化的界面,了解内网终端安全威胁态势。

●主机东西向流量可视化:采用东西向流量画像技术,构建清晰可视的东西向流量详情,帮助管理人员理清子网、出入口和终端访问关系,同时对于连接安全性进行研判,根据研判结果和内网访问规划,通过微隔离技术细化网络访问控制。

●安全闭环的数据随动机制:EDR随着终端运行数据的变化以及安全威胁的变化来动态调整防护模式,根据不同场景需求,灵活调用检测、分析、响应、溯源等不同引擎,给终端提供最契合并且不间断的安全能力,实现了终端威胁的快速跟踪和准确定位。

●威胁溯源:通过网络连接溯源、文件流转路径溯源和进程关联关系溯源,天珣EDR可以对终端所有已经发生和正在发生的安全事件定位威胁源头、威胁发生过程及威胁影响范围,为善后、整改提供有效的数据支撑,从而帮助管理人员看到、看清、看全内网安全威胁。

由此来看,启明星辰的天珣EDR产品是从真实用户场景出发,满足用户实际需求的产品。正如启明星辰所讲,做出产品的时间或早或晚,但能研发出切实解决用户问题的产品才是永远不会过时的产品。

EDR市场未来整体向好

提到EDR市场未来的发展趋势,万淼提到,国外EDR已经做了很长时间,比较有代表性的有Crowdstrike、Carbon Black等。从国外市场来看,EDR有着非常大的潜力,发展趋势良好。国内市场上,用户对于未知威胁发现的需求、对威胁溯源的需求以及联动上对终端数据采集的需求非常明确,且需求量非常之大,使得EDR在国内市场上发展空间和潜力也很大。

她认为,回归产品本身,EDR是一个功能比较复杂的产品,与用户的交互较多,需要通过用户不断地实际磨炼来完善功能,包括分析引擎的维度,数据采集的维度,以及响应的精准度,这些都是EDR未来要探讨的问题。

写在最后

前文提到,EDR并不是一个新兴的产物,但真正能做到完全贴合用户需求的EDR产品绝非易事。启明星辰作为一家老牌的网络安全厂商,经过多年的技术积累和对用户需求的不断摸索,终归打造出了真正贴合用户需求的EDR产品。如万淼所讲,未来EDR市场蕴藏着巨大潜力,启明星辰的天珣EDR作为EDR市场的“新秀”究竟能给用户带来怎样的惊喜,让我们拭目以待!

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31545812/viewspace-2729289/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-09-19

  • 博文量
    118
  • 访问量
    226189