云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
新版首发|安恒EDR新版焕新来袭,高级威胁攻防“新利器”
层出不穷的网络高级威胁
不断增长的网络安全应急实战需求
对终端安全防护提出了新要求
安恒明御主机安全及管理系统(安恒EDR)
结合安全研究院多年攻防对抗经验
匠心打造,“安恒EDR新版本”强势来袭
上新高级威胁、病毒防护、攻击溯源等硬核功能
攻防新利器,为国家关键信息基础设施保驾护航
下面,跟随小编
一起揭秘新版安恒EDR的“独特之处”。
攻防利器1:
高级威胁 – 专为攻防对抗而生
根据ATT&CK理论,对攻防对抗的各个阶段进行防护,包括单机扩展、隧道搭建、内网探测、远控持久化、痕迹清除。高级威胁功能不仅可以做到威胁攻击审计,还可以防止黑客渗透攻击,实现攻防对抗360度防御。
单机扩展:针对本机的扩展行为(信息收集、本机提权等)进行监测,防止提权行为和信息泄露。
隧道搭建:识别渗透过程中的隧道代理(内网穿透、端口转发、代理等),可阻断隧道代理搭建行为。
内网探测:对内网的恶意攻击行为(哈希传递、漏洞利用、横向移动)进行识别,可阻断恶意探测行为。
远控持久化:对失陷后主机远控持久化(反弹shell、远程控制)行为进行检测,可阻断远控。
痕迹清除:可对渗透的收尾阶段的数据清理行为进行识别和阻断。
攻防利器2:
病毒防护 – 增强驱动查杀和动态防御技术
强化快速扫描:支持对内存、计划任务、WMI等隐蔽启动的恶意程序查杀。
扫描缓存:针对大量文件的情况,在文件不改变的前提下缓存信息,二次扫描可大幅度提高效率。
驱动杀毒:针对脚本类、网马类、隐藏挖矿类、顽固型病毒的防御能力全面增强。
动态防御:完善文件落地查杀、新增模块加载、脚本加载、驱动加载时防御。
病毒修复:针对感染型病毒、宏病毒的修复能力增强,极大的提升了修复的成功率。
病毒处理:支持自定义病毒文件的处理方式,优先进行文件的修复操作,并且将病毒文件进行备份,方便后续找回。
攻防利器3:
攻击溯源 – 攻击链路全流程记录
攻防对抗视角:日志进行全面改版及优化,不仅可以阻断及记录攻防对抗的各个阶段,还可以非常详细的记录到进程链路:包括恶意进程、进程ID、进程命令行、进程用户名、父进程、父进程命令行、父进程用户名、进程链以及操作路径、操作方式、操作结果,甚至可以追踪到来源IP和地理位置。实现事前攻击审计、事中威胁阻断、事后追踪溯源。
风险评级:对每一种攻击事件进行风险评级(已失陷、高风险、低风险),便于客户以及安全分析人员清楚安全事件的重要性以及紧急性。
日志分类:对日志类型进行新增和调整,包括防护日志、运维日志、操作日志,便于审计和管理,同时支持所有日志类型导出。
报表功能:增加报表功能,根据时间段生成风险报表,提供多维度报表分析包括事件趋势、病毒Top10、易被勒索Top10、风险资产Top10、总体概率,并且支持WORD、PDF、HTML三种报表类型导出。
外设管理 – 多维度外设支持
针对于桌面系统更加严格的外设要求和运维管理需求,安恒EDR新增多种外设类型以满足不同场景下的管理。
按照设备类型进行管控:包括光驱、软驱、打印机、调制解调器、红外设备、蓝牙设备、摄像头、鼠标、键盘、手机/数码设备。
按照接口类型进行管理:USB接口、串口/并口、1394控制器、PCMCIA接口。
按照移动存储设备进行管理:包括授权移动存储、未授权移动存储(注册后方可使用)、使用审计、自动审批功能。
策略管理 – 原批量配置全面升级
全新升级后的策略管理抛弃掉了原先复杂的模板录制功能,只需要简单的新增编辑即可。不仅做到了所有策略配置完成后可以清晰的查看,也可以查看到已经绑定到哪个资产。后续只需要一次更新策略,即可完成策略的全网更新。
支持按策略和按资产双维度进行策略的配置和管理,从本质上解决了无法查看应用配置以及应用资产、资产离线和卸载资产策略配置丢失的情况。
IP/MAC绑定 – 解决内网IP地址冲突
为防止终端资产随便修改IP,导致网内IP地址冲突,进而引起网络歇火,安恒EDR新增IP/MAC绑定功能并进行强化;支持对默认网关、子网掩码、DNS等绑定,支持单网卡多IP模式;一旦发现绑定后IP被修改的情况,将会及时改回并且进行日志告警。
升级部署 – 减轻一线运维人员压力
版本升级只需要一键导入升级包,即可实现中心版本以及客户端版本的升级,无需单独升级客户端版本。
支持离线部署,可以在客户端与中心网络不通的情况下离线部署,只需要等待客户端和中心网络通讯时即自动绑定上线。
更多惊喜 – 等着你去发现
1、专业的启动项管理,支持计划任务、系统服务、驱动程序、桌面插件、IE浏览器插件等多种启动项的查看和删除管理。
2、对资产进行资产风险评估,并且给出参考的评估分值以及勒索和挖矿的风险程度。
3、支持对多个资产进行关机、重启操作,便于运维人员的资产运维操作。
4、增加了驱动同步功能,内核升级后,会自动从中心下载驱动,防止出现驱动不适配情况。
5、许可进行重构,增加模块化控制机制,可自由选配高级威胁等模块。
安恒EDR是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;自主研发的免疫引擎与专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护、流量画像;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、国产操作系统、容器安全等各个场景。
