金融行業多雲、多分支等特點,在數字化時代迎來更多安全挑戰。尤其在勒索軟體等威脅猖獗的大背景下,“安全營運”理念要求金融企業不僅要對威脅攻擊“知其然”,還要“知其是以然”。是以,某金融企業希望提升端點安全防護,可以針對惡意行為做出實時識别并攔截,并且可以獲得關于攻擊來源、攻擊方式和攻擊者活動的詳細資訊,以供後續的溯源追蹤調查。Fortinet為其提供FortiEDR解決方案,滿足其多雲多分支、本地化部署等多種需求。
多雲分布,金融企業終端安全如何破局
金融行業終端多種多樣,櫃員機、業務PC、雲伺服器、移動裝置等,承載着日常辦公、業務處理、服務提供等重要職能,也是關鍵金融資料的重要流通節點。終端又是勒索軟體等各種威脅的主要切入點,在嚴峻的網絡安全背景下,其面臨的非法通路、病毒入侵、資訊洩露等安全風險陡增。如何加強終端的安全管理,抵禦外來攻擊,確定資料得到有效保護是金融行業面臨的重要課題。
作為資訊化的重要和關鍵應用領域,金融行業在終端安全等各方面有着多年的探索和建設。但傳統終端安全産品被動檢測、以管代防的思路隻能做到部分威脅的防禦。由于缺乏情報關聯、深度分析、協同應對等能力,一方面無法有效檢測和防禦0day攻擊、無檔案型攻擊和長期潛伏類攻擊等,另一方面很難對已發生威脅行為進行有效追溯以及自動化的關聯防禦應對。
相反,EDR通過主動采集資料、融合全量資訊、情報碰撞、威脅模型分析等方式綜合研判,發現未知威脅。同時,通過協同關聯、自動化等能力,在發現威脅第一時間進行有效處置,并發揮深度分析能力為使用者提供攻擊來源、方式、目标等各種資訊,便于彙報及未來的安全防範。這也是某金融企業目前所需要的。
除此之外,由于某金融企業在阿裡雲多區域部署協同辦公環境,結合自身的合規及安全需求,其還有以下幾個自身獨特的需求:
終端資料儲存在本地,EDR産品必須支援本地安裝滿足資料安全要求。
業務部署在公有雲上,EDR産品支援公有雲部署并且可以分布式部署滿足多地就近連接配接需求。
尤其需要對Linux伺服器進行防護,要求EDR産品可以部署在Linux系統并且可以支援廣泛的Linux 系統。
使用者提供病毒樣本,測試 FortiEDR的攔截能力和展示效果。
多雲雙活,FortiEDR方案護航金融企業
可以說,本地化部署是某金融企業的首要核心關鍵需求之一。目前來看,國内外主流EDR方案,隻有FortiEDR支援本地部署。同時,FortiEDR元件可以在公有雲平台安裝,通訊元件可以分布式部署滿足多地終端就近連接配接。此外,FortiEDR還支援Windows/Linux/MAC/VDI等多種終端、多種版本系統。不僅如此,FortiEDR的攔截能力已得到MITRE ATT&CK,VirusTotal等第三方測試機構的認可。
根據客戶要求,Fortinet搭建了PoC測試平台,結果顯示所有測試樣本都被FortiEDR成功攔截并有相應攔截過程和日志。這也意味着,FortiEDR不但在本地化、多雲、Linux等部署能力上,還在威脅攔截能力的實測方面滿足某金融企業的需求。最終FortiEDR通過核心元件的阿裡雲多區域部署,以及威脅狩獵、集中管理等元件的關鍵區域部署,各種用戶端的代理部署等,完成了該項目。
值得一提的是,客戶環境涉及公有雲雙中心及多處辦公地點,要求EDR架構可以雙中心雙活運作,并且可以滿足多地辦公裝置就近接入,FortiEDR的靈活特性足以滿足其需求。首先FortiEDR元件之間是解藕關系,FortiEDR通訊元件在雙中心分别部署,業務都釋出出去,終端根據響應時間快慢就近選擇較近的通訊元件。如果較近的業務中心突發業務中斷,裝置終端會自動切換到另一個業務中心,終端使用者無感覺并且總是連接配接較近業務中心點保證低延遲通訊。其次FortiEDR可以提供ISO版本或者KVM版本,滿足不同底層環境要求。
此外,該項目作為一個長周期項目,除了前期的終端部署,還有期間的事件監控。為了保證客戶的使用和日常管理體驗,FortiEDR産品提供自帶的BPS服務,該服務是由指定的FortiEDR售後專家小組提供,期間會配置設定專人對接,服務内容包括詳細的産品教育訓練,安全事件分析,配置審查等,為項目的實施提供服務保障。
全流程守護,FortiEDR專利技術全程能力
FortiEDR安全防禦解決方案具備檢測、緩解、響應和遠端修複的終端防護全流程能力。在感染前提供實時保護、主動風險管理;在感染後提供檢測 & 抑制服務,讓使用者擺脫警報疲勞,自動化響應的同時提供可定制化的感染清除;通過終端加強主動減少攻擊面;同時,基于AI的軟體行為檢測專利核心技術(Code Hunting 代碼追蹤技術)、 Encryption Rollback 專利核心技術,有效阻止勒索軟體場景中,系統檔案/存儲檔案完整性被破壞的情況,即通過基于記憶體沙盒機制,保障了原始檔案的完整性。此外,方案還與 Fabric 內建實作自動響應,關聯FortiGate防火牆阻斷威脅。項目為某金融企業帶來多方面收益:
威脅檢測與阻止:FortiEDR通過實時監控和分析終端裝置上的活動,可以及早檢測到惡意軟體、進階持續性威脅(APT)和其他安全威脅。它可以及時采取阻止措施,防止這些威脅進一步傳播和造成損害。
攻擊溯源和調查:FortiEDR記錄并存儲終端裝置上的活動日志,可以幫助安全團隊進行安全事件調查和攻擊溯源。這有助于了解攻擊者的行為模式和入侵路徑,進而采取适當的對策。
威脅情報共享:FortiEDR可以與其他安全産品和服務進行內建,并共享威脅情報。這種內建和共享可以加強整體安全防禦,提高對新興威脅的檢測和應對能力。
自動化響應與修複:FortiEDR具備自動化響應和修複功能,可以在檢測到威脅時立即采取行動。它可以自動隔離受感染的裝置、停止惡意程序,并還原受損的系統元件,進而降低對企業的影響和恢複時間。
安全性能提升:FortiEDR通過提供實時監控和威脅檢測,增強了企業的安全性能。它可以幫助發現和解決潛在的安全漏洞,加強終端裝置的保護,進而提高整體的安全防禦能力。
業界唯一,本地化優勢解決資料敏感難題
随着《金融資料安全 資料安全評估規範》、《資料安全法》等法律法規相繼出台,以及國家資料局等職能部門的成立,金融、保險等關鍵行業對待資料的态度也更加敏感,從合規、安全等多方面的要求出發“資料落本地”已經成為普遍現象。在這方面,FortiEDR的本地部署能力擁有顯著優勢。除此之外,方案的威脅檢測、溯源、自動化響應等全程能力都讓客戶獲得了無與倫比的終端安全防護,加之FortiEDR 的BPS服務則可以為客戶終端部署做好前期工作,讓客戶全程安全無憂。