深信服主机安全保护平台CWPP

需求分析

一、传统防护措施无法应对日渐复杂的业务环境传统

边界模糊，数据中心内的攻击存在大范围扩散的风险；易受攻击的开源中间件、应用广泛使用；加密通信流量越来越多，这些问题都导致安全环境逐渐复杂。

二、传统威胁检测响应方案难以应对持续升级的攻击手段

内存满、无文件攻击、混淆流量特征、免杀WebShell、0Day利用等高级攻击手法越来越多，攻击者更容易进入到主机内部。

三、安全运营人少事多，安全事件研判溯源周期长、根治难

人少事多已成为阻碍安全运营有效开展的核心矛盾，安全事件漏检误检问题严重、研判溯源周期长、根因难彻查、难处置因而反复发生。

安全方案

深信服主机安全保护平台，围绕精细化的攻击面管理，构建常态化实战对抗能力，可视化研判溯源提升响应处置效率，降低安全运营成本。通过主机操作行为审计、多事件关联分析引擎、云网端联动协同、威胁情报共享等手段，帮助用户高效发现入侵威胁定位攻击入口点，是一个能够缩短用户威胁处置周期并提升整体数据中心安全性的工作负载安全保护系统。

产品价值

一、简单、有效的“致命”攻击入口管理

自动化梳理隐藏的互联网暴露资产、中间件漏洞、弱密码；业务、威胁上下文关联分析，精准识别攻击入口，实现风险分级治理；识别致命攻击入口，一键缓解（RASP技术、弱密码二次认证）。

二、全面、高效的主机风险加固工具

全面覆盖ATT&CK，结合攻防经验、专家规则对威胁行为进行分析建模；通过IOA+IOC双检测引擎（勒索挖矿、入侵），提升事件专项检测能力。

三、直观、易用的研判溯源能力

关联进程树、事件链、“攻击入口”，直观还原事件全貌，解决攻击行为从哪里来、干了什么、到哪里去的蔓延路径问题；快速定位威胁源头，结合微隔离、RASP实现快速处置闭环，提高防护能力。

解决方案

一、攻防对抗及重保

通过在需要保障的服务器上部署CWPP轻量的代理，基于主机真实行为进行敏感操作检测，与网络侧安全设备形成安全合力，保障数据中心安全。

为攻防对抗前期的攻击面管理提供高效的资产梳理、脆弱性管理的能力，并支持有针对性地收缩攻击面，减少攻破风险。

保障期间基于流量行为、用户行为、操作行为等主机上真实执行的动作，通过多事件、多行为关联分析引擎大幅提升主机入侵检测与响应能力。

快速溯源安全事件得分，可在海量资产中快速定位主机攻击入口点，快速进行处置。

二、数据中心主机安全加固

在需要安全加固的业务系统服务器上，部署CWPP轻量的代理。

实现对系统、中间件、数据库、框架等资产细粒度的梳理。分析出其存在的漏洞、弱口令、互联网暴露面等攻击面，有针对性地收敛闭环。

基于真实的进程行为、外联行为、操作行为等行为，结合IOA+IOC提供的战情研判能力，可有效防止漏洞攻击、反弹Shell、提权、爆破等入侵行为。

三、云内态势感知

通过在多地/多中心的主机上部署CWPP轻量的代理，将CWPP作为态势感知的探针，实现混合云/多分支主机的持续检测、统一分析展示。