作为一种高暗藏型地牢,Rootkit在所有反击者工具中被检验到的比例不到1%,但杀伤力却超过90%的蓄意程序:2010年震惊世界的Wannacry计算机病原体(Stuxnet)就是利用Rootkit秘密收集数据及递送可执行文档,暗藏所有蓄意文档与民主化逃避蓄意检验,导致伊朗数百台铀浓缩设施超临界损毁。非常重要的是,由于Rootkit存在较大的合作开发难度与复杂性,一旦辨认出Rootkit就意味着民营企业很可能遭遇到高级持续反击(APT)。根据报告指出,超过一半(56%)的Rootkit被用于APT反击,且随着该蓄意程序在互联网上合作开发与销售体系逐渐成熟,Rootkit将成为民营企业现阶段面临的重要严重威胁之一。
OneEDR精准检验高暗藏型反击
通常而言,Rootkit主要加装方法是透过运转在使用者态(user mode)的插件或是运转在Mach态(kernel mode)操作系统的漏洞展开加装。其中,使用者态Rootkit编写相对单纯,涉及精度与知识较少,检验因此更单纯,而Mach态的Rootkit则因为处于系统底层,暗藏反击痕迹技巧更为复杂,很难被安全可靠设备检验到。
微步新浪网旗下PS3严重威胁检验与积极响应互联网平台OneEDR在轻量Agent与服务器互联网平台均内建数款文档检验发动机,且服务器端资源充足,检验潜能强,成为文档检验核心力量,其拥有暗鞘文档发动机、BitDefender、ClamAV等数款文档检验发动机,可对Rootkit、病原体、地牢、巴列德、矿机、敲诈等多种不同严重威胁展开检验。特别针对Rootkit,OneEDR可有效率辨识缓存保护读取犯罪行为,检验对应缓存保护文档,并对读取完成缓存保护展开极度辨识,且会由服务器端防毒发动机再次检查。
OneEDR更进一步检验:sizes检验+该事件裂解+内建多种不同检验发动机
OneEDR不仅能纵深对各种高暗藏型蓄意程序展开检验,与此同时还能透过sizes检验+该事件裂解+多种不同发动机的检验构架,实现对PS3严重威胁的更进一步检验。
sizes检验
OneEDR选用的轻量PS3Agent可采集PS3笔记与文档重要信息,可为严重威胁检验提供丰富的数据基础。与此同时,OneEDR选用“终端产品+服务器端+用户端”全方位、全情景、多维度全面覆盖的更进一步检验构架,每种检验发动机在不同的检验情景与部署边线均能充分发挥最大价值,将多发动机sizes检验的优势充分发挥到最大,并基于文档、互联网、民主化等重要信息展开判断,实现更进一步检验。
该事件裂解
特别针对各类严重威胁监视系统,OneEDR采取的是该事件裂解与严重威胁图裂解。即,将关连监视系统和风险裂解,对关连相关监视系统语句展开分析,确定监视系统在民主化树所处边线,并将每一条监视系统笔记根据民主化链追溯到初始民主化,特别针对是否存在有效率重要信息与最新监视系统展开研判,提高检验准确性,该事件裂解准确度达99%。与此同时,PS3还会透过严重威胁图算法展开评分,量化展示该事件的严重性,让使用者真正聚焦严重反击该事件,帮助民营企业安全可靠团队提高安全可靠该事件应急积极响应效率,为安全可靠运营提供科学理论依据。
内建多种不同检验发动机
OneEDR内建包括微步新浪网严重威胁情报检验发动机、终端产品地牢检验发动机、WebShell检验发动机、极度犯罪行为检验发动机、犯罪行为规则检验发动机、暗鞘文档检验发动机等12种发动机,且对MITRE ATT&CK反击犯罪行为资料库与模型全面覆盖达80%,可全面覆盖失陷外连、蓄意犯罪行为、WebShell、病原体检验、矿机、敲诈等流行严重威胁,与此同时全面覆盖缓存马、Rootkit、容器安全可靠等多种不同新型严重威胁情景,保证严重威胁检验的更进一步性。
从合规到实战,从病原体到WebShell到无文档,真实的互联网反击技术在不断升级换代,民营企业PS3安全可靠问题也越来越严峻。现阶段的形势下,实际上倚靠防卫是不够的,实际上倚靠传统的检验机制也行不通了,民营企业的PS3安全可靠需要更加更进一步、主动、以新技术驱动的严重威胁辨认出与安全可靠防卫,这也是OneEDR正在做的事情。
OneEDR服务平台PS3安全可靠控制技术
兼顾安全可靠防卫与严重威胁辨认出
可实时更进一步辨认出民营企业PS3严重威胁
有效率检验Rootkit、缓存马等高暗藏型严重威胁