传统的病毒木马攻击方式还未落幕,层出不穷的高级攻击事件不断上演,勒索病毒、挖矿木马等安全事件频发,新时代下企业级终端安全面临严峻挑战,相较于个人终端而言,企业终端、数据等资产价值更高,由终端、服务器等不同软硬件所组成的办公局域网,带来更为复杂的病毒来源、感染、传播途径。正因此企业用户面临更为严峻的终端安全挑战,对防护、管理、应用等多方面提出更高要求。
长期以来,传统安全工具是最广泛使用的安全技术,能阻止“大多数”恶意软件的攻击。如今企业面临的威胁包括高级攻击手段——APT和勒索攻击、前所未见的变种恶意软件——针对性的定制攻击、利用终端上软件中未知的漏洞——0day攻击等,所有这些威胁都可以轻易绕过基于签名和启发式的传统安全工具。
国内终端安全行业整体还正处于从被动防御向主动防御及威胁情报过度的初始阶段,网思科平的核心团队拥有超过十年的技术沉淀,对标国外端点安全独角兽CrowdStrike,打造出技术路线与全球同步的终端安全产品—— “天蝎下一代终端安全防护平台”:
平台以纯正的EDR(天蝎终端侦测与响应系统)、天蝎防护框架(SDF)为核心技术,实现了:
- 1.实时的威胁告警,并提供溯源;
- 2.有效避免勒索、挖矿病毒、APT木马等恶意程序;
- 3.更加完善的告警分析,做到有目标、有节奏、有头绪的分析;
- 4.对网内的终端安全状况了然于胸;
- 5.更低的资源占用;
- 6.基于云端的多引擎病毒鉴定;
- 7.知己知彼,通过攻击阶段以及技术指标命中时序对攻击者能力以及网内薄弱的地方进行监控溯源;
- 8.持续的终端监控,通过上下文分析能以网内安全状况及时调整安全策略。
天蝎下一代终端安全防护平台与CrowdStrike功能对比
针对国内终端安全产品均基于标准防护场景开发,经常出现业务系统软件进程被阻止及误杀的的实际情况,网思科平基于“天蝎下一点终端安全防护平台”核心技术,协同安全派“企业信息安全联合实验室”与主流ERP厂商合作,共同研究分析大量ERP信息安全事件,基于企业客户业务场景、安全需求、安全现状,研发的新一代企业终端检测与防御云产品(SECNANO),在给某能源客户交付当天,产品部署后仅三十分钟发现蠕虫病毒,并通过安全服务人员制作专杀工具,及时保护****资产。
1.EDR Agent 安装时间
2020-6-9 14:40
2.威胁告警时间
2020-6-9 15:12
3.威胁分析
通过告警发现d:\u8soft\enterpriseportalsrv.exe该进程被Onesargus和Robin鉴定为黑文件,然后通过MD5值:ff5e1f27193ce51eec318714ef038bef排查后得知,该文件被“Ramnit蠕虫”感染。
4.威胁处置
通过分析该蠕虫可以通过U盘、EXE、DLL、HTML、HTM、RAR、ZIP文件等方式感染传播,已提供一个”Ramnit”专杀工具进行查杀。
来源:freebuf.com 2020-06-11 17:25:52 by: Onescorpion网思科平
请登录后发表评论
注册