意思如下:
深信服EDR属于终端安全产品部,是深信服公司在安全业务的战略级投入产品。
EDR,英文全称是Endpoint Detection & Response,即端点检测与响应。这是一种“主动式”的端点安全方案。所谓端点,其实是各种类型的终端,按照IDC的评估范围,EDR所保护的端点类型。不仅包含传统PC、智能移动终端、嵌入式终端,还包括传统服务器端、虚拟机/云主机。
简介:
深信服科技股份有限公司于2000年12月25日成立,英文名Sangfor Technologies Inc.,法定代表人何朝曦。
深信服是一家专注于企业级安全、云计算及IT基础设施的产品和服务供应商,拥有深信服智安全、信服云和深信服新IT三大业务品牌,致力于让每个用户数字化更简单、更安全。
一、背景概述
EDR的背景主要是由于网络安全威胁的不断演变和升级,使得传统的安全防御措施已经不能满足企业的安全需求。传统的安全防御主要包括边界安全、防火墙和入侵检测系统 (IDS)。然而,随着网络攻击方式的不断升级,这些传统的安全防御已经无法有效检测和应对各种复杂的网络攻击。
终端设备成为企业网络安全的薄弱环节,是攻击者的主要目标。传统安全防御通常无法检测到这些攻击,因为攻击者使用越来越复杂的技术和工具来绕过传统的安全防御。因此,组织需要更高效、更全面的安全解决方案来保护端点设备。EDR技术就是为了解决这个问题而创建的,它使用先进的威胁情报、机器学习和行为分析来识别和响应终端设备上的安全威胁,提供更全面、更敏感、更智能的安全防御解决方案。EDR技术的应用使企业能够更全面地了解终端设备的状态,识别和应对各种复杂的网络威胁,提高企业网络安全水平。
二、技术原理
EDR是一种针对终端设备的安全解决方案,主要用于检测和响应网络攻击。其技术原理如下:
数据采集:EDR收集终端设备上的各种数据,如系统日志、进程、文件、注册表、网络连接等,形成完整的设备画像。
数据分析:通过分析收集的数据,EDR 可以识别异常活动,例如恶意代码的行为、攻击者使用的工具和技术等。
威胁检测:EDR 使用威胁情报和机器学习技术来检测已知和未知威胁。此外,EDR使用行为分析技术来识别不符合正常行为模式的活动。
恶意代码分析:当 EDR 检测到可疑活动时,它会尝试分析恶意代码的行为和用途,并确定是否需要响应操作。
响应措施:EDR可以采取多种响应措施,如隔离受感染的设备、终止恶意进程、清理恶意文件等,以便快速响应和限制攻击。
总之,EDR的技术原理是通过采集、分析和响应终端设备上的数据来保护网络安全。
三、EDR与传统杀毒软件的区别
传统杀毒软件和EDR都是网络安全解决方案,但它们之间存在一些区别。
目标不同:传统防病毒软件的主要目标是检测和删除已知的病毒和恶意软件。EDR 的目标是检测和响应新的未知网络攻击。
数据收集范围:传统的防病毒软件侧重于特定的传输方法,如文件、电子邮件和下载,而 EDR 可以收集更全面的端点数据,包括进程、注册表、系统日志、网络连接等。
数据分析能力:传统的防病毒软件通常使用基于签名的检测来识别已知的恶意软件。另一方面,EDR 利用机器学习、行为分析和威胁情报等技术来识别更广泛的威胁,并可以发现攻击的多个组成部分,以帮助进行更深入的调查和响应。
响应能力:虽然传统的防病毒软件通常只提供恶意软件清除功能,但EDR可以采取更多的对策,如隔离设备、终止进程、清理文件等,并提供更详细的响应建议和指导。
部署方式:传统的防病毒软件通常在终端设备上运行,而EDR可以部署在云端或本地,支持多种设备和操作系统,以更好地适应企业的安全需求。
综上所述,EDR在安全功能、数据收集、分析和响应能力方面与传统的杀毒软件不同,EDR更适合面对更复杂、更动态的网络威胁。