企业级安全哪家防御更强？想比较一下企业级安全方案

yxzdennis

SakuraLuo25 发表于 2025-10-12 17:09
这.......怎么投的都是Symantec？？Symantec很强吗？

是因为大家基本只用过蛐蛐 铁壳 咖啡的独立版ToB产品  论坛里只有那几位大佬用过S1 CS这些产品

北欧

CrowdStrike 安全到无事可做，自己搞了一出系统“崩溃”

肖维

北欧 发表于 2025-10-13 09:52
CrowdStrike 安全到无事可做，自己搞了一出系统“崩溃”

能白嫖吗？

隔山打空气

肖维 发表于 2025-10-13 10:10
能白嫖吗？

想买都买不到 大陆直接不过审+封号的

真想玩想的不行的话可以找泄漏的EPP 但绝对不可能是正常的满血EPP 玩个乐呵就行 CS的EPP前期预防能力也没那么强 并不适合在座的绝大多数人的使用场景

zfc234

肖维 发表于 2025-10-13 10:10
能白嫖吗？

邪修是可以的，网上闲逛找到购买公司的部署地址，说不定能下到安装包和token，代价就是卸载不了+被人后台视奸=。=以前试过邪修用了一阵子S1

隔山打空气

zfc234 发表于 2025-10-13 10:18
邪修是可以的，网上闲逛找到购买公司的部署地址，说不定能下到安装包和token，代价就是卸载不了+被人后台 ...

玩S1用不了STAR规则约等于吃肉不吃蒜（

虽然用这个已经超出EPP的范围了 算EDR的能力（

Rukia

EPP前期预防能力比较好的企业产品有哪些？

Fadouse

Rukia 发表于 2025-10-13 12:00
EPP前期预防能力比较好的企业产品有哪些？

Elastic / DeepInstinct() / PA

硬要说 BD 也算（？

761773275

隔山打空气 发表于 2025-10-13 10:30
玩S1用不了STAR规则约等于吃肉不吃蒜（

虽然用这个已经超出EPP的范围了 算EDR的能力（

DI 一用戶到底咋買啊

隔山打空气

Rukia 发表于 2025-10-13 12:00
EPP前期预防能力比较好的企业产品有哪些？

SESC的Heur.AdvML.A!500报法敏感度高对可执行文件检测效果很好，不过SONAR主防本身强度只能算普普通通，可以使用自适应防护对lolbas利用场景做提前封堵，IPS对使用著名工具 流量免杀不强以及C2地址变化较少的恶意软件检测能力较强

BEST在加入内核ETW监控能力之后终于具备了免疫syscall的能力，其本身表现也还算不错，但在稍强的对抗场景表现不佳，对在野样本效果依旧有保障，毕竟老牌强者ATC的底子还在那

DI本身的主防对脚本/内存注入与加载/lsass窃取非常敏感，检出率很高的同时对比如反作弊之类的误报率也稳定的高，静态机学检测能力非常出色，例如基本能稳定覆盖绝大多数银狐，但对其他行为检测能力欠佳，检测点相当靠前

Elastic的机学引擎检出率高且误报低，行为检测对内存注入与加载 数据窃取 持久化等等多种方面都有检测规则与机制覆盖，比较全 检测能力也相当强大，但其行为规则完全公开，被有想法的攻击者针对性绕过的难度大大降低

PA（cortex xdr）的EPP表现也不错，野火云沙箱+本地机学能在执行前就拦截相当数量的恶意软件，行为检测的多个模块组合起来也能拦截许多恶意行为和shellcode加载，不过还是强烈建议与Pro的EDR和自动化结合使用

S1非常建议与STAR规则配合使用来构建强大的检测体系，EPP本身静态机学效果没有那么好，主防检测shellcode加载行为效果不错，但对窃密行为（单指浏览器之类的，lsass保护很到位）不是那么敏感，建议配合star快速响应阻断攻击，上限也挺高的，就是玩多了掉头发（不）