凯美耐作为一家合肥软件开发公司为您提供:软件开发,软件定制,网站建设,品牌策划,系统集成等高端电子政务软件开发及电子信息化服务。咨询热线:0551-65355812
2013年(42)
分类: 其他平台
2013-11-07 11:28:17
一般来说为了检测被攻破的系统,需要分析入站和出站网络流量,要做到这一点,不仅需要端点的代理软件,还需要考虑攻击者的负载。通过使用一个安全隔 离的模拟环境,沙盒技术可以观察到载荷是如何运行的,旨在将其标记为危险的。需要确定端点是如何受恶意软件影响的,但这通常要花费很 大的运营 成本在端点进行管理和部署。
端点行为分析的理论基础是“应用程序容器通过孤立在虚拟容器中的应用程序和文件来保护端点。这种类型的其他创新包括系统配置、阻止攻击的内存和过程 监控,和协助实时事件响应技术。“类型4方法需要每个端点设一个代理。它可以“拦截内核系统访问并阻止恶意活动比如线程攻击”和“通 过孤立网页浏览对话框来保护用户免受恶意网站包括瞬间出现的下载网站和“水坑”。这种方法的力量在于提供一些取证依据来阻止零日攻击,并且无论系统是开启还是关闭都能保护系统,但面临的挑战是,部署和管理代理软件属于运营密集 型,并且 在自备设备(BYOD)环境中运行十分困难。比如蓝岭网络,Bromium,Invincea, Sandoxie和Trustware。支持内存监控的供应商包括Cyvera, ManTech / HBGary(数字DNA)和RSA的Ecat。
Gartner
类型目录的最后一种类是端点取证,包括事件反应小组的工具。这些端点代理从他们监控的主机收集数据。他们可以帮助自动事件响应和监控主机开启和关闭公司网
络。然而,使用它们的挑战在于它们部署和管理操作起来很敏感,对非windows端点的支持是相当有限的。类型5供应商的工具包括Bit9,
Carbon Black,带有EnCase分析的指导软件,Mandiant和ManTech / HBGary的响应者Pro。
