ESET的APT防御方案和未来动向

B100D1E55

貌似没看到坛子上有人分享这个？ESET正在开发的企业级应对APT的解决方案叫ESET Enterprise Inspector

如果对这个产品名称没印象的话之前介绍ESET机器学习的blog post里面讲到机器学习分拣算法投票的时候有提到过：

The more aggressive one will label a sample as malicious if most of the six algorithms vote it as such. This is useful mainly for IT staff using ESET Enterprise Inspector, as it can flag anything suspicious and leave the final evaluation of the outputs to a competent admin.

更加激进的策略会在6种检测算法的大多数都投“恶意”票的时候将未知样本鉴定为恶意。这个策略对于使用ESET Enterprise Inspector的IT管理员来说特别有用，因为它会将可疑的东西标记出来以供有专业知识的管理员进行最终鉴定。

而之前提到在ESET端点防护昙花一现的“高灵敏启发”选项可能就是这个计划的副产物。

据悉年底ESET将会有几个重要发布，主要是企业级解决方案，包括针对APT的ESET Enterprise Inspector （异常侦测系统），云端管理面板ESET Cloud Administrator。明年还会推出新的云安全防护系统。这个云安全系统可能是早已有相关新闻报道的ESET Threat Intelligence，将ESET中心收集到的恶意软件情报和用户共享，提供恶意威胁爆发初期的快速预警。

不过根据Magic Quadrant的报告，ESET Enterprise Inspector将独立于现有的端点防护方案，需要另外购买才行……

从截图来看Enterprise Inspector功能还是有不少亮点的，这里贴几张图：

主界面



进程监控，和LiveGrid协作



可疑程序行为分析



根据定制的规则触发警报



网域内通过文件Hash进行快速拉黑



威胁情报共享



生成分析报告




这一系列消息表明ESET也在努力开发自己的新一代解决方案，这里面有一些功能其他大厂/新厂产品中已经有部署。例如异常侦测和程序行为分析在近期Microsoft针对企业级的防护系统中已经出现。而云端的控制面板在新兴厂商（例如Cylance，CrowdStrike）中已经很普及。
ESET在普通用户客户端上肯定也是有这种传感器部署的，未知恶意程序触发某些官方可疑行为规则就自动后台上传样本到LiveGrid分析了。不过要从那么多端点中过滤掉噪声提取有效信息也不容易……而Enterprise Inspector感觉就是这样一个系统的局域网版本。

总之期待一下吧如果出了的话真想搞一套来玩一玩（价格合理的话）
顺带附上上次看到的一张LiveGrid对新恶意威胁的防御演进图：

横轴为时间，深蓝色为端点检出率，浅蓝色为LiveGrid检出率，红色的是云端端点总量

参考资料：

http://branden.biz/wp-content/up ... -Platforms-2017.pdf
https://www.channelweb.nl/artike ... e-specialisten.html
http://www.itexs.net/Business-Solutions_2017_DS.pdf
https://eset-info.canon-its.jp/f ... ity_days_tokyo2017/
http://s.itho.me/egov/2017/A-1135.pdf
https://www.eset.com/int/busines ... terprise-inspector/

Jerry.Lin

前排支持

要是个人版也可以调节敏感度就好了

B100D1E55

191196846 发表于 2017-10-31 12:47
前排支持

要是个人版也可以调节敏感度就好了

嗯我也这么希望。。

他们的endpoint security v7都不知道内测多久了，v6没有勒索防护也是很蛋疼

cloud01

这是拿企业做小白鼠 ，别人都是拿普通用户做小白鼠，看来ESET比较狠，直接先搞定企业级高难度。

桑德尔

cloud01 发表于 2017-10-31 14:48
这是拿企业做小白鼠 ，别人都是拿普通用户做小白鼠，看来ESET比较狠，直接先搞定企业级高难度。

ESET的理念是企业有专门的管理员能处理误报问题，而绝大多数个人用户不具备这个能力

cloud01

桑德尔 发表于 2017-10-31 15:46
ESET的理念是企业有专门的管理员能处理误报问题，而绝大多数个人用户不具备这个能力

等企业搞的成熟了，我们也可以用了。怎么像是多步主防的节奏。

欧阳宣

虽然口头上传统厂商都对NGAV嗤之以鼻，但是自己搞出来的新东西好像确实又在向NGAV靠近

ELOHIM

   我要对 ESET动心了……

bbs2811125

很精彩的消息，看来ESET在后续一到两年内会有全面的提升