首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

新版首發(fā)｜安恒EDR新版煥新來(lái)襲，高級(jí)威脅攻防“新利器”

閱讀量：次

層出不窮的網(wǎng)絡(luò)高級(jí)威脅

不斷增長(zhǎng)的網(wǎng)絡(luò)安全應(yīng)急實(shí)戰(zhàn)需求

對(duì)終端安全防護(hù)提出了新要求

安恒明御主機(jī)安全及管理系統(tǒng)（安恒EDR）

結(jié)合安全研究院多年攻防對(duì)抗經(jīng)驗(yàn)

匠心打造，“安恒EDR新版本”強(qiáng)勢(shì)來(lái)襲

上新高級(jí)威脅、病毒防護(hù)、攻擊溯源等硬核功能

攻防新利器，為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保駕護(hù)航

下面，跟隨小編

一起揭秘新版安恒EDR的“獨(dú)特之處”。

攻防利器1：

高級(jí)威脅 – 專(zhuān)為攻防對(duì)抗而生

根據(jù)ATT&CK理論，對(duì)攻防對(duì)抗的各個(gè)階段進(jìn)行防護(hù)，包括單機(jī)擴(kuò)展、隧道搭建、內(nèi)網(wǎng)探測(cè)、遠(yuǎn)控持久化、痕跡清除。高級(jí)威脅功能不僅可以做到威脅攻擊審計(jì)，還可以防止黑客滲透攻擊，實(shí)現(xiàn)攻防對(duì)抗360度防御。

單機(jī)擴(kuò)展：針對(duì)本機(jī)的擴(kuò)展行為（信息收集、本機(jī)提權(quán)等）進(jìn)行監(jiān)測(cè)，防止提權(quán)行為和信息泄露。

隧道搭建：識(shí)別滲透過(guò)程中的隧道代理（內(nèi)網(wǎng)穿透、端口轉(zhuǎn)發(fā)、代理等），可阻斷隧道代理搭建行為。

內(nèi)網(wǎng)探測(cè)：對(duì)內(nèi)網(wǎng)的惡意攻擊行為（哈希傳遞、漏洞利用、橫向移動(dòng)）進(jìn)行識(shí)別，可阻斷惡意探測(cè)行為。

遠(yuǎn)控持久化：對(duì)失陷后主機(jī)遠(yuǎn)控持久化（反彈shell、遠(yuǎn)程控制）行為進(jìn)行檢測(cè)，可阻斷遠(yuǎn)控。

痕跡清除：可對(duì)滲透的收尾階段的數(shù)據(jù)清理行為進(jìn)行識(shí)別和阻斷。

安恒EDR

攻防利器2：

病毒防護(hù) – 增強(qiáng)驅(qū)動(dòng)查殺和動(dòng)態(tài)防御技術(shù)

強(qiáng)化快速掃描：支持對(duì)內(nèi)存、計(jì)劃任務(wù)、WMI等隱蔽啟動(dòng)的惡意程序查殺。

掃描緩存：針對(duì)大量文件的情況，在文件不改變的前提下緩存信息，二次掃描可大幅度提高效率。

驅(qū)動(dòng)殺毒：針對(duì)腳本類(lèi)、網(wǎng)馬類(lèi)、隱藏挖礦類(lèi)、頑固型病毒的防御能力全面增強(qiáng)。

動(dòng)態(tài)防御：完善文件落地查殺、新增模塊加載、腳本加載、驅(qū)動(dòng)加載時(shí)防御。

病毒修復(fù)：針對(duì)感染型病毒、宏病毒的修復(fù)能力增強(qiáng)，極大的提升了修復(fù)的成功率。

病毒處理：支持自定義病毒文件的處理方式，優(yōu)先進(jìn)行文件的修復(fù)操作，并且將病毒文件進(jìn)行備份，方便后續(xù)找回。

攻防利器3：

攻擊溯源 – 攻擊鏈路全流程記錄

攻防對(duì)抗視角：日志進(jìn)行全面改版及優(yōu)化，不僅可以阻斷及記錄攻防對(duì)抗的各個(gè)階段，還可以非常詳細(xì)的記錄到進(jìn)程鏈路：包括惡意進(jìn)程、進(jìn)程ID、進(jìn)程命令行、進(jìn)程用戶名、父進(jìn)程、父進(jìn)程命令行、父進(jìn)程用戶名、進(jìn)程鏈以及操作路徑、操作方式、操作結(jié)果，甚至可以追蹤到來(lái)源IP和地理位置。實(shí)現(xiàn)事前攻擊審計(jì)、事中威脅阻斷、事后追蹤溯源。

風(fēng)險(xiǎn)評(píng)級(jí)：對(duì)每一種攻擊事件進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)（已失陷、高風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)），便于客戶以及安全分析人員清楚安全事件的重要性以及緊急性。

日志分類(lèi)：對(duì)日志類(lèi)型進(jìn)行新增和調(diào)整，包括防護(hù)日志、運(yùn)維日志、操作日志，便于審計(jì)和管理，同時(shí)支持所有日志類(lèi)型導(dǎo)出。

報(bào)表功能：增加報(bào)表功能，根據(jù)時(shí)間段生成風(fēng)險(xiǎn)報(bào)表，提供多維度報(bào)表分析包括事件趨勢(shì)、病毒Top10、易被勒索Top10、風(fēng)險(xiǎn)資產(chǎn)Top10、總體概率，并且支持WORD、PDF、HTML三種報(bào)表類(lèi)型導(dǎo)出。

安恒EDR

外設(shè)管理 – 多維度外設(shè)支持

針對(duì)于桌面系統(tǒng)更加嚴(yán)格的外設(shè)要求和運(yùn)維管理需求，安恒EDR新增多種外設(shè)類(lèi)型以滿足不同場(chǎng)景下的管理。

按照設(shè)備類(lèi)型進(jìn)行管控：包括光驅(qū)、軟驅(qū)、打印機(jī)、調(diào)制解調(diào)器、紅外設(shè)備、藍(lán)牙設(shè)備、攝像頭、鼠標(biāo)、鍵盤(pán)、手機(jī)/數(shù)碼設(shè)備。

按照接口類(lèi)型進(jìn)行管理：USB接口、串口/并口、1394控制器、PCMCIA接口。

按照移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理：包括授權(quán)移動(dòng)存儲(chǔ)、未授權(quán)移動(dòng)存儲(chǔ)（注冊(cè)后方可使用）、使用審計(jì)、自動(dòng)審批功能。

策略管理 – 原批量配置全面升級(jí)

全新升級(jí)后的策略管理拋棄掉了原先復(fù)雜的模板錄制功能，只需要簡(jiǎn)單的新增編輯即可。不僅做到了所有策略配置完成后可以清晰的查看，也可以查看到已經(jīng)綁定到哪個(gè)資產(chǎn)。后續(xù)只需要一次更新策略，即可完成策略的全網(wǎng)更新。

支持按策略和按資產(chǎn)雙維度進(jìn)行策略的配置和管理，從本質(zhì)上解決了無(wú)法查看應(yīng)用配置以及應(yīng)用資產(chǎn)、資產(chǎn)離線和卸載資產(chǎn)策略配置丟失的情況。

安恒EDR—策略管理

IP/MAC綁定 – 解決內(nèi)網(wǎng)IP地址沖突

為防止終端資產(chǎn)隨便修改IP，導(dǎo)致網(wǎng)內(nèi)IP地址沖突，進(jìn)而引起網(wǎng)絡(luò)歇火，安恒EDR新增IP/MAC綁定功能并進(jìn)行強(qiáng)化；支持對(duì)默認(rèn)網(wǎng)關(guān)、子網(wǎng)掩碼、DNS等綁定，支持單網(wǎng)卡多IP模式；一旦發(fā)現(xiàn)綁定后IP被修改的情況，將會(huì)及時(shí)改回并且進(jìn)行日志告警。

升級(jí)部署 – 減輕一線運(yùn)維人員壓力

版本升級(jí)只需要一鍵導(dǎo)入升級(jí)包，即可實(shí)現(xiàn)中心版本以及客戶端版本的升級(jí)，無(wú)需單獨(dú)升級(jí)客戶端版本。

支持離線部署，可以在客戶端與中心網(wǎng)絡(luò)不通的情況下離線部署，只需要等待客戶端和中心網(wǎng)絡(luò)通訊時(shí)即自動(dòng)綁定上線。

更多驚喜 – 等著你去發(fā)現(xiàn)

1、專(zhuān)業(yè)的啟動(dòng)項(xiàng)管理，支持計(jì)劃任務(wù)、系統(tǒng)服務(wù)、驅(qū)動(dòng)程序、桌面插件、IE瀏覽器插件等多種啟動(dòng)項(xiàng)的查看和刪除管理。

2、對(duì)資產(chǎn)進(jìn)行資產(chǎn)風(fēng)險(xiǎn)評(píng)估，并且給出參考的評(píng)估分值以及勒索和挖礦的風(fēng)險(xiǎn)程度。

3、支持對(duì)多個(gè)資產(chǎn)進(jìn)行關(guān)機(jī)、重啟操作，便于運(yùn)維人員的資產(chǎn)運(yùn)維操作。

4、增加了驅(qū)動(dòng)同步功能，內(nèi)核升級(jí)后，會(huì)自動(dòng)從中心下載驅(qū)動(dòng)，防止出現(xiàn)驅(qū)動(dòng)不適配情況。

5、許可進(jìn)行重構(gòu)，增加模塊化控制機(jī)制，可自由選配高級(jí)威脅等模塊。

安恒EDR是一款集成了豐富的系統(tǒng)防護(hù)與加固、網(wǎng)絡(luò)防護(hù)與加固等功能的主機(jī)安全產(chǎn)品。業(yè)界獨(dú)有的高級(jí)威脅模塊，專(zhuān)門(mén)應(yīng)對(duì)攻防對(duì)抗場(chǎng)景；自主研發(fā)的免疫引擎與專(zhuān)利級(jí)文件誘餌引擎，有著業(yè)界領(lǐng)先的勒索專(zhuān)防專(zhuān)殺能力；通過(guò)內(nèi)核級(jí)東西向流量隔離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)、流量畫(huà)像；擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測(cè)與阻斷等主機(jī)安全能力。目前產(chǎn)品廣泛應(yīng)用在服務(wù)器、桌面PC、虛擬機(jī)、工控系統(tǒng)、國(guó)產(chǎn)操作系統(tǒng)、容器安全等各個(gè)場(chǎng)景。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>