据介绍,360 EDR依托360云端安全大脑提供的安全大数据、威胁情报和攻防知识库等能力以及核心安全大脑驱动的“运营商级”大数据处理及分析技术而打造。公司也将360 EDR视作“面向未来的EDR解决方案”。
具体而言,其介绍当前EDR产品被期望能够真正解决终端面临的APT、0day、勒索病毒等高级威胁。然而实战证明,传统的EDR产品面临很多痛点,无法解决多场景安全性问题。例如,传统EDR产品对海量大数据的存储和处理能力不足,让EDR整体威胁识别成为空谈。又如,不少产品不具备从实战中总结出知识库和安全分析能力,使得有价值的数据在客户侧难以被有效利用。而且,有产品缺少灵活的性能调优和自适应机制,采集大量的端点信息导致消耗终端和服务器的大量宝贵资源。
所以在公司看来,打磨EDR存在一些必要能力与关键能力——360正具备这样的基础。据介绍,首先整体在终端安全产品层面,360拥有17年的终端安全攻防对抗经验,积累了海量的全网安全大数据,历经十余年与各种木马、APT家族、0day漏洞的攻防实战,持续打磨终端的恶意行为检测和响应能力,积累了全面细致的终端行为检测技术。所以在其眼中,面向未来的EDR产品应该具备的关键能力,具体包括:
海量大数据存储及处理能力。安全大数据是支撑构建覆盖面足够广、精确度足够高的检测防御模型,以及发现攻击者痕迹的必要基础。在EDR中,端点采集的各类安全行为数据是终端安全防御、检测和响应的核心依据,是应对APT攻击的重要手段,通过对多维度高质量的海量大数据进行自动化的、智能化的关联分析和运营,可以追溯攻击过程,寻找漏洞源和攻击源,是有效防御和确保终端安全的有效途径和方法。
全面专业的安全分析能力。EDR产品需要有各种安全检测分析技术,能对海量多异构数据进行分析,同时结合全网APT情报,确保各类威胁全面可视。由于高级威胁攻击的蛛丝马迹往往隐蔽在常规软件运行的类似行为当中,因此检测需要对终端海量数据进行安全分析,需要具备对 历史 数据的反复检测能力,这些都要求产品具备极强的大数据运算分析能力。
实战攻防对抗的能力。基于最新漏洞、APT等各种攻击方式,机器学习和大数据自动化关联分析固然必不可少,但对收集到的数据集进行人工分析和解释也十分重要,安全专家会通过安全知识与专业技能,以及基于多年实战总结的威胁检测防御模型,进行实时和持续的追踪分析,并提供特定场景的安全解决方案。
随着数字时代攻防对抗的不断演化,以SaaS化和智能化EDR形式帮助企业用户解决长期安全运营问题成为关键能力。通过整合云端能力和终端资源以SaaS化服务形式面向大中小客户输出,能增强内网端点威胁防御以及威胁对抗能力,保障各类生产和办公业务平稳持续运行,已经成为新一代EDR应对高级攻击可预见的趋势。
而作为面向未来的终端安全产品,公司表示,从构成上360 EDR技术架构分成三个部分:终端代理、EDR Server、360核心安全大脑。其中终端代理是360 EDR的核心组成部分,360 EDR依托于360云端核心安全大脑的持续赋能、360核心安全大脑的安全大数据平台充分发挥终端代理的采集和处置能力,同时通过EDR Sever的高效数据分析引擎,最终实现对高级威胁的检测和抑制。
在效果上,其认为结合威胁情报和360核心安全大脑,360 EDR在产品化落地过程中具备了如下几方面突出优势:基于海量安全大数据的全网视角、完备安全分析能力和检测能力、基于独一无二核晶引擎的高质量数据采集能力、以及SaaS化和智能化能力。
企业在保障移动终端安全方面需要加强安全管理,建立完善的安全策略并且不断更新,为关键数据实施加密保护措施,并对员工进行相关的安全培训,提高员工的安全意识。企业需要认真应对这些安全隐患,以保障企业信息的安全和稳定发展。
AirDroid Business是一种集中管理移动设备的解决方案,它可以有效地保障企业移动设备的安全。
通过AirDroid Business,管理员可以对所有移动设备进行远程管理和监控,如数据加密、设备追踪、远程锁定和清除等。同时,管理员还可以设置各种安全策略和权限,以确保设备和数据的安全性。
AirDroid Business通过以下多种方式保障企业的移动设备安全:
1 设备管理:通过集中管理移动设备,管理员可以实时了解设备的使用情况,并远程锁定、清除数据等 *** 作来保护设备和数据的安全;
2 安全策略:提供多种安全策略设置,如密码策略、数据限制、Wi-Fi设置等,帮助企业提高移动设备的安全性;
3 数据加密:支持对设备上的关键数据实现加密,提高数据的保密性和安全性;
4 应用管理:可以监听和控制企业的应用,防止用户安装和使用恶意软件;
5 远程监控:管理员可以通过后台实时监控设备的运行状态和使用情况,及时发现并解决设备的安全问题。
了解AirDroid Business MDM解决方案
AirDroid Business也提供了丰富的数据分析和报告功能,帮助企业更好地了解员工移动设备的使用情况和安全状况。
EDR终端防护中心主要是针对企业办公网络环境的,一般是安装在PC端或服务器端进行监控和管理。而对于手机这种移动设备,EDR终端防护中心是无法直接监控的。但是,EDR终端防护中心可以与手机安全管理软件进行配合,通过手机安全管理软件来监控手机的安全状况。例如,可以通过手机安全管理软件对手机进行实时监控、漏洞扫描、应用程序控制、数据加密等 *** 作,以确保企业数据的安全性。同时,要注意的是,随着移动互联网的快速发展,越来越多的企业员工开始使用手机等移动设备进行工作,这也为企业的信息安全带来了新的挑战。因此,企业不仅需要在PC端和服务器端进行安全管理和监控,还需要针对移动设备进行安全管理和监控。这就需要企业在选择EDR终端防护中心时,考虑是否能够与手机安全管理软件进行配合,以实现对移动设备的全面监控和管理。思科公司提供的网络设备,如路由器或者防火墙,都提供了管理接口,方便网络管理人员对其进行管理维护。但是,这也给企业网络带来了一定的安全隐患。如果非法入侵者能够成功德访问管理接口,那么这个接口就成为了他们的聚宝盆,路由器、防火墙等相关设置就会被窃取,甚至被恶意更改。为他们进一步入侵企业网络扫清道路。
为此,提高这些网络设备管理接口的安全性已经迫在眉睫。考试大下面就对这个话题提一些建议,或许能够对大家有所帮助。
一、通过密码保护管理接口的安全性
在思科的网络设备中,默认情况下,控制台是没有设置口令的。为此,作为一种基本的和便于使用的安全措施,网络管理员在启用网络设备后,第一个任务就是应当立即为接口设置密码。
如就拿路由器来说,其有两种 *** 作模式,分别为用户级模式与特权级模式。其中,用户级模式是默认的访问模式。网络管理员在这个模式下可以执行某些查询命令,但是,不能够修改路由器的相关配置,也不能够利用调试工具。而在特权模式下,网络管理员可以管理、维护路由器,对相关配置进行修改;也可以通过调试工具来改善路由器的性能等等。
为了提高通过控制台接口访问路由器的安全性,考试大建议为两种模式都设置相关口令。而且,特权模式下的密码要跟用户级别模式下的密码不一致,同时,特权模式下因为可以更改网络设备的配置,所以密码要复杂一些。另外需要注意一点,在思科的网络产品中,密码是区分大小写的。
通常情况下,这些密码是以明文形式存储在路由器的配置文件中。所以,如果网络管理员对于安全性要求比较高的话,那么能够使用加密口令技术,让其通过密文的形式存储密码。在实际工作中,我们可以通过两种途径来加强这些已经存在明文口令的安全性。一是通过Enable Secret Password命令。这个命令只加密特权模式口令,对于用户级别模式的口令不起作用。二是采用Service Password-encrption命令。这个命令跟前面命令的不同,就是会加密路由器的所有口令,包括特权模式与用户模式的口令。如此的话,任何人通过查看路由器配置文件都不能够看到路由器的口令。不过要注意的一点是,虽然密码可以通过加密的形式来提高其安全性,但是他仍然可以破解的。为了提高其破解的难度,在设置密码的时候,要是需要增加一些复杂度,如利用字母、数字、特殊字符等组合来设置密码。这可以提高密码破解的难度。
二、设置管理会话超时
在管理 *** 作系统安全性时,我们可以通过屏幕保护程序来防止用户来离开时 *** 作系统的安全性。其实,在路由器等管理中,也需要如此做。因为网络管理员在路由器维护中,中途可能离开去做其它的事情。此时,其它一些别有用心的员工,如对网络管理员不满,就可以轻易的乘管理员离开的那段时间,进行破坏动作。这不需要多少时间,只要一分钟不到的时间,就可以更改路由器等网络设备的配置,从而影响网络的正常运行。
考试大在工作中,就遇到过类似的情况。那时考试大企业规定,要使用QQ的话,就必须申请。通常情况下,在公司不能够采用QQ等即时通信软件。所以,考试大把QQ软件在路由器防火墙中禁用掉了。但是,一次考试大在维护路由器的过程中,中途离开了半个小时。此时有个程序员就更改了路由器的配置,让他的电脑可以上QQ。后来发现,考试大还为此受到了一个处分。可见,在路由器等网络设备管理中,设置管理会话超时也是非常有必要的。
当管理员终端还保持连接,但因为某些原因,网络管理员已不再进行任何 *** 作。此时,就应该采用自动注销机制来确保在这种情况下没人能够使用该终端更改配置。简单的说,就是到网络管理员在一段时间内没有进行任何 *** 作的话,则路由器等网络设备就自动注销管理员用户。通过设置管理会话超时,可以为路由器等关键网络设备提供更好的安全机制。若要采用管理员超时机制的话,在思科网络设备中,可以采用exec-timeout命令。其中,后面跟的第一个参数为分钟,第二个参数为秒。一般情况下,设置个一分钟就差不多了,没有必要精确到秒。
三、限制Telnet访问相关接口
在网络设备维护中,我们除了可以通过控制台访问网络设备之外,还可以采用一些远程连接的方式来访问与管理路由器等网络设别。如可以通过Telnet程序来跟路由器建立远程连接,进行一些维护工作。
Telnet程序与路由器建立远程连接之后,网络管理员即可以登录到用户模式,也可以登录到特权模式。与通过控制台端口访问路由器一样,管理员在使用Telnet访问时,也需要在路由器提示后通过密码进行身份鉴别。此时,路由器上的Telnet端口也被叫做虚拟终端。至所以给他去了这个名字,主要是因为虚拟终端仿真了控制台终端的功能。在通常情况下,路由器同时允许五个用户通过Telent程序连接到路由器上执行管理任务。
不过远程连接有其自身的脆弱性。为了提高远程连接的安全性,能够采取一些对应的安全措施。
如可一通过访问列表的方式来加强Telnet连接的安全性。通过访问控制列表,可以限制只有一些特定的IP地址或者MAC地址的主机,如管理员的主机,才可以远程连接到路由器等关键网络设备上。如此的话,其他未经授权的用户,即使通过不法手段获取了管理员用户与密码,也不能够登录到路由器上。
另外,Telnet程序其自身安全性也不高。因为其在传输过程中,都是通过明文传输的。故非常容易被别有用心的人窃取用户名与密码。所以,在可行的情况下,网络管理员不要采用Telnet等进行远程连接路由器。若确实有这个必要的话,则采用更加安全的SSH协议。这也是一个跟Telnet类似的远程连接工具。只不过它在连接过程中,无论是密码还是命令,都是通过加密的。故其安全性要比Telnet程序要高。
四、关注>从网络OSI模型的角度来看,ICA协议和RDP协议都是基于网络层和传输层之上,可以主要从三个方面来比较两种产品的性能差异: 1、 协定基础 RDP协定只能以TCP/IP协定基础,ICA协议能够适用于TCP/IP、IPX/SPX和NetBEUI等多种协议。其中,IPX/SPX协议被国内很多用户所采用,广泛应用于Novell网络。 MetaFrame可以应用于多种网络连接方式,如LAN、WAN、RAS dial-up、Direct serial connection(async)、Direct dial-up和Browse available servers等。而Windows 2000 Server 只适用于上述连接方式中的前三种,即LAN、WAN和RAS dial-up。 主要的是Citrix在ICA协议的基础上,提供了各种增值服务,负载平衡服务,资源管理服务,安装管理服务及NFuse等。而RDP基础上几乎没有任何服务。 2、 协议特征 RDP支持本地打印和本地客户打印假脱机。ICA除支持这两项功能以外,还具备以下不同的特征: 色彩:ICA协议支持真彩(24位色),RDP协议只支持256色。 分辨率:ICA协议支持无限大(64000X64000),RDP协议只支持800x600。 驱动映像:ICA协议可以将本地资源和服务器资源无缝地集成在一起,给用户的 *** 作带来极大的方便。RDP协议不具备此功能。 COM埠映射:ICA协议可以支持多种串口外设,RDP协议不具备此功能。 SpeedScreen2:该项专利技术大大减少了网络传输数据量,一般情况下,平均每个用户的正常工作仅占用10Kbps。最近,SpeedScreen3已正式推出,解决了通过广域网系统发布应用程序普遍存在的延时问题。 协议稳定性:ICA协议的稳定性优于RDP协议。 多媒体支持:ICA协议能够支持音频、视频和多媒体带宽控制。而RDP不支持多媒体。 3、基于协议的应用: 在ICA协议之上,有一个丰富的应用层,能够给用户提供完善的Server-based Computing整体解决方案:无论是服务器端还是客户端,无论是用户接口还是后台支持,无论是可靠性还是扩展性,无论是资源管理还是网络带宽的高效利用,用户都可根据需要选择适当的MetaFrame及配套产品。可以从下面的分类比较中进行分析和对照: 客户端 *** 作系统广泛性 几乎现有的所有客户端的 *** 作系统,都适合安装ICA客户软件,以访问MetaFrame应用服务器。其中包括: Windows NT Windows 95/98 Windows 311(Workgroups) Windows 31 Windows CE DOS Macintosh (Motorola, PowerPC) Browser—Internet Explorer Browser—Netscape UNIX- ALL major platform Java—JDK 11 Java—JDK 10 RISC OS PS OS NCI OS Net OS 而RDP协议只支持下面四种客户端 *** 作系统: Windows NT Windows 95/98 Windows 311(Workgroups) Windows CE 客户端设备 同样,通过Citrix的ICA协议,几乎现有的所有形式的客户端硬设备,都可以应用在Server-based Computing网络模式中,主要包括: PC机(DOS、Windows、UNIX、Linux等 *** 作系统) Macintosh机(Motorola、PowerPC等) 手持计算机(HP Jornada、Compaq Cseries等) 网络计算机(Sun Java Station、IBM Network Station等) Windows终端(Win CE、DOS、Linux等 *** 作系统) 网络终端(如Wyse Winterm 5000) 机顶盒设备(如BocaVision STB121) 而Windows 2000 Server中的终端服务功能只能在下列设备上得到实现: PC(Windows 311或以上版本) 手持计算机(HP Jornada、Compaq Cseries等) 基于Win CE的WBT 客户端应用特征 MetaFrame和Windows 2000 Server都具有位图缓存、自动建置打印机、剪贴板复位向等功能,但MetaFrame更能提供如下卓越功能: Seamless Windows:用户可把本地和远程的应用程序无缝地集成在同一个窗口,使用户使用应用程序时,感觉不到程序在本地还是服务器上运行。 Business Recovery Client:保证客户端业务的连续性,提高系统的容错水平。 Program Neighborhood:该功能可以方便地将基于服务器的应用程序的图标,发布到用户的客户端,或直接放到用户的32位Windows桌面上或“开始”菜单的程序集中。 服务器应用特征 在应用服务器端,MetaFrame可以用户提供系统管理的功能特征: 一对一的Shadowing 一对多的Shadowing 多对一的Shadowing 跨服务器的Shadowing 应用程序发布 Program Neighborhood 跨域管理 跨子网管理 客户端自动升级 Shadow工具栏 发布应用程序到Web上 管理员工具栏 而Windows 2000 Server的终端服务仅仅提供一对一的Shadowing功能。 管理服务 在MetaFrame 产品之上,Citrix公司提供功能强大的服务软件,主要包括: Load Balancing:动态路由用户至“最休闲”的服务器,以实现优化的负载平衡和集群管理,赋予系统强大的可靠性和可扩展性。没有负载平衡功能构建的网络,只能是每台服务器单独运行,而且随用户的增加,系统不能扩展。W2K的Terminal Service没有负载平衡技术。 Advanced Load Balancing:附加提供应用程序的发布与管理服务功能。 资源管理服务(RMS):系统管理员有效控制整个系统的资源配置和效率。 安装管理服务(IMS):简化对多个应用服务器的系统及应用的安装、设置和管理工作。 安全管理服务 加密技术 在此方面,Windows 2000 Server能够提供资源管理服务、加密技术,而 Windows 2000 Server终端服务的NLB(Network Load Balancing)功能仅限于Windows 2000 Advanced Server版本,并且是一种“轮询式”负载平衡,只能用于作Web Server,不能用于应用服务器的集群工作模式。
产品简介
应用服务器安全接入系统,支持与数据防泄密系统形成统一管理平台,实现应用服务器数据的安全保护。从终端身份识别、传输通道加密、落地加密保护等多方面进行应用数据安全访问控制,确保访问受控应用服务器的终端合法性以及数据传输过程的安全性。
版本介绍
专业版
面向企事业单位通用需求,秉承"让防泄密的管理更简单有效"的核心理念,在汲取大量客户成功应用经验的基础上,推出"天锐绿盾专业版"。该版本功能主要包含文件加密、企业密钥管理、离线管理、文件外发管理、文件备份、审批管理、外发机器码白名单、外发阅读器、邮件白名单、服务器白名单、便携式解密终端、Linux平台信息安全管理系统、应用安全接入设置、屏幕水印等。
行业版
面向各行业的客户需求,结合天锐绿盾多年来在各行业的成功应用,秉着"让天锐绿盾在各行业客户应用更有针对性、更完整性、更贴切"的核心理念,量身打造,推出"天锐绿盾行业版"。在专业版基础上,新增加了工作模式切换、移动终端管理、支持邮件安全网关接口、支持应用服务器接入系统接口、行业增强包、WEB审批等功能。
旗舰版
面向大型用户需求复杂、用户数规模大的特点,在行业版基础上,增加支持服务器分布式部署方式等功能,针对性推出高性能的"天锐绿盾旗舰版",让天锐绿盾满足大型客户的需求。
功能模块介绍
终端安全准入
只允许安装有“天锐绿盾数据防泄密系统”的终端能够正常访问应用服务器。
数据加密安全通道
客户端与公司内部应用服务器之间的数据传输, 通过数据文件加密安全通道实现数据的安全传输,有效保障了数据在传输过程中不被窃取。
应用服务器防伪造
通过“端到端”的控制,对客户端访问应用服务器进行绑定连接,有效控制因为仿冒服务器而造成的数据泄密。
方案优势
1实现系统与应用服务器绑定连接,有效控制因为仿冒服务器而造成的数据泄露;
2系统支持所有基于TCP协议的连接,无需对应用系统进行二次开发;
3系统部署方式灵活,支持串联和旁路连接;
4数据在传输过程中进行文件加密防护,防止数据在传输过程中被非法分子监听、**。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)