端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
一些调查结果:EDR解决方案必须能够检测的无文件恶意活动;EDR要具有可扩展的数据管理,数据挖掘分析能力和检测技术,要做到对不断变化的攻击者技术的深入了解。
注:攻击指示器,IOC是一种入侵后可以取证的指标,以xml文档类型描述捕获多种威胁的事件响应信息,包括病毒文件的属性,注册表改变的特征,虚拟内存等。
相比于传统端点安全防护采用预设安全策略的静态防御技术,EDR加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示:(1)资产发现:定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产,包括全网所有的端点资产和在用的软件名称、版本,确保整个网络中没有安全盲点。
(2)系统加固:定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单,通过软件白名单限制未经授权的软件运行,通过主机防火墙限制未经授权的服务端口开放,并定期检查和清理内部人员的账号和授权信息。
(3)威胁检测:通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、攻击指示器等方式,针对各类安全威胁,在其发生前、发生中、发生后进行相应的安全检测动作。
(4)响应取证:针对全网的安全威胁进行可视化展示,能够针对安全威胁自动化地进行隔离、修复和补救,自动完成安全威胁的调查、分析和取证工作,降低事件响应和取证分析的技术门槛,不需要依赖于外部专家即可完成快速响应和取证分析。
可以说必备功能:
(1)调查安全事件;
(2)将端点修复为预感染状态;
(3)检测安全事件;
(4)包含终端事件;
(1)预测:risk assessment(风险评估);anticipate threats(预测威胁);baseline security posture(基线安全态势)。
(2)防护:harden systems(强化系统);isolate system(隔离系统);prevent attacks(防止攻击)。
(3)检测:detect incidents(检测事件);confirm and prioritize risk(确认风险并确定优先顺序)。contain incidents(包含事件)。
(4)响应:remediate(补救);design policy change(设计规则变更);investigate incidents(调查事件)。
(1)一旦安装了 EDR 技术,它就会使用先进的算法来分析系统上单个用户的行为,允许它记住和连接他们的活动。 (检测)
(2)感知到你系统中某个特定用户的异常行为。 数据会立即被过滤、丰富和监控,以防出现恶意行为的迹象。 这些迹象触发了警报,调查就开始了ーー确定攻击是真是假。(调查)
(3)如果检测到恶意活动,算法将跟踪攻击路径并将其构建回入口点。 (关联跟踪)
(4)然后,该技术将所有数据点合并到称为恶意操作(MalOps)的窄类别中,使分析人员更容易查看。 (可视化)
(5)在发生真正的攻击事件时,客户会得到通知,并得到可采取行动的响应步骤和建议,以便进行进一步调查和高级取证。 如果是误报,则警报关闭,只增加调查记录,不会通知客户。(处理)
EDR的核心在于:一方面,利用已有的黑名单和基于病毒特征的端点静态防御技术来阻止已知威胁。另一方面,通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的各类安全威胁。同时,基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应,并进行自动化阻止、取证、补救和溯源,从而有效地对端点进行安全防护。
EDR包括:端点、端点检测与响应中心、可视化展现三个部分,体系框架如图所示:
(1)端点:在EDR中,端点只具备信息上报、安全加固、行为监控、活动文件监控、快速响应和安全取证等基本功能,负责向端点检测与响应中心上报端点的运行信息,同时执行下发的安全策略和响应、取证指令等。
(2)端点检测与响应中心:由资产发现、安全加固、威胁检测、响应取证等中心组成。
A、资产发现中心:侧重于主动发现全网端点软硬件资源,掌握全网所有端点和软件使用情况,确保安全无盲区。
B、安全加固中心:依托于第三方机构提供的安全加固资源和威胁情报,为全网端点提供漏洞扫描和加固服务。
C、威胁检测中心:收集全网端点的用户登录、软件安装卸载、软件加载退出、网络访问、端点网络流量、硬盘文件操作、数据输入输出、外设使用等各类运行信息。然后由机器学习引擎自动生成用户正常行为知识库,引入和训练生成恶意行为特征库;而异常行为检测引擎基于正常行为知识库和恶意行为特征库主动发现来自外部或内部的各类安全威胁;沙箱分析引擎负责对端点提交的未知威胁文件进行自动化安全性析;大数据分析引擎负责对全网端点的运行数据进行关联分析,确定被攻击对象、攻击步骤、攻击范围和破坏程度。
D、响应取证中心:依赖于应急响应知识库对安全威胁进行自动化隔离、修复和补救,具体措施包括端点与网络隔离、硬盘陕照还原、恶意代码清理、补丁修复和软件升级等,自动完成安全威胁的调查、分析和取证工作,辅助用户确定安全威胁的来源、危害等级、危害对象、危害范围和影响。
(3)可视化:展现针对各类端点安全威胁提供实时的可视性、可控性,降低发现和处置安全威胁的复杂度,辅助用户更加快速、智能地应对安全威胁。
EDR 保护用户免受无文件型的恶意软件,恶意脚本,或被窃取的用户凭证的攻击。 它被设计用来跟踪攻击者使用的技术、策略和过程。 但是它还有更深的含义。 它不仅可以了解攻击者如何侵入你的网络,还可以检测他们的活动路径: 他们如何了解你的网络,如何转移到其他机器上,并试图在攻击中实现他们的目标。 你可以避免以下情况:
(1)恶意软件(犯罪软件、勒索软件等)
(2) 无文件型攻击
(3)滥用合法应用程序
(4)可疑的用户活动和行为
(1)EDR 是独一无二的,因为它的算法不仅可以检测和打击威胁,还可以简化警报和攻击数据的管理。 使用行为分析来实时分析用户活动,可以在不干扰端点的情况下立即检测潜在威胁。 它通过将攻击数据合并到可以分析的事件中,与防病毒和其他工具一起使用可以为你提供一个安全的网络,从而增强了取证分析的能力。
(2)端点检测和响应通过安装在端点上的传感器运行而不需要重新启动。 所有这些数据被拼接在一起,形成了一个完整的端点活动图,无论设备位于何处。
在检测、路径分析和横向移动阶段不需要人为因素。 对收集到的数据集进行分析和解释仍然很重要,但在检测到的事件的最初几秒钟内并不重要。 这样就可以加强对网络的保护,并允许安全分析师调查合法的威胁,而不是通过误报进行过滤。 由于使用 EDR 和 MalOps 对数据进行了整合,因此理解、诊断和补救问题更加容易和直观。 这使得分析师能够调查并提供合法威胁的解决方案。
支撑沙箱隔离的技术是重定向技术:重定向技术就是在可疑代码样本的地址空间中拦截相关操作,并将可能导致的更改重定位到虚拟资源(虚拟文件系统、虚拟硬件系统、虚拟注册表系统、句柄虚拟化)之上。通过重定向技术,恶意代码的任何修改都不会破坏到真实的用户系统。智能沙箱的检测包括了静态分析、动态分析以及相应智能数据解析几个过程,最终形成输出报告,判定可疑代码的安全属性。智能沙箱工作原理,如图:
EDR中的机器学习:在EDR中,机器学习主要应用于端点用户和软件的正常行为和异常行为的提取,通过捕获大量的端点静态和动态的用户和软件行为特征向量,采用机器学习的思想进行端点用户和软件行为的训练建模和分类检测,得出该使用场景下用户和软件的正常和异常行为知识库,而利用知识库可以更加高效地检测出端点的异常行为。机器学习工作原理,如图所示:
-
- 大数据关联分析
- 攻击场景重构技术
- 数字取证技术
它具备的优势可以归结为以下几点:
(1)EDR具有精准识别攻击的先天优势。端点是攻防对抗的主战场,通过EDR在端点上实施防御能够更加全面地搜集安全数据,精准地识别安全威胁,准确判定安全攻击是否成功,准确还原安全事件发生过程。
(2)EDR完整覆盖端点安全防御全生命周期。对于各类安全威胁事件,EDR在其发生前、发生中、发生后均能够进行相应的安全检测和响应动作。安全事件发生前,实时主动采集端 安全数据和针对性地进行安全加固;安全事件发生时,通过异常行为检测、智能沙箱分析等各类安全引擎,主动发现和阻止安全威胁;安全事件发生后,通过端点数据追踪溯源。
(3)EDR能够兼容各类网络架构。EDR能够广泛适应传统计算机网络、云计算、边缘计算等各类网络架构,能够适用于各种类型的端点,且不受网络和数据加密的影响。
(4)EDR辅助管理员智能化应对安全威胁。EDR对安全威胁的发现、隔离、修复、补救、调查、分析和取证等一系列工作均可自动化完成,大大降低了发现和处置安全威胁的复杂度,能够辅助用户更加快速、智能地应对安全威胁。
EDR的局限性在于并不能完全取代现有的端点安全防御技术。EDR与防病毒、主机防火墙、主机入侵检测、补丁加固、外设管控、软件白名单等传统端点安全防御技术属于互补关系,并不是取代关系。
熟悉Linux环境,python或shell,Java;
熟悉hadoop,spark等大数据组件;
熟悉数据挖掘与分析(比如进行风险等级划分),数据统计技术(比如一些置信度的计算),机器学习技术(分类检测等),深度学习技术,大数据分析技术(主要是关联分析),漏斗分析法等。
熟悉mysql或nosql数据库,集中存储的数据库,分布式存储的数据库。
安恒将其终端安全的理念总结化为三个部分:
(1) “智能” 贯穿全生命周期:从攻击捕获阶段的 “自动抓取信息流”,到攻击判定阶段的 “联合多行为判断”,攻击阻止阶段将自动联合各类日志分析判断后,高威胁自动阻断查杀、中低威胁告警。平台通过策略自适应调整等级和对应的安全规则,最终的攻击预测阶段根据攻击趋势和情报预测未来可能的风险,进一步预警和提示。
(2) “EDR+”:EDR 联合流量 APT 检测进行端口封堵,在识别到恶意文件后,联合 EDR 进行病毒清理;EDR 联合防火墙进行终端安全管理;EDR 协同多维度大数据平台进行高级威胁分析,大数据平台可以直接向 EDR 管理中心下发处置策略。
(3) “极简” 体验:安全配置展现为 “人类语言”,降低安全运营的学习成本,使用更加便利、高效,同时也降低了使用成本。
青藤云安全则从主机安全演进的角度分享了其在终端安全解决方案的价值。分别从主机攻击方式、攻击链的演变、安全响应自动化、架构适配能力、主机安全的进化共五个角度详细讲述了主机安全的进化。
网思科平分析了终端侦测与响应的解决方案,通过高级检测与响应,增强针对威胁的侦测能力,威胁模型自动处置事件,进一步隔离与取证。
天蝎终端侦测与响应系统 (EDR) 主要面向政府、企业、金融、军队、医疗、教育、制造业和其他重要基础设施网络等。根据分级保护的相关要求,防病毒产品须有公安部销售许可证才能进入涉密信息系统,天蝎EDR已获取公安部销售许可证。
基于这 5 个层级,深信服的终端检测响应平台主要展现出三大核心优势:
(1) 应用创新微隔离技术的防护体系:虚拟化底层平台解耦合,构建动态安全边界,精细化微隔离与降低威胁影响面,端点安全的立体可视和发现;
(2) 基于AI的多维度 智能威胁检测机制:轻量级人工智能检测引擎 SAVE、多维度漏斗型检测框架、勒索诱捕方案;
(3) 网 “端” 云协同联动与高效威胁处置:自动化网端安全运维,全网终端围剿式查杀、网端纵深双重防御。
通软新一代统一端点安全方案的核心思路:
(1) 建立统一端点安全管理平台,覆盖各类端点类型,统一管理各类端点安全风险;
(2) 实名制管理为基础,把网络安全当作使用者的安全问题来管理,而不仅仅是计算机网络的安全问题;
(3) 管理效果导向,建立清晰的管理目标,实现目标导向的管理过程。
