什么是终端防护与响应
随着数字化的不断深入,企业越来越依赖网络通信技术以满足其业务需求,与此同时,企业面临的网络安全风险也越来越大。由于人的行为具有不确定性,电脑、服务器等终端作为直接与人交互的装置,面临更多的安全风险,往往是整个网络安全防护流程中最薄弱的环节。近年来,针对终端的攻击行为层出不穷,攻击者不仅可以从外部入侵,还可以直接从企业内部发起攻击,导致终端感染甚至威胁扩散,造成企业重大经济损失。
企业终端安全面临着严峻的挑战,是网络安全建设的重点关注对象。
- 终端信息无法统筹,管理难
传统终端安全产品主要着眼于单点终端上的病毒查杀,因为缺乏对终端信息的集中收集和分析,管理员无法统筹管理企业终端资产,全面识别系统漏洞。对于终端数量庞大的企业来说,此弊端尤为明显,容易导致企业终端被黑客或恶意竞争者攻击,造成企业关键数据泄露或业务中断。
- 未知威胁不断涌现,应对难
随着威胁手段和攻击技术的不断提高,企业频频遭受未知威胁攻击,例如无文件攻击、勒索变种、高级持续性威胁等。然而传统安全产品仅采用威胁特征库匹配技术,只能识别已知威胁,无法有效应对不断涌现的新型威胁。
- 威胁事件无法溯源,分析难
传统终端安全产品忽视攻击路径分析,无法对威胁事件进行事后溯源,企业不能感知威胁事件发生的原因和过程。因此,管理员无法根据威胁发生原因制定对应的防御策略,不能从根本上阻断威胁,导致同类威胁事件重复发生。
传统终端安全产品无法解决终端管理难、未知威胁应对难、溯源分析难等问题,华为乾坤在深入分析终端安全建设困境后,推出了终端防护与响应服务。
终端防护与响应服务是针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构,由云端和安装在终端侧的华为乾坤EDR Agent软件(后文简称为EDR Agent)组成,如图1所示。
云端提供资产管理、威胁检测和溯源处置功能,具体内容如下。
- 资产管理:提供自动化终端资产清点能力,统筹管理终端信息并进行多维资产风险评估,实时感知资产状态。
- 威胁检测:提供终端全攻击路径威胁检测能力,对检出的风险进行自动阻断。
- 溯源处置:提供攻击可视化能力,对威胁事件进行精确的溯源分析,支撑威胁事件深度清理。
EDR Agent需要安装到企业内网的每一台终端上,主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS(Domain Name System,域名系统)请求信息,并执行云端下发的指令和预置的主动防御策略。
