今年4月,独立IT安全机构AV-TEST发布了在其针对勒索软件防护的高级威胁防护的测试结果,在该与多个国外知名品牌杀软同台的测试中,深信服满分通过测试,是国内首家,也是唯一一家满分、连续通过的厂商,是深信服EDR对未知勒索病毒高检出率的官方认证。
数据来源于AV-Test测评机构AV-Test是世界权威的第三方测试机构之一,素以海量病毒库检测、独立客观的检测过程和严格的标准著称,是业界公认的世界级终端安全产品杀毒能力的对决平台。深信服EDR在2020~2022年连续3年均满分通过测评。
↓2020-2021年AV-TEST官方的性能测试结果↓
深信服EDR通过哪三步治理未知勒索病毒,在众多国外知名杀软中脱颖而出呢?
第一步 主动防御,将勒索“扼杀在摇篮里”
当黑客尝试攻击时,一般会利用暴力破解、钓鱼邮件、僵尸网络、漏洞利用等多种手段进行边界突破进入内网。深信服EDR在常规边界防护手段上,重点增加RDP远程登录认证和高危漏洞轻补丁免疫功能。
RDP专项防护
深信服EDR除了常规的暴力破解防护功能外,也是市面上为数不多的为针对RDP攻击方式建立专项防护的终端防护产品,RDP爆破、RDP二次认证、RDP文件加白认证等功能大大提升了黑客RDP入侵门槛,从入口处主动防御,将勒索“扼杀在摇篮里”。
高危漏洞轻补丁免疫
对于长期进行业务运转,需保持系统稳定性的服务器来说,漏洞修复可能带来系统重启,业务停滞或者是补丁修复后系统蓝屏等风险,但不修复很容易就遭到漏洞利用的勒索攻击,漏洞修复处于两难境地。而深信服轻补丁漏洞免疫基于内存对系统漏洞进行修复,无须服务重启,不存在兼容性问题,过程轻量化。用户可无痕快速修复重要系统漏洞,无须担心系统稳定性和安全性。目前已对多个操作系统和应用软件的高危漏洞出具相应的补丁规则。
第二步SAVE引擎升级,勒索精准识别率直逼100%
黑客一旦有机会突破内网,就会开始想方设法进行勒索病毒投放,文件加白及工具对抗是最常使用的手段。深信服EDR3.5.30对自研的SAVE人工智能引擎做了全方位的升级,同时实时监测加密勒索病毒,及时终止异常白进程。
SAVE人工智能引擎
勒索病毒由于攻击门槛逐渐降低、攻击入口增加导致勒索病毒变种发展迅猛,这非常考验终端防护产品对未知威胁的检测能力。深信服EDR在新版本对SAVE引擎进行全新升级,引入“大模型+小模型”的双模型架构增加AI泛化能力,对可疑文件进行双重AI检测,提升对未知威胁的检测能力,同时通过勒索AI模型再次对判黑的威胁文件确认是否为勒索病毒。
通过对引擎模型的训练,深信服EDR对勒索的精准率已提升到99.47%,用户可直观地掌握内网终端是否中了勒索病毒,影响范围有多大,快速采取响应措施。
白进程注入防护
一类新兴的勒索运行加密方式:攻击者进入终端后将勒索病毒注入系统白进程,从而绕过终端安全产品的防护对终端加密。根据深信服安全团队的勒索事件统计,利用白进程勒索成功的事件已占今年勒索失陷原因的23%。深信服EDR通过对白进程的父进程及其上下文的细粒度追溯,结合勒索诱饵防护引擎,可及时终止存在异常“白进程”,防止病毒利用合法数签绕过检测,可大幅度降低利用白进程加密勒索的成功机率。
第三步 7*24小时勒索对抗溯源
阻绝黑客反复攻击
随着勒索攻击的产业化,全球出现了多个专门实施勒索病毒攻击的黑客团伙,有的只针对大型企业,有的则无差别进行攻击,但同个团伙的加密手法及攻击方式接近,如果能在攻击发生时即反制溯源到攻击者,则后续再次被攻击甚至攻破的风险就会大大降低,斩断黑客想靠反复攻击得逞的心。
深信服EDR拥有7*24小时监测预警体系,在智能识别勒索高准确的基础上联动多个安全设备进行及时处置,并实时微信推送勒索告警,协助用户第一时间对勒索攻击进行取证,实现反制溯源,大大降低被再次攻击甚至攻破的可能性,三步高效治理勒索风险!
成功防御并协助用户取证真实案例
致力于让所有用户安全领先一步,让体验领先一步,让效果领跑一路,EDR创新不止,进步不停。目前,深信服EDR已经赢得各级政府单位、医院、教育行业用户、能源行业用户和大型企业等众多用户的认可,部署端点超过1500W+。大量用户的认可也验证了EDR所带来的价值!
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
