无文件病毒、无文件挖矿、无文件勒索……近年来,一种叫做无文件攻击的渗透方式日益增多,其流行给用户的网络安全带来了巨大的威胁。面对这种“披着合法外衣”的攻击,众多端点保护平台(EPP)相继失败,这让更多的信息安全管理者决定在端点保护(EDR)中集成检测和响应解决方案。这会成为端点保护的新趋势吗?在端点保护大战中,EDR占据了网络攻击的C位。历史悠久,总有些铜臭味。当然,每一个无底洞的攻击者都有一个铁定的契约,那就是《最小成本法则》。首先,网络攻击者一直在寻找渗透企业IT环境的方法。最简单的渠道之一是利用终端上的漏洞。这是最具吸引力、成本最低且最软的目标。同时,网络犯罪分子会寻找阻力最小的路径进行攻击,而无文件攻击可以轻松绕过基于黑白名单和感染指标(IoC)的反病毒(AV)系统,这也是为什么更多越来越多的网络犯罪分子纷纷效仿。它的原因。作为反击,EDR(EndpointDetection&Response)正式登场。顾名思义,EDR技术专注于高级威胁的检测和响应,填补了传统杀毒产品在高级威胁检测和响应方面的技术空白。EDR技术本质上是通过对操作系统的行为进行高清记录和长期存储,根据行为规则IOA和外部特征库IOC,对漏洞攻击、无文件攻击等高级威胁进行关联、分类和检测,并通过绘制流程事件树实现对疑似威胁主机的攻击可视化、远程遏制和修复。图1:GartnerEPP魔力象限入围产品功能需求演变EDR在2016-2019年连续进入GartnerTop10技术,预计EPP与EDR技术融合将成为大势所趋,带动发展EPP技术的重大转变。其中,从2018年开始,Gartner规定必须满足15项基本功能中的12项才能入围。一个很大的变化是,很多过去原本应该具备的功能的EDR,都被纳入了必须满足的基本功能中。“放大”的EDR,剥皮见“硬核”Gartner对EDR治理的高级威胁给出了四个基本定义:检测、遏制、调查和修复能力,提供各大网络安全公司的EDR产品供参考。图2:Gartner定义的EDR的四大基本功能EDR需要具备操作系统行为的“内核态”和“用户态”的高清记录能力,行为日志需要保存3个月以上.其次,EDR还需要实现攻击的可视化,提供IOA/IOC来检测无文件攻击和零日漏洞攻击的高级威胁,同时提供威胁搜寻(ThreatHunting)服务。然而,很多国内用户往往被放大的EPP能力宣传所误导,或者在不了解EDR本质用途的情况下,购买“缩小版”的EDR方案。·【误读一】:可以检测到勒索软件,这就是EDR。自2017年5月12日起,WannaCry/Wcry勒索病毒在全球范围内爆发。亚信安全已成功协助用户抵御攻击。但在当时乃至今天,亚信安全仍将“机器学习”和勒索病毒检测归为传统EPP的技术范畴。图3:EPP与EDR的融合从EPP技术的发展来看,勒索病毒检测只是EPP的一个标准功能,但单独使用EPP很难“看清无文件攻击的高级威胁”,关键在于检测异常行为。这需要持续检测端点,分析应用程序调用操作系统等异常行为。可以使用威胁隔离、病毒码更新、终端隔离和机器学习技术,但后续的响应修复、IOA威胁搜寻、根本原因分析、回溯查询、影响范围评估等已经超出了传统EPP的防护能力。因此,仅仅部署EDR或EPP是不够的,需要两者的融合联动。·【误读二】:EDR功能强大,无需部署防病毒产品一流的EDR系统不仅能检测、分析和验证常见威胁,还需要对无文件攻击、零日威胁提供有效溯源和APT攻击。例如,通过分析黑客攻击时间、路径、工具等所有细节,提取其特征,自动上传并发送到“沙盒”隔离测试区进行“引爆”和“验伤””,然后是遏制、清除、恢复和优化等。因此,很多人认为拥有如此强大的EDR可以完全取代杀毒软件(AV)。事实上,这两种技术在保护网络安全方面有不同的用途。AV侧重于预防,旨在在“坏东西”进入您的网络之前将其捕获,但它不知道攻击期间发生了什么。因此,即使反病毒软件能够准确捕捉到恶意代码,它也无法告诉它(它们)它们来自哪里,以及攻击如何在系统中传播。EDR描述了整个攻击过程。当攻击被AV阻断,或无文件恶意软件、零日漏洞、APT高级持续性威胁防控失败时,EDR将为您提供洞察。所以在EPP和EDR的选择关口,不是“二选一”的判断题,而是“全选题”。端点安全:EPP+EDR众所周知,亚信安全的企业级杀毒产品OfficeScan是一款拥有20多年历史的EPP产品。凭借其成熟的企业级管理功能、超强的稳定性和出色的防病毒能力,广泛服务于国内市场50000多家企业用户。在此基础上,亚信安全推出了名为“Cyber??ThreatDeepInvestigation,CTDI”的EDR产品,并通过与OfficeScan的深度融合,实现了三个“增强”,形成了端点安全的最佳组合——EPP+EDR.增强的高级威胁检测能力增强的威胁可视化和分析能力增强的远程遏制和修复能力增强的端点安全能力。未来,在全新定义的端点安全解决方案中,趋势科技将以大数据分析切入EDR,通过应用机器学习算法和行为分析,提供准确、全面、实时的防护和响应,有效发现未知威胁并减少误报。同时,利用连续检测和主动寻线的功能特点,以及智能联动的运行机制,协助用户更换或集成相对落后的保护系统,实现更简单、更智能、更有效、更安全的解决方案。更主动的威胁防御系统。
