회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

ZombieZERO EDR for APT

Giải pháp phát hiện / chặn / xử lý APT và Ransomware trên Điểm cuối

ZombieZERO EDR for APT

Giới thiệu ZombieZERO EDR for APT

EDR (EndPoint Detection & Response) là một hệ thống phát hiện / xử lý các các mã độc mới / biến thể dựa trên hành vi trên thiết bị đầu cuối.

ZombieZERO EDR for APT áp dụng động cơ dựa trên hành vi để thiết bị đầu cuối phát hiện / chặn / phát hiện các mã độc chưa được nhận biết trong thời gian thực mà không có mẫu, và đáp ứng với các mối đe dọa mà bỏ qua mạng và thâm nhập.

Xác định và so sánh hành vi ở các bước khách nhau (Bắt đầu tấn công → Hành vi mã độc → Xử lý tại Endpoint) để phát hiện và ngăn chặn. ZombieZERO Manager cung cấp việc quản lý tập trung.

※ ‘EDR for APT’ nên được cấu hình với ‘ZombieZERO Inspector’ (HW hoặc kiểu Điện Toán Đám Mây) để hoạt động.

npcore

Các tính năng chính

> Phát hiện các mã độc dựa trên hành vi

  • Phát hiện mã độc chưa được nhận biết trong khi phần mềm Anti-virus không phát hiện được.
  • Phát hiện phần mềm độc hại dựa trên hành vi, không phải chữ ký, do đó, nó chặn ngay cả các mã độc chưa được nhận biết và đáp ứng với mối đe dọa của Zero-Day và phần mềm độc hại từ bên ngoài mạng.
  • Chặn hành vi bất hợp pháp (tấn công DDoS, thông tin lọc, vv) thông qua động cơ dựa trên hành vi của thiết bị đầu cuối.
  • Không giống như các sản phẩm khác có thể bị chặn chỉ thông qua việc tương tác với thiết bị mạng, hoạt động độc lập có khả quan do động cơ dựa trên công nghệ cấp bằng sáng chế.
  • Phản hồi các cuộc tấn công của phần mềm độc hại khai thác lỗ hổng trong các chương trình lớn như các chương trình chỉnh sửa tài liệu (MS Office, Adobe Reader), các trình duyệt web (IE, Firefox, Chrome) và các trình phát đa phương tiện,

> Thông tin lọc và phát hiện quá trình lọc

  • Hành vi riêng biệt của người sử dụng và quá trình để phát hiện rò rỉ thông tin và sự cố giao thông bất hợp pháp xảy ra của mã độc, chứ không phải người sử dụng.
  • Phát hiện phiên đảo ngược để chặn các lệnh hacker đến máy tính zombie.
  • Phát hiện giám sát hành vi của máy tính để theo dõi màn hình máy tính của người dùng trong thời gian thực thông qua mạng.
  • Phát hiện tập tin trao đổi qua web mail hoặc messenger.
  • Cài đặt trên trình điều khiển I / O trình điều khiển để ngăn ngừa xung đột với các chương trình khác, do đó ổn định và giảm thiểu việc sử dụng tài nguyên của máy tính.
  • Hỗ trợ tương tác với các thiết bị mạng hiện có để tăng cường an ninh và giảm chi phí lắp đặt.

> Thực thi

  • Tệp được gửi bằng giao tiếp mã hoá và SSL được truyền đến Kiểm Tra và phân tích do chức năng giữ.
  • Phân tích tất cả các tập tin tải về và chỉ thực hiện các tập tin an toàn.
  • Người dùng có thể xem phân tích / chặn tình trạng của các tập tin được giữ thông qua chức năng giữ.

> Danh sách trắng

  • Kiểm soát thực hiện tập tin dựa trên danh sách trắng
  • Chính sách tối ưu hóa cho tổ chức của bạn
  • Phát hiện hành vi bất thường như che giấu quy trình / giả mạo bộ nhớ / nhìn trộm / truy cập ngược / các hành vi không bình thường / hành vi người dùng / chuyển tập tin.

> Công cụ bảo mật hiện tại chưa thực sự đáp ứng được yêu cầu thực tế

  • Các công cụ bảo mật truyền thống dưa trên so sánh mẫu, như IPS, Firewall, và Gateway, chưa cung cấp tính năng bảo mật đủ mạnh để đối phó các vấn đề mới.
  • Phụ thuộc vào mẫu binary (binary signature). Phương pháp tiếp cận cổ điển đó là dựa trên khả năng phân biệt đâu là bạn, đâu là thù dựa trên những thông tin đã biết. Tuy nhiên, với mã độc hoàn toàn mới, các thông số về binary, IP, URL v.v cũng hoàn toàn mới, các công cụ bảo mật truyền thống hoàn toàn có thể bất lực khi chưa có mẫu cập nhật.
  • 70-90% mã độc là mới, và được sử dụng trong các tấn công mới.
  • Các quy trình không hợp lý làm tăng chi phí vận hành: các công cụ truyền thống thường gửi hàng nghìn các cảnh báo khi không có thông tin về ngữ cảnh cũng như phân biệt quy mô của cảnh báo. Ngoài ra còn tốn kém nhiều về mặt thời gian cũng như chi phí quản lý khi có các cảnh báo và phát hiện nhầm.
  • Công cụ bảo mật truyền thống đó là giới hạn và hạn chế kết nối không thể phát hiện được các tấn công phức tạp. Các cuộc tấn công sử dụng đồng thời nhiều phương thức để lẩn trốn gây khó khăng trong việc phát hiện ngay cả khi sử dụng các công cụ cung cấp.
  • Kẽ tấn công sẽ luôn cố gắng phân tích và tìm kiếm các lỗ hổng bảo mật trên nạn nhân nhằm hiện thực mục đích tấn công. Công nghệ phòng thủ về cơ bản cung phát phát triển tưng ứng để đảm báo an ninh an toàn thông tin.

> Danh sách mã độc (APT) phát hiện dựa trên kỹ thuât phân tích hành vi

  • Backdoor : Mở cổng nhờ đó có thể truy cập ngược về PC một cách nhanh chóng.
  • Ransomware : Mã hóa tất cả hình ảnh, file tài liệu trên máy tính, giới hạn quyền truy cập và đòi tiền chuộc.
  • Downloader : Download và thực thi file mà không có nhận thức khi truy cập các website cũng như mở tài liệu làm kích hoạt mã độc.
  • Keylogger : Hooking và lưu tất cả các sự kiện bàn phím gửi đến hacker qua một máy chủ trung gian.
  • Bootkit : Phá hoại MBR làm tê liệt máy tính và gây ra vấn đề tự động khởi động.
  • Exploit : Tìm kiếm các phần mềm mã độc nhắm đến các lỗ hổng phầ mềm (IE, MS-Office, PDF)
  • System modulation : Xử lý các file nhay cảm như PC’s registry hoặc qua Host files.

> Phân biệt với phần mèm Anti-Virus

  • Anti-Virus software : Phân tích/phát hiện/xử lý theo mẫu, chỉ phát hiện được các mã độc đã biết trước, vì vậy không thể phát hiện được các tấn công Zero-Day.
  • Zombie ZERO : Phân tích/phát hiện/xử lý mã độc chưa được nhận biết thông qua cả cơ chế phân tích mẫu và hành vi.

ZombieZERO EDR for Insepctor Sơ đồ khối hệ thống

npcore

Thông số sản phẩm

Hệ điều hành được hỗ trợ Windows XP ~ 10 ( 32 / 64 Bit )