新時代下企業(yè)級終端安全面臨嚴(yán)峻挑戰(zhàn)

相較于個人終端而言，企業(yè)終端、數(shù)據(jù)等資產(chǎn)價值更高，由終端、服務(wù)器等不同軟硬件所組成辦公局域網(wǎng)，帶來更為復(fù)雜的病毒來源、感染、傳播途徑，正因此企業(yè)用戶面臨更為嚴(yán)峻的終端安全挑戰(zhàn)，對防護(hù)、管理、應(yīng)用等多方面提出更高要求。

  ●人工運維加劇威脅防御成本

傳統(tǒng)終端安全產(chǎn)品以策略、特征為基礎(chǔ)，輔以組織規(guī)定以及人員操作制度驅(qū)動威脅防御，高級威脅一旦產(chǎn)生，將會不可控的傳播，勢必帶來人工成本的幾何增長，且對企業(yè)運維人員專業(yè)性要求極高，有效應(yīng)對威脅難度大。

● 基于特征匹配殺毒無法有效抵御新型病毒

基于病毒特征庫方式進(jìn)行殺毒，在高級威脅持續(xù)產(chǎn)生的大環(huán)境下，呈現(xiàn)被動、后知后覺等檢測特點，無法及時有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征庫數(shù)量受限，現(xiàn)有特征庫文件規(guī)模無法滿足已知病毒的查殺需求。

●  病毒特征庫數(shù)量增長加重主機運算資源

本地病毒特征庫數(shù)量日益增多，加重終端存儲、運算資源成本，防御威脅過程已嚴(yán)重影響用戶日常辦公，無法適應(yīng)如云化等新的特定場景。

● 殺毒處置方式落后無法適應(yīng)病毒新的傳播方式與環(huán)境

采取基于文件隔離的處置方式相對落后，如文件隔離失敗情況產(chǎn)生，單點威脅將快速輻射到面，因此傳統(tǒng)防毒產(chǎn)品已經(jīng)無法適應(yīng)新的病毒傳播方式及環(huán)境。

終端安全檢測平臺

圍繞終端資產(chǎn)安全生命周期，通過預(yù)防、防御、檢測、響應(yīng)賦予終端更為細(xì)致的隔離策略，更為精準(zhǔn)的查殺能力、更為持續(xù)的檢測能力、更為快速的處置能力。在應(yīng)對高級威脅的同時，通過云網(wǎng)端聯(lián)動協(xié)同、威脅情報共享、多層級響應(yīng)機制，幫助用戶快速處置終端安全問題，構(gòu)建輕量級、智能化、響應(yīng)快的下一代終端安全檢測平臺。

終端安全檢測平臺架構(gòu)

應(yīng)用場景

● 防病毒

風(fēng)險場景：組織內(nèi)部終端呈現(xiàn)覆蓋面廣、點數(shù)眾多、網(wǎng)絡(luò)化辦公等特點，新型未知病毒、勒索病毒出現(xiàn)，嚴(yán)重影響用戶日常辦公，無法保障內(nèi)部核心數(shù)據(jù)安全。

應(yīng)用效果：基于 AI 技術(shù)的查殺引擎，利用深度學(xué)習(xí)的技術(shù)，通過對海量樣本數(shù)據(jù)的學(xué)習(xí)，提煉出來的高維特征，具備有很強的泛化能力，從而可以應(yīng)對更多的未知威脅。而這些高維特征數(shù)量極少，并且不會隨著病毒數(shù)同步增長，因此，AI 技術(shù)具有更好檢出效果、更低資源消耗的優(yōu)點。

當(dāng)然，僅靠一個 AI 殺毒引擎是不夠的，深信服的 EDR 產(chǎn)品構(gòu)建了一個多維度、輕量級的漏斗型檢測框架，包含文件信譽檢測引擎、基因特征檢測引擎、AI 技術(shù)的 SAVE 引擎、行為引擎、云查引擎等。通過層層過濾，檢測更準(zhǔn)確、更高效，資源占用消耗更低。

● 設(shè)備聯(lián)動場景

風(fēng)險場景：絕大部分組織內(nèi)部均已部署如防火墻、入侵防御等邊界網(wǎng)關(guān)設(shè)備，但相關(guān)設(shè)備往往是各司其職，無法形成有效的整體安全防御體系。

應(yīng)用效果：終端安全檢測響應(yīng)平臺能與 NGAF、AC、SIP、安全云腦等進(jìn)行產(chǎn)品進(jìn)行協(xié)同聯(lián)動響應(yīng)，形成涵蓋云、邊界、端點上中下立體防御架構(gòu)，內(nèi)外部威脅情報可實時共享。終端安全檢測響應(yīng)平臺可與安全云腦協(xié)同響應(yīng)，關(guān)聯(lián)在線數(shù)十萬臺安全設(shè)備的云反饋威脅情報數(shù)據(jù)，以及第三方合作伙伴交換的威脅情報數(shù)據(jù)，智能分析精準(zhǔn)判斷，超越傳統(tǒng)的黑白名單和靜態(tài)特征庫，為已知、未知威脅檢測提供有力支持?？膳c防火墻 NGAF、SIP 產(chǎn)品進(jìn)行關(guān)聯(lián)檢測、取證、響應(yīng)、溯源等防護(hù)措施，與 AC 產(chǎn)品進(jìn)行合規(guī)認(rèn)證審查、安全事件響應(yīng)等防護(hù)措施，形成應(yīng)對威脅的云管端立體化縱深防護(hù)閉環(huán)體系。

● 服務(wù)器主機防護(hù)場景

風(fēng)險場景：基于傳統(tǒng)服務(wù)器，云化虛擬機等數(shù)據(jù)中心場景，域內(nèi)不同權(quán)限業(yè)務(wù)域訪問關(guān)系混亂，流量不可視，無法應(yīng)對業(yè)務(wù)承載位置動態(tài)變化導(dǎo)致的邊界消失，威脅橫向漂移等諸多問題

應(yīng)用效果：創(chuàng)新微隔離技術(shù)架構(gòu)于主機防火墻之上，致力解決病毒東西向、橫向移動和內(nèi)網(wǎng)擴散和處置問題，提出了一種基于安全域應(yīng)用角色之間的流量訪問控制的系統(tǒng)解決方案，提供全面基于主機應(yīng)用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應(yīng)用服務(wù)之間訪問進(jìn)行隔離技術(shù)實現(xiàn)。集中統(tǒng)一管理服務(wù)器的訪問控制策略。并且基于安裝輕量級主機 Agent 軟件的訪問控制，不受虛擬化平臺的影響，不受物理機器和虛擬機器的影響。

平臺優(yōu)勢特性

● 下一代人工智能殺毒引擎

相比傳統(tǒng)殺毒引擎，SAVE引擎采用了人工智能無特征技術(shù)，對不在病毒庫里的未知病毒或變種，也能有效地鑒定。

● 創(chuàng)新微隔離

創(chuàng)新微隔離技術(shù)，有效應(yīng)對高級威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系統(tǒng)環(huán)境可控性大大提高。

● 流量可視化

部署于每臺物理PC/VM上的端點agent，能夠?qū)Σ煌它c、不同業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系、訪問路徑、橫向威脅進(jìn)行檢測與響應(yīng)，使網(wǎng)內(nèi)互訪行為，全面直觀掌握。

● 廣泛的兼容特性