現如今,數字轉型企業易成為網絡犯罪分子的重要目標,僅瞭解和阻止各種日益嚴峻的威脅是顯然不夠的,若想要在早期階段成功地抵禦複雜威脅,需要對其根本原因進行分析。EDR 的自動阻止風險和事件響應為組織網絡上的端點提供了全面可見性,便於瞭解和確定優先級,調查並消除高級威脅。以達到組織在無需增加額外投入的情況下,提高事件處理的速度和效率。企業在尋求更多智能和自動化的安全防禦時應考慮端點檢測和響應解決方案,以阻止新的威脅和保護端點資產。
本週四,安全牛系列會議 CS·2019 就 EDR & 統一端點安全解決方案方面邀請了安恆信息、青藤雲安全、網思科平、深信服、通軟五家企業進行了分享。
終端安全是個涉及大量安全措施的寬泛術語,但一般是指網絡安全措施。終端安全措施是在通過遠程、無線或移動設備訪問業務網絡時對其實施保護的措施。僅去年網絡漏洞數量已將近 1 億,網絡安全問題至關重要,不可小覷。
安恆在此次的 CS·2019 大會上分享了終端安全趨勢和他們的理念和實踐經驗。終端安全的趨勢是,泛終端是未來時代的主流,所有的節點都將是終端,這也正是統一終端的概念。而對於從單一安全防禦到更注重威脅發現和自動化處置能力,對自動化威脅檢測、響應、處理、運維能力要求越來越高,跨越多級安全層,關聯分析各層安全設備的威脅數據,是解決新一代終端安全的關鍵。
安恆將其終端安全的理念總結化為三個部分:
(1) “智能” 貫穿全生命週期:從攻擊捕獲階段的 “自動抓取信息流”,到攻擊判定階段的 “聯合多行為判斷”,攻擊阻止階段將自動聯合各類日誌分析判斷後,高威脅自動阻斷查殺、中低威脅告警。平臺通過策略自適應調整等級和對應的安全規則,最終的攻擊預測階段根據攻擊趨勢和情報預測未來可能的風險,進一步預警和提示。
(2) “EDR+”:EDR 聯合流量 APT 檢測進行端口封堵,在識別到惡意文件後,聯合 EDR 進行病毒清理;EDR 聯合防火牆進行終端安全管理;EDR 協同多維度大數據平臺進行高級威脅分析,大數據平臺可以直接向 EDR 管理中心下發處置策略。
(3) “極簡” 體驗:安全配置展現為 “人類語言”,降低安全運營的學習成本,使用更加便利、高效,同時也降低了使用成本。
在本次大會上,安恆還分享了實踐帶來的改變,依託於多年實戰經驗,將經驗應用於檢測威脅入侵的實戰之中,不斷迭代提升對未知風險的檢測能力和效能。
青藤雲安全則從主機安全演進的角度分享了其在終端安全解決方案的價值。分別從主機攻擊方式、攻擊鏈的演變、安全響應自動化、架構適配能力、主機安全的進化共五個角度詳細講述了主機安全的進化。
目前,我們無法否認的事實是攻擊者的終極目標在終端上仍持續存在,比如,Oracle WebLogic 反序列化遠程命令執行漏洞,攻擊者可利用該漏洞在未授權的情況下遠程執行命令。還有類似終端上無文件攻擊也給企業的安全防護帶來了巨大的挑戰。
針對網絡殺傷鏈,ATT&CK 模型的建立和防禦體系提升了防護效果。目前行業內針對主機安全大多使用的方案是:從內部細粒度分析,對主機工作負載上的資產,狀態,關鍵活動等進行感知生成安全指標,通過對指標的持續分析、監控,發現安全威脅,緊密貼合業務並感知動態業務變化。
由此,安全響應能力在事件發生時對整體處置效果十分關鍵。安全響應自動化,主要分為六步:查詢、排序、可視化、獲取、分析、工作流。比較常用到的是安全編排、自動化及響應 (SOAR) 平臺,主要包括功能:告警受理:對告警進行分類和優先級劃分;定性分析:判斷威脅的真實性,確認攻擊者意圖;定量分析:回溯攻擊場景,評估威脅的影響;快速響應:根據響應腳本,執行響應策略。
一直備受矚目的雲計算給企業IT架構帶來巨大改變,企業利用 Docker 容器快速構建和維護新服務、新應用的同時,容器本身的安全也需要不斷的迭代、升級,保障其安全性也是企業現階段面臨的一項持續性挑戰。確保容器安全,首先可以通過管理一組可信任的、經過審查的鏡像,定製鏡像以滿足特定的需求。確保鏡像經常被掃描以發現漏洞,並在新版本發佈時重新構建,將包含專有內容的所有鏡像存儲在安全的私有倉庫之中。進一步對報警進行微隔離,隔離存在安全風險的容器。
其實主機安全的進化過程中最難的解決的是適配環節,下圖是主機安全成熟度曲線,整個模塊的所有內容都可以精確的定位和分析。
青藤雲安全認為,安全進化不會終止,因此,主機安全技術會向檢測響應、隔離控制、行為檢測等方向發展。青藤萬相·主機自適應安全平臺,能夠提供穩固的核心能力支撐,在實現智能協同,保護下一代主機安全。
網思科平分析了終端偵測與響應的解決方案,通過高級檢測與響應,增強針對威脅的偵測能力,威脅模型自動處置事件,進一步隔離與取證。
現今,黑客攻擊的複雜程度與日俱增,且檢測防禦難度高,無文件攻擊讓傳統殺毒軟件無毒可殺。據統計,無文件代碼攻擊已高達 60%,遠超過傳統惡意代碼攻擊。因此,EDR 的提出很大程度上提升了現有高級威脅橫行環境下的安全監控、威脅偵測及應急響應能力。
連接到網絡的每個設備都是網絡威脅的潛在攻擊媒介,每個連接都是進入網絡的潛在入口點,無論是網絡釣魚、數據洩露、勒索軟件等網絡攻擊事件,它們的目標只有一個——終端。隨著網絡攻防戰的升級,傳統防禦手段對於未知的高級威脅往往無效。EDR 解決方案通過監控端點以防止反病毒軟件無法檢測到的許多現實威脅,幫助保護這些進入網絡的終端。EDR 解決方案能通過監控端點以防止反病毒軟件無法檢測到的許多現實威脅,幫助監控和防範高級持續威脅。傳統的防病毒軟件只有在存在匹配的簽名時才能檢測到惡意軟件,且無法通過監視其活動來確定攻擊者是否可以訪問網絡內的端點。
網思科平基於多年在防病毒領域和數據科學方面的積累,利用包括深度神經網絡、增強學習,生成對抗網絡等技術,成功研發了下一代防病毒引擎 Argus™,大幅提升檢測引擎針對惡意代碼的對抗和識別能力。基於 AI 的防病毒引擎成為EDR擴展EPP功能的標配。其 EDR 產品擁有產品輕量級設計、補充傳統終端安全的短板、威脅分析平臺等特點。
天蠍終端偵測與響應系統 (EDR) 主要面向政府、企業、金融、軍隊、醫療、教育、製造業和其他重要基礎設施網絡等。根據分級保護的相關要求,防病毒產品須有公安部銷售許可證才能進入涉密信息系統,天蠍EDR已獲取公安部銷售許可證。
以往基於靜態特徵構建的防病毒體系已經無法應對當前安全,面對網端防護割裂導致的低效威脅處置與孤立,Gartner 提出了端網聯動整合的 5 個層級:
(1) 通過包裝網端聯動概念的解決方案,但沒有產品側實際意義的集成;
(2) 分析報告和配置情況可以在單個管理控制檯中被網絡和終端管理員使用;
(3) 一個領域的 IoC(入侵指標)分享給另外一個領域;
(4) 一個領域裡面發現的潛在威脅的異常告警被另外一個領域確認和舉證;
(5) 在一個領域的威脅自動導致修改其他領域的配置狀態,自動處置威脅。
基於這 5 個層級,深信服的終端檢測響應平臺主要展現出三大核心優勢:
(1) 應用創新微隔離技術的防護體系:虛擬化底層平臺解耦合,構建動態安全邊界,精細化微隔離與降低威脅影響面,端點安全的立體可視和發現;
(2) 基於AI的多維度 智能威脅檢測機制:輕量級人工智能檢測引擎 SAVE、多維度漏斗型檢測框架、勒索誘捕方案;
(3) 網 “端” 雲協同聯動與高效威脅處置:自動化網端安全運維,全網終端圍剿式查殺、網端縱深雙重防禦。
深信服下一代 EDR 產品採用了基於 AI 的慢速掃描檢測技術,使用增量式機器學習技術,將主機行為轉化成空間中的特徵向量(點)。點在模型(黃線)下方時,表示判定主機無掃描行為;在模型(黃線)上方式,表示判定主機存在掃描行為。該技術優勢:能檢測出慢速掃描(傳統方法無法檢測)極小的性能開銷。新的數據來了,只需更新點的位置數據紅利。參與的數據越多、時間越長,檢測結果越準。
深信服相信 EDR 未來的發展,中國市場對於 EDR 的期望是解決大部分終端安全的需求,EDR 平臺包括了 EPP、威脅情報管理等安全功能,最終落實到客戶側能夠解決整體需求。而國外 EDR 則更加傾向於解決未知威脅,儘快進行發現、處置和修復。深信服 EDR 做到了合二為一,即 “EPP+EDR”,形成產品側的完整攻防解決方案。
傳統管理思路的侷限性體現在不能完整覆蓋終端類型和網絡環境,不能統一管理,導致形成安全系統的孤島建設,不僅管理效率低,還存在安全系統間的安全空隙風險;技術導向的方案,只提供技術手段,不關注管理結果,很難實現預期的管理效果。
通軟在大會分享了新一代統一端點安全方案的核心思路:
(1) 建立統一端點安全管理平臺,覆蓋各類端點類型,統一管理各類端點安全風險;
(2) 實名制管理為基礎,把網絡安全當作使用者的安全問題來管理,而不僅僅是計算機網絡的安全問題;
(3) 管理效果導向,建立清晰的管理目標,實現目標導向的管理過程。
傳統方案是工具和數據的集合,具體集合的體現情況取決於使用人的能力,導致結果差別甚遠。而新的方案是一種管理閉環,首先從問題本身出發,一是防止敏感信息的洩漏和破壞,二是保障搭建專用網絡的持續和運行。管理過程是先了解現狀,隨後設計安全策略進行全景監控,最後持續優化以達到最初的目標和效果。因此,針對不同類型的管理內容和終端,進行統一端點安全管理。同樣,時代的發展需要平臺更加智能化,在大型公司的應用場景下會存在很多的事件,根據特定部門的要求制定不同的規則,最終形成的安全策略需與部門特點相吻合,通軟所提供的智能化機制能夠做到自動匹配過程。
(新一代統一端點安全管理框架)
通軟的新一代統一端點安全管理方案的預期管理效果:全面覆蓋各類終端,建設統一的端點安全管理平臺。技術導向提升到效果導向,通過強大的智能化平臺作為技術保障,建設閉環的管理過程,實現預期管理效果。已在大規模用戶中驗證的穩定、成熟的管理平臺。
端點安全問題不能單純地依靠購買對應解決方案就能完全解決的,還需要更加完善的安全防護體系來確保企業及組織的網絡安全受到最佳保護。現階段,EDR & 統一端點安全解決方案可以有效縮短證據收集時間,同時支持對事件進行詳細調查和有效響應,實現愈加集中化、快速、準確的響應,防範未知威脅。期待更多的廠商為企業用戶提供更好、更完善統一端點解決方案。
閱讀更多 安全牛 的文章
