安全狗发布EDR技术云主机安全如何解决方案

云主机具有很多优良的特性,比如简单高效、安全可靠、处理能力可弹性伸缩等等,还有自助管理、自动故障恢复、数据安全保障等功能,对于企业用户而言,可以很大程度上简化开

云主机具有很多优良的特性,比如简单高效、安全可靠、处理能力可弹性伸缩等等,还有自助管理、自动故障恢复、数据安全保障等功能,对于企业用户而言,可以很大程度上简化开发部署和降低运维成本,按需构建和扩展网站框架,更好地适应快速多变的互联网。

然而,全新的技术也带来了全新的安全隐患。

云服务的兴起使安全边界进一步模糊

随着云服务的日渐兴起,越来越多的业务上云,虚拟机成了安全的重灾区。

东西向的流量攻击日渐汹涌

云平台内部不可视,用户无法管控虚机上的流量和应用,虚机之间缺乏威胁隔离机制,网络威胁一旦进入云平台内部,容易肆意蔓延。

0Day漏洞带来的严重威胁

近几年来,大量0day漏洞泄露,大多数系统都可能受到影响。

除了技术以外,不少企业对于主机安全防护的意识仍然比较淡薄,在主机安全在管理与维护上存在不少问题。

主机组件资产数量庞大难以维护

很多互联网企业由于业务发展迅速,变更频繁,企业内部极少有人能及时了解本身的核心资产。

采用传统安全解决方案问题重重

传统安全解决方案无法自适应云计算时代的新架构,无法接入虚拟化环境,需要重新进行开发。并且传统方案通常是单点防御,多个防御点难以联动,防护效果不佳。

在这种新的安全形势下,采取主动防御的方式保护端点安全越来越有必要。我们需要一种新的防护方案,这种方案应该兼备实时监控、检测、高级威胁分析及响应等多种功能。因此,业界提出了一种新型的安全解决方案——EDR,即端点检测与响应。

EDR全称Endpoint Dextection and Response,即端点检测与响应,是发端于美国的下一代终端安全防护技术,该技术属于终端安全技术的重要分支之一,主要用来应对日益猖獗的APT攻击。

在传统安全产品的防护作用日益有限的现状下,EDR基于进程监控、多终端比对、溯源及访问分析等操作访问行为数据分析的防护理念,可以对APT等恶意攻击进行有效的提前分析、阻断,并进行溯源取证等反制措施,其重要性大大凸显。

在前不久举行的新产品发布会上,我们发布的安全狗·云眼正是针对云主机安全问题而研发的新一代(云)主机入侵监测及安全防护平台。云眼采用了先进的端点检测及响应(EDR)技术模型及自适应安全架构相结合的理念思路,是新一代(云)主机入侵监测及安全管理系统,可以为用户解决公有云、私有云和混合云环境中遇到的安全及管理问题。

云眼EDR技术的优势

未知威胁防护

采用了EDR的安全产品能够“点亮”主机环境,让未知威胁看得见,防得住:记录多个端点和网络事件,并将这些信息本地存储在主机、服务器或集中式数据库。政府和企业可通过机器学习、行为分析和攻击指标数据库来整合关联分析,在攻击产生危害前提前发现和预警,并对攻击做出响应。

虚拟机安全

弥补了虚拟化环境安全产品的空白:基于应用程序对操作系统调用行为进行分析,不依赖于传统静态特征防护机制,能实现未知威胁的秒级检测与响应。云眼超轻量化安全探针,使系统资源消耗量与同类产品相比可降低90%;而从安装到运行,轻盈稳定高效。云眼还可混合云跨平台统一部署管理,兼容Windows/Linux主机系统所有版本,针对虚拟化环境优化任务和资源调度,管理运维更简单省心,大幅降低“安全TCO”。

Web网站实时监测与防护

为Web网站持续监控和实时干预提供了必要手段:把检测和响应探针推到Web网站服务器,部署系统级的防护。通过“人眼识别”的技术对网站进行实时拍照比对,一旦发现问题便即时“熔断”,保证恶意行为不扩散。同时,通过5分钟访问流量缓存采集数据,获取黑客的攻击路径,第一时间找到漏洞以便网站快速恢复重新上线。

威胁猎捕

威胁猎捕是威胁情报和大数据分析相结合的产物,是综合EDR解决方案的关键组成部分。云眼不依赖已知的威胁签名,而是通过搜索大量数据以发现威胁行为者或新型攻击的迹象。结合我们的威胁情报和大数据技术能力,可以对文件及进程的hash值、C&C域名、黑IP等类型的威胁进行猎捕。

为了更贴合云环境下的安全需求,我们同时采用了CWPP(Cloud Workload Protection Platforms,云工作负载安全平台方案)设计,采用轻量级Agent,与全部功能的重量级Agent相比,轻量级Agent实现了功能的最小集合,大大减轻Agent对于主机性能的影响。并且轻量级agent简单,能够动态地升级和更新,实现的代码少,容易传输。

安全狗的端点检测及响应流程分为下面四个主要步骤

1、主机数据采集

通过主机端点上安装的轻代理对主机上的安全数据汇总到数据采集模块上进行统一的归类、加密,并传输给大数据分析模块。

2、威胁情报获取

基于安全狗公司云端的海量数据处理获取到未知威胁,并将威胁情报信息导入云眼系统大数据分析模块。

3、大数据分析

对主机端点采集到的安全数据结合获取到的威胁情报信息,进行威胁情报大数据分析,准确识别出威胁事件。

4、告警及响应

对识别出的威胁事件进行告警通知及响应处置。安全狗可通过威胁情报的指引,借由最新的安全线索快速锁定威胁主机,通过实时数据和历史主机信息对于受害主机进行全面评估,揭示主机的安全缺陷,通过自动化响应机制进行处置。在威胁情报的指引下,可将一个复杂的高级威胁安全响应,分解成为一系列行动过程,从而解决了高级威胁难以处置的问题。

随着网络袭击事件数量的不断攀升,传统安全防御手段已难以招架规模庞大、攻势越猛的新式攻击。利用包括EDR在内的新型的安全技术和思路,可以让我们在应对新型的网络安全威胁时更加游刃有余。安全狗作为云安全领域的佼佼者,一直致力于推出更好、更专业的安全产品和服务,安全狗·云眼在未来会持续进化,在云主机安全的方向上做得更好,提供更好更强大的功能和服务!