金融行业多云、多分支等特点,在数字化时代迎来更多安全挑战。尤其在勒索软件等威胁猖獗的大背景下,“安全运营”理念要求金融企业不仅要对威胁攻击“知其然”,还要“知其所以然”。因此,某金融企业希望提升端点安全防护,可以针对恶意行为做出实时识别并拦截,并且可以获得关于攻击来源、攻击方式和攻击者活动的详细信息,以供后续的溯源追踪调查。Fortinet为其提供FortiEDR解决方案,满足其多云多分支、本地化部署等多种需求。
多云分布,金融企业终端安全如何破局
金融行业终端多种多样,柜员机、业务PC、云服务器、移动设备等,承载着日常办公、业务处理、服务提供等重要职能,也是关键金融数据的重要流通节点。终端又是勒索软件等各种威胁的主要切入点,在严峻的网络安全背景下,其面临的非法访问、病毒入侵、信息泄露等安全风险陡增。如何加强终端的安全管理,抵御外来攻击,确保数据得到有效保护是金融行业面临的重要课题。
作为信息化的重要和关键应用领域,金融行业在终端安全等各方面有着多年的探索和建设。但传统终端安全产品被动检测、以管代防的思路只能做到部分威胁的防御。由于缺乏情报联动、深度分析、协同应对等能力,一方面无法有效检测和防御0day攻击、无文件型攻击和长期潜伏类攻击等,另一方面很难对已发生威胁行为进行有效追溯以及自动化的联动防御应对。
相反,EDR通过主动采集数据、融合全量信息、情报碰撞、威胁模型分析等方式综合研判,发现未知威胁。同时,通过协同联动、自动化等能力,在发现威胁第一时间进行有效处置,并发挥深度分析能力为用户提供攻击来源、方式、目标等各种信息,便于汇报及未来的安全防范。这也是某金融企业当前所需要的。
除此之外,由于某金融企业在阿里云多区域部署协同办公环境,结合自身的合规及安全需求,其还有以下几个自身独特的需求:
终端数据保存在本地,EDR产品必须支持本地安装满足数据安全要求。
业务部署在公有云上,EDR产品支持公有云部署并且可以分布式部署满足多地就近连接需求。
尤其需要对Linux服务器进行防护,要求EDR产品可以部署在Linux系统并且可以支持广泛的Linux 系统。
用户提供病毒样本,测试 FortiEDR的拦截能力和展示效果。
多云双活,FortiEDR方案护航金融企业
可以说,本地化部署是某金融企业的首要核心关键需求之一。目前来看,国内外主流EDR方案,只有FortiEDR支持本地部署。同时,FortiEDR组件可以在公有云平台安装,通讯组件可以分布式部署满足多地终端就近连接。此外,FortiEDR还支持Windows/Linux/MAC/VDI等多种终端、多种版本系统。不仅如此,FortiEDR的拦截能力已得到MITRE ATT&CK,VirusTotal等第三方测试机构的认可。
根据客户要求,Fortinet搭建了PoC测试平台,结果显示所有测试样本都被FortiEDR成功拦截并有相应拦截过程和日志。这也意味着,FortiEDR不但在本地化、多云、Linux等部署能力上,还在威胁拦截能力的实测方面满足某金融企业的需求。最终FortiEDR通过核心组件的阿里云多区域部署,以及威胁狩猎、集中管理等组件的关键区域部署,各种客户端的代理部署等,完成了该项目。
值得一提的是,客户环境涉及公有云双中心及多处办公地点,要求EDR架构可以双中心双活运行,并且可以满足多地办公设备就近接入,FortiEDR的灵活特性足以满足其需求。首先FortiEDR组件之间是解藕关系,FortiEDR通讯组件在双中心分别部署,业务都发布出去,终端根据响应时间快慢就近选择较近的通讯组件。如果较近的业务中心突发业务中断,设备终端会自动切换到另一个业务中心,终端用户无感知并且总是连接较近业务中心点保证低延迟通讯。其次FortiEDR可以提供ISO版本或者KVM版本,满足不同底层环境要求。
此外,该项目作为一个长周期项目,除了前期的终端部署,还有期间的事件监控。为了保证客户的使用和日常管理体验,FortiEDR产品提供自带的BPS服务,该服务是由指定的FortiEDR售后专家小组提供,期间会分配专人对接,服务内容包括详细的产品培训,安全事件分析,配置审查等,为项目的实施提供服务保障。
全流程守护,FortiEDR专利技术全程能力
FortiEDR安全防御解决方案具备检测、缓解、响应和远程修复的终端防护全流程能力。在感染前提供实时保护、主动风险管理;在感染后提供检测 & 抑制服务,让用户摆脱警报疲劳,自动化响应的同时提供可定制化的感染清除;通过终端加固主动减少攻击面;同时,基于AI的软件行为检测专利核心技术(Code Hunting 代码追踪技术)、 Encryption Rollback 专利核心技术,有效阻止勒索软件场景中,系统文件/存储文件完整性被破坏的情况,即通过基于内存沙盒机制,保障了原始文件的完整性。此外,方案还与 Fabric 集成实现自动响应,联动FortiGate防火墙阻断威胁。项目为某金融企业带来多方面收益:
威胁检测与阻止:FortiEDR通过实时监控和分析终端设备上的活动,可以及早检测到恶意软件、高级持续性威胁(APT)和其他安全威胁。它可以及时采取阻止措施,防止这些威胁进一步传播和造成损害。
攻击溯源和调查:FortiEDR记录并存储终端设备上的活动日志,可以帮助安全团队进行安全事件调查和攻击溯源。这有助于了解攻击者的行为模式和入侵路径,从而采取适当的对策。
威胁情报共享:FortiEDR可以与其他安全产品和服务进行集成,并共享威胁情报。这种集成和共享可以加强整体安全防御,提高对新兴威胁的检测和应对能力。
自动化响应与修复:FortiEDR具备自动化响应和修复功能,可以在检测到威胁时立即采取行动。它可以自动隔离受感染的设备、停止恶意进程,并还原受损的系统组件,从而降低对企业的影响和恢复时间。
安全性能提升:FortiEDR通过提供实时监控和威胁检测,增强了企业的安全性能。它可以帮助发现和解决潜在的安全漏洞,加强终端设备的保护,从而提高整体的安全防御能力。
业界唯一,本地化优势解决数据敏感难题
随着《金融数据安全 数据安全评估规范》、《数据安全法》等法律法规相继出台,以及国家数据局等职能部门的成立,金融、保险等关键行业对待数据的态度也更加敏感,从合规、安全等多方面的要求出发“数据落本地”已经成为普遍现象。在这方面,FortiEDR的本地部署能力拥有显著优势。除此之外,方案的威胁检测、溯源、自动化响应等全程能力都让客户获得了无与伦比的终端安全防护,加之FortiEDR 的BPS服务则可以为客户终端部署做好前期工作,让客户全程安全无忧。