当提到安全问题时,许多安全运维人员可能会感到困扰和无奈。他们需要应对各种终端安全挑战,如防范病毒、打补丁、进行桌面管控、资产管理、数据防泄漏等等。即使完成了这些任务,他们仍然可能会遇到未知的问题。事实上,这是一个非常严重的问题,特别是在当前企业数字化业务比例日益增长的情况下,数字化的安全威胁也在日益显现。如果不能采取正确的措施来应对这些威胁,后果将难以预料。
让企业数字化业务变安全的EDR
问题要如何解决?让我们来看一下EDR。EDR的全称是Endpoint Detection and Response,是一种主动式端点安全解决方案。它通过记录终端与网络事件(例如用户、文件、进程、注册表、内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库、连续搜索数据和机器学习技术,检测任何可能的安全威胁,并对这些安全威胁做出快速响应。从Gartner给EDR下的定义来看,它其实就是要解决高级威胁的发现、检测和快速响应。
但是EDR能做什么呢?通过微步技术合伙人黄雅芳的介绍我们可以了解:
不要将EDR与杀毒软件混淆!
黄雅芳首先澄清的是:EDR不是终端杀毒,无法查杀恶意文件,但是它能发现绕过杀毒的恶意文件行为;EDR不是桌面管理,无法管控员工的软件、网络访问和外设的使用,但是它能发现由于员工不合规操作带来的安全威胁;EDR不能零信任和准入,无法验证身份并实现接入控制,但是它能作为持续的终端安全验证引擎,增强零信任的策略控制。
其次,黄雅芳强调EDR不能做什么:EDR不能做到在恶意行为执行前就提前防护,但是它能在一个攻击事件中检测到攻击者的攻击动作,帮助在攻击中进行快速响应;EDR不能做到完全自动化,无需人参与,但是它能提高日常安全运营的效率,帮助安全分析人员聚焦真实威胁。
相较于传统的终端安全,EDR在某些方面具有本质的变化。首先,计算方式发生了变化,从传统的基于PC端的计算转移到了服务端。尽管杀毒软件通过特征匹配来识别威胁和攻击,但其计算过程主要是在用户电脑上使用有限的资源来进行。这可能会对电脑的运行和资源造成一定的干扰和占用。而EDR的Agent在电脑上的安装只是一个数据采集器,更复杂的关联计算是在更强大的服务端和云端资源上进行。这不仅提高了对威胁的发现能力,还降低了对终端设备的性能要求。
其次,从安全运营的角度来看,EDR实现了从防御到检测与响应的转变。传统的杀毒软件主要采用防御策略,即在病毒文件尚未执行时就将其清除。然而,EDR则侧重于在恶意代码执行后的有效检测和高效响应,以避免最终安全事件的发生。这种转变将注意力从阻止攻击转为快速响应和恢复系统,从而提高了整体的安全运营效率。
综合上述信息我们可以了解,对于企业而言,EDR的关键作用在于对其数字化业务应用进行透明化安全管理。在当前的数字化时代,企业的威胁无处不在,数字化业务应用中也不存在绝对的安全。因此,对于企业的任何一个业务端点而言,可以清楚地了解到每个业务应用的行为,并实施应用安全监管已成为必然趋势。EDR的出现,恰恰可以满足企业数字化业务安全防护的这方面需求。
EDR产品能力要如何评估
EDR具备轻量级、全监控和对威胁及恶意攻击发现能力等特点,能为企业数字化业务提供有效的保障,也符合当前流行的数字化安全防护技术发展趋势。然而EDR的产品能力要如何进行评估?
在这方面,黄雅芳也提供了相应的评估建议,将EDR从能力划分为四大模块:
第一,行为采集,包括采集事件的类型、采集技术种类,以及采集带来的网络带宽压力
行为采集是后续检测、分析能力的重要基础。一方面,从事件采集的类型来看,只靠基础行为事件是远远不够的,要随攻防不断调整事件采集类型;另一方面,从采集采用的技术来看,单纯基于ETW、API Hook技术,会带来不稳定、丢失、绕过多种风险;最后,网络带宽压力是EDR技术中容易被忽视的,但是确实极大限制EDR应用的重要因素,特别是在网络带宽受限的环境(如专线)。
第二,威胁检测,包含检测的覆盖度和精准度
威胁检测,一方面检测的覆盖度,考验的是对攻防和实战的深度认知和持续跟进;另一方面检测的准确度,是EDR检测中最难的部分。
第三、溯源分析,包括溯源到进程的源头、执行的源头和事件的源头的能力
溯源分析,一般来说溯源到进程源头和执行源头还比较容易,要溯源到事件源头,涉及跨机器间的执行链的关联是一个非常难的课题。
第四,事件响应,涉及响应动作的丰富性
事件响应,响应动作不是简单隔离机器和进程,面对复杂威胁,通常还需要进一步调查取证。
微步EDR的优势
今年年初,微步为了帮助企业应对数字化新形势下办公网安全挑战,推出了具备真正意义上EDR模块的终端安全管理平台OneSEC。(请参见报道:下一个被GPT取代的工作会是“网工”?)半年时间里,微步OneSEC获得了来自金融、央企、大型互联网企业等诸多头部客户的青睐。接下来,让我们看一下微步OneSEC所具备的技术优势:
一、更全面的终端事件采集能力
微步OneSEC不仅采集基础事件,还针对攻击者常用的行为事件进行采集,例如窃取、横向移动、自启位置等。此外,微步OneSEC运用关联器、快照分析、智能过滤等采集技术,增强了其采集能力。同时,微步OneSEC通过先进的事件重组和网络传输压缩技术,对不同实体进行标记,每次网络传输只传递变量的部分,静态未变化不进行传输。云端通过大数据关联进行重组日志,从而大幅降低网络传输量,实现单一日志压缩比可达5:1。
二、更全面的威胁检测能力
在服务端,微步OneSEC具备一套全面的威胁检测技术,该技术基于多种最新的入侵指标(IoC)、攻击指标(IoA)和黑样本,并调用云端算力进行大数据分析和筛查。其中,威胁情报是微步的核心竞争力之一,能够实现百万级别、秒级更新,并且准确率高达99.9%,使高级威胁难以遁形。
在此基础上,微步OneSEC综合运用其他各类威胁指标,结合「图关联检测」技术,有效避免了单一行为告警带来的高误报问题,实现了精准告警。这种综合运用威胁情报和其他威胁指标的方法,使得微步OneSEC在威胁检测方面具有较高的准确性和可靠性。
三、更全面的溯源和响应能力
在溯源方面,传统安全产品仅能覆盖中间进程链的回溯,而微步OneSEC则具备补充完善左右两边链条的能力。此外,微步OneSEC还提供了序列化、智能化以及自动化的响应能力,且其响应体系正在不断进化中。微步还拥有一支由一线运营专家、样本分析专家以及狩猎专家组成的专业安全服务团队,他们时刻在云端为客户提供人工研判、特殊事件以及威胁的处置帮助。
四、更灵活的SaaS化部署模式
微步OneSEC还具备SaaS化更灵活的部署模式,为客户提供更低的成本、更好的效果、更强的服务以及更低的风险。对于支持SaaS化部署的客户来说,这种部署模式能够更好地满足他们的需求并提高效率。
对于选择上云的客户而言,他们所关心的核心问题主要集中在安全性和数据管理两个方面。首先,微步OneSEC在运作过程中,不会获取或传输任何敏感数据,仅会收集操作系统的底层数据,而不会采集任何应用内的行为数据,同时确保文件不外传。其次,微步OneSEC云端平台具备一套完善的安全保障机制,覆盖六个维度:安全开发机制、租户隔离机制、数据加密机制、渗透测试和安全评估、威胁检测和响应机制以及漏洞奖励机制和应急响应机制。这些维度全方位确保了微步OneSEC云端平台的安全性。并且,微步OneSEC的云端平台还取得了等保三级和信创兼容性认证。
微步OneSEC 的SaaS模式能够带来更强大且及时的能力。这包括更强的计算能力、更丰富的规则库和狩猎库,以及云化协同带来的实时规则更新和情报更新。这意味着企业可以更及时地检测到新的威胁。同时,由于云化带来的托管服务,有更专业的团队在云端进行及时的分析和响应。
从成本角度考虑,云化能够带来更低的成本。SaaS版本的价格更为优惠,客户无需承担额外的运维、软件、硬件等费用。这为企业节省了大量的人力和资源成本,例如无需为服务端提供机柜、运维、扩容等成本。目前,已有超过5000点的超大规模金融企业选择了SaaS模式,这充分说明客户对SaaS的认可和接受程度正在不断提高。
在今年微步OneSEC成功经历了安防大考的考验。在首次亮相中,微步OneSEC挫败了好几起最顶尖红队的一些新的攻击手法,包括供应链攻击,0day漏洞攻击等都是OneSEC第一时间发现的,在业内也产生了比较大的影响力。
目前一些超大型集团企业普遍存储多分支机构、业务移动端部署或者应用场景外包的情况,通过部署传统“盒子”进行安全防护基本上已无法实现。而微步OneSEC的SaaS模式,可以为企业提供更加简洁的统一管理模式,有效加强企业办公网络终端安全,以点带面从而实现全局掌控,为企业提供更加健壮的数字化安全响应能力,而这也是传统杀毒软件所难以实现的。
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。