你发现没,现在各种所谓的EDR产品,已经“烂大街”了。

EDR到底是啥?从字面理解就是端点检测与响应(Endpoint Detection and Response)。

虽然字面好理解,而且“烂大街”,但竟然还有很多人,甚至是圈内人,对EDR存在巨大误解!

01、这些年,我们对EDR的巨大误解~

以下这些场景,你可能似曾相识↓

▌场景一:

去见大甲方时,甲方领导抱怨说:我们现在的杀毒软件不大好用,装了还中毒,听说EDR更好用,给我们升级成EDR吧。

的确,在不少甲方客户眼里,EDR就是增强版的大号杀毒软件,查杀病毒更NB,分分钟让你给他升级。

▌场景二:

在技术峰会上,某安全大咖布道,畅谈终端安全发展史:终端安全经历了三个发展阶段,杀软、终端安全管理EPP、EDR,现在是EDR的时代。

乍一听,没毛病啊,从出现的时间顺序上,这几项技术确实存在这样的先后关系。

▌场景三:

技术交流会上,某安全公司售前这样向客户介绍自家产品:我司EDR客户端内置了下一代引擎,可以实时监测终端已知和未知威胁,并能和云端联动。

下一代引擎,基于AI的文件监测…,Wow,真是不明觉厉呀!赶紧备好预算来一套吧。

……

怎么样,是不是都是熟悉的味道,甚至颇有几分道理?

不不不,其实这些都是对EDR巨大的误解!再这么用,会被笑掉大牙的。

02、EDR绝不是大号杀毒,人家是干大事的!

我们必须要认清以下事实↓↓↓

EDR不是大号杀毒软件,并不能替代杀毒软件。

EDR并不会在客户端上内置一个病毒库,无法查杀恶意文件。

但是,如果有恶意文件绕过了杀毒软件的监管,在系统里干了“不可描述”的坏事,却能够被EDR发现。

EDR也不是桌管平台,并不能对电脑上的外设、端口、软件的违规使用进行管控。

但EDR却能发现终端因为各种违规操作而带来的威胁,并及时提醒管理者进行纠正和防范。

比如因为某个USB口滥用或者非法外联,产生了威胁和入侵,会被EDR即时发现并定位。

这么一听,你感觉EDR好像没有杀软厉害,没有桌管能,这个也不行,那个也不行,很鸡肋啊…

嘿嘿,这么想你就大错特错了。

因为EDR天生是干大事的!它对付的都是高级威胁,这些威胁,杀毒软件们从机制上就搞不定。

我们来看个实战的例子↓

现在有一种很流行的攻击,叫做:无文件攻击。

这种攻击,并不是真没有任何文件,而是包含恶意指令的文件不落盘,直接远程下载,在内存中执行。

很多杀软都不能总是一直扫内存啊,也太消耗资源了。

除此之外,恶意文件还可以盗用合法文件的签名,成功绕过杀软,或者把自己加密存储,干坏事的时候再在内存中解密。

而且,有些恶意攻击还会反向侦查杀毒软件,当发现系统存在杀毒软件的时候,就伪造一个逼真的弹出窗口,骗你说“杀软有问题”,让你退出杀毒软件。

总之,这类“无文件”的骚操作,是当下非常流行的攻击手段,而且黑客组织已经将这类工具量产化,广泛传播,应用于各种攻击场景。

这就导致了黑客工具很高级,但是使用工具的人却不需要很高级。随便组装投递一下,就能给目标造成很大的杀伤力。

在这种安全新态势下,谁能横刀立马、力挽狂澜?

唯有EDR!

我们来剖析下EDR的工作原理↓

检测机制上,EDR是从端到云。

传统终端安全软件的机制,是客户端重载,威胁检测几乎全部在终端侧完成,终端用户的工作经常被打扰,而且系统资源开销很大(尤其杀软、桌管等多套客户端并行状况下)

而EDR客户端只负责事件收集,然后将可以事件实时同步到服务器端/云端,通过服务端进行大数据检测、分析、情报匹配,以及专家介入研判处置。

EDR对终端用户几乎无打扰,充分利用云端强大的计算资源和检测引擎,迅速发现可疑行为。

传统终端病毒和威胁检测的思路,就像蹲守在羊圈门口的守卫,时刻检查所有过往行人,草木皆兵,看见可疑的立即抓走。

不仅消耗体力,还容易搞出“狼来了”式的误报,更可怕的是被针对性的“绕过”(例如前面所说的无文件攻击)。

EDR则是“以退为进”,不关心行人的仪表特征,就看他们干不干坏事。

如果有人干了破坏羊圈的事,它就会把这种行为定性为威胁事件,迅速告警和响应,找人修复羊圈,并溯源活捉坏人。

羊圈被破坏不要紧,羊没丢就是完成了核心KPI,还顺手捉到了高级狼。

所以,EDR与杀软、桌管们的职责分工完全不一样。

初级的老破小病毒、桌面违规操作管理等等,交给杀软、桌管来处理。

EDR负责对付各类高级的、潜伏性强的、未来危害性大的、甚至被武器化的威胁。而且,在当下各种攻防演练中,EDR是最优秀的实战工具。

03、牛掰EDR,到底需要哪些超能力?

那凭什么EDR就能干这些高级活呢?

一个EDR能力强不强,关键要看4点。

▌1、事件采集:

终端事件采集是后续检测、分析能力的重要基础,没有足够的采集量,还分析个毛?

真正的EDR客户端,都是极简客户端,或者说只是一个探针。

既要足够轻,对终端资源极低占用,对终端用户零打扰,又要有极为优秀的行为采集能力,保证在恶意程序干坏事的时候,可以明察秋毫。

不止要采集基础行为事件,还要采集更细的行为粒度。

不止是采集的行为数量有门槛,采集方法也很有讲究。

常规的基于API Hook、ETW等技术来采集,很不稳定,有时候还会遗漏或丢失。

而且很多高级的攻击手法,都会绕过这些技术,让你毛都采不到。

然后,即便你用了高级的采集方法,采到了详细的事件,更现实的一个问题出来了:要把这些事件送到服务端,进行情报匹配、AI研判、大数据分析。

这就需要过滤无效事件、最大化传输有效事件、最小化网络带宽消耗。如何压缩、去重、组合,太考验功力了。

▌2、威胁检测

好了,前面搞定事件收集和传输,接下来的挑战就是,如何精准、高效地检测威胁。

海量的行为事件收集上来,服务端需要极强的处理能力,结合大数据技术、AI分析、威胁情报碰撞,快速检测。

因为EDR是在威胁发生后再反击,所以检测速度必须快准狠,否则等坏人把坏事都干完了,那就真成“事后诸葛亮”了。

但是吧,国内的软件环境,你懂的。很多广告软件、破解软件、捆绑软件甚至很多普通正常软件,它们的某些行为特征(比如乱写注册表、乱加启动项等等),跟恶意软件很相似啊。

如果仅凭一两个行为,很容易就造成误报,搞得“大水冲了龙王庙”。

这就要求EDR服务端在做威胁检测分析的时候,不能只看单个动作,要联系上下文,关注连续动作。

这样,才能降低误报,精准检测,既不会错杀,也不会错放。

▌3、溯源分析

快速精准检测出威胁事件还不够,还要完成威胁溯源。

溯源意义在于找到真正的元凶,从源头把入侵的黑手斩断。

但是,溯源的难度在于:进程的源头,是正常的系统服务;执行的源头,是合法的系统进程;事件的源头,是跨终端的RPC调用。

没点道行的话,看到第一步合法的白进程,线索就断了。

必须要层层抽丝剥茧,找到真正的进程源头,并进行跨机器的事件关联和进程关联,才能溯源抓到幕后黑手。

▌4、事件响应

最后一步,需要对威胁事件做出响应:该修修、该补补、该抓抓、该shasha。

这个响应,不是简单的隔离机器或者进程,还需要配套持久化、序列化、智能化的清理动作,除恶务尽。

对于常见、多发的威胁,需要自动化的清理处置能力。对于复杂威胁,还要进一步调查取证。

好了,这四个关键环节搞完,我们还要探讨一个额外的加分项:那就是EDR的部署形态。

在很多老铁的惯性思维里,安全产品应该本地化部署,其实对于EDR产品来说,云化SaaS模式部署更靠谱。

目前,顶级的甲方安全团队都在用SaaS化的EDR,而业界标杆CrowdStrike的EDR产品,也是SaaS化交付。

为什么SaaS化更好?我们简单做个比较↓

❶云端提供更强大的计算能力,这意味着更强的检测能力;❷在云端可以与威胁情报云更好地协同,从而更快覆盖新威胁;❸对客户来讲,不需要任何硬件,部署更简单,成本更低;❹云原生的弹性机制,可以按需购买,更灵活;❺云租户隔离和加密机制,让数据更安全。

除此之外,还有非常重要的一点,与本地机房自组“草台班子”运维相比,云上SaaS由专业的安全厂商运营,提供更强的安全保障。

说句不中听的话:2023年代了,你竟然还觉得本地比云更安全?

04、市面上最能打的EDR,到底是哪家?

讲到这里,你大概能get到真正靠谱的EDR是啥样的了吧。

那么,符合这些关键能力特征、部署模式优势的EDR产品,哪家强?

有请「真神」出场,这就是微步在线OneSEC EDR!

EDR多到“烂大街”,为什么我却唯独看好微步在线的OneSEC呢?

简单给大家捋捋↓

一、看终端事件采集能力

微步OneSEC EDR以极小的轻量化agent,提供完整的、细粒度终端事件采集能力。

而且,还要跟终端上其他软件兼容,因为实战中,终端都已经装上了五花八门的杀软、桌管、EPP…

同时,通过先进的事件重组和网络传输压缩技术,微步OneSEC大幅降低网络传输量,单一日志压缩比可达5:1。

来一组实测数据↓

微步在线这两项采集与传输的独门绝技,在保证终端完全无感、网络极低负荷的情况下,云端可以获得足够详尽的事件信息,用于后续威胁检测。

二、看威胁检测能力

在服务端,微步OneSEC提供了极其全面的威胁检测技术,基于各种最新的、花样繁多的入侵指标(IoC)、攻击指标(IoA)和黑样本,调用云端算力,进行大数据分析和筛查。

这其中,威胁情报是微步在线的看家能力之一,百万级别、秒级更新,准确率高达99.9%,让各种高级威胁难以遁形。

然后再综合其他各类威胁指标,利用微步自研的「图关联检测」技术,可以更加快速、准确地检测威胁。

三、看溯源和响应能力

微步OneSEC具备追溯到执行源头的串联能力,只要干了坏事,就算“狡兔三窟”也能被挖出来。

纵使前面万般努力,最后还需“一哆嗦”,这“一哆嗦”就是响应。

OneSEC EDR提供序列化、智能化、自动化的响应能力,除恶务尽,还终端清净。

当然,还有一点特别特别重要,EDR的检测、溯源和响应,是不可能完全实现自动化的。

必须要有人在云端帮你人工研判、处置特殊的事件和威胁。(如果只卖软件、不卖专家服务的EDR,千万不要相信他

因此,微步在线配备了强大的专属团队和支撑团队,机器+人肉,确保“算无遗策”。

最后,在交付模式上,微步在线OneSEC提供SaaS模式内网本地模式外网本地模式三种方式。

其中,SaaS模式深受客户喜爱。对安全大甲方来讲,这种代表未来趋势的架构,部署更快、成本更低、效果更好、服务更强、风险更可控。

微步在线OneSEC EDR自上线以来,由于实战能力突出、威胁检出率高、部署方便快捷,迅速在各大头部客户流行起来(证券、银行、央企、高科技行业…)

消灭绕过杀毒软件的新型攻击,挖出潜伏已久的高级威胁,活捉攻防演练中摸盘踩点的红队老铁…

这个OneSEC EDR,实在太能打!

举报/反馈

特大牛

1193获赞 595粉丝
IT B2B资源对接平台!
关注
0
0
收藏
分享