360(云)主机安全防护系统

需求分析
安全监测需求

云化业务变化快,场景覆盖不足,安全能力无法跟上业务节奏,事故发生时缺少关键线索,无法有效监测。

全网视野安全预警需求

缺乏全网视野,仅仅依靠本地的检测手段,缺少全网威胁情报的支撑,难以在攻击行为产生之前进行预警,提前防范。

实战对抗需求

缺乏实战对抗的攻防能力,导致对0day攻击、未知攻击、高级持续性攻击无法及时有效地进行识别与拦截。

联动协同需求

安全产品之间孤军奋战,缺少有效的联动协同,在威胁检测、调查取证、响应处置上效率不足,导致影响损失扩大。

产品概述

360云主机安全防护系统是在新的数字安全形式下,以“攻防、实战、对抗”为导向,以“看见+处置” 为指导思想核心,采用新的战法,与新的安全框架,同时结合Gartner提出的自适应安全架构体系,采用轻量化 Agent 技术,构建的一款集防御、检测、响应、预测为一体的新一代主机安全防护系统,针对公有云、私有云、混合云及物理环境中的主机、虚机,提供全面的风险感知、威胁检测与入侵防御能力。

功能介绍
资产管理
解决资产看不清、运行状态不掌握,资产漏洞风险的关联性无法梳理的问题;可采集主机硬件、软件、进程、容器、端口、账户、启动项、环境变量、任务计划、内核模块等资产信息。
风险管理
全面的主机漏洞与风险识别处置闭关管理,并提供身份鉴别检查、访问控制检查、入侵威胁检查、系统状态检查、系统运行检查等百余条检查项,并在检查完成后上报不符合规定的主机参数及修复建议。
恶意代码防护
基于360全网数字安全大脑云服务赋能,集成了云端、本地引擎,覆盖启发式、机器学习两大类引擎,能够对PE文件、非PE文件、脚本类样本进行全面检测。未知样本可以上传至云端检测平台,实现秒级鉴定。
监控与防护
为政企业务主机提供强大的异常行为检测与防护能力,包括WEB Shell、反弹Shell、暴力破解、恶意扫描、可疑进程、敏感操作、综合入侵风险等。通过对各类攻击行为的采集分析生成攻击趋势图、攻击分布图等图表,直观展现各类攻击事件,并提供详实的攻击特征描述,政企用户可以此为参考对攻击者IP进行加黑处理,也可导出攻击事件做后续攻击分析。
技术优势
独家虚拟化检测技术

检测能力作为高级威胁检测与响应的核心能力之一,是主机发现威胁的基础。传统的威胁检测技术作用于用户层、内核层,存在攻击绕过的痛点;360(云)主机安全在主机威胁检测层面,基于360独创的冰刃安全虚拟机、为用户独家提供虚拟化层检测技术,作用于虚拟化层,检测权限更高于内核层,能够帮助用户有效对抗APT绕过攻击。

领先的APT对抗能力

360(云)主机安全依托360PB级样本数据,采用360独创研发的ABD高级行为检测、NextAV人工智能杀毒、QTAG智能化威胁标签等三大APT检测引擎,具备已知APT攻击检测和未知APT发现能力。

通过长达6年的实战应用,发现并阻止了多个针对我国的境外APT组织的定向攻击,发现多个IE,Firefox,Flash等产品在野0day漏洞的利用。

360 (云)主机安全能够根据全盘扫描或特定文件监控,发现APT高级威胁样本或可疑文件,提取已知APT常用远控攻击文件特征,进行初步快速筛查,同时针对流行APT的行为特征和环境特征,对实时行为数据进行深度关联分析,海量数据中“敏锐”嗅探出潜伏的威胁。

顶级的病毒检测能力

百亿数据,多重引擎,联合查杀,可清除终端脚本型、PE、勒索者、变种、挖矿等多种病毒。

产品特点
360通过全网安全数据提炼,以及多年实战经验积累,在数据、技术、专家、服务等方面具备独特优势
掌握全网攻防数据,才能防御高级别攻击
360安全数据总量超2EB,最大的实时网络安全数据库,完整收集了网络上几乎所有的高危程序行为和访问恶意网站行为数据
掌握2000+杀伤链模型,1万+典型攻击脚本,400+APT组织情报
每日全网云查杀560亿次,掌握310亿病毒样本,提取关键特征形成基因库
每日防护100万+渗透和攻击事件,掌握7000万失陷情报,43亿IP情报、290亿文件信誉情报,掌握40万漏洞,3万资产特征指纹库,分钟级更新
高效精准的智能关联分析能力
国内唯一集成全景攻防知识图谱对安全事件进行聚合,从威胁狩猎分析的角度,以事件发生的逻辑视角聚合所有安全分析的要素,提高分析研判效率
独有的情报智能分析,支持未知IOC评级,支持HW、日常安全运营场景的定向攻击判定、攻击阻断影响分析,便于分析人员判断处置风险
独创跨数据中心的关联分析技术,支撑全局范围事件分析,实现了百亿样本的秒级关联分析能力
部署方案

360日志收集与分析系统通常部署于网络安全管理区,利用 Syslog、SNMP Trap、Kafka、SFTP、JDBC、API、脚本、WMI、File 等方式集中采集全网各区域日志数据,支撑安全审计、监测溯源等工作集中开展。

典型应用
场景举例
  • 医疗,卫生等有等保合规需求的客户
需求
  • 满足恶意代码防护需求;
  • 满足访问权限控制需求需求;
  • 满足入侵防护需求;
  • 满足基线合规需求。
解决方案:
  • 提供恶意代码防护能力;
  • 提供主机微隔离能力;
  • 提供主机ips能力;
  • 提供基线合规能力,内置三级等保模。
场景举例
  • 企业、央企、医疗等行业客户
需求
  • 根本性解决勒索病毒问题和隐患
解决方案:
  • 通过资产清点、漏洞管理、安全检查,检查关闭不必要端口、特权账号、避免使用弱口令完整性监控避免系统重要目录非法添加和修改;
  • 流行的勒索病毒落地即查杀;
  • 依靠强大的病毒识别能力,快速准确甄别恶意软件;
  • 防火墙和入侵防御协同工作,切断横向蔓延路径。
场景举例
  • 党政、央企、金融、JD、大型企业等客户
需求
  • 面临最新高级威胁攻击,传统防病毒产品难以响应。需要具备针对高级威胁的早期检测和快速响应方式。
解决方案:
  • 异常行为记录:采集主机原始行为数据,利用大数据分析平台能力,对实时行为数据进行深度关联分析,海量数据中“敏锐”嗅探出潜伏的威胁;
  • APT排查:APT专有检测引擎(Next-AV),是基于长期研究积累的APT攻击常用的病毒或恶意软件特征,有效检出已知APT恶意样本;
  • 分析告警:核心检测中心通过各种检测分析技术的对海量多异构数据的进行分析,对高级威胁进行攻击画像,追踪溯源,确保了各类威胁全面可视。