无文件病毒、无文件挖矿、无文件勒索……近些年,一种被称作无文件进攻的渗入方式与日俱增,它的时兴给客户的网络信息安全产生了极大危害。应对这类"披上合理合法外套"悄悄的开展地进攻,很多节点安全防护服务平台(Endpoint Protection Platform,EPP)陆续无效,这让大量网络信息安全管理人员决策,在节点维护中结合检验和回应解决方法(EDR)。这会成为了新的节点安全防护发展趋势吗?
节点安全防护战,EDR已占C位
黑客攻击,古已有之,且一直带有一些铜臭味的味儿。自然,每一个没有底线的的网络攻击却拥有一条肯定的合同,这就是《最小成本法则》。最先,互联网网络攻击无时无刻不在寻找渗入公司IT自然环境的方式,在其中一个最非常容易的安全通道,便是运用终端设备上的系统漏洞,这也是极具诱惑力、成本费最少、最松软敏感的总体目标。与此同时,互联网犯罪分子会找寻摩擦阻力最少的方式执行进攻,而无文件攻击可以随便绕开根据黑与白名册和感柒指标值(IoC)的防病毒(AV)系统软件,这也恰好是愈来愈多的互联网犯罪分子仿效它的根本原因所属。
做为还击,EDR (Endpoint Detection & Response )宣布登场。说白了,EDR技术性对焦的是高級危害的检查与回应,它弥补了传统式防病毒商品在高級危害检验及回应层面的技术性空缺。从其本质上看来,EDR技术性根据对电脑操作系统个人行为超清纪录和长期性储存,依据个人行为标准IOA和外部结构特点库IOC来对系统漏洞进攻和无文件攻击等高級危害开展关系等级分类及检验,根据制作过程事情树完成进攻数据可视化,对危害的疑是服务器开展远程控制抵制和修补。
图一:Gartner EPP魔力象限入选产品功能要求之演变
EDR在2016~2019年持续进到 Gartner 的 10 大技术性之列,而且预测觉得EPP与EDR技术性结合会将变成整体发展趋势,这推动了EPP技术性的重要变化。在其中,从2018年逐渐,Gartner要求了15项基本要素务必达到在其中的12项才可以入选,非常大的一个改变是把以往诸多本归属于期待作用的EDR放进了务必符合的基本要素中。
被"变大化"的EDR,拔开表皮看"顶势"
Gartner针对EDR整治高級危害得出了四项基本上界定:检验、抵制、调研和恢复工作能力,这为各大网站安公司的EDR商品带来了参照。
图二:Gartner界定的EDR四个基本要素
EDR必须具有对于电脑操作系统个人行为的"核心态"、"客户态"超清纪录工作能力,且个人行为日志必须存储3 个月以上。次之,EDR还要完成进攻的数据可视化,并对无文件进攻和零日系统漏洞进攻给予IOA/IOC 检验高級危害,及其给予危害捕猎(Threat Hunting )服务项目。殊不知,中国的很多客户,在没法了解EDR实质主要用途的情形下,通常会被变大的EPP工作能力宣传策划所欺诈,或者购置被"减配"的EDR计划方案。
· 【曲解1】:可以检验到勒索病毒,这就是EDR
2017年5月12日起,WannaCry/Wcry勒索手机软件在全球爆发,亚信安全运用"终端设备防病毒 人工神经网络"等新型技术性,取得成功帮助客户抵挡本次进攻。但在那时候乃至今日,亚信安全仍将"人工神经网络"及其检验到勒索病毒列归属于传统式EPP的工艺范围。
图三:EPP与EDR结合
从EPP技术性的发展趋势看来,检验到勒索病毒仅仅EPP的规范作用,但独立应用EPP"认清无文件进攻"这类高級危害是特别有困难的,其核心就取决于检验出现异常个人行为。这必须对节点开展不断检验,与此同时根据应用软件对电脑操作系统启用等出现异常行为分析,这当中可以选用危害防护、病毒码升级、终端设备防护和人工神经网络技术性,但接着的回应弥补、IOA危害捕猎、直接原因剖析、回朔查看、危害范畴评定等早已超过了传统式EPP的安全防护工作能力。因而,独立布署EDR或者EPP全是不足的,必须二者的整合与连动。
· 【曲解2】:EDR功能齐全,不用再部署消毒商品
一流的 EDR 系统软件不但可以检验、剖析和认证普遍危害,还必须对无文件进攻、零日危害和APT进攻给予合理的追溯。例如,根据剖析网络黑客攻击的時间、途径、专用工具等全部关键点,其svm算法出去,全自动提交并到 "沙盒" 的防护检测地区 "点爆"、"伤情鉴定",随后再开展抵制、消除、修复和提升等。因而,许多人觉得,有着如此强劲的EDR,彻底可以取代反毒软件(AV )。
实际上,这2种技术性在保护你的互联网层面有不一样的主要用途。AV致力于防止,被设计用于在"坏东西"进入你的互联网以前捕获他们,可是它对进攻期内产生的状况一无所知。因此,即使AV手机软件可以精确的把握了恶意程序,也不可以告知它(他)们来自哪里,及其进攻是怎样在操作系统中传递的。 而EDR 叙述的是全部进攻全过程,当一个攻击性行为被AV阻拦,或是对于无文件型的恶意程序、零日系统漏洞、APT高級持续危害防治不成功的情况下, EDR 会给大家给予洞悉工作能力。因而,在EPP和EDR的挑选大关,并没有要做一道"二选一"的判断题,它是"全论文选题"。
端点安全怎样拨云见日:EPP EDR
大家都知道,亚信安全私有云防病毒商品OfficeScan是具备20很多年历史时间的EPP商品,以其完善的私有云管理方法作用、极强的稳定度和出色的防病毒工作能力普遍服务项目中国5万家和以上的公司客户。在这个基础上,亚信安全发布了名叫"高級危害终端设备检验及回应系统软件"(Cyber Threat Deep Investigation,CTDI)的EDR商品,并经过与OfficeScan紧密结合,保证了三个"提高",并建立了端点安全的最好组成—— EPP EDR。
· 提高高級危害检验工作能力
· 提高危害大数据可视化工作能力
· 提高远程控制抵制及恢复工作能力
在刚以往的2019年,亚信安全EPP EDR的搭配在领域客户和重保工作上主要表现引人注意,为众多客户需求带来了提高的端点安全安全防护工作能力。将来,在全新升级界定的端点安全解决方法中,亚信安全以数据分析进入EDR,根据运用机器学习算法与行为分析给予精准、全方位、即时的安全防护与回应,可以合理发觉不明危害并降低乱报。与此同时,充分发挥不断检验和积极捕猎的作用特点,及其智能化连动的运行机制,帮助客户取代或融合而比较落伍的安全防护管理体系,完成更简易、更智能化、更合理、更积极的危害防御力管理体系。