×

【8月12日-技术盲盒】高频知识汇总-EDR篇(四)
  

胡辰硕 91671人觉得有帮助

{{ttag.title}}
一、二次认证1.1二次认证的介绍
二次认证的主要作用是防止黑客通过暴力破解等手段通过密码直接登录服务器,通过二次认证(密码认证)再次校验用户的身份。
1.2二次认证的使用场景
客户通过远程桌面服务(rdp)或者ssh服务运维自己的服务器,建议开启。(通过公网运维服务器一定要开启)。(注意:这个功能是针对Windows Server操作系统和Linux操作系统才有效果,普通windows的远程桌面不具备这个功能)

1.3二次认证支持的版本
标准版本EDR3.2.19及之前 ,EDR不支持远程登录防护功能;
从标准版本EDR3.2.21开始,EDR支持针对windows服务器远程登录防护;
从标准版本aES 3.8.6开始,aES支持针对linux服务器做二次认证;

1.4二次认证的使用效果
二次认证的密码设置有两种方式:
方式一:验证码验证:可以设置为管理员手机号后6
方法二:自定义密码认证:默认密码是随机的,可手动设置密码

二、轻补丁

2.1轻补丁的介绍
轻补丁是通过在内存中对有漏洞的代码进行修复,避免遭受漏洞攻击。具备对业务系统“零侵害、无干扰”的优点,可在业务或终端正常运行的情况下进行免疫,如实体补丁一样,防御 流行的高危和0day漏洞利用攻击,无需重启或中断业务,不存在兼容性问题,过程轻量化,同时具备修复速度快、防御效果好等特性。(和客户介绍这个功能模块不要过度承诺,因为我们仅支持38Windows Server系统的漏洞)

2.2轻补丁的使用场景
轻补丁功能常用于以下场景:
Windows Server操作系统,承载了关键业务如数据库,客户不愿意因为补丁修复而停机,并且确实有安全风险的场景。
2.3轻补丁支持的版本
标准版本EDR3.2.33开始,EDR支持轻补丁漏洞免疫技术EDR3.2.36不支持轻补丁功能)
轻补丁免疫功能目前支持Windows系统,暂不支持linuxmac系统的轻补丁功能
EDR轻补丁免疫修复不需要平台可以联网,且终端重启或是离线状态EDR的轻补丁依旧是生效的,终端Agent卸载轻补丁策略不生效,不勾选即关闭

注意授权要求,需要PC端高级版/全功能版授权、服务器主机旗舰版/全功能版授权

2.4轻补丁支持防护的补丁目前支持免疫的有38Windows Server的漏洞,具体查看方式可参考以下位置:EDR可以在【响应中心】-【漏洞管理】-【轻补丁免疫】中查询。
aES可以在【漏洞管理】-【加固与防御】-【轻补丁】中查询。

三、微隔离

3.1微隔离的介绍微隔离(MSS)是一种内网防止横向攻击的技术,原理是调用本机防火墙(Windows防火墙,linux iptables),根据在MGR中制定的策略(匹配五元组(源目IP,源目端口,服务)),放行流量或者阻断流量。

3.2微隔离的使用场景
1.保护服务器:只放通必要的业务端口,禁止所有的非必要的端口,提升业务的安全性。
2.防止感染性病毒蔓延:出现感染性病毒时,通过微隔离将所有终端的共享端口以及远程桌面端口进行封堵,防止病毒蔓延。

3.3微隔离支持的版本aES6.0.2R1开始不支持微隔离功能(隐藏),测试想使用的可以找研发开,正式使用场景不推荐,想正常使用的可以选择之前的版本。

注意,授权要求:标准版本EDR3.5.6版本之前,微隔离需要智控授权;从标准版本EDR3.5.6开始,PC需要高级版授权或者全量版授权、服务器需要服务器旗舰版授权或者全量版授权才支持微隔离。

四、防勒索
4.1防勒索介绍
Aes 6.0.2之前只能实现防勒索:
EDR勒索病毒防护指在终端操作系统关键目录下投放诱饵文件,当终端感染勒索病毒时,会先加密诱饵文件,EDR客户端及时进行报警拦截,从而更早更及时地发现和清除未知勒索病毒,避免终端系统文件或业务文件被加密。

AES 6.0.2可以实现勒索缓解的效果:
通过内核驱动保障在勒索进程访问和修改文件时同步备份,确保在阻断勒索加密进程后(依赖勒索行为AI引擎对文件IOA行为的判断),可以恢复被加密文件。
PS:动态AI的勒索行为检测引擎;通过采集用户操作系统进程调用的API序列、进程动作序列、文件操作行为序列,并基于专家知识完成可疑行为模式筛选,最终采用模型融合的方式,实现勒索行为的高精度识别,并最终实现勒索病毒3秒内阻断,阻止数据被大范围加密。

勒索诱饵文件

4.2勒索缓解的效果
aES 6.0.2R1版本之前的防勒索功能,知道有这么个功能就行,实现效果不做评价,这边详细介绍下新版本勒索缓解的原理和效果。

原理:
在识别到可疑加密进程之后,对该进程部分文件修改或破坏操作进行实时备份;同时,在3~9秒内集合勒索行为检测给出该可疑进程的鉴定结果,如果鉴定结果为白,则丢弃这段时间的备份数据;如果鉴定为加密行为,则对该进程的备份数据可以避免用户损失这部分文件。

通过对白进程利用投放勒索病毒,aES识别到勒索行为后可以把文件拷贝到隔离区。可以看到文件已经被隔离,可以选择恢复加密文件来进行恢复,可以进入aES控制台查看勒索防护日志。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

嘀嘀柠柠 发表于 2024-8-12 05:15
  
每天坚持打卡学习签到!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

0
2
1

发帖

粉丝

关注

38
7
5

发帖

粉丝

关注

5
3
4

发帖

粉丝

关注

47
4
1

发帖

粉丝

关注

1
4
0

发帖

粉丝

关注

0
0
0

发帖

粉丝

关注

本版达人