| | 1. 终端面临的威胁 终端成为安全威胁的主要来源,是火绒安全软件的主要服务对象,所以要保护终端用户的系统安全,我们需要分析企业终端用户真正面临的威胁是什么。 | 1.1. 混淆样本数量暴增 2007 年可谓是混淆技术的分水岭,以 Trojan/C2Lop(业内通常称其外层混淆器为Swizzor)为代表的各种自定义壳和混淆样本大量涌现。以高级语言作为外层包裹器(Wrapper)的样本更是不胜枚举,传统安全软件的脱壳、解码技术受到了巨大的挑战,脚本虚拟机、通用脱壳(Generic Unpacking)等技术开始应运而生并备受关注。恶意软件快速迭代随着互联网的发展,“云”的概念被应用于安全软件,安全软件对恶意软件问题的响应速度大大提高。然而,互联网的发展不仅仅造就了“云”,黑色、灰色软件利益链条也得到快速完善。在这个完善的生态系统中,每个角色都发挥着各自的“技术优势”,黑站挂马、恶意软件制造、恶意代码混淆、流量联盟分工合作。恶意软件背靠着这个庞大的生态系统快速迭代,对安全软件带来了巨大的挑战;攻击手段的多元化也是近些年来安全软件面临的挑战之一。 信任利用(即通常说的白加黑)、高持续性威胁(APT)、分级渗透等,攻击的手段也颇具隐蔽性。传统的基于进程信任的单步、多步防御系统均成为此类威胁的“打击目标”。从火绒这几年实践的经验来看,基于行为分析的多步防御体系对于此类威胁具有较强的应对能力。 下面的图表展示的是火绒反病毒引擎在超过 1900 万样本集合的检出结果 TOP20,其中每一个柱状表示的是一条特征检出的样本数。前 20个特征共检出了超过 400 万样本。  如图:火绒反病毒引擎检出结果Top20 从上图的病毒名可以看到广告类灰色软件(Adware)占据了较大的比例。通过分别累 加上图中灰色软件和恶意软件的检出数量,可以得到以下数据:  如图:火绒反病毒引擎检出的威胁类型分布 可见,前 20 位检出的样本中 42%为广告类灰色软件,可见灰色软件的比例在全部威胁类型中比例是相当巨大的。由于灰色软件不像传统恶意软件具有典型的恶意行为,往往不同的厂家均有不尽相同的评估标准,所以为安全软件带来了一定的挑战。然而,通常这些挑战并不是来自技术层面,而更多的是来自法律和社会层面。另外,近 2 年来,随着移动端的普及,移动端恶意代码的数量也有着较为明显的上升趋势。 | 1.2. 边界设备无法有效保护终端 随着互联网信息技术快速发展,传统的安全运营模式将无法适应时代发展需要,面临全方位的转型和变革,基于边界、流量或规则的传统检测方式已经无法检测新型或未知威胁,针对企业安全防范理论和技术将发生彻底的转变。 边界防御的局限性,网络层发出的攻击,边界设备获取的信息是有限的,一旦突破了边界防御,将无法了解这个攻击事件做了哪些行为、关联了哪些进程。 边界拦截率低,现在的变形攻击很多,有很多攻击会绕过边界安全,而且一个数据流是会被成每股小的数据流过去,基于数据流的这种分析方式,不能够深度的了解数据流中包含的恶意行为。 边界治标不治本,遇到网络攻击时可以将该 IP 拉黑,阻止该 IP。但是若干个 IP 又发起了攻击该如何处理?边界只做了临时处理,没有从根本上去解决问题。 | 1.3. 终端体系庞大与行为难以管控 随着互联网时代的发展,计算机已成为企业中常见设备,在面对计算机出现大量的病毒事件、网络攻击事件、系统攻击事件、漏洞事件时。企业无法及时掌握有效信息,会大概率产生众多不可控的威胁,无法及时掌握终端的安全状况及变化往往是企业难题。 恶意数据根据不同的协议、端口都可入侵到内网之中,网络协议没有规范的规则、高危端口没有严格的策略,会让恶意数据轻而易举的进入到内网之中。 员工访问无关网站,比如游戏、股票、微博、视频、娱乐新闻等,网站中都可能携带恶意程序对内网构成威胁。 私自在不同场合使用 U 盘、移动硬盘等外设造成病毒传播、数据泄露,对企业造成不可估量的损失。 终端不规范的行为是引申威胁的主要来源之一,协议端口的规范性、员工的上网行为、安装不符合企业规范的软件、使用可能会对企业具有威胁的程序、移动外设的非法使用等都属于终端面临的威胁。 | 1.4. 终端安全检测频率低与复杂多样的威胁  如图:火绒反病毒引擎检出的复杂多样的威胁 企业在正常运转的业务系统时,空闲时间较短,导致无法定期对全网终端进行安全检测,病毒的传播瞬息万变,无法及时的了解全网安全状况,可能会导致安全形势发生变化,一旦出现重大安全事故,将会影响正常业务,严重的事态可能还会造成不可预估的巨大损失。 | 2. 应对策略 | 2.1. 情报驱动安全 火绒产品和服务秉承“情报驱动安全”的理念——以全面、真实、及时的互联网威胁情报为基础,来驱动技术研发和产品开发,并建立相应的安全服务运营体系。实时感知、精准处理、动态防御,为用户提供可靠、及时、成本合理的安全防护。  如图:火绒威胁情报系统 火绒会对全网产生的威胁进行实时感知,生成威胁情报。对所生成的威胁情报进行收集和深度分析,并且进行精准的处理。最后将处理后的结果进行及时的反馈,以达到动态防御的目的。通过这种方式对信息进行收集、分析、处理并进行反馈。下边的这幅图,是火绒威胁情报平台,该平台会对当日产生的各种防护事件进行聚合和分类,所有数据都是真实有效的数据,在火绒的官网可以看到这个信息。 | 2.1. EDR 运营体系  如图:“情报驱动安全”的核心-EDR(终端、检测和响应)运营体系 实现“情报驱动安全”的核心,是部署实施 EDR(终端、检测和响应)运营体系。火绒 EDR 体系以遍布互联网的数百万“火绒安全软件”(个人版)为基础。在保护用户安全的同时,“火绒安全软件”又是截获、处理各种未知威胁的探针,这些威胁信息在用户电脑上完成初步分析和处理,提取不涉及用户个人数据的纯威胁信息回传给火绒后台系统,进一步分析和处理,进行聚合和关联分析。 | 3. 构建终端防护体系  如图:火绒终端安全管理系统 2.0 的控制中心管理后台 建立防病毒中心服务器,在网络中心的一台服务器上安装火绒终端安全管理系统 2.0 的控制中心管理后台,如图所示,负责管理整个企业内部网的计算机防病毒工作。  如图:火绒终端安全管理系统多功能界面  如图:火绒安全软件PC端6.0界面 在终端 PC 及服务器安装火绒客户端防病毒程序,终端 PC 及服务器在浏览器地址栏访问控制中心 IP 地址,点击立即下载即可获取到客户端安装包,双击安装包一键安装即可成功安装客户端。 | 4.1. 火绒企业版安装环境要求 | 4.1.1. 软硬件及操作系统要求 火绒终端安全管理系统部署环境支持主流操作系统版本,兼容性强,方便用户快速搭建部署环境。 ① 管理中心: Windows 版中心: ⚫ 系统版本: Windows 7/ Windows 8/ Windows 8.1/ Windows 10/ Windows 11 ⚫ 服务器版本:Windows Server 2008R2/2012/2016/2019/2022 ⚫ 内存:至少 4GB ⚫ 硬盘:建议 128GB 以上 ⚫ 网卡:具备以太网兼容网卡,支持 TCP/IP 协议 ⚫ 虚拟机安装:支持 Linux 版中心: ⚫ 支持架构: x86_64 (glibc 2.12 及以上版本) AArch64 (glibc 2.17 及以上版本) ⚫ 支 持 系 统 : Ubuntu 16.04/ Ubuntu 22.04/ CentOS 7/ CentOS 8 / RedHat6.1 / openSUSE 15 / UOS-20(统信)/ Kylin-v10-sp1 (麒麟)等,不完全统计,持续测试中 ⚫ 内存:建议 4GB 以上 ⚫ 硬盘:建议 128GB 以上,安装目录不得少于 32GB(如少于 32GB,会显示相关错误提示) ⚫ 网卡:具备以太网兼容网卡,支持 TCP/IP 协议 ⚫ 虚拟机安装:支持 ②安全终端: Windows 终端: ⚫ 系统版本:Windows XP SP3/ Windows Vista/ Windows 7/ Windows 8/ Windows 8.1/ Windows 10/ Windows 11 ⚫服务器版本:Windows Server 2003(SP1 及以上) /2008/2012/2016/2019/2022 ⚫ 内存:至少 1GB ⚫ 硬盘:建议 40GB 以上 ⚫ 网卡:具备以太网兼容网卡,支持 TCP/IP 协议 Linux 服务器终端: ⚫ 支持架构: x86_64 (glibc 2.12 及以上版本) MIPS64/AArch64 (glibc 2.17 及以上版本) LoongArch64 (glibc 2.28 及以上版本) ⚫ 支持系统: CentOS / Ubuntu / SUSE / 统信 UOS / 银河麒麟 / 中标麒麟 / 中科红旗 / 优麒麟 / 深度 / 龙芯(Loongnix)等发行版 ⚫ 支持 CPU:Intel / AMD / 飞腾 / 鲲鹏 / 兆芯 / 海光 / 龙芯 ⚫ 内存:至少 1GB ⚫ 硬盘:建议 40GB 以上 ⚫ 网卡:具备以太网兼容网卡,支持 TCP/IP 协议 ⚫ 是否支持虚拟机:支持 Linux 桌面终端: ⚫ 支持架构: x86_64 (glibc 2.12 及以上版本) MIPS64/AArch64 (glibc 2.17 及以上版本) LoongArch64 (glibc 2.28 及以上版本) ⚫ 支持系统:CentOS / Ubuntu / SUSE / 统信 UOS / 银河麒麟 / 中标麒麟 / 中科红旗 / 优麒麟 / 深度 / 龙芯(Loongnix)等发行版 ⚫ 支持 CPU:Intel / AMD / 飞腾 / 鲲鹏 / 兆芯 / 海光 / 龙芯 ⚫ 内存:至少 1GB ⚫ 硬盘:建议 40GB 以上 ⚫ 网卡:具备以太网兼容网卡,支持 TCP/IP 协议 ⚫ 是否支持虚拟机:支持 MacOS 终端: ⚫ 系统版本:支持 macOS 10.13 及以上 ⚫ 支持 CPU:Intel、M1 ⚫ 内存:至少 1GB ⚫ 硬盘:建议 40GB 以上 ⚫ 网卡:具备以太网兼容网卡,支持 TCP/IP 协议 ⚫ 是否支持虚拟机:支持 | 4.1.2. 网络要求 火绒终端安全管理系统支持使用 IP 地址或域名作为服务地址,控制中心与安全终端通讯及访问需要火绒终端安全管理系统支持使用 IP 地址或域名作为服务地址,控制中心与安全终端通讯及访问需要开放四个必要端口,以下为默认端口: ⚫ 管理端口:8080 ⚫部署端口:80 ⚫ 中心远程端口:5901 ⚫ 终端远程端口:5500 上述端口均支持用户自主修改,修改端口时必须确保端口可正常通讯访问。 | 4.1.3. 管理系统安装要求 ⚫ 控制中心需要具有长期固定的 IP 地址(或域名)和端口 ⚫ 终端安装部署时需要用到控制中心的 IP 地址(或域名)和端口 ⚫ 建议选择专用服务器系统、非经常性大负荷运转的服务器 | 4.2. 部署参考 ①全站部署: ⚫ 在服务中心部署火绒控制中心以及控制台 ⚫ 通过网页安装或者域部署工具的方式安装火绒安全终端 ②升级方式 Windows/Linux 管理中心: ⚫ 支持自动升级、手动升级、离线升级工具升级 ⚫ 连接外网时,推荐开启自动升级,及时获取到更新 ⚫ 只连接内网时,推荐下载离线升级工具进行升级 安全终端: ⚫ 支持自动升级、手动升级 ⚫ 管理员可通过下发终端升级任务来执行终端升级操作 ③中心管理建议: ⚫ 根据不同的分组可以采取不同的策略进行管理防护 ⚫ 可为终端设置定时扫描计划(闲暇时) ⚫ 为所有终端设置卸载密码,避免用户自行卸载客户端 ⚫ 经常查看事件日志并且分析病毒,下发查杀指令保护终端并且及时更新升级 ⚫ 可为终端设置为开机杀毒,保证终端安全 | 4.2.1. 安装控制中心  如图:火绒终端安全管理系统安装界面 ① 火绒控制中心是火绒终端安全管理系统的管理后台,部署于服务端,采用 B/S 架构,可以随时随地的通过浏览器打开访问。 ② 主要负责全网安全监控、终端管理、策略定制分发、统一杀毒防护以及事件日志查询等。 ③ 获取安装包后,只需双击安装包,点击极速安装即可。 | 4.2.2. 安装 Windows 终端 火绒安全终端部署在需要统一保护的服务器或者客户端、执行病毒查杀以及实时监控等安全操作,并且向控制中心传递安全事件信息。 | 4.2.2.1. 网页安装 ① 访问客户端下载网址(http(s):\\中心 IP 地址:端口)  如图:火绒企业版2.0 下载链接 ② 选择 Windows 版本点击下载安装包{installer(http/https_IP 或域名_端口).exe}  如图:火绒企业版2.0 安装包EXE ③ 运行客户端安装包。(管理控制中心的 IP 或域名、端口如有变化,将安装包名称后半部分中带有的 IP 或域名、端口地址更换为管理控制中心 IP 或域名、端口。  如图:火绒安全终端安装界面 | 4.2.2.2. 域部署工具安装 在管理工具界面下载域部署工具,并且在域服务器上部署开机或者登录脚本,即可对域内用户完成自动安装部署(含使用帮助文档)  如图:火绒安全终端的域部署工具 v2.0.0.0 注意事项: ⚫ 如果管理控制中心的 IP 或者域名端口没有变化,客户端安装包名称后半部分请勿改动,否则客户端无法连接控制中心,无法正常安装。 ⚫ 如果已经安装了个人版客户端,安装火绒安全终端的时候需要先卸载个人版客户端,然后重启电脑(否则服务异常),才能正常使用。 ⚫ 客户端安装后将会在 30 秒左右自动连接上控制中心 | 4.2.3. 安装 Linux 终端  如图:安装部署火绒安全终端Linux版 ① yum 源安装 wget (yum install wget),wget 获取客户端安装包 ② wget --content-disposition http://ip:80/deploy/linux-inst-20.sh 下载安装包 ③ 赋予执行权限 chmod +x installer(http_192.168.5.36_80).sh ④ 执行./ installer(http_192.168.5.36_80).sh | 5. 产品优势 | 5.1. 核心技术 | 5.1.1. 自主知识产权的新一代反病毒引擎 自主产权的火绒反病毒引擎,历经 6 年艰辛打磨成熟,基于独特的“虚拟沙盒”技术,可以深度解析各类恶意代码的本质特征,有效地解决加密和混淆等代码级恶意对抗。同时,该引擎还能够实时感知静态的代码级威胁信息,以及动态的文件级威胁行为信息,是终端威胁探针的主要功能模块。火绒引擎具有强大的通用扫描、通用脱壳和代码行为分析能力,以及轻量化设计、支持多种平台和丰富的文件格式,具有较高的解码、检出和代码修复能力。因此火绒产品拥有误报率超低、查杀速度快、体积和资源占用小等特点。 | 5.1.2. 主动入侵防御系统 火绒防御体系有效地将单步防御和多步恶意监控相结合,不依赖白名单,消除了信任漏洞,自上而下地在所有可能的威胁入口设计独特的防御策略,共同有效地防御不同类型的恶意威胁。同时还能实时感知动态的系统级威胁行为信息,是终端威胁探针的重要组成部分。  如图:火绒安全的主动入侵防御系统的内容拦截层、规则拦截层、行为拦截层、内容拦截层 该防御体系分别从内容、规则、行为等角度设计了全面的防护功能,对各类安全威胁均有对应的防护功能。 | 5.1.3. 分层防御架构 通过对各种威胁类型以及恶意软件与安全软件对抗手段的分析,可以很明显地看出,单一的技术手段不足以在当今的威胁战争中赢得胜利,只有综合多种防御技术的解决方案才能在如此复杂多变的威胁环境中胜出。 火绒安全解决方案贯彻了综合防御的理念,通过组合多种防御技术,自上而下地在所有可能的威胁入口设计了独特的防御策略,共同有效地防御不同类型的恶意威胁。 下图为火绒安全解决方案的分层防御架构:  如图:火绒安全解决方案的分层防御架构 | 5.1.3.1. 内容拦截层 代码以文件形式进入用户电脑,首先会被内容拦截层进行扫描,如扫描到威胁则阻断用户对该恶意威胁的触碰并根据需要进行隔离操作。该层对应火绒安全软件以下功能: I 文件实时监控 ⚫ 防御重点:恶意软件、灰色软件; ⚫ 功能定义:当文件被执行、修改、访问时,文件实时监控通过火绒反病毒引擎对相应文件进行扫描。用户可以根据自己需求配置不同的扫描策略,包括扫描时机和反病毒引擎相关配置等; II 下载保护 ⚫ 防御重点:恶意软件、灰色软件; ⚫ 功能定义:与文件实时监控类似,当浏览器、下载工具或即时聊天软件下载或接收文件时,下载保护功能会通过火绒反病毒引擎对相应文件进行扫描。下载保护的意义在于,当文件实时监控功能处于只监控文件执行状态时,仍然可以在通过流量入口获取文件后第一时间对文件进行病毒扫描; IIIU 盘保护 ⚫ 防御重点:恶意软件、灰色软件; ⚫ 功能定义:当 U 盘接入时,通过火绒反病毒引擎主动对 U 盘中的文件进行扫 描。同时,针对隐藏文件等 U 盘传播类恶意软件常见恶意修改操作进行修复; IV 软件安装拦截 ⚫ 防御重点:软件侵权; ⚫ 功能定义:当程序执行时,软件安装拦截模块会通过火绒反病毒引擎对程序文件进行分析,如果识别为软件安装则征求用户是否允许该软件的安装请求,还用户自主选择软件安装的权利,杜绝静默捆绑类安装; V邮件监控 ⚫ 防御重点:恶意软件 ⚫ 功能定义:当通过邮件协议收发邮件时,邮件监控模块会通过火绒反病毒引擎对相应邮件内容进行扫描。用户可以根据自己需求配置不同的扫描策略,包括扫描范围以及邮件协议等; VIWeb 扫描 ⚫ 防御重点:恶意软件; ⚫ 功能定义:当通过 HTTP 协议接收到对 URL 的请求内容时,Web 扫描模块会通过火绒反病毒引擎对接收到的数据内容进行扫描。该功能不仅可以更早检测到恶意代码并且可以追溯到恶意代码来源(URL),为溯源分析提供了良好的支持; | 5.1.3.2. 规则拦截层 若内容拦截层没有检测到威胁,那么当程序被执行时,规则拦截层开始生效,并根据基础防护或自定义防护规则,对程序产生的违例动作进行拦截。这就是通常所说的单步防御。 该层对应火绒安全软件以下功能: I 系统加固(文件保护、注册表保护、进程保护) ⚫ 防御重点:恶意软件、软件侵权; ⚫ 功能定义:保护操作系统文件、注册表、进程等资源不被非法篡改,火绒基础防护规则针对不同类型的资源进行了逻辑分组,用户可以有针对性地进行选择; II 执行控制 ⚫ 防御重点:恶意软件、灰色软件; ⚫ 功能定义:当程序执行时,执行控制会判断本次执行操作是否符合基础防护规则预定义的行为抽象,例如通过命令行创建、删除用户账户等。如果符合,则会向用户征求处理方式; III危险动作拦截 ⚫ 防御重点:恶意软件、灰色软件、软件侵权; ⚫ 功能定义:监控可能对系统产生潜在风险的动作,如加载驱动、写磁盘保留扇区等,当动作产生时,根据功能设置选择阻断或征求用户。该功能的意义既在于阻断恶意软件对系统产生的潜在风险,也可以从灰色软件、正常软件中剥离潜在的非必要或侵权功能; IV 病毒免疫 ⚫ 防御重点:恶意软件; ⚫ 功能定义:以规则的形式对恶意软件典型感染路径进行免疫,避免恶意软件对系统的感染; V联网控制 ⚫ 防御重点:恶意软件、灰色软件、软件侵权; ⚫ 功能定义:细粒度控制程序的联网行为,可以在 TCP 层控制程序的出站和入站行为,并可以分别限制程序的上传和下载速率; VIIP 协议控制 ⚫ 防御重点:恶意软件、灰色软件、软件侵权; ⚫ 功能定义:以规则的形式控制 IP 层出站和入站的数据流量; VII自定义防护规则 ⚫ 防御重点:恶意软件、灰色软件、软件侵权、不良网络内容; ⚫ 功能定义:允许用户自定义文件、注册表防护规则,以及网址拦截规则,方便用户有针对性地对敏感数据进行保护,或对特定网址进行拦截; VIII应用加固 ⚫ 防御重点:黑客攻击; ⚫ 功能定义:通过约束应用软件的动作和行为,防止应用软件被黑客利用潜在漏洞对终端进行攻击; IX摄像头防护 ⚫ 防御重点:隐私安全; ⚫ 功能定义:防止用户摄像头在未经用户许可的情况下被打开,保护用户的隐私安全; | 5.1.3.3. 行为拦截层 在程序运行时,程序的每个动作都会被行为拦截层所捕获。行为拦截层会对捕获到的动作进行关联和抽象,产生进程、线程及行为的多维分析矩阵,并根据启发式分析逻辑判定程序的行为是否具有威胁。当发现威胁时,行为拦截层阻止威胁进程及关联进程、线程的执行,并尽可能地回滚已经产生的潜在风险。这就是通常所说的多步防御。 该层对应火绒安全软件以下功能: I 病毒行为监控 ⚫ 防御重点:恶意软件、灰色软件; ⚫ 功能定义:规则拦截层的危险动作拦截只对有潜在风险的动作进行拦截,而行为拦截层则在后台持续对程序的行为进行启发式分析。通常程序的单个动作并不足以判定是否具有潜在威胁,而多个动作和行为的组合则可能威胁系统安全。 例如,分别判断“手持水果刀”和“站在人群中”这两个动作,均不能判定存在威胁,但“手持水果刀站在人群中”这个行为就可能威胁他人安全了。行为拦截层的意义就在于此; II 软件安装拦截 ⚫ 防御重点:软件侵权; ⚫ 功能定义:火绒软件安装拦截功能推出后,对静默推广类软件侵权行为起到了有效的打击作用。近一年来,越来越多静默推广安装行为采用“组件式安装”的方式,而不是通过独立安装包的方式安装。所以,火绒在 3.0 版本引入了行为启发逻辑来识别软件的安装行为; | 5.1.3.4. 内容过滤层 内容过滤层主要被设计用来解决网络数据包的安全威胁问题,即基于内容过滤的防火墙。 该层对应火绒安全软件以下功能: I 恶意网站拦截 ⚫ 防御重点:不良网络内容; ⚫ 功能定义:根据对发送 HTTP 请求内容的分析,在协议层阻断用户对木马盗号、钓鱼仿冒、虚假欺诈等各类潜在风险网站的访问; II 网络入侵拦截 ⚫ 防御重点:高危漏洞攻击; ⚫ 功能定义:在 IP 层对出站和入站数据包进行分析,可在未打相应补丁的情况下检测并拦截高危漏洞攻击行为,如永恒之蓝等; III 横向渗透防护 ⚫ 防御重点:恶意软件、黑客攻击; ⚫ 功能定义:通常黑客在攻破公网主机后,会通过横向渗透的手段在内网“扩大战果”,该功能在网络层解析 Windows RPC 协议检测并拦截潜在横向渗透行为; IV 对外攻击拦截 ⚫ 防御重点:高危漏洞攻击; ⚫ 功能定义:在 IP 层对出站和入站数据包进行分析并拦截终端对外发起的高危漏洞攻击行为; V 僵尸网络防护 ⚫ 防御重点:恶意软件、黑客攻击; ⚫ 功能定义:通过对后门病毒的控制协议进行解析,检测并拦截黑客利用后门病毒对终端的远程控制行为; VI 暴破攻击拦截 ⚫ 防御重点:黑客攻击; ⚫ 功能定义:通过对网络流量进行协议分析监测并统计利用 SMB、RPC、RDP等协议的登陆行为,检测并阻断潜在黑客对终端的暴力破解登陆行为; VII Web 服务保护 ⚫ 防御重点:黑客攻击; ⚫ 功能定义:通过对网络流量进行协议分析,检测并阻断潜在针对 IIS、Apache等 Web 服务漏洞的攻击行为; 综上所述,火绒安全软件会在上述分层防御架构的基础上,横向扩展防御广度,并深入挖掘单个防御技术的技术实力,力求打造完善、有效的综合防御解决方案。 | 5.2. 硬核防御功能 | 5.2.1. 文件实时监控 当文件被执行、生成、访问时,文件实时监控通过火绒反病毒引擎对相应文件进行扫描。用户可以根据自己需求配置不同的扫描策略,包括扫描时机和反病毒引擎相关配置等,从而在不影响日常电脑使用的基础上,实时保护电脑不受病毒侵害。 | 5.2.2. 恶意行为监控 通过监控程序运行过程中是否存在恶意操作来判断程序是否安全,从而可以作为传统特征查杀的补充,极大提升电脑反病毒能力。 | 5.2.3. 网络入侵拦截 即使在操作系统未打补丁的情况下,亦可拦截高危远程漏洞攻击,从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵,同时该功能还可以精准锁定攻击源头(IP 地址)。 | 5.2.4. 远程登录防护 针对弱口令账号的有效防御手段,阻止黑客通过暴力猜密码入侵电脑,可以有效的阻止基于 RDP 协议的入侵方式。 | 5.2.5. 系统加固 针对病毒会利用或修改的系统脆弱点,设置相应的防护规则,有效保护系统关键文件不被篡改、破坏或恶意创建,防止特定注册表项目不被恶意篡改,监控针对系统的敏感行为,拦截高风险动作,阻止特定命令行被恶意利用的行为,保护系统关键进程不被攻击利用,针对病毒特殊行为进行免疫等。 | 5.2.6. IP 协议控制 根据内网中的安全状态,灵活配置 IP 协议以及端口,在病毒爆发的第一时间迅速利用 IP 协议控制来遏止病毒的扩散或入侵行为。 | 5.2.7. 终端动态口令验证 终端用户登录计算机时都将弹出动态口令安全认证窗口,若用户设置了计算机密码,该弹窗将在用户输入正确的账户密码后弹出。用户需再次输入正确的动态口令才可登入计算机。有效的防止黑客通过远程桌面暴破植入病毒。 | 5.2.8. Web 扫描 应用程序与网站服务器进行通讯时,Web 扫描功能会检测网站服务器返回的数据,并及时阻止其中的恶意代码运行。 | 5.2.9. 应用加固 通过对容易被恶意代码攻击的软件进行行为限制,防止这些软件被恶意代码利用。 | 5.2.10. 僵尸网络防护 检测网络传输的数据包中是否包含远程控制代码,通过中断这些数据包传输以避免您的电脑被黑客远程控制。 | 5.2.11. 暴破攻击防护 防护黑客暴力破解攻击:支持 SMBv1、SMBv2、 RPC、SQLServer、PDP 等协议。 | 5.2.12. Web 服务保护 保护 Web 服务,阻止针对高危 Web 服务漏洞渗透攻击进行防护。 | 5.2.13. 联网控制 自定义阻止某程序联网,自行管控电脑中所有程序是否联网。可通过文件 sha1、文件路径方式配置。 | 5.2.14. 程序执行控制 自定义限制终端使用某软件;可通过文件 sha1、文件路径方式配置。 | 5.2.15. 设备控制 可对 U 盘、移动硬盘(可限制只读)、便携设备、光驱、打印机、蓝牙、USB 有线无线网卡实现禁用。 | 5.3. 综合防御体系 深度融合“反病毒、主动防御、网络防火墙、访问控制”的综合防御体系“产品,四个关键模块协同运行,多层次主动防御系统,可以有效防御勒索病毒、黑客入侵等高危攻击。现在大部分终端安全软件的防御方向都比较单一,无法将多模块协同运作,无法全面的对机器进行防护。火绒是将病毒防御、网络防御、系统防御以及访问控制四大模块深度融合协同运行的综合防御体系的产品,可以全面、有效的起到很好的防护效果。 | 5.4. 集中式管理 8 大模块功能集中管理,首页预览安全事件;终端管理提供日常运维;防护策略可实现策略定制分发;漏洞修复为全网修复高危漏洞;资产管理将企业资产进行统计;中心管理细粒度配置系统设置;事件日志记录详细安全信息,获取有效线索;管理工具提供便捷使用。 | 5.5. 本土化产品 自主知识产权和自主研发核心技术,完全避免产品后门和用户敏感信息外泄等隐患。对于当前国内的状况本地引擎的发展需要持续、高额的技术投入,而云引擎。只需要解决样本采集和云端样本自动分析平台即可。而 OEM 引擎则更为被动,没有自主权,无法保证避免后门和信息泄露等威胁。 | 5.6. 统一运维管控 终端统一维护、单点维护解决各异难题,单点维护可对管理终端网络配置信息、统计系统账户。资产管理统计硬件基本信息(可对硬件更换进行记录)、对资产进行登记、操作系统占比分析、全网软件安装情况汇总及管理。 | 6. 产品效益 | 6.1. 识别混淆样本 & 解决安全隐患 火绒反病毒引擎凭借火绒虚拟化技术,对几乎所有待扫描 PE 样本均应用通用脱壳和动态行为扫描,用较少的记录,长期、有效地检出家族性样本。凭借火绒虚拟沙盒接近真实 CPU 的执行效率和高还原度的操作系统环境仿真,火绒反病毒引擎拥有了很强的抗干扰能力。 现在病毒通常是依靠病毒混淆器批量生成(每个生成的样本哈希均不相同),且生成的频率高于云引擎运营设想的“收集-评估-标记-相应”周期,所以云查杀与通过特征库升级的方式下发病毒库,面对大量不同病毒样本,实效性低。火绒采取不断完善并持续改进本地引擎的策略,在运营中大量依赖病毒行为特征作为判断依据,可以做到对病毒家族现有以及新出现样本的持久有效查杀,同时火绒不断优化静态、动态启发式分析模型,有效应对未知病毒。通过上述逻辑,火绒引擎可以做到更为持久有效的查杀效果,削弱由于病毒更新、云引擎运营周期等时差问题,更为有效地保护终端安全。 | 6.2. 减少被攻击面 & 预防威胁 火绒系统加固对系统的防护有 86 个防护点,通过火绒终端提供的系统加固,可以有效控制和减小终端暴露在外的攻击面。降低风险,分析潜在的安全隐患,提高认识 IT 管理员对企业安全的认识,为中心提供威胁情报,根据威胁情报相应地调整对策,抵御威胁。伴随火绒处理安全事件运营过程中,根据获取到最新威胁情报,推进产品提供更多防护项目,帮助企业在攻击的早期阶段抵御复杂威胁,保障主机安全和业务的正常运行。 | 6.3. 提高运维效率 & 节省运维成本 火绒企业版 2.0 具有丰富的统一管控功能、单点维护功能、友好的用户界面、可视化强的首页概览、提供有效信息的事件详情、人性化的资产管理。极大的提企业对于计算机安全管理的效率,使企业完成计算机管理及运维工作。 | 6.4. 拦截未知漏洞攻击 & 溯源问题根源 即使在操作系统未打补丁的情况下,亦可拦截高危远程漏洞攻击,从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵,同时该功能还可以精准锁定攻击源头(IP 地址)。 | 6.5. 自主知识产权 & 杜绝后门隐患 自主知识产权和自主研发核心技术,完全避免产品后门和用户敏感信息外泄等隐患。对于当前国内的状况本地引擎的发展需要持续、高额的技术投入,而云引擎。只需要解决样本采集和云端样本自动分析平台即可。而 OEM 引擎则更为被动,没有自主权,无法保证避免后门和信息泄露等威胁。 | 6.6. EDR 产生情报效益 & 融入至企业版 基于情报驱动安全的理念,诞生了火绒的运营体系,EDR 运营体系。EDR 就是所说的,终端、检测、响应; 我们通过遍布互联网数千万安装了“火绒安全软件”的设备作为支撑体系的基石,火绒的终端也是火绒的安全探针,可以收集全网威胁情报检测。火绒在给个人用户电脑进行防护的同时,还会对截获到的各类胁进行初步检测、分析; 最后我们将终端检测、分析后的可疑信息在“火绒终端威胁情报系统”聚合后, 由火绒工程师深度分析、挖掘;最终将确定好的威胁的解决方案融入进数千万的终端,比如升级病毒库、完善防御策略等,达到提升终端安全防护能力的目的。同时将千万级个人版产生的情报效益融至企业版产品中。 | 7. 服务支持 | 7.1. 专业病毒报告 火绒会对威胁情报系统捕获的对用户具备较大威胁的病毒,进行详细的分析和溯源,摸清病毒的来源、危害、传播方式以及利益链,并及时拦截查杀,发布专业报告提醒广大用户做好防护。 安全报告链接: https://www.huorong.cn/info/  如图:火绒安全的专业安全报告  如图:火绒安全的专业安全报告 | 7.2. 专业安全报告 火绒会对威胁情报系统捕获的对用户具备较大威胁的病毒,进行详细的分析和溯源,摸清病毒的来源、危害、传播方式以及利益链,并及时拦截查杀,发布专业报告提醒广大用户做好防护。 安全报告链接: https://www.huorong.cn/info/  如图:火绒安全的专业安全报告  如图:火绒安全的专业安全报告 | 7.3. 及时漏洞预警 火绒时刻关注主流的系统和软件厂商安全动态,对发布的漏洞信息及时评估严重程度并提醒用户,通过补 丁 推 送 、 升 级 功 能 、 提 供 安 全 建 议 等 方 式 保 护 用 户 终 端 不 受 影 响 。 漏 洞 预 警 链接: https://www.huorong.cn/info/ 如图:火绒安全的漏洞预警 如图:火绒安全的漏洞预警 | 7.4. 完善服务体系 火绒建立一套完整的服务平台和流程,集中统一收纳企业与个人用户的产品需求、安全咨询,分拣派发给反病毒研究、产品开发、产品测试、售前和售后服务等相关部门,匹配专业的工程师评估、解决。  如图:火绒安全的服务体系 | 7.3.1. 自媒体平台 主流自媒体平台运营,为用户提供服务,解决用户需求,传播品牌内容。  如图:主流自媒体平台 | 7.3.2. 工单系统 用户可登陆专属在线支持响应中心,进行功能咨询、提交问题、反馈需求,火绒运营团队将负责提供使用指导、记录 BUG、需求反馈等。  如图:火绒安全在线支持和响应中心 | 7.3.3. 官方论坛 火绒官方论坛,对个人版、企业版提供服务。用户可注册登录后在企业版专区提出问题,建议等。其次官方论坛提供安全工具、解密工具以及安全播报供用户使用。  如图:火绒安全论坛 | 7.3.4. 任务处理系统 火绒内部开发任务处理系统,专门为用户处理问题。专业服务团队对接,病毒、开发、测试、销售等多部门配合解决问题。一对一建立客户档案,全程记录、跟踪,直到解决问题。  如图:火绒安全企业版的任务处理系统 | 8. 技术合作伙伴  如图:火绒安全的技术合作伙伴 一直以来,火绒不仅将反病毒引擎等具备自主知识产权的技术用于自身产品,还向广大合作伙伴技术赋能,截至目前,火绒已经成为国内成熟的反病毒引擎提供商。我们希望,通过产品与技术输出的形式,结合规范化的商业模式,来加强与友商、相关安全机构的合作,以此拓宽和延伸终端防护领域,覆盖更大的服务范畴,维护广大用户的终端安全。 | 9. 火绒企业版2.0软硬件及OS操作系统适配 火绒目前对于 linux 系统、windows 系统、MacOS 系统、国产系统已经全面适配。 | 操作系统适配详情 下图为系统适配详情:  如上图:火绒企业版2.0软硬件及操作系统支持 | 订购火绒企业版时主机的操作系统及订购数量的限制情况 订购火绒企业版 2.0 的客户,对于使用 Windows OS 操作系统的,其主机数量要求以 10 台为起点,也就是 10 个节点起步;而使用 Linux OS 操作系统和 Mac OS 操作系统的客户,其主机数量不存在具体的限制。 | 点击如下链接申请免费30天试用火绒企业信息安全解决方案 申请免费30天试用火绒企业信息安全解决方案:https://www.huorong.cn/register 
上一篇:10月13日,本平台免费转发餐饮招聘求职信息,千群同发 下一篇:火绒企业信息安全解决方案的入侵防御系统、硬核防御功能、综合防御体系和6大产品优势 |
