卓朗威胁检测系统TDS软件升级

卓朗威胁检测系统

随着整个社会的数字化和网络环境的复杂化，网络攻击更加专业化和产业化，入侵手法也愈发多样化与复杂化，使得传统安全解决方案不断受到挑战。传统边界防护设备在防御常见威胁上起到了重要作用，但不能防范所有的攻击行为，组织处于失陷状态已经成为甲方安全管理人员的常识。因此如何实现快速的“检测和响应”已经成为企业安全的主要建设方向。

卓朗威胁检测平台（简称TDS）致力于精准发现内部失陷主机，帮助安全团队快速并准确定位威胁所在，提供威胁相关的丰富的内外部信息以供分析和响应。卓朗科技基于自身强大的威胁情报云、经验丰富而专注的分析师团队、深度学习技术积累、国内外领先的网络基础数据和威胁情报社区，帮助客户实现以下目标：

快速、精准地检测威胁，发现被控主机；

结合外部威胁情报数据、海量基础数据以及内部的网络流量日志，提升客户对威胁检测结果的分析能力；

无agent的终端监控方案，定位告警源头，为响应提供最准确的一线信息。

产品优势

围绕“失陷”的检测分析平台：不同于其他安全防护与检测产品，TDS是国内首个围绕失陷主机发现与分析的平台，精准定位组织内已被攻陷的主机，帮助分析师集中精力处理关键问题，及时控制威胁，防范攻击者控制更多核心资产或窃取数据、对组织造成破坏。

覆盖全球高价值情报：基于对高级情报的跟踪与分析处理能力，同时整合200+不同数据源，采用多种检测分析机制，并汇集全球30余家领先厂商的引擎检测能力、沙箱的动态分析能力以及基于大数据的安全狩猎能力，确保了TDS可实时获取大量高质量的可机读威胁情报。

检测精度高：利用分析规则、深度学习、分析师人工判定等多层次的研判机制，保障检测能力的高精准度，其准确率可达到99.99%。

可指导响应活动的上下文：对于命中的威胁，TDS可提供相关恶意家族和团伙信息、攻击目的、攻击方式、传播路径、行为特点，影响范围以及相关的行动建议等丰富的内容，帮助响应团队更有效率的工作。

更全面的内外部威胁定位分析：相较于人工排查，TDS运用机器智能实现了内外数据的关联分析，可以更快速定位内部机器及操作。对内来说，TDS关联了企业内部的所有对外网络访问数据和由终端定位工具收集来的终端数据，能够全面追踪与相应事件关联的行为数据，更多发现关联内部主机，对回溯攻击位置、攻击途径与确定损失具有重要意义；对外来说，TDS运用黑客资产模型，可对攻击者身份、团伙、资产等进行追踪溯源。

可疑行为发现：提供更多的检测规则、模型和情报，如近期频发的主机被攻陷用于挖矿的检测，这类检测结果归类为可疑行为，用于进一步扩大失陷发现的范围。

部署灵活简单：该平台为独立的硬件设备，并提供软件版本，安装后选择需要检测的网络区域进行旁路流量镜像即可，部署快速且简单。支持多节点的灵活扩展模式，在部署多台的模式下，可单独管理并查看每台的检测结果，也可通过免费提供的总控管理平台对各区域的检测结果进行总览。此外，网络流量旁路镜像的方式，也可替换为TDS从日志平台以Syslog的方式获取网络日志。