第 28 叨
2013年,Gartner提出了EDR的概念。
EDR
从字面意思来看,EDR定位非常明确,终端检测与响应,Endpoint Detection and Response,就是在终端上干威胁检测与响应的活。
但就这么一句简单直接的话,也是存在不少坑的。
第一大坑:
杀毒软件Pro/Pro Max
1
真EDR | 假EDR 杀毒软件 Pro Max | |
关注 对象 | 针对威胁 | 针对病毒 |
检测 策略 | 关注行为 | 关注特征 |
核心 技术 | 大数据关联分析、 威胁情报等 | 黑白名单、特征匹配 |
检测 能力 | 可发现未知威胁 | 只能发现已知样本 |
漏报率 | 漏报率低 | 漏报率高 |
响应 手段 | 精准进程隔离、 外连IP阻断等 | 粗放式病毒查杀 |
响应 策略 | 多产品协同 | 独立作战 |
攻击 溯源 | 还原攻击链条 | 仅记录少量样本日志 |
发现病毒就是检测,删除病毒就是响应。
这句话看上去就没啥毛病,反正大家都是在终端上干活。所以在一番“炒作”下,某些杀毒软件摇身一变,披了个EDR的外套出来了。
但干活和干活之间的距离,相差十万八千里。
杀毒软件无论包装得多么天花乱坠,使用了多么先进的杀毒引擎,其本质都是依赖样本特征匹配来判断一个程序到底是不是病毒程序。
不管是本地查杀还是云查杀,决定杀毒能力的核心都是病毒库。积累的样本越多、更新得越快,软件的杀毒能力就越强。
但需要注意的是,没见过的病毒是没法总结出特征的,就像你不能描述出一个没见过的人的长相。换句话说,杀毒软件只针对已知病毒十分有效,对于没见过的病毒只能干瞪眼。
并且随着无文件攻击的流行,攻击者并不会在终端上植入一个所谓的病毒文件,而是直接将攻击代码释放进内存里运行。
连样本文件都没有,就更别提什么特征了。
EDR走的则完全是另一条路子。
首先,EDR的对象是威胁,这个威胁可能是病毒或者木马程序,也有可能是漏洞利用代码,还有可能是内部员工的一些高危操作,总之一切有可能对终端安全造成危害的东西。
其次,EDR关注的是行为,更依赖大数据、威胁情报、上下文关联分析等,来判断一个或者一组行为是否具有威胁,不受样本是已知还是未知的影响。
第三,EDR更擅长精准的响应处置,如进程隔离、删除甚至联动防火墙、IPS等,对外连IP进行阻断,而非对病毒程序一“杀”了之。
第四,EDR能够通过全面记录终端行为数据,结合事件关联和上下文信息,还原整个攻击链条,杀毒软件则完全不具备此项功能。
所以,杀毒软件和EDR本质上就不是一条轨道,绝不是什么大号杀毒软件或者杀毒软件升级版。
第二大坑:
告警量Max
2
真EDR | 假EDR 告警量Max | |
数据 视野 | 全量数据、 丰富的上下文 | 少量甚至单一维度数据 |
告警 数量 | 告警量适中 | 过量告警 |
误报率 | 误报率低 | 误报率高 |
告警 优化 | 剔除无效告警、 关联告警归并 | 无 |
告警 运营 | 基于实际业务 的优先级排序 | 简单的高、中、低危 |
有了杀毒软件装EDR的失败经验,有人学精了。
传统杀毒软件对付未知攻击不是不行吗?那好,杀毒软件能搞定的威胁我要搞定,杀毒软件搞不定的未知威胁,我也要来搞定。
所以就有了这种情况:草木皆兵,看什么都像威胁,一有风吹草动就告警。
众所周知,某些病毒程序非常喜欢做这件事情,可以诱导用户访问某些钓鱼链接,这确实是一个高危线索,告警无可厚非;
与此同时,某些所谓的流氓软件,同样会做这件事情,产生告警虽说有些勉强,但也说得过去;
除此之外,用户出于习惯手动修改主页,如果也产生告警就只能算作误报。
类似的情形一旦多了,就会产生一个非常恐怖的现象:过量告警。
安全运营人员不得不花费大量的时间,来处置这些无效告警。效率低下不说,还会出现因某些告警得不到及时处置,导致真正的威胁被放过的现象。告警太多了,比不产生告警,也高明不到哪儿去。虱子多了不痒,欠债多了不愁就是这个道理。
所以真正好用的EDR绝不会听风就是雨,而是基于多维度行为数据,同时结合威胁情报上下文信息,综合判断是否为威胁行为并产生告警。
产生告警后,EDR还会根据实际情况剔除无效告警,对相关联的告警进行告警归并,同时给出告警处置优先级排序,提高安全运营人员的效率。
第三大坑:
事件调查mini
3
真EDR | 假EDR 事件调查mini | |
数据 采集 | 全量数据 | 部分数据或存在数据盲区 |
数据 检索 | 高性能个性化检索 | “龟速”查询 |
数据 分析 | 分布式关联分析引擎 | 简单的规则关联 |
数据 联动 | 网络侧全量数据、 威胁情报 | 少量样本、IP、域名等 |
ATT&CK框架 | 大部分甚至全面覆盖 | 不支持或者少量覆盖 |
因此只有将完整的攻击链还原出来,才能全面消除网络攻击造成的影响,并找出安全防护的弱点,进行针对性加固。
在实战攻防演习中,防守方最加分的动作,毋庸置疑是提交事件调查和攻击溯源报告。
与此同时,2023年12月8日,《网络安全事件报告管理办法(征求意见稿)》发布,要求一小时内完成网络安全事件报告,这对于事件调查提出了更高的要求。
EDR作为终端上威胁检测的核心平台,自然责无旁贷。
但事件调查并非主要依靠告警,而是元数据的提取、采集和关联分析。
这主要是因为告警本质上是EDR对威胁行为的判断,并非事实证据。EDR检测能力再强,错报、漏报也在所难免。
而视野受限、元数据采集不完整,一旦遇到免杀做得好的攻击环节,一旦漏掉导致没有产生告警,就意味着永远错过了某些细节。
譬如0day漏洞的利用,绝大部分EDR可能都不会产生告警。
并且高水平攻击者会在渗透过程中进行EDR对抗,擦除攻击日志甚至强行终止EDR进程,在事后排查过程中,断链随处可见。
所以,真正的EDR应当具备全量数据采集、记录能力,包括文件上传和下载、样本Hash、DNS、注册表、文件目录、内存指令等等。
在此基础上提供个性化检索和高性能快速查询能力,方便事件调查时可以快速检索到需要的数据。
与此同时,EDR还应搭载强大的关联分析引擎,结合网络侧等外部数据(NDR、威胁情报)的攻击者技战术知识库(如ATT&CK)框架,将看似无序的元数据关联起来,形成一条完整的“证据链”。
所以,是否有终端行为数据采集、数据采集是否支持个性化定制,是区分真假EDR的关键考量因素。真EDR因为需要关注终端的蛛丝马迹,去做关联分析,而终端是没有关联分析的运算能力的,所以需要将行为数据采集到管理中心中通过大数据进行运算、检测并告警。
第四大坑:
EDR是不是可以完全取代xxx了
4
尽管EDR很好、很强大,但EDR的出现并不是想要取代谁,也不能取代谁。
对于病毒库里早已挂号的已知样本,完全犯不着再来依靠大数据分析恶意行为,最终定位是哪个文件、哪个进程,即便都搞定了,最终还是得依赖杀毒软件去把病毒文件干掉。
所以用EDR替代杀毒软件,根本就不现实。更别说EDR根本就不做资产管理、桌面管理等,替代EPP就更是无稽之谈。
因此,如果谁说上了EDR就不用xxx了,那一定是忽略了一个前提,网络安全技术的演进从来不是取代演进,而是叠加演进。站在巨人的肩膀上,才更好办事。
但从另一个角度来说,安全产品多,麻烦也多,客户当然希望用最少的产品解决最多的问题。这样不仅能节约一大笔开支,还能大幅度减少产品维护工作,提升运营效率。
所以,一体化终端安全UES的概念应运而生,这是一种终端安全“all in one”策略。
根据Gartner的定义,UES将端点保护平台(EPP)、威胁检测与响应(EDR)、移动威胁防御(MTD)功能单一的控制台整合到一个统一的平台下,从而提供更好的安全概况和更简单的管理。
奇安信天擎终端安全管理系统(下称“天擎”)就是这样的产品。
天擎基于“体系化防御,数字化运营”的理念,为客户打造能力一体化和终端一体化的终端安全体系。
能力一体化强调“一套客户端与一套管理平台”,深度整合系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等各项安全能力,为客户提供体系化的终端安全能力;终端一体化则强调对Windows、Linux、macOS、信创平台以及各类移动终端的全面覆盖,提供一致的终端安全体验。
具体到EDR层面,天擎EDR具备以下几个方面优势:
首先是全量数据采集能力,包括进程事件、文件操作、注册表变更、IP访问、DNS解析、内存执行等约23大类、116种日志信息。
第二是可视化威胁图谱展示能力。天擎EDR能够可视化展示威胁告警在MITRE ATT&CK攻击模型中的覆盖情况,赛可达实验室评测结果显示,在Windows环境下技术覆盖面可达383个。
第三是自动化威胁告警和事件调查能力。终端在上报日志信息后,威胁检测引擎Sabre通过IOA、IOC规则对日志数据进行检测,生成告警数据。同时,天擎EDR能够通过对关联规则及知识的形式化表述,将庞杂、无序的安全数据流转换为结构化、易于理解的攻击场景。
第四是一体化威胁响应能力。在确认安全风险后,服务端可统一下发策略,结合终端隔离、进程处置、网络阻断、自动响应等手段,对失陷终端进行统一处置。EDR中高级威胁防御引擎更是将实锤的威胁行为自动在客户端侧处置。
第五是全天候EDR分析服务。服务内容主要包括告警分析、威胁狩猎、样本分析、溯源分析、定制培训、专线电话、安全报告、改进建议等。
素材来源电视剧《西游记》86版
OF COURSE!
所以,你叫EDR一声,奇安信天擎是肯定敢答应的。
END
作者简介
分享
收藏
点赞
在看
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...