无文件病毒、无文件挖矿、无文件勒索……近年来,一种被称为无文件攻击的渗透形式与日俱增,它的流行给用户的网络安全带来了巨大威胁。面对这种"披着合法外衣"悄悄进行地攻击,许多端点防护平台(Endpoint Protection Platform,EPP)纷纷失效,这让更多信息安全管理者决定,在端点保护中融合检测和响应解决方案(EDR)。这会成为新的端点防护趋势吗?
端点防护战,EDR已占C位
网络攻击,由来已久,且总是带着一些铜臭的味道。当然,每个无底线的攻击者却有着一条铁定的契约,这就是《最小成本法则》。首先,网络攻击者无时无刻不在找寻渗透企业IT环境的途径,其中一个最容易的通道,就是利用终端上的漏洞,这是最具吸引力、成本最小、最柔软脆弱的目标。同时,网络罪犯会寻找阻力最小的途径实施攻击,而无文件攻击可以轻易绕过基于黑白名单和感染指标(IoC)的防病毒(AV)系统,这也正是越来越多的网络罪犯效仿它的原因所在。
作为反击,EDR (Endpoint Detection & Response )正式出场。顾名思义,EDR技术聚焦的是高级威胁的检测与响应,它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。从本质上来看,EDR技术通过对操作系统行为高清记录和长期存储,根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,通过绘制进程事件树实现攻击可视化,对威胁的疑似主机进行远程遏制和修复。
图一:Gartner EPP魔力象限入围产品功能需求之演进
EDR在2016~2019年连续进入 Gartner 的 10 大技术之列,并且预判认为EPP与EDR技术融合会将成为总体趋势,这带动了EPP技术的重大转变。其中,从2018年开始,Gartner规定了15项基本功能必须满足其中的12项才可以入围,很大的一个变化是把过去众多本属于期望功能的EDR放入了必须满足的基本功能中。
被"放大化"的EDR,拨开外皮看"硬核"
Gartner对于EDR治理高级威胁给出了四项基本定义:检测、遏制、调查和修复能力,这为各大网安企业的EDR产品提供了参考。
图二:Gartner定义的EDR四个基本功能
EDR需要具备针对操作系统行为的"内核态"、"用户态"高清记录能力,且行为日志需要储存3 个月以上。其次,EDR还需要实现攻击的可视化,并对无文件攻击和零日漏洞攻击提供IOA/IOC 检测高级威胁,以及提供威胁狩猎(Threat Hunting )服务。然而,国内的许多用户,在无法理解EDR本质用途的情况下,往往会被放大的EPP能力宣传所误导,或是采购被"减配"的EDR方案。
· 【误读1】:能够检测到勒索病毒,这就是EDR
2017年5月12日起,WannaCry/Wcry勒索软件在全球爆发,亚信安全利用"终端防毒+机器学习"等新兴技术,成功协助用户抵御此次攻击。但在当时乃至今天,亚信安全仍将"机器学习"以及检测到勒索病毒列属于传统EPP的技术范畴。
图三:EPP与EDR融合
从EPP技术的发展来看,检测到勒索病毒只是EPP的标准功能,但单独使用EPP"看清无文件攻击"这种高级威胁是非常有难度的,其关键就在于检测异常行为。这需要对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,这其中可以采用威胁隔离、病毒码更新、终端隔离和机器学习技术,但随后的响应补救、IOA威胁狩猎、根本原因分析、回溯查询、影响范围评估等已经超出了传统EPP的防护能力。因此,单独部署EDR或是EPP都是不够的,需要两者的融合与联动。
· 【误读2】:EDR功能强大,无需再部署杀毒产品
一流的 EDR 系统不仅可以检测、分析和验证常见威胁,还需要对无文件攻击、零日威胁和APT攻击提供有效的溯源。比如,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,自动上传并到 "沙箱" 的隔离测试区域 "引爆"、"验伤",然后再进行遏制、清除、恢复和优化等。因此,很多人认为,拥有如此强大的EDR,完全可以替代反毒软件(AV )。
事实上,这两种技术在保护你的网络方面有着不同的用途。AV专注于预防,被设计用来在"坏东西"进入你的网络之前捕捉它们,但是它对攻击期间发生的情况一无所知。所以,即使AV软件可以准确的抓住了恶意代码,也不能告诉它(他)们来自哪里,以及攻击是如何在系统中传播的。 而EDR 描述的是整个攻击过程,当一个攻击行为被AV阻止,或者针对无文件型的恶意软件、零日漏洞、APT高级持续性威胁防控失败的时候, EDR 会为你提供洞察能力。因此,在EPP和EDR的选择关口,并不是要做一道"二选一"的判断题,它是"全选题"。
端点安全如何拨云见日:EPP+EDR
众所周知,亚信安全企业级防病毒产品OfficeScan是具有20多年历史的EPP产品,以其成熟的企业级管理功能、超强的稳定性和出众的防病毒能力广泛服务国内5万家以上的企业用户。在此基础上,亚信安全推出了名为"高级威胁终端检测及响应系统"(Cyber Threat Deep Investigation,CTDI)的EDR产品,并通过与OfficeScan深度融合,做到了三个"增强",并形成了端点安全的最佳组合—— EPP+EDR。
· 增强高级威胁检测能力
· 增强威胁可视化分析能力
· 增强远程遏制及修复能力
在刚刚过去的2019年,亚信安全EPP+EDR的组合在行业用户和重保工作中表现抢眼,为广大企业客户提供了增强的端点安全防护能力。未来,在全新定义的端点安全解决方案中,亚信安全以大数据分析切入EDR,通过应用机器学习算法与行为分析提供精确、全面、实时的防护与响应,能够有效发现未知威胁并减少误报。同时,发挥持续检测和主动狩猎的功能特性,以及智能联动的运行机制,协助用户替代或整合而较为落后的防护体系,实现更简单、更智能、更有效、更主动的威胁防御体系。