AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
新版首發|安恒EDR新版煥新來襲,高級威脅攻防“新利器”
層出不窮的網絡高級威脅
不斷增長的網絡安全應急實戰需求
對終端安全防護提出了新要求
安恒明御主機安全及管理系統(安恒EDR)
結合安全研究院多年攻防對抗經驗
匠心打造,“安恒EDR新版本”強勢來襲
上新高級威脅、病毒防護、攻擊溯源等硬核功能
攻防新利器,為國家關鍵信息基礎設施保駕護航
下面,跟隨小編
一起揭秘新版安恒EDR的“獨特之處”。
?
攻防利器1:
高級威脅 – 專為攻防對抗而生
?
根據ATT&CK理論,對攻防對抗的各個階段進行防護,包括單機擴展、隧道搭建、內網探測、遠控持久化、痕跡清除。高級威脅功能不僅可以做到威脅攻擊審計,還可以防止黑客滲透攻擊,實現攻防對抗360度防御。
?
單機擴展:針對本機的擴展行為(信息收集、本機提權等)進行監測,防止提權行為和信息泄露。
隧道搭建:識別滲透過程中的隧道代理(內網穿透、端口轉發、代理等),可阻斷隧道代理搭建行為。
內網探測:對內網的惡意攻擊行為(哈希傳遞、漏洞利用、橫向移動)進行識別,可阻斷惡意探測行為。
遠控持久化:對失陷后主機遠控持久化(反彈shell、遠程控制)行為進行檢測,可阻斷遠控。
痕跡清除:可對滲透的收尾階段的數據清理行為進行識別和阻斷。
攻防利器2:
病毒防護 – 增強驅動查殺和動態防御技術
?
強化快速掃描:支持對內存、計劃任務、WMI等隱蔽啟動的惡意程序查殺。
掃描緩存:針對大量文件的情況,在文件不改變的前提下緩存信息,二次掃描可大幅度提高效率。
驅動殺毒:針對腳本類、網馬類、隱藏挖礦類、頑固型病毒的防御能力全面增強。
動態防御:完善文件落地查殺、新增模塊加載、腳本加載、驅動加載時防御。
病毒修復:針對感染型病毒、宏病毒的修復能力增強,極大的提升了修復的成功率。
病毒處理:支持自定義病毒文件的處理方式,優先進行文件的修復操作,并且將病毒文件進行備份,方便后續找回。
?
攻防利器3:
攻擊溯源 – 攻擊鏈路全流程記錄
?
攻防對抗視角:日志進行全面改版及優化,不僅可以阻斷及記錄攻防對抗的各個階段,還可以非常詳細的記錄到進程鏈路:包括惡意進程、進程ID、進程命令行、進程用戶名、父進程、父進程命令行、父進程用戶名、進程鏈以及操作路徑、操作方式、操作結果,甚至可以追蹤到來源IP和地理位置。實現事前攻擊審計、事中威脅阻斷、事后追蹤溯源。
風險評級:對每一種攻擊事件進行風險評級(已失陷、高風險、低風險),便于客戶以及安全分析人員清楚安全事件的重要性以及緊急性。
日志分類:對日志類型進行新增和調整,包括防護日志、運維日志、操作日志,便于審計和管理,同時支持所有日志類型導出。
報表功能:增加報表功能,根據時間段生成風險報表,提供多維度報表分析包括事件趨勢、病毒Top10、易被勒索Top10、風險資產Top10、總體概率,并且支持WORD、PDF、HTML三種報表類型導出。
外設管理 – 多維度外設支持
?
針對于桌面系統更加嚴格的外設要求和運維管理需求,安恒EDR新增多種外設類型以滿足不同場景下的管理。
按照設備類型進行管控:包括光驅、軟驅、打印機、調制解調器、紅外設備、藍牙設備、攝像頭、鼠標、鍵盤、手機/數碼設備。
按照接口類型進行管理:USB接口、串口/并口、1394控制器、PCMCIA接口。
按照移動存儲設備進行管理:包括授權移動存儲、未授權移動存儲(注冊后方可使用)、使用審計、自動審批功能。
?
策略管理 – 原批量配置全面升級
?
全新升級后的策略管理拋棄掉了原先復雜的模板錄制功能,只需要簡單的新增編輯即可。不僅做到了所有策略配置完成后可以清晰的查看,也可以查看到已經綁定到哪個資產。后續只需要一次更新策略,即可完成策略的全網更新。
支持按策略和按資產雙維度進行策略的配置和管理,從本質上解決了無法查看應用配置以及應用資產、資產離線和卸載資產策略配置丟失的情況。
IP/MAC綁定 – 解決內網IP地址沖突
?
為防止終端資產隨便修改IP,導致網內IP地址沖突,進而引起網絡歇火,安恒EDR新增IP/MAC綁定功能并進行強化;支持對默認網關、子網掩碼、DNS等綁定,支持單網卡多IP模式;一旦發現綁定后IP被修改的情況,將會及時改回并且進行日志告警。
?
升級部署 – 減輕一線運維人員壓力
?
版本升級只需要一鍵導入升級包,即可實現中心版本以及客戶端版本的升級,無需單獨升級客戶端版本。
支持離線部署,可以在客戶端與中心網絡不通的情況下離線部署,只需要等待客戶端和中心網絡通訊時即自動綁定上線。
?
更多驚喜 – 等著你去發現
?
1、專業的啟動項管理,支持計劃任務、系統服務、驅動程序、桌面插件、IE瀏覽器插件等多種啟動項的查看和刪除管理。
2、對資產進行資產風險評估,并且給出參考的評估分值以及勒索和挖礦的風險程度。
3、支持對多個資產進行關機、重啟操作,便于運維人員的資產運維操作。
4、增加了驅動同步功能,內核升級后,會自動從中心下載驅動,防止出現驅動不適配情況。
5、許可進行重構,增加模塊化控制機制,可自由選配高級威脅等模塊。
?
安恒EDR是一款集成了豐富的系統防護與加固、網絡防護與加固等功能的主機安全產品。業界獨有的高級威脅模塊,專門應對攻防對抗場景;自主研發的免疫引擎與專利級文件誘餌引擎,有著業界領先的勒索專防專殺能力;通過內核級東西向流量隔離技術,實現網絡隔離與防護、流量畫像;擁有補丁修復、外設管控、文件審計、違規外聯檢測與阻斷等主機安全能力。目前產品廣泛應用在服務器、桌面PC、虛擬機、工控系統、國產操作系統、容器安全等各個場景。
