2018年ESET企业防护产品线更新

B100D1E55

貌似代{过}{滤}理商前几天才有相关的报告释出，这里简要分享一下

先简单介绍一下现在的端点防护产品模式，不考虑DESLock或者2FA等额外产品的话，到目前为止（v6.6）的主要组件就是EES+Agent+ERA。EES是企业版防毒客户端，ERA则是管控端点的中控台，可以用来批量部署规则、分发客户端之类的。Agent则是客户端上用来监听并上报事件的管理程序。

现阶段这套体系还是有一些问题。首先ERA需要企业自行部署，即需要有专门的服务器，如果跨网段还要搞定证书等问题。虽然对于大企业来说这些东西司空见惯而且有助于企业保密，但是对于中小企业来说自行部署需要额外耗费人力物力来维护。就这点而言ESET有点过时了，像Cylance这种新兴产品都有云服务端以免去客户自己部署的一系列麻烦。

此外客户端的升级需要由中控台执行命令，客户端本身没法像EIS那样有自动升级的选项，大概是出于稳定性考量……

ESET Cloud Administrator
今年新推出的第一个产品就是基于云端的中控台叫做ESET Cloud Administrator，即托管在ESET服务器的中控台：
从目前Early Access的情况来看，在美国、欧洲和日本都有对应节点

使用体验上和目前的ERA 6.5感觉差不多，UI翻新了一下，一些report功能也精简了……这里就不赘述


2018年开始ESET企业产品开始区分中小企业市场和大企业市场，前者将使用Cloud Administrator和EES 6.6的组合，针对250席位以下的客户，而后者将部署一系列新的企业端点保护和EDR方案，其中主要由四个部分组成：ESET Security Management Center （ESMC），ESET Enterprise Inspector（EEI），ESET Dynamic Threat Defense（EDTD），ESET Threat Intelligence（ETI）

ESET Security Management Center
其中ESMC就是ERA6.5的下一代产品，包含了所有功能的中控，相比之下Cloud Admin就寒酸许多了，不仅没有EEI，连EDTD都没有

虽然主界面和ECA差不多，从上图界面可以看出ESMC相较于ERA多了不少东西，除了基本的机器属性外，还能显示对应的硬件配置。这给管理增加了不少便利：现阶段ERA支持客户端动态分组管理，而ESMC可以进一步细化，例如“内存大于4GB的电脑划分在组A”，这样如果客户端进行了硬件配置上的变更，其组别也会对应自动改变，减少了管理人员的负担。

对应的管理员警报系统界面


大企业防护部署：邮件服务器将包含EDTD，而端点则有EEI监控

ESET Enterprise Inspector
EEI主要针对APT攻击，端点的探针会实时收集系统活动并通过规则过滤和LiveGrid信誉库查询整理出可疑行为上传到服务端，服务端则可以通知客户端对应威胁并在后台缓解攻击

监控主界面，其中左侧记录高危级别行为，例如从%Temp%执行低信誉程序，可以后缀名文件执行，启动项修改等等
而右侧则是一些额外信息，例如Powershell执行历史，脚本保存，桌面执行可执行文件等等

每个客户端的可疑行为都会被汇总到报告列表中

可疑行为详细报告中会汇总对应的程序源，发生时间，信誉，触发执行的命令行等等

这些可以程序可以在exec列表中由管理员决定是否阻止执行，或者放行

对应客户端上的进程可以查看操作的文件、注册表、网络行为等

EDR系统中规则是核心之一，EEI提供了高度灵活的xml规则引擎，支持多条件过滤等较为复杂的规则定制

ESET Dynamic Threat Defense

EDTD之前已经有介绍了，主要就是融入机器学习的云端沙盒——对的，就是之前那个Augur引擎。样本提交可以由管理员触发或者服务器（例如邮件服务器）触发。在传统非企业用户的保守检测模式下，Augur的6个分拣模型只要有一个认为是非恶意则判定为正常程序，而EDTD允许用户自定义敏感度，使得分拣模型中只要有一个判定为恶意即为恶意。对应分析的行为会详细汇报给管理员并能将检测结果立刻分发给所有受控端，这套系统进一步会和EEI结合以提高自动化程度。

EDTD在ESMC中的控制界面。

ESET Threat Intelligence
ETI在这一系列新产品中属于较为特殊的一个，它更像是服务订阅而非可部署的软件。ETI会将ESET云防御系统的统计分享给订阅客户（据称有6亿端点），并提供预警和对应威胁的IOC（IP、URL、文件hash、yara规则等）。订户也可以将未知样本快速提交给ESET进行分析鉴定并获得详细报告。

ETI主界面中包括了全网实时恶意威胁统计、每周报告、yara规则等等

僵尸网络侦测信息

文件分析报告（样例）


附录：

ESET侦测技术发展历程


1987年：NOD诞生
1992年：ESET成立
1995年：启发分析和行为侦测，第一次开始使用机器学习算法
1997年：机器学习算法部署到产品
1998年：获得第一个VB100认证
2002年：高级启发式侦测
2005年：ThreatSense.net云，DNA侦测
2006年：大批量处理算法
2007年：基于DNA的自动侦测
2008年：Centroids项目
2011年：基于DNA的自动文件信誉系统，基于机器学习的侦测
2012年：漏洞防护、网络攻击防护，机器学习算法进化
2013年：云端防护系统和DNA hash侦测，高级内存扫描，云端沙盒
2014年：僵尸网络防护、共享更新缓存
2015年：网络侦测
2016年：EEI
2017年：UEFI扫描和勒索护盾

题外话：ESET的CTO换了之后白皮书又又又修订了，感兴趣的可以读一读，链接


其他一些花边数据：

1. 2015到2018年R&D投入增幅达到61%
2. 历年营收情况：17年是5.39亿美元

3.企业产品销售量占总销售量的比重

4.企业客户分布（因为是日本区的ppt所以日本在中间咯）

5.分公司分布情况

6.貌似是正在建设的新总部……



参考资料：
https://forest.watch.impress.co.jp/docs/news/1107940.html
https://eset-info.canon-its.jp/f ... 2018/detail/01.html
https://eset-info.canon-its.jp/f ... 2018/detail/02.html
https://www.eset.com/us/business ... ts-effectiveness-1/
https://www.eset.com/us/business ... mote-administrator/
https://www.eset.com/us/rsa/

驭龙

我还以为你说的技术白皮书又更新了，原来还是半年前的修订版本，当时是跟11一起发布的。

ESET再不加油，就被WD完全碾压了，唉，当初说三月份出V7 测试版，看样子跳票了。

B100D1E55

驭龙 发表于 2018-3-31 12:31
我还以为你说的技术白皮书又更新了，原来还是半年前的修订版本，当时是跟11一起发布的。

ESET再不加油， ...

更新指的是相对于上次坛子里有人提到的版本

官人当时跟我说是四月初，不过不知道首批测试给多少人

驭龙

B100D1E55 发表于 2018-3-31 13:09
更新指的是相对于上次坛子里有人提到的版本

官人当时跟我说是四月初，不过不知道首批测试给多少 ...

官方跟我说是自由测试，也就是说谁都可以测试，当初好像说是三四月，目测软件架构很可能与ESS 11.2相同，但功能就不清楚了，不知个人版会不会上DTD

变化不大的话，我就继续无敌吧，现在的无敌查杀太猛，外加内核隔离，基本上无惧任何驱动病毒和其他破坏性威胁

B100D1E55

驭龙 发表于 2018-3-31 13:16
官方跟我说是自由测试，也就是说谁都可以测试，当初好像说是三四月，目测软件架构很可能与ESS 11.2相同， ...

在wd把误报和性能搞清楚之前实在是不感兴趣……

驭龙

B100D1E55 发表于 2018-3-31 13:27
在wd把误报和性能搞清楚之前实在是不感兴趣……

误报？我这里还真的没有感觉，但对于编程的话，新文件必杀，性能的话，确实是个问题，但机械硬盘的我，已经不在乎了，毕竟ESET也照样卡，哈

B100D1E55

驭龙 发表于 2018-3-31 13:35
误报？我这里还真的没有感觉，但对于编程的话，新文件必杀，性能的话，确实是个问题，但机械硬盘的我，已 ...

从我个人简单的观测来看，AVC每一期真实世界的误报率，一个产品从零开始每增加一个误报，实际使用时误报量级会高一个等级（也就是说1个误检和2个误检的差别在实际使用时可以明显察觉区别，当然也看使用习惯），从10个之后开始反正都破罐子破摔就无所谓了。

从去年WD总成绩来看，明显有为了拉检测率放飞自我的感觉。当然这里并没有黑的意思，只不过不考虑误检的话问题会简单很多。我个人已经是被smartscreen之类的烦死了，再加上偶尔做个开发，实在是没兴趣开各种所谓的安全加固来增加新麻烦。Windows某些防护默认关闭是有原因的，很多是兼容性和易用性的考量

驭龙

B100D1E55 发表于 2018-3-31 13:44
从我个人简单的观测来看，AVC每一期真实世界的误报率，一个产品从零开始每增加一个误报，实际使用 ...

换句话说，无敌不误报就不正常了，因为它发现的新文件都拦截，也就是在它眼里非白加黑，不认识的文件全杀，查杀不高才怪，当然误报也必然高很多倍的。

内核隔离与查杀没关系，就是把内核保护起来，这就是兼容性不行，跟虚拟机和虚拟化有冲突

85683213

做得不错
看他们的做事方法跟态度
个人感觉，ESET是所有杀软公司中风气最好，管理最好的

B100D1E55

85683213 发表于 2018-3-31 23:51
做得不错
看他们的做事方法跟态度
个人感觉，ESET是所有杀软公司中风气最好，管理最好的

和一些为了提振查杀率不惜乱杀的做法比起来，ESET仍然能坚持不乱报，不把半成品技术给客户算是挺不容易的，也没有明着暗着diss其他厂商的言论