微步新闻 > 正文
微步OneEDR入选数世咨询《HDR能力指南》
2022-11-03 19:58:21 来源: 微步新闻

日前,数世咨询发布了《主机检测与响应能力指南》报告,从用户需求、市场现状、企业技术实力与创新能力等角度,对当前国内HDR市场进行了梳理,微步OneEDR主机威胁发现与响应平台凭借在Agent、安全视角的资产发现、安全检测、安全响应等四大HDR关键能力方面的创新性设计,入选数世咨询HDR能力点阵图,成为HDR市场的一骑创新黑马。 threatbook news picture

据数世咨询定义,主机检测与响应(Host Detection and Response - HDR)是指,以主机侧为目标,以探针(Agent)为基础技术手段,采集网络、文件、进程等多种维度的数据并上传至管理平台,辅助威胁情报关联分析后,以自动化策略或人工响应处置安全事件的解决方案。所谓“主机”,为服务器(物理主机、裸金属)、虚机(包括云主机)和容器的统称。

随着数字化进程的不断深入发展,数字经济已经成为国民经济的重要支柱,而数字经济背后最重要的基础设施之一就是主机,由于合规需求、安全技术、提升安全运维效率及实战攻防演练场景等驱动因素,国内HDR细分领域在2021年的市场规模达到了21.56亿元。

作为主机安全的最后一道防线,数世咨询认为,HDR与PC端的EDR、传统的HIDS以及CWPP理念从性能、功能、效能与价值等方面都有着显著不同,相较而言,HDR必须具备Agent、安全视角的资产发现、安全检测、安全响应等四大关键能力。微步OneEDR正是凭借在这四大能力方面的创新性设计,成为HDR市场的一骑“黑马”。

轻量稳定的Agent能力

HDR实时的安全监测数据采集主要靠Agent实现,而对用户而言,业务的连续性与稳定性需求是最高优先级,HDR Agent必须要做到极致的性能稳定,还要足够轻量,尽可能少占用资源,以避免对业务主机性能带来影响、出现资源争用等现象,并在此基础之上提供高安全能力。

OneEDR整体架构采用“轻终端重服务端”设计,主机Agent仅负责较少且轻量级的功能,对资源消耗比较高的功能和检测项会放到服务器端或云端。从技术架构上保证了Agent的轻量设计但又不缺失安全功能。

据实测数据显示,OneEDR部署在主机上的Agent,运行时CPU平均消耗0.5%以下,内存消耗平均40MB左右,对系统影响极小;在数据采集后的上传方面,Agent利用数据过滤和压缩技术,平均每天仅50MB左右的数据总上传量,对网络几乎没有影响。OneEDR控制台还提供了“自杀”策略设置,可根据用户实际需求进行设置,一旦Agent超过某个阈值,将自动中止进程,释放资源,避免对业务产生影响。 threatbook news picture OneEDR Agent可在部署前,针对目标主机的性能需求等级,选择启用/关闭某些功能选项,以更精细地控制Agent资源占用率

并且,OneEDR Agent的功能还采用模块化设计理念,每个功能模块都有相应的启用/关闭按钮,用户可根据主机上所支撑业务的特点、优先级与安全风险等情况综合评估,灵活选择启用/关闭Agent上的某些功能模块,以进一步降低Agent的资源占用率。

不在主机做对抗,是OneEDR Agent的另一个设计原则。在主机上与攻击者进行对抗,会导致资源占用率提高,可能对业务平稳运行带来影响;同时,攻击者会想办法绕过具有对抗能力的Agent,出现攻击“看不见”、“抓不到”等现象,由此给企业带来更高的安全风险。

强大丰富的资产发现能力

基于安全视角的资产发现与管理,是有效检测与响应的前提。通过对主机层、系统层、应用层乃至Web层等各细化层级的资产清点,可为后续的安全基线梳理、快速精准检测、快速发现威胁、快速做出响应打好基础。 threatbook news picture OneEDR采用“Agent采集、服务端存储展示”架构,在高稳定性的基础上,采集各类型资产数据,保证资产数据的准确性和全面性

OneEDR能够自动化清点进程、端口、账号、Web服务器、Web应用、Web框架、Web站点、数据库、服务应用等资产,覆盖基础资产(如硬件信息、OS类型、账户、端口等)和服务资产(Web服务、框架及应用等)两大类型。根据不同业务特点进行针对性识别。目前OneEDR可识别业务类型超过800余类,同时还可针对每一项资产的变更进行记录和展示,方便管理员更好地了解资产实时变化情况,确保资产始终处于安全状态。

全面精准的检测能力

全面、精准的检测是防范网络攻击的必要前提,数世咨询认为HDR检测能力应具备结合情报的脆弱性检测、基于基线的攻击入侵检测、内存安全检测与容器安全检测等四大方面的能力。

微步自创立之初就将“威胁发现与响应”能力作为核心竞争力,OneEDR作为微步面向主机安全领域的重点产品,融入了微步最多的自研专利技术,让OneEDR具备了全面、精准的检测能力,以避免用户在应对攻击时面临的“抓不到”、“告警多”等难题。

首先在结合情报的脆弱性检测方面,OneEDR风险发现功能可持续监控与分析主机资产的弱密码、漏洞、端口开放风险、配置风险、账号风险等众多风险项,实时发现未知威胁及可疑主机,并集合微步高精准的情报库和漏洞库,关联整合风险能力,帮助用户全面清晰地了解当前企业网络架构资产存在的安全风险。

OneEDR内置了12款自研引擎,比如领先业内的威胁情报检测引擎准确率高达99.99%,融入了机器学习成果的Webshell检测引擎与Linux ELF检查引擎,将业内主流的90%准确度提升到99%以上,以及针对攻击行为特征的检测引擎与内存马检测引擎等,从不同维度进行检测,全面覆盖各种威胁类型。

简洁而不简单的响应能力

OneEDR除了全面精准的单点检测之外,还利用事件聚合、威胁图等方面的专利将单点检测告警信息、情报信息与日志信息相结合,再综合研判打分,不仅能精准告警威胁事件,同时还可评估威胁程度。单点检测+事件聚合两阶段检测的好处还在于,即使漏报某些攻击环节或行为,OneEDR依然能精准告警,因为OneEDR告警针对的是整个事件,而非单点行为。

通过这些技术,OneEDR能够自动还原整个攻击链路,并图形化展现,方便安全人员及时发现威胁、定位威胁,并找出黑客攻击的风险点,避免再次被攻击。并且,OneEDR还可与微步另一款基于流量检测的威胁感知平台TDP联动响应,将主机行为与流量行为相结合,进一步提高告警精准度,让威胁“无处遁形”。 threatbook news picture

以应对Webshell攻击为例,利用OneEDR+TDP联动,可将流量行为与主机行为统一综合分析,进一步提升威胁发现与响应水平

除了上述四大能力之外,OneEDR还具备横向扩展能力,利用多台OneEDR设备组成集群,用户不仅可根据数据中心内主机规模按需扩展,利用统一管理控制台能够大幅简化安全运营流程,极大地降低运维复杂度。

基于微步7年专注在“威胁发现与响应”领域获得的经验技术,OneEDR利用资产盘点、风险发现、12款自研引擎、事件聚合为代表专利技术等特点功能,不仅能够帮助企业打造从事前预防、事中响应、定位溯源的安全闭环,还具备可视化、灵活策略制定、丰富报告等功能,有效解决应对网络威胁时的“看不见”、“抓不到”、“告警多”与“溯源困难”等难题。

立即体验

微步安全产品及服务

服务热线:400-030-1051