信息來源:安全牛
很多企業(yè)視終端檢測與響應 (EDR) 為數(shù)據泄露主要防御手段��。2012 年��,EDR 作為單獨的一類安全產品出現(xiàn),并很快被認為是漏洞利用�、零日惡意軟件和無文件攻擊等新型威脅的有力響應,補充了傳統(tǒng)殺毒軟件 (AV) 在這方面的弱勢�����。
雖說 EDR 應對當今多種高級威脅的有效性毋庸置疑�,但新型“下一代 EDR”解決方案已浮出水面,不僅擁有全部 EDR 功能����,還能抵御 EDR 未覆蓋的主要攻擊途徑,比如那些涉及用戶和網絡的攻擊����。
Cynet(一種下一代 EDR 解決方案)共同創(chuàng)始人 Eyal Gruner 解釋道:很多人都無意識地搞混淆了兩種不同的東西——終端防護和數(shù)據泄露防護�。
沒錯�,很多攻擊始于終端,涉及惡意文件與惡意進程��,使 EDR 成為了終端防護的完美解決方案�����。但實際攻擊界面遠比終端廣闊��,你要保護的不僅僅是終端�����,而是你的公司�。
Gruner 白帽黑客出身(從 15 歲就開始了),還創(chuàng)辦了以色列最大的網絡安全咨詢公司 BugSec�����。如今�����,他是世界聞名的攻擊工具����、技術及實踐專家。
可以這么想:攻擊者的動作必然會產生某種異常����。而我們理解的‘正常行為’是不包含染指資源和盜取數(shù)據的。這些異常就是安全產品或者說威脅分析師的錨點��,用以識別正在發(fā)生的不良情況并封鎖之�����。
Gruner 稱�����,這些異??稍谌齻€核心的地方看到——進程執(zhí)行、網絡流量或用戶行為�����。比如說�����,勒索軟件會產生進程執(zhí)行異常,因為會出現(xiàn)一個嘗試與大量文件交互的進程�。
另一方面,多種橫向移動包含網絡流量異常��,以超高服務器消息塊 (SMB) 流量的形式呈現(xiàn)�。與之類似,當攻擊者以被盜用戶賬戶憑證登錄關鍵服務器時�����,唯一的異常存在于用戶行為中��。兩種情況下��,僅僅監(jiān)視進程是無法發(fā)現(xiàn)攻擊的�����。
Gruner 表示�����,EDR 可以很好地防御那些可通過進程異常加以識別的攻擊����。該工具駐守終端�����,監(jiān)視進程行為,形成對此類威脅的有效防護����。但其他類型的威脅呢?有很多主流攻擊方法在網絡流量和用戶行為層面操作����,不會觸發(fā)絲毫過程異常,EDR 對此完全失明����。
為更好地理解該問題,我們不妨從攻擊者的角度來看����。攻擊者已成功入侵一臺終端,正在衡量怎樣進一步浸染整個環(huán)境�����,訪問并滲漏敏感數(shù)據。要完成這一任務還有幾個必要的步驟要做����。我們以憑證竊取為例。
高權限憑證是訪問環(huán)境中資源的基礎��。攻擊者可能嘗試從已入侵終端的內存中轉錄出這些憑證��。因為該舉動會引發(fā)進程異常����,EDR 可以捕獲到該入侵動作。
然而�,密碼散列值也可以通過攔截內部網絡流量(利用地址解析協(xié)議 (ARP) 中毒或域名系統(tǒng) (DNS) 響應器)獲取。這種攔截動作只有通過監(jiān)視網絡流量異常才能探知�����,而 EDR 會完全漏掉這一異常��。
Gruner 表示�����,以自己的經驗,厲害的攻擊者通常能快速摸清目標都設置了哪些防御措施��,然后采取相應的規(guī)避和攻擊動作�����。如果發(fā)現(xiàn)設置了良好的 EDR��,攻擊者會換用針對網絡和用戶領域的技術��,在EDR 檢測不到的地方肆意操作�。
所以��,如果你想要的是安全技術棧中有個組件能夠防護基于進程的攻擊����,比如惡意軟件、漏洞利用程序等�,那 EDR 就能滿足你的需求。但如果你尋求的是防止數(shù)據泄露�,你就得考慮更多東西了——這正是我們創(chuàng)建 Cynet 360 的初衷。
Cynet 360 持續(xù)監(jiān)視進程�、網絡流量和用戶行為,全方位覆蓋當今高級攻擊中所用各種攻擊方法����。也就是說����,包含全部 EDR 功能��,并擴展和集成了用戶行為分析和網絡分析�,補充了健壯的誘騙層——可使操作人員能夠植入充當誘餌的數(shù)據文件、密碼����、網絡共享等,誘騙攻擊者暴露自身�。
而且,Cynet 提供的遠不止增值那么簡單��。Gruner 稱:不僅僅是基于進程的威脅+基于網絡的威脅+基于用戶的威脅��。攻擊者越高端����,就越精于隱藏自身及其行為。所以�,很多攻擊僅靠觀測進程或流量或用戶行為根本無法發(fā)現(xiàn)。
只有通過綜合這些信號形成上下文��,你才可以看出有惡意事件發(fā)生。Cynet 360 自動化該上下文創(chuàng)建過程��,揭示其他方法發(fā)現(xiàn)不了的多種威脅��。
Gruner 總結道:沒有哪種防護措施是 100% 無缺口的�����,但你必須扼守所有主要通路����。攻擊者能夠繞過它們嗎?答案是 “能”�����,只要他們技術夠高�����、決心夠大�����、資源夠豐富�。但如果你監(jiān)視所有主要異常路徑,就能迫使他們前進得異常艱難——難到足以令他們中大多數(shù)人無功而返��。
EDR 是個神奇的東西�����,這正是 Cynet 360 納入其所有功能并加以擴展和補充的原因所在�����。EDR 自身不足以提供完備的數(shù)據泄露防御��,所以我們給 Cynet 360 配齊了欠缺的其他功能�����。
