● 需求來源

近年(nian)來，針對(dui)終端設備的攻擊層出不窮，這些攻擊大多會(hui)利用操作系統上(shang)未(wei)公(gong)開的漏(lou)洞，由于傳統的防護手(shou)(shou)段在面臨APT、0day等高級攻擊時，無法形成(cheng)有效防御。因此，面對(dui)新型攻擊手(shou)(shou)段和(he)未(wei)知(zhi)安(an)全(quan)漏(lou)洞，終端安(an)全(quan)亟需打破傳統防御思路，從技術上(shang)主動(dong)發(fa)現、識別(bie)各類已知(zhi)和(he)未(wei)知(zhi)安(an)全(quan)威脅，及時阻斷(duan)網絡入(ru)侵行為(wei)，同時提(ti)供(gong)一種安(an)全(quan)防護托(tuo)底的手(shou)(shou)段，在安(an)全(quan)事(shi)件發(fa)生后，對(dui)安(an)全(quan)事(shi)件進(jin)行取證分析(xi)和(he)追(zhui)蹤溯(su)源。

Gartner將EDR（Endpoint detection and response，端(duan)(duan)點(dian)檢測(ce)和響(xiang)應）定義為“記錄和存儲端(duan)(duan)點(dian)系(xi)統級行為的解決方案，使用各種數據(ju)分析技術檢測(ce)可疑系(xi)統行為，提(ti)供(gong)上下(xia)文信息(xi)，阻止惡意(yi)活動，并提(ti)供(gong)修(xiu)復(fu)建議以(yi)恢復(fu)受影(ying)響(xiang)的系(xi)統。主要功能包括：檢測(ce)安全事件(jian)、調查(cha)安全事件(jian)、在(zai)端(duan)(duan)點(dian)上遏制安全事件(jian)、將端(duan)(duan)點(dian)修(xiu)復(fu)到(dao)感染前狀態。

● 解決方案

聯軟(ruan)終端檢(jian)測與響應系(xi)統(tong)是聯軟(ruan)科(ke)技基于(yu)Gartner提出(chu)EDR概念結(jie)合CARTA“持續自適(shi)應風險與信任”安全模(mo)型開發的(de)，用于(yu)解決終端高級威(wei)(wei)脅(xie)(xie)攻(gong)擊(ji)、威(wei)(wei)脅(xie)(xie)攻(gong)擊(ji)溯源及協助企業持續化(hua)改進的(de)終端安全管控平臺。產(chan)品可通過(guo)現有聯軟(ruan)EPP管控平臺進行擴(kuo)展，在統(tong)一管理平臺統(tong)一客戶(hu)的(de)基礎上(shang)，實(shi)現安全能力互(hu)補(bu)，發現威(wei)(wei)脅(xie)(xie)、處置威(wei)(wei)脅(xie)(xie)、分析威(wei)(wei)脅(xie)(xie)、持續化(hua)改進終端安全管理配置。

聯軟(ruan)EDR通過(guo)持續(xu)監測(ce)采集各種類(lei)型(xing)端(duan)點(dian)上(shang)的行(xing)為(wei)(wei)信息和運行(xing)狀(zhuang)態，并(bing)通過(guo)大(da)數據、機器學習等技(ji)術，對端(duan)點(dian)的相關數據進行(xing)持續(xu)性的關聯行(xing)為(wei)(wei)分析(xi)、威脅檢(jian)測(ce)、高級威脅分析(xi)等，并(bing)提供事件響應處置、追蹤溯源、調查取證(zheng)等功(gong)能，從而實現對終(zhong)端(duan)從預測(ce)、防護(hu)到檢(jian)測(ce)、響應的全生命(ming)周期的持續(xu)性安全防護(hu)，為(wei)(wei)終(zhong)端(duan)提供積極(ji)主動的防護(hu)能力(li)。