梦见屎沾身
云主机具有很多优良的特性,比如简单高效、安全可靠、处理能力可弹性伸缩等等,还有自助管理、自动故障恢复、数据安全保障等功能,对于企业用户而言,可以很大程度上简化开发部署和降低运维成本,按需构建和扩展网站框架,更好地适应快速多变的互联网。
云平台内部不可视,用户无法管控虚机上的流量和应用,虚机之间缺乏隔离机制,网络一旦进入云平台内部,容易肆意蔓延。
除了技术以外,不少企业对于主机安全防护的意识仍然比较淡薄,在主机安全在管理与上存在不少问题。
传统安全解决方案无法自适应云计算时代的新架构,无法接入虚拟化,需要重新进行开发。并且传统方案通常是单点防御,多个防御点难以联动,防护效果不佳。
在这种新的安全形势下,采取主动防御的方式端点安全越来越有必要。我们需要一种新的防护方案,这种方案应该兼备实时、检测、高级分析及响应等多种功能。因此,业界提出了一种新型的安全解决方案EDR,即端点检测与响应。
EDR全称Endpoint Dextection and Response,即端点检测与响应,是发端于美国的下一代终端安全防护技术,该技术属于终端安全技术的重要分支之一,主要用来应对日益的APT。
在传统安全产品的防护作用日益有限的现状下,EDR基于进程、多终端比对、溯源及访问分析等操作访问行为数据分析的防护,可以对APT等恶意进行有效的提前分析、阻断,并进行溯源取证等反制措施,其重要性大大凸显。
在前不久举行的新产品发布会上,我们发布的安全狗云眼正是针对云主机安全问题而研发的新一代(云)主机入侵监测及安全防护平台。云眼采用了先进的端点检测及响应(EDR)技术模型及自适应安全架构相结合的思,是新一代(云)主机入侵监测及安全管理系统,可以为用户解决公有云、私有云和混合云中遇到的安全及管理问题。
采用了EDR的安全产品能够“点亮”主机,让未知看得见,防得住:记录多个端点和网络事件,并将这些信息本地存储在主机、服务器或集中式数据库。和企业可通过机器学习、行为分析和指标数据库来整合关联分析,在产生危害前提前发现和预警,并对做出响应。
弥补了虚拟化安全产品的空白:基于应用程序对操作系统调用行为进行分析,不依赖于传统静态特征防护机制,能实现未知的秒级检测与响应。云眼超轻量化安全探针,使系统资源消耗量与同类产品相比可降低90%;而从安装到运行,轻盈稳定高效。云眼还可混合云跨平台统一部署管理,兼容Windows/Linux主机系统所有版本,针对虚拟化优化任务和资源调度,管理运维更简单省心,大幅降低“安全TCO”。
为Web网站持续和实时干预提供了必要手段:把检测和响应探针推到Web网站服务器,部署系统级的防护。通过“人眼识别”的技术对网站进行实时拍照比对,一旦发现问题便即时“熔断”,恶意行为不扩散。同时,通过5分钟访问流量缓存采集数据,获取黑客的径,第一时间找到漏洞以便网站快速恢复重新上线。
猎捕是情报和大数据分析相结合的产物,是综合EDR解决方案的关键组成部分。云眼不依赖已知的签名,而是通过搜索大量数据以发现行为者或新型的迹象。结合我们的情报和大数据技术能力,可以对文件及进程的hash值、C&C域名、黑IP等类型的进行猎捕。
为了更贴合云下的安全需求,我们同时采用了CWPP(Cloud Workload Protection Platforms,云工作负载安全平台方案)设计,采用轻量级Agent,与全部功能的重量级Agent相比,轻量级Agent实现了功能的最小集合,大大减轻Agent对于主机性能的影响。并且轻量级agent简单,能够动态地升级和更新,实现的代码少,容易传输。
通过主机端点上安装的轻代理对主机上的安全数据汇总到数据采集模块上进行统一的归类、加密,并传输给大数据分析模块。
基于安全狗公司云端的海量数据处理获取到未知,并将情报信息导入云眼系统大数据分析模块。
对主机端点采集到的安全数据结合获取到的情报信息,进行情报大数据分析,准确识别出事件。
对识别出的事件进行告警通知及响应处置。安全狗可通过情报的,借由最新的安全线索快速锁定主机,通过实时数据和历史主机信息对于主机进行全面评估,主机的安全缺陷,通过自动化响应机制进行处置。在情报的下,可将一个复杂的高级安全响应,分解成为一系列行动过程,从而解决了高级难以处置的问题。
随着网络袭击事件数量的不断攀升,传统安全防御手段已难以招架规模庞大、攻势越猛的新式。利用包括EDR在内的新型的安全技术和思,可以让我们在应对新型的网络安全时更加游刃有余。安全狗作为云安全领域的佼佼者,一直致力于推出更好、更专业的安全产品和服务,安全狗云眼在未来会持续进化,在云主机安全的方向上做得更好,提供更好更强大的功能和服务!