在当前这个APT(高级持续性威胁)逐渐增多的时代,传统的安全防护手段越发力不从心,单纯的“预防”已不能应对如今的安全形势。
·在面对实际威胁时,如何辨别攻击者的真实意图并采取相应的对策?
·采用EDR技术的产品架构如何设计?
·与传统安全产品相比,新一代的安全解决方案有何优势?
·在实践中,MDR是如何为企业提供有效帮助?
在今天(7月25日)Freebuf举行的【聚焦终端响应 智慧安全运营 2018 SOC & EDR应用建设高峰论坛】上,安全狗创始人陈奋给出了明晰的解答。
小编会将演讲里的重要内容采编出来,选出最有价值的部分以飨读者!
本次论坛还邀请了其他多位在SOC建设与运营以及在端点安全、EDR产品研发、落地应用等方面有着丰富实践经验的企业安全负责人和知名厂商代表,带来了精彩分享与解读。
与会嘉宾与主办方合影
安全狗展位
安全狗CEO陈奋正在演讲
01、新的安全威胁与EDR技术
近几年来,新型安全威胁层出不穷:大量0day漏洞泄露,其中部分漏洞被武器化,波及大多数系统;针对特定对象的APT攻击日渐增多,防御更加困难;数字货币的兴起刺激了网络黑产的扩张,勒索和挖矿的恶意软件影响日趋扩大;黑客攻击流量加密、网络层和边界的防护失效等问题更是不一而足。
另一方面,技术的迭代发展对于安全防护也提出了更高的要求:虚拟化云计算技术的大量应用,衍生出安全运营的需求升级;所有权和控制权的变化,形成管理机制的变化,引出安全责任共担机制,运维流程的变化,安全运营由外到内,防御和检测面临着深刻的变革。
在这种新的安全形势下,采取主动防御的方式保护端点安全越来越有必要。我们需要一种新的防护方案,这种方案应该兼备实时监控、检测、高级威胁分析及响应等多种功能。因此,业界提出了一种新型的安全解决方案——EDR,即端点检测与响应。
EDR解决方案应具备四大基本功能:安全事件检测、安全事件调查、遏制安全事件,以及将端点修复至感染前的状态。EDR工具通过记录大量终端与网络事件,并将这些数据存储在终端本地或者集云端数据库中,对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别威胁,并快速进行响应。
02、安全狗的解决方案
安全狗的(云)主机安全安全解决方案吸收了EDR技术的核心优势,并结合安全狗自身的威胁情报优势和其他云安全技术的积累,为用户打造了全新的(云)主机安全解决方案。
我们在事前、事中、事后三个阶段,从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题,通过主机EDR能力的增强,反哺SIEM或SOC平台,最终达到全网自动响应 已知威胁的能力 以及对 未知定向攻击的检测告警能力。
为了更贴合云环境下的安全需求,我们同时采用了CWPP(Cloud Workload Protection Platforms,云工作负载安全平台方案)设计,采用轻量级Agent,与全部功能的重量级Agent相比,轻量级Agent实现了功能的最小集合,大大减轻Agent对于主机性能的影响。并且轻量级agent简单,能够动态地升级和更新,实现的代码少,容易传输。
03、MDR威胁检测与响应服务
MDR服务是Gartner在2016年正式提出来的,定位于对高级威胁的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同,MDR还试图帮助客户监测内部网络中的流量,尤其是识别高级威胁攻击的横向移动环节的蛛丝马迹,以求更好地发现针对客户内部网络的高级威胁。
对于安全狗,我们这样提供MDR服务
SAAS服务:用SAAS方式为企业解决数据中心安全问题,提供(云)服务器、应用、业务在内的一站式云安全防护服务。累计保护服务器超过 400万台。
现场服务:常驻客户现场,定期对安全设备、服务器进行安全巡检,实时跟进安全风险事件,协助处理安全突发事件,事件结束后出具安全报告和安全整改建议。
随着网络袭击事件数量的不断攀升,传统安全防御手段已难以招架规模庞大、攻势越猛的新式攻击。利用包括EDR在内的新型的安全技术和思路,可以让我们在应对新型的网络安全威胁时更加游刃有余,攻防不止,市场和行业会给出全新的解答,让我们拭目以待!
