被誤解的EDR,端點安全如何撥云見日?
責編:gltian |2020-01-16 17:33:17無文件病毒、無文件挖礦、無文件勒索……近年來,一種被稱為無文件攻擊的滲透形式與日俱增,它的流行給用戶的網絡安全帶來了巨大威脅。面對這種“披著合法外衣”悄悄進行地攻擊,許多端點防護平臺(Endpoint Protection Platform,EPP)紛紛失效,這讓更多信息安全管理者決定,在端點保護中融合更加先進的檢測和響應解決方案(EDR)。這會成為新的端點防護趨勢嗎?
端點防護戰,EDR已占C位
網絡攻擊,由來已久,且總是帶著一些銅臭的味道。當然,每個無底線的攻擊者卻有著一條鐵定的契約,這就是《最小成本法則》。首先,網絡攻擊者無時無刻不在找尋滲透企業IT環境的途徑,其中一個最容易的通道,就是利用終端上的漏洞,這是最具吸引力、成本最小、最柔軟脆弱的目標。同時,網絡罪犯會尋找阻力最小的途徑實施攻擊,而無文件攻擊可以輕易繞過基于黑白名單和感染指標(IoC)的防病毒(AV)系統,這也正是越來越多的網絡罪犯效仿它的原因所在。
作為反擊,EDR (Endpoint Detection & Response )正式出場。顧名思義,EDR技術聚焦的是高級威脅的檢測與響應,它填補了傳統防病毒產品在高級威脅檢測及響應方面的技術空白。從本質上來看,EDR技術通過對操作系統行為高清記錄和長期存儲,根據行為規則IOA和外部特征庫IOC來對漏洞攻擊和無文件攻擊等高級威脅進行關聯分級及檢測,通過繪制進程事件樹實現攻擊可視化,對威脅的疑似主機進行遠程遏制和修復。
圖一:Gartner EPP魔力象限入圍產品功能需求之演進
EDR在2016~2019年連續進入 Gartner 的 10 大技術之列,并且預判認為EPP與EDR技術融合會將成為總體趨勢,這帶動了EPP技術的重大轉變。其中,從2018年開始,Gartner規定了15項基本功能必須滿足其中的12項才可以入圍,最大的變化是把過去眾多本屬于期望功能的EDR放入了必須滿足的基本功能中。
被“放大化”的EDR,撥開外皮看“硬核”
Gartner對于EDR治理高級威脅給出了四項基本定義:檢測、遏制、調查和修復能力,這為各大網安企業的EDR產品提供了參考。
圖二:Gartner定義的EDR四個基本功能
EDR需要具備針對操作系統行為的“內核態”、“用戶態”高清記錄能力,且行為日志需要儲存3 個月以上。其次,EDR還需要實現攻擊的可視化,并對無文件攻擊和零日漏洞攻擊提供IOA/IOC 檢測高級威脅,以及提供威脅狩獵(Threat Hunting )服務。然而,國內的許多用戶,在無法理解EDR本質用途的情況下,往往會被放大的EPP能力宣傳所誤導,或是采購被“減配”的EDR方案。
- 【誤讀1】:能夠檢測到勒索病毒,這就是EDR
2017年5月12日起,WannaCry/Wcry勒索軟件在全球爆發,亞信安全成為國內首個利用“終端防毒+機器學習”等新興技術,成功協助用戶抵御此次攻擊的安全企業。但在當時乃至今天,亞信安全仍將“機器學習”以及檢測到勒索病毒列屬于傳統EPP的技術范疇。
圖三:EPP與EDR融合
從EPP技術的發展來看,檢測到勒索病毒只是EPP的標準功能,但單獨使用EPP“看清無文件攻擊“這種高級威脅是非常有難度的,其關鍵就在于檢測異常行為。這需要對端點進行持續檢測,同時通過應用程序對操作系統調用等異常行為分析,這其中可以采用威脅隔離、病毒碼更新、終端隔離和機器學習技術,但隨后的響應補救、IOA威脅狩獵、根本原因分析、回溯查詢、影響范圍評估等已經超出了傳統EPP的防護能力。因此,單獨部署EDR或是EPP都是不夠的,需要兩者的融合與聯動。
- 【誤讀2】:EDR功能強大,無需再部署殺毒產品
一流的 EDR 系統不僅可以檢測、分析和驗證常見威脅,還需要對無文件攻擊、零日威脅和APT攻擊提供有效的溯源。比如,通過分析黑客進攻的時間、路徑、工具等所有細節,其特征提取出來,自動上傳并到 “沙箱” 的隔離測試區域 “引爆”、“驗傷”,然后再進行遏制、清除、恢復和優化等。因此,很多人認為,擁有如此強大的EDR,完全可以替代反毒軟件(AV?)。
事實上,這兩種技術在保護你的網絡方面有著不同的用途。AV專注于預防,被設計用來在“壞東西”進入你的網絡之前捕捉它們,但是它對攻擊期間發生的情況一無所知。所以,即使AV軟件可以準確的抓住了惡意代碼,也不能告訴它(他)們來自哪里,以及攻擊是如何在系統中傳播的。?而EDR?描述的是整個攻擊過程,當一個攻擊行為被AV阻止,或者針對無文件型的惡意軟件、零日漏洞、APT高級持續性威脅防控失敗的時候, EDR?會為你提供洞察能力。因此,在EPP和EDR的選擇關口,并不是要做一道“二選一”的判斷題,它是“全選題”。
端點安全如何撥云見日:EPP+EDR
眾所周知,亞信安全企業級防病毒產品OfficeScan是具有20多年歷史的EPP產品,以其成熟的企業級管理功能、超強的穩定性和出眾的防病毒能力廣泛服務國內5萬家以上的企業用戶。在此基礎上,亞信安全推出了名為“高級威脅終端檢測及響應系統”(Cyber Threat Deep Investigation,CTDI)的EDR產品,并通過與OfficeScan深度融合,做到了三個“增強”,并形成了端點安全的最佳組合—— EPP+EDR。
- 增強高級威脅檢測能力
- 增強威脅可視化分析能力
- 增強遠程遏制及修復能力
在剛剛過去的2019年,亞信安全EPP+EDR的組合在行業用戶和重保工作中表現搶眼,為廣大企業客戶提供了增強的端點安全防護能力。未來,在全新定義的端點安全解決方案中,亞信安全以大數據分析切入EDR,通過應用機器學習算法與行為分析提供精確、全面、實時的防護與響應,能夠有效發現未知威脅并減少誤報。同時,發揮持續檢測和主動狩獵的功能特性,以及智能聯動的運行機制,協助用戶替代或整合而較為落后的防護體系,實現更簡單、更智能、更有效、更主動的威脅防御體系。
關于亞信安全
亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有2個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com
更多媒體垂詢,敬請聯絡:
| 亞信安全
劉婷婷 電話:010- 58256889 電子郵件: liutt5@aisainfo-sec.com |
謀信傳媒
雷遠方 電話:010-67588241 |