當提到安全問題時,許多安全運維人員可能會感到困擾和無奈。他們需要應對各種終端安全挑戰,如防範病毒、打補丁、進行桌面管控、資產管理、數據防泄漏等等。即使完成了這些任務,他們仍然可能會遇到未知的問題。事實上,這是一個非常嚴重的問題,特別是在當前企業數字化業務比例日益增長的情況下,數字化的安全威脅也在日益顯現。如果不能採取正確的措施來應對這些威脅,後果將難以預料。
讓企業數字化業務變安全的EDR
問題要如何解決?讓我們來看一下EDR。EDR的全稱是Endpoint Detection and Response,是一種主動式端點安全解決方案。它通過記錄終端與網路事件(例如用戶、文件、進程、註冊表、內存和網路事件),並將這些資訊本地存儲在端點或集中資料庫。結合已知的攻擊指示器(Indicators of Compromise,IOCs)、行為分析的資料庫、連續搜索數據和機器學習技術,檢測任何可能的安全威脅,並對這些安全威脅做出快速響應。從Gartner給EDR下的定義來看,它其實就是要解決高級威脅的發現、檢測和快速響應。
但是EDR能做什麼呢?通過微步技術合伙人黃雅芳的介紹我們可以了解:
EDR具有全面記錄功能:能夠捕捉終端上發生的所有事件,包括文件的創建、寫入計劃任務、啟動VBA、網路連接以及內存行為等,並將每個關鍵動作準確記錄在案。
EDR可以檢測和發現執行動作中的風險項,以及發現惡意攻擊能力:它可以對每個行為進行分析,以確定是否存在風險。例如,在office啟動rundll32的情況下,EDR可以對行為序列進行檢測,並判斷是否是一個惡意攻擊行為。
EDR具備對攻擊過程完整追溯能力:能夠全面掌握攻擊的影響範圍,準確展示攻擊過程中的所有動作,包括具體執行了哪些操作,影響了多少賬戶和機器,所有資訊一目了然。
EDR可以迅速對攻擊進程進行遏制,並通過智能化手段徹底清除威脅源頭:它提供了多樣化的響應措施,既可以快速將受感染的終端進行隔離,也能有效地清理具有威脅的機器、進程、文件和註冊表等。
不要將EDR與殺毒軟體混淆!
黃雅芳首先澄清的是:EDR不是終端殺毒,無法查殺惡意文件,但是它能發現繞過殺毒的惡意文件行為;EDR不是桌面管理,無法管控員工的軟體、網路訪問和外設的使用,但是它能發現由於員工不合規操作帶來的安全威脅;EDR不能零信任和准入,無法驗證身份並實現接入控制,但是它能作為持續的終端安全驗證引擎,增強零信任的策略控制。
其次,黃雅芳強調EDR不能做什麼:EDR不能做到在惡意行為執行前就提前防護,但是它能在一個攻擊事件中檢測到攻擊者的攻擊動作,幫助在攻擊中進行快速響應;EDR不能做到完全自動化,無需人參與,但是它能提高日常安全運營的效率,幫助安全分析人員聚焦真實威脅。
相較於傳統的終端安全,EDR在某些方面具有本質的變化。首先,計算方式發生了變化,從傳統的基於PC端的計算轉移到了服務端。儘管殺毒軟體通過特徵匹配來識別威脅和攻擊,但其計算過程主要是在用戶電腦上使用有限的資源來進行。這可能會對電腦的運行和資源造成一定的干擾和占用。而EDR的Agent在電腦上的安裝只是一個數據採集器,更複雜的關聯計算是在更強大的服務端和雲端資源上進行。這不僅提高了對威脅的發現能力,還降低了對終端設備的性能要求。
其次,從安全運營的角度來看,EDR實現了從防禦到檢測與響應的轉變。傳統的殺毒軟體主要採用防禦策略,即在病毒文件尚未執行時就將其清除。然而,EDR則側重於在惡意代碼執行後的有效檢測和高效響應,以避免最終安全事件的發生。這種轉變將注意力從阻止攻擊轉為快速響應和恢復系統,從而提高了整體的安全運營效率。
綜合上述資訊我們可以了解,對於企業而言,EDR的關鍵作用在於對其數字化業務應用進行透明化安全管理。在當前的數字化時代,企業的威脅無處不在,數字化業務應用中也不存在絕對的安全。因此,對於企業的任何一個業務端點而言,可以清楚地了解到每個業務應用的行為,並實施應用安全監管已成為必然趨勢。EDR的出現,恰恰可以滿足企業數字化業務安全防護的這方面需求。
EDR產品能力要如何評估
EDR具備輕量級、全監控和對威脅及惡意攻擊發現能力等特點,能為企業數字化業務提供有效的保障,也符合當前流行的數字化安全防護技術發展趨勢。然而EDR的產品能力要如何進行評估?
在這方面,黃雅芳也提供了相應的評估建議,將EDR從能力劃分為四大模塊:
第一,行為採集,包括採集事件的類型、採集技術種類,以及採集帶來的網路帶寬壓力
行為採集是後續檢測、分析能力的重要基礎。一方面,從事件採集的類型來看,只靠基礎行為事件是遠遠不夠的,要隨攻防不斷調整事件採集類型;另一方面,從採集採用的技術來看,單純基於ETW、API Hook技術,會帶來不穩定、丟失、繞過多種風險;最後,網路帶寬壓力是EDR技術中容易被忽視的,但是確實極大限制EDR應用的重要因素,特別是在網路帶寬受限的環境(如專線)。
第二,威脅檢測,包含檢測的覆蓋度和精準度
威脅檢測,一方面檢測的覆蓋度,考驗的是對攻防和實戰的深度認知和持續跟進;另一方面檢測的準確度,是EDR檢測中最難的部分。
第三、溯源分析,包括溯源到進程的源頭、執行的源頭和事件的源頭的能力
溯源分析,一般來說溯源到進程源頭和執行源頭還比較容易,要溯源到事件源頭,涉及跨機器間的執行鏈的關聯是一個非常難的課題。
第四,事件響應,涉及響應動作的豐富性
事件響應,響應動作不是簡單隔離機器和進程,面對複雜威脅,通常還需要進一步調查取證。
微步EDR的優勢
今年年初,微步為了幫助企業應對數字化新形勢下辦公網安全挑戰,推出了具備真正意義上EDR模塊的終端安全管理平台OneSEC。(請參見報道:下一個被GPT取代的工作會是「網工」?)半年時間裡,微步OneSEC獲得了來自金融、央企、大型網際網路企業等諸多頭部客戶的青睞。接下來,讓我們看一下微步OneSEC所具備的技術優勢:
一、更全面的終端事件採集能力
微步OneSEC不僅採集基礎事件,還針對攻擊者常用的行為事件進行採集,例如竊取、橫向移動、自啟位置等。此外,微步OneSEC運用關聯器、快照分析、智能過濾等採集技術,增強了其採集能力。同時,微步OneSEC通過先進的事件重組和網路傳輸壓縮技術,對不同實體進行標記,每次網路傳輸只傳遞變量的部分,靜態未變化不進行傳輸。雲端通過大數據關聯進行重組日誌,從而大幅降低網路傳輸量,實現單一日誌壓縮比可達5:1。
二、更全面的威脅檢測能力
在服務端,微步OneSEC具備一套全面的威脅檢測技術,該技術基於多種最新的入侵指標(IoC)、攻擊指標(IoA)和黑樣本,並調用雲端算力進行大數據分析和篩查。其中,威脅情報是微步的核心競爭力之一,能夠實現百萬級別、秒級更新,並且準確率高達99.9%,使高級威脅難以遁形。
在此基礎上,微步OneSEC綜合運用其他各類威脅指標,結合「圖關聯檢測」技術,有效避免了單一行為告警帶來的高誤報問題,實現了精準告警。這種綜合運用威脅情報和其他威脅指標的方法,使得微步OneSEC在威脅檢測方面具有較高的準確性和可靠性。
三、更全面的溯源和響應能力
在溯源方面,傳統安全產品僅能覆蓋中間進程鏈的回溯,而微步OneSEC則具備補充完善左右兩邊鏈條的能力。此外,微步OneSEC還提供了序列化、智能化以及自動化的響應能力,且其響應體系正在不斷進化中。微步還擁有一支由一線運營專家、樣本分析專家以及狩獵專家組成的專業安全服務團隊,他們時刻在雲端為客戶提供人工研判、特殊事件以及威脅的處置幫助。
四、更靈活的SaaS化部署模式
微步OneSEC還具備SaaS化更靈活的部署模式,為客戶提供更低的成本、更好的效果、更強的服務以及更低的風險。對於支持SaaS化部署的客戶來說,這種部署模式能夠更好地滿足他們的需求並提高效率。
對於選擇上雲的客戶而言,他們所關心的核心問題主要集中在安全性和數據管理兩個方面。首先,微步OneSEC在運作過程中,不會獲取或傳輸任何敏感數據,僅會收集作業系統的底層數據,而不會採集任何應用內的行為數據,同時確保文件不外傳。其次,微步OneSEC雲端平台具備一套完善的安全保障機制,覆蓋六個維度:安全開發機制、租戶隔離機制、數據加密機制、滲透測試和安全評估、威脅檢測和響應機制以及漏洞獎勵機制和應急響應機制。這些維度全方位確保了微步OneSEC雲端平台的安全性。並且,微步OneSEC的雲端平台還取得了等保三級和信創兼容性認證。
微步OneSEC 的SaaS模式能夠帶來更強大且及時的能力。這包括更強的計算能力、更豐富的規則庫和狩獵庫,以及雲化協同帶來的實時規則更新和情報更新。這意味著企業可以更及時地檢測到新的威脅。同時,由於雲化帶來的託管服務,有更專業的團隊在雲端進行及時的分析和響應。
從成本角度考慮,雲化能夠帶來更低的成本。SaaS版本的價格更為優惠,客戶無需承擔額外的運維、軟體、硬體等費用。這為企業節省了大量的人力和資源成本,例如無需為服務端提供機櫃、運維、擴容等成本。目前,已有超過5000點的超大規模金融企業選擇了SaaS模式,這充分說明客戶對SaaS的認可和接受程度正在不斷提高。
在今年微步OneSEC成功經歷了安防大考的考驗。在首次亮相中,微步OneSEC挫敗了好幾起最頂尖紅隊的一些新的攻擊手法,包括供應鏈攻擊,0day漏洞攻擊等都是OneSEC第一時間發現的,在業內也產生了比較大的影響力。
目前一些超大型集團企業普遍存儲多分支機構、業務移動端部署或者應用場景外包的情況,通過部署傳統「盒子」進行安全防護基本上已無法實現。而微步OneSEC的SaaS模式,可以為企業提供更加簡潔的統一管理模式,有效加強企業辦公網路終端安全,以點帶面從而實現全局掌控,為企業提供更加健壯的數字化安全響應能力,而這也是傳統殺毒軟體所難以實現的。
