深信服统一端点安全管理系统aES_高级威胁检测系统_终端检测响应平台EDR-云巴巴 -云巴巴

深信服统一端点安全管理系统aES

深信服统一端点安全管理系统aES，PC&服务器&信创端&容器统管，EPP、EDR、CWPP、HIPS、容器安全能力融合。深信服aES定位，我们不做全家桶、大杂烩，我们是专注于用户端点安全的精专派。杀毒只是我们最基础的能力，聚焦市场上层出不穷的新威胁（勒索、顽固挖矿为代表）、APT式高级威胁检测防护，并快速响应闭环。

立即咨询

从客户需求看端点安全变化 icon

第一阶段：AV（anti-virus

杀毒软件）
简单来说，病毒是一段可执行程序，通常以恶意文件的方式落盘。我们说的杀毒，其实本质上就是把这个恶意文件找出来，删掉。准，不全，滞后性

第二阶段：EPP（Endpoint Protection Platform）
安全厂商琢磨，既然杀毒技术不可能做到完美，那咱能不能换个思路：减少终端可能感染病毒的途径，比如U盘的插拔可能会引入病毒，那我就加个外设管控功能。对应出的就是系列能力堆积木叠加，涌现打补丁、应用管理、防泄密。

第三阶段：由EPP分化演进

aES与CWPP
aES（Endpoint Detection Response）攻防升级，勒索挖矿等变种快、难防住。攻击手法下沉，变成了脚本小子都可做的事。无文件不落盘、白利用逃避检测、加壳变种检测不出……传统检测全部失效，于是转向研究行为。攻击要成功，一定要在端侧做很多操作，端变成攻击研判的最重要数据源。基于行为的持续监测记录、聚合分析研判攻击事件

CWPP（Clound Workload Protection Platform）
针对服务器、云主机的专项防护，含有服务器/云主机特属的防护能力，如资产清点、漏洞管理、入侵攻击主动防御等。

杀软无法解决客户端点安全问题 icon

杀软/EPP滞后性严重，更偏重事后处置，它介入代表威胁已落地。且由于纯粹查杀文件，难以看到根因。

检测不到

网络侧安全产品局限性：流量加密盛行，可绕过网络侧检测。让威胁直抵端；90%以上的攻击行为在端侧进行，网络侧难以全面检测到这些行为；杀软&EPP产品局限性：基于文件、进程检测，强依赖规则库病毒库匹配，新威胁（勒索、变种病毒等）检测不到。

闭环不了

网端割裂严重：网端两侧检测方式不一样，导致对事件研判结果不一致（网络侧告警、端侧查杀无病毒）；网端安全产品各司其职，数据割裂，看不到事件根因，盲目处置。杀软&EPP局限：纯粹文件查杀，无法定位端侧根因，导致事件处置不干净。

客户对端点安全仍有大量诉求 icon

1.威胁变化带来端点

安全需求变化
从近年来大量的安全事件来看，杀软因为技术局限已经防不住威胁，存在大量通过基于AI+行为监测能力构建的下一代端点安全能力替换杀毒（如火绒、赛门铁克、奇安信天擎、亚信OFFICESCAN、卡巴斯基）的空间；一旦成功引导到“高级威胁检测和响应”场景，针对市面上有高级威胁模块的奇安信、亚信、卡巴斯基，我们aES更具备优势更易打赢。

2.端点形成高度卡位

占住点后持续做大订单
增购点数、PC主机容器互相增购、网侧组件、XDR&ZTA平台、服务器等。

3.IDC看好端点安全市场

预测高增长
①2021年，端点安全软件在所有功能市场中表现最为亮眼，在（重点行业大量新增需求、云工作负载安全快速发展）等因素带动下增速加快，实现了全年40%以上的增长。②端点安全国内市场规模21年已经达到43.95亿人民币，预测年复合增长率 24%，22年 54.98亿、23年 68.66亿、24年 85.20亿、25年 105.07亿。

4.新老安全厂商重新

杀入端点安全市场
如安恒发布UES、微步在线发布aES、青藤开始下探非头部客户的主机安全市场。

深信服统一端点安全aES--能力大升级 icon

PC&服务器&信创端&容器统管，EPP、EDR、CWPP、HIPS、容器安全能力融合。深信服aES定位，我们不做全家桶、大杂烩，我们是专注于用户端点安全的精专派。杀毒只是我们最基础的能力，聚焦市场上层出不穷的新威胁（勒索、顽固挖矿为代表）、APT式高级威胁检测防护，并快速响应闭环。

核心能力再增强
勒索防护再增强：变种勒索精准检测、秒级自闭环。市场独有勒索专项白利用；APT实战攻防增强：高级威胁检测能力；网端联动再提升：秒级响应，精准自闭环。

服务器攻击防御再增强
资配漏补强化：EDR+CWPP能力合一，加强服务器资产指纹风险识别能力（包含中间件数据库漏洞检测等）；应用安全防护：增加服务器Web应用层安全防护，威胁识别能力前置；弱密码检测：增加弱密码脆弱性检测能力，并对整体脆弱性闭环。

流畅稳定保体验
智能变频技术：结合用户行为判断，自动调节对系统资源占用，服务器bypass机制不卡顿；深度兼容适配：3000+办公软件深度兼容，深端仿真实验室模拟测试，减少误报、流畅体验。

桌管运维补齐
刚需桌管运维能力补齐，垃圾清理、软件管理、软件黑白名单，数据防泄密、水印……

深信服aES端点安全--服务器专业能力升级 icon

多数统一端点安全管控的产品，在服务器安全的专业能力上都有牺牲（仅为杀毒或aES能力适配）。但我们不妥协，aES实现端点安全统管的同时，也能满足客户对服务器要求的专业能力。梳理核心资产主机上有哪些可能会遭受漏洞攻击的应用或服务软件（如OA系统），将这些软件的进程作为需要重点监控的对象，基于异常行为检测到0day漏洞入侵，在威胁攻击落地前提前发现、并阻断。

勒索防护能力再加强--从效果来看，并非功能越全才能防住 icon

我们认为，勒索变种速度快，近两年勒索事件爆发多以变种勒索为主，防住变种才是关键。严防死守很难，更重要的是执行期间第一时间检测拦截、快速阻断能力。

网端联动能力再升级--以前，网端联动难用起来 icon

过去：杀软/EPP能力不足，导致联动用不起来

联动处置：端侧杀软难以定位到根因，盲目查杀

影响业务：业务进程不敢处置，联动处置进程影响业务

现在：充分用好端侧提供丰富行为数据能力

精准研判事件：端侧行为数据+网络流量分析判定具体事件（如僵尸网络窃取数据、注入式病毒挖矿等）。遏制横向扩散：端侧基于行为检测到横向扩散行为，自动阻断。回溯根因根除：进程链回溯事件，定位根因（如挖矿的计划任务等），处置根因防复发。

网端联动能力再升级--现在，秒级阻断、精准自闭环 icon

要真正打通网端数据、协同起来。端侧自动溯源遏制事件，自动化先遏制（阻断远控传播），再根除（彻底处置不复发）

网端联动再升级--具体效果展示 icon

攻防实战能力再升级--构建最强高级威胁检测能力 icon

我们同样以去年沸沸扬扬的log4j漏洞被利用入侵的真实案例，来看我们的效果。

真实案例看高级威胁检测效果--提前检测到勒索入侵 icon

提前预警到勒索入侵，安全效果引发集团性采购（PC全量版6500+，服务器800，持续增购）

项目背景：EDR提前预警到勒索入侵引发增购

该集团端侧原部署的端侧安全软件，仅含有基础杀毒能力。2022年1月客户开始测试深信服EDR全量版，过程中云端安全专家基于EDR高级威胁检测能力，帮助客户提前发现勒索事件。并及时告知客户、针对性加固，帮助客户阻止了这场事件。高级威胁检测能力记录整条攻击路径：服务器爆破、系统盘注入后门、持久化、最后安装anydesk等勒索前置动作。在投毒前提前预警、告知客户。

客户认可价值

行为深度检测：深信服EDR高级威胁检测能力全量采集记录端侧行为，场景化关联分析。可视化攻击路径还原勒索入侵全貌，包含端侧攻击入口点（服务器爆破）、端侧执行的动作（加载CobaltStrkie后门，系统目录盘注入病毒持久化）、anydesk建立远控通道。基于还原的攻击路径分析出此为勒索入侵事件，在投递勒索病毒前制止。威胁狩猎快速定位风险资产：基于采集记录的驻留后门md5值，对全网终端狩猎，主动挖掘潜伏着的风险终端。一次性处置干净。还可基于记录的行为如网络连接、文件操作、域名访问等行为全网搜寻，快速定位到风险终端，制止威胁于萌芽状态。变种勒索精准检测：客户自行准备了多种变种勒索病毒与友商EDR对比检出率，我们优于友商。深信服EDR基于勒索动+静结合检测，动态AI基于行为检测是否为勒索。即使是变种勒索，也可精准检测。

深信服aES优势能力总结 icon

勒索防护

精准检测、秒级闭环：勒索防护重在第一时间检测到、拦截住。aES AI动静态结合，基于行为快速检测到变种勒索。独家白利用专项加大黑客绕过难度，勒索诱饵与勒索信双管齐下快速识别到加密动作，第一时间阻断并微信告警。多数友商都在比拼功能全，但效果不一定好。友商对于变种勒索病毒检测、加密阶段快速阻断上均有不同程度的缺失。

高级威胁（攻防实战）

提前检测到：端侧行为数据采集全+弱信号关联分析，降低误报，在威胁攻击落地前就能发现入侵攻击；快速定位：威胁狩猎基于全量采集的行为数据，对端点主动挖掘潜伏威胁，快速定位风险资产。全量行为数据采集是基础，还需要关联分析才能精准检测。友商在这两块均有不同程度的劣势，导致攻击链展示单条、难以精准研判和溯源根因。

网端深度联动

秒级响应：多达7种响应机制，还可与SIP实现剧本化自动响应等。快速定位到风险资产，一键闭环；精准自闭环：端侧基于全量采集记录的行为数据，自动回溯根因（计划任务、注册表修改项等），PC侧自动遏制与根除。服务器侧优先遏制，避免威胁横向扩散。并提供微信告警，给于根因分析与处置建议。国内友商仅能做到基础的联动处置，且由于端侧能力局限，难以定位到根因。网端数据也未彻底打通，导致盲目处置、难闭环。

流畅稳定

流畅体验佳：合入智能变频技术，根据后台资源占用自动调节线程，优先保障业务第一性。服务器侧bypass机制，业务第一，不影响业务不卡顿；办公网深度兼容：研发场景、测试场景深度兼容适配，基于端侧用户行为判断是否为研发环境，降低对自研软件的误报拦截，助力流畅办公。PC与服务器均设计轻量化机制，满足业务第一优先性。针对特殊场景（如XP/WIN7，桌面云等）做特定优化。

官方认证-端侧勒索专项防护能力 icon