安全狗產品升級:雲眼EDR領銜
9月13日, “憑雲鼓浪•論道安全”雲端計算安全高峰論壇在廈門召開。知名雲安全廠商安全狗在會上分享了新的安全理念以及新的解決方案。其中,全場重點則是以雲眼EDR領銜的三款安全狗私有云安全產品。安全牛分析師現將這些產品架構梳理如下:
一、新一代雲主機入侵檢測及安全防護平臺:雲眼
隨著業務上雲逐漸普及,雲主機的安全成為各個公司新的心頭大患。傳統的主機防護注重於防病毒、補丁、安全策略以及監控,同時在網路端過於依賴防火牆的邊界安全控制。而如今的環境中,隨著系統的複雜化,大量系統都很可能存在未被發現的漏洞——儘管這些漏洞隨時可能會被發現;同時,APT定向攻擊以及各種勒索、挖礦病毒的變種使得主機防不勝防。因此,防病毒與補丁的方式反應相對滯後。另一方面,黑客攻擊逐漸基於加密流量的特點,也讓網路層的邊界的防護效果大打折扣。
基於這些問題,安全狗的雲眼系統,採用了EDR(端點檢測與響應)技術,針對性地解決了這些問題。
不同於傳統的反惡意軟體程式,會在病毒預執行階段將其終止——從而很可能會影響到正常系統本身的執行能力;EDR技術更關注於終端裝置的執行狀態,通過監控與分析終端的執行狀態,做出相應的分析,在檢測發現異常行為的基礎傷害 ,進行告警響應。對於系統執行狀態的分析,需要大量的資料進行分析與比對,雲眼結合了安全狗全網情報的能力,有效增強了檢測的有效性。
在部署上,雲眼採用了CWPP(雲工作負載安全平臺)方案,使用輕量級Agent,實現了功能的最小整合;在減輕對主機效能影響的同時,能夠動態地升級和更新。另外,雲眼能夠多模組聯動系統——如資產管理、安全體檢、安全監控等,構建閉環系統;同時支援各種主流雲平臺以及傳統的IT架構。
雲眼的應用場景多樣,能在金融資料中心、政務雲、大型專網/內網以及網際網路企業中落地。
二、安全大資料分析與態勢感知平臺:嘯天
安全並非只依賴於各個防護物件的單點防禦,更需要各個方面的聯動:某些裝置產生的看似正常的資訊卻有可能是針對其他裝置的攻擊,而企業不僅僅需要做到的是躲在防禦體系後高枕無憂,更需要了解形勢的變化,察覺潛在的攻擊威脅。
“嘯天”平臺通過智慧分析海量不同的安全資料,為企業提供基於安全大資料的態勢感知平臺。
嘯天分析的資料型別包括主機系統日誌、應用日誌、安全軟硬體日誌、網路流量、漏洞掃描以及自身的雲眼系統資料,對企業安全提供實時的保護。其中,嘯天與雲眼完成了閉環——嘯天為雲眼提供了分析檢測的資料,而云眼則將自己的分析資料進一步提交給嘯天進行分析,察覺潛在以及新的威脅。另外,嘯天與安全狗自身的觀鴻威脅情報服務平臺相結合,提供殭屍網路IP、高威脅攻擊IP、惡意爬蟲IP等技術情報,進一步保護企業免受攻擊。
三、一體化雲安全平臺:雲壘
防護工具多樣固然會帶來更好的防禦效果,但是必然也會給安全運維帶來一定的難度。對此,安全狗在軟體定義安全的基礎上,提出了“軟體定義防禦 智慧驅動安全”的產品理念。而云壘,就是基於這個理念的,能夠統一安全管理公有云、私有化及傳統物理伺服器的雲安全平臺。
雲壘的目的是分別幫助雲平臺安全管理方和雲租戶滿足他們的安全需求和相關等保合規需求。對雲平臺安全管理方,雲壘提供了從虛擬網路層、虛擬主機層、宿主機層、應用層到資料層的縱深防禦雲安全管理平臺;對雲租戶,雲壘則提供了虛擬主機層、應用層以及資料層的一站式雲安全平臺及服務。
雲壘自身由雲安全管理平臺、IaaS服務層安全和雲安全服務資源池三個模組組成。將安全分為不同模組,不同層面,針對不同需求進行防禦。讓企業根據自己的需求,有效地採用適合自己的自定義安全解決方案。
安全牛評
即使服務上雲,終端安全依然是網路安全的最後一道防線,只是從自身的伺服器主機端轉移到了雲端終端。然而,在這遷移過程中,終端環境產生了變化,傳統的終端防禦則無法滿足新環境的需求。雲眼EDR系統隨著安全狀況的改變而隨之升級,應對更多樣更復雜的攻擊行為。同時,運用CWPP的輕量級Agent,為客戶業務流暢考慮,不影響業務星能。大資料分析態勢感知平臺和一體化雲安全平臺的升級也使安全運維變得更加有效。