文末精彩视频,不要错过
Agent技术开始投入研究至今,已经历了数十年的创新、迭代与考验,从成熟性考虑,主机部署agent已有了较稳定的技术支撑。在主机安全防护领域,一个智能化、轻量级的agent是群雄竞相争取的技术高地,它需要研发人员从底层吃透技术算法,并结合安全产品属性进适配、扩展、改造来实现,长亭科技作为一贯的技术创新者,在持续尝试登顶这一高地。
牧云(CloudWalker)“零负担”主机agent
Agent在分布式安全检测的应用中,凭借其处理快速、可靠、灵活、模块化的优势,得到广泛青睐。对于主机安全防护而言,产品研发团队的水平将直接影响agent的知识性(分析求解能力)、主动性和协作性能力。长亭科技研发团队此次全面投入牧云(CloudWalker)主机安全管理平台能力体系建设,以智能算法打造具备“金箍棒”属性的“零负担”主机agent:
- 可变大小
- 分布式应用,弹性扩缩容
- 随心使用
- 轻便,灵活配置CPU占用率
- 便于携带
- 易用,极低系统内存消耗
- 满足不同使用环境
- 支持部署Linux和Windows操作系统
非root方案,安全管理“零负担”
目前市面上大部分主机agent,需要获得系统的root权限才可运行,这是一个极大的安全隐患。对于系统管理者来讲,内部权限管理一直强调分层、分级,给到单个系统或个体root权限(最高管理权限)是相对危险的。牧云(CloudWalker)实现的是非root解决方案,用户无需获取系统root权限,即可完成agent的即时运行,减少了此类安全风险发生的可能性。
自定义CPU限制阈值,策略配置“零负担”
很多用户担忧agent对系统性能的影响,因为这将有可能直接影响业务运行。很多技术提供方抓住这一心理,用CPU占用率维度来标榜主机agent对系统性能的影响程度,这种方式未免有失偏颇。事实上,主机自身的性能高低、CPU配置的不同、业务负载的强度波动、检测策略的开发程度等,都会影响agent对CPU的占用率数据。因此,这是一项需要结合环境因素、人为因素、业务属性等维度综合分析的指标,无法用一个数据代表所有的情况,动态CPU阈值管理更能解决场景化问题。
长亭科技以独特的视角,采用自定义CPU限制阈值的方案,解决用户对性能资源占用的顾虑。牧云(CloudWalker)以算法实现对CPU占用率的严格限制,用户可根据业务分组设置不同的CPU限制策略,自定义CPU限制阈值,能够灵活选择CPU使用率限制方式(限制单核占有率、限制总体占用率)和监控观测周期(分为短周期、中周期、长周期),避免因agent占用过多资源而影响业务的稳定性情况发生。
以agent为核心 多面安全防护能力输出
牧云(CloudWalker)以智能、轻量的agent为核心,辐射出以理、查、检、管、联、合规等多面安全防护能力,为主机带来更加全面和智能的自适应安全守护。
以agent为核心的全面防护能力
理:资产追踪,全面发现与清点
牧云(CloudWalker)主机安全管理平台通过部署在主机上的agent对资产信息进行全面采集,可发现主机、数据库、Web资产、应用、进程(进程名、进程路径、PID、用户等)、容器(Docker镜像和Docker容器)等多种类型资产,全面掌握系统版本信息、网络接口、软件应用类型等内容,再通过外部数据源同步,建立包含设备属性、时间属性、空间属性、责任人属性等详尽的资产指纹信息,让企业管理者拥有一张全面的、清晰的、详尽的资产图谱,满足多种资产管理场景。
查:风险前置,全面评估脆弱性
牧云(CloudWalker)支持检测与分析主机资产的漏洞、补丁、配置错误、弱口令等问题,全面了解现网资产脆弱性。其独有的重点漏洞模块,不同于常规的基于版本匹配的漏洞检测方式,是对于具有可利用POC的漏洞进行检测和管理,帮助用户聚焦真实需要处理的漏洞,大幅度减少漏洞误报率。
检:入侵检测,全面感知风险
恶意文件和代码、信息泄漏等进行识别检出,监控本地提权、暴力破解、敏感文件异常等行为,支持用户自定义设置检测规则、检测引擎和检测算法敏感度。下面是一些检测能力的体现:
管:精细运营,全面管理覆盖
牧云(CloudWalker)在研发之初就被赋予多维管理能力,其B/S+agent的系统架构,可满足物理机、虚拟机等技术部署要求,实现跨IDC机房、私有云、行业云、混合云环境下的部署。其中资产与风险的关联分析能力,可为管理者提供资产风险视图、风险类型分布视图、专项漏洞排查视图等,帮助企业在0day漏洞爆发时快速定位问题资产,杜绝损失。
联:多面联动,防护能力升维
联动防护能力是主机安全防护产品的优秀力标签。牧云(CloudWalker)内嵌威胁情报模块,可实现全网威胁情报与现网情报关联整合,集结为强大的IP信誉库,通过资产与风险状态自动关联威胁情报实现对攻击行为的预判和风险的识别。
除了自身的微蜜罐能力,牧云(CloudWalker)可与高交互蜜罐联动打造包围式监测网。 通过部署agent探针并开启相应的蜜罐诱捕策略,牧云(CloudWalker)将攻击流量重定向至高交互蜜罐系统,捕获并分析攻击行为 ,有效监听东西向流量威胁,助力企业决策者全面掌握内网资产安全状态。 (主机安全产品联动欺骗伪装,打造包围式监测网 )
合规:安全基线,助力合规建设
牧云(CloudWalker)支持主机操作系统、应用程序、数据库的等级保护Checklist以及符合CIS规范的安全基线,策略支持Centos、RedHat、SUSE、WindowsServer 等常用操作系统,支持主动触发合规基线检测任务,同时根据主机系统指纹信息,自动识别适用基线策略,可快速检查现网资产安全合规基线。
应用案例
案例一:高准确率WebShell检测实践
某银行部署牧云(CloudWalker)的当天即发现在攻防演练过程中遗留的数十个WebShell,检测准确率高达100%。在修复阶段,牧云(CloudWalker)帮助客户修复了大量高危组件漏洞和内网弱口令,提升了整体安全性。
案例二:攻防演练中连续捕获攻击行为
在某金融企业组织的攻防演练对抗中,牧云(CloudWalker)的命令审计模块连续捕获到多支攻击队对该企业系统的攻击行为,包括但不限于获取敏感文件信息、清除入侵记录、黑客工具横向渗透等,通过捕获攻击者登陆IP等信息,成功定位跳板机,在监控到行为发生的第一时间,协助客户完成响应处理,为后续溯源反制争取了主动权。
牧云(CloudWalker)视频重磅发布
发表评论
您还未登录,请先登录。
登录