首页 > 安全 > 正文

被误解的EDR 端点安全如何拨云见日?

2020-01-14 17:45:14   来源:IT运维网>

无文件病毒、无文件挖矿、无文件勒索……近年来,一种被称为无文件攻击的渗透形式与日俱增,它的流行给用户的网络安全带来了巨大威胁。面对这种“披着合法外衣”悄悄进行地攻击,许多端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多信息安全管理者决定,在端点保护中融合更加先进的检测和响应解决方案(EDR)。这会成为新的端点防护趋势吗?
 
端点防护战,EDR已占C位
网络攻击,由来已久,且总是带着一些铜臭的味道。当然,每个无底线的攻击者却有着一条铁定的契约,这就是《最小成本法则》。首先,网络攻击者无时无刻不在找寻渗透企业IT环境的途径,其中一个最容易的通道,就是利用终端上的漏洞,这是最具吸引力、成本最小、最柔软脆弱的目标。同时,网络罪犯会寻找阻力最小的途径实施攻击,而无文件攻击可以轻易绕过基于黑白名单和感染指标(IoC)的防病毒(AV)系统,这也正是越来越多的网络罪犯效仿它的原因所在。
 
作为反击,EDR (Endpoint Detection & Response )正式出场。顾名思义,EDR技术聚焦的是高级威胁的检测与响应,它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。从本质上来看,EDR技术通过对操作系统行为高清记录和长期存储,根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,通过绘制进程事件树实现攻击可视化,对威胁的疑似主机进行远程遏制和修复。

图一:Gartner EPP魔力象限入围产品功能需求之演进
 
EDR在2016~2019年连续进入 Gartner 的 10 大技术之列,并且预判认为EPP与EDR技术融合会将成为总体趋势,这带动了EPP技术的重大转变。其中,从2018年开始,Gartner规定了15项基本功能必须满足其中的12项才可以入围,最大的变化是把过去众多本属于期望功能的EDR放入了必须满足的基本功能中。
 
被“放大化”的EDR,拨开外皮看“硬核”
Gartner对于EDR治理高级威胁给出了四项基本定义:检测、遏制、调查和修复能力,这为各大网安企业的EDR产品提供了参考。

图二:Gartner定义的EDR四个基本功能
 
EDR需要具备针对操作系统行为的“内核态”、“用户态”高清记录能力,且行为日志需要储存3 个月以上。其次,EDR还需要实现攻击的可视化,并对无文件攻击和零日漏洞攻击提供IOA/IOC 检测高级威胁,以及提供威胁狩猎(Threat Hunting )服务。然而,国内的许多用户,在无法理解EDR本质用途的情况下,往往会被放大的EPP能力宣传所误导,或是采购被“减配”的EDR方案。
 
【误读1】:能够检测到勒索病毒,这就是EDR

2017年5月12日起,WannaCry/Wcry勒索软件在全球爆发,亚信安全成为国内首个利用“终端防毒+机器学习”等新兴技术,成功协助用户抵御此次攻击的安全企业。但在当时乃至今天,亚信安全仍将“机器学习”以及检测到勒索病毒列属于传统EPP的技术范畴。
 
图三:EPP与EDR融合
 
从EPP技术的发展来看,检测到勒索病毒只是EPP的标准功能,但单独使用EPP“看清无文件攻击“这种高级威胁是非常有难度的,其关键就在于检测异常行为。这需要对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,这其中可以采用威胁隔离、病毒码更新、终端隔离和机器学习技术,但随后的响应补救、IOA威胁狩猎、根本原因分析、回溯查询、影响范围评估等已经超出了传统EPP的防护能力。因此,单独部署EDR或是EPP都是不够的,需要两者的融合与联动。
 
【误读2】:EDR功能强大,无需再部署杀毒产品
 
一流的 EDR 系统不仅可以检测、分析和验证常见威胁,还需要对无文件攻击、零日威胁和APT攻击提供有效的溯源。比如,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,自动上传并到 “沙箱” 的隔离测试区域 “引爆”、“验伤”,然后再进行遏制、清除、恢复和优化等。因此,很多人认为,拥有如此强大的EDR,完全可以替代反毒软件(AV )。
 
事实上,这两种技术在保护你的网络方面有着不同的用途。AV专注于预防,被设计用来在“坏东西”进入你的网络之前捕捉它们,但是它对攻击期间发生的情况一无所知。所以,即使AV软件可以准确的抓住了恶意代码,也不能告诉它(他)们来自哪里,以及攻击是如何在系统中传播的。 而EDR 描述的是整个攻击过程,当一个攻击行为被AV阻止,或者针对无文件型的恶意软件、零日漏洞、APT高级持续性威胁防控失败的时候, EDR 会为你提供洞察能力。因此,在EPP和EDR的选择关口,并不是要做一道“二选一”的判断题,它是“全选题”。
 
端点安全如何拨云见日:EPP+EDR
众所周知,亚信安全企业级防病毒产品OfficeScan是具有20多年历史的EPP产品,以其成熟的企业级管理功能、超强的稳定性和出众的防病毒能力广泛服务国内5万家以上的企业用户。在此基础上,亚信安全推出了名为“高级威胁终端检测及响应系统”(Cyber Threat Deep Investigation,CTDI)的EDR产品,并通过与OfficeScan深度融合,做到了三个“增强”,并形成了端点安全的最佳组合—— EPP+EDR。

• 增强高级威胁检测能力
• 增强威胁可视化分析能力
• 增强远程遏制及修复能力
 
在刚刚过去的2019年,亚信安全EPP+EDR的组合在行业用户和重保工作中表现抢眼,为广大企业客户提供了增强的端点安全防护能力。未来,在全新定义的端点安全解决方案中,亚信安全以大数据分析切入EDR,通过应用机器学习算法与行为分析提供精确、全面、实时的防护与响应,能够有效发现未知威胁并减少误报。同时,发挥持续检测和主动狩猎的功能特性,以及智能联动的运行机制,协助用户替代或整合而较为落后的防护体系,实现更简单、更智能、更有效、更主动的威胁防御体系。



免责声明:本网站(www.365master.com)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。电话:010-88558043)

相关热词搜索:EDR 端点安全

上一篇:青藤云安全完成3亿元B+轮融资 大湾区共同家园投资有限公司领投
下一篇:F5亚太技术副总裁:2020年IT软件支出将持续增长,安全首当其冲

扫码关注公众号

扫码订阅杂志