信息來源:安全牛
很多企業(yè)視終端檢測與響應(yīng) (EDR) 為數(shù)據(jù)泄露主要防御手段���。2012 年,EDR 作為單獨(dú)的一類安全產(chǎn)品出現(xiàn)����,并很快被認(rèn)為是漏洞利用���、零日惡意軟件和無文件攻擊等新型威脅的有力響應(yīng)���,補(bǔ)充了傳統(tǒng)殺毒軟件 (AV) 在這方面的弱勢。
雖說 EDR 應(yīng)對當(dāng)今多種高級威脅的有效性毋庸置疑����,但新型“下一代 EDR”解決方案已浮出水面,不僅擁有全部 EDR 功能�����,還能抵御 EDR 未覆蓋的主要攻擊途徑�,比如那些涉及用戶和網(wǎng)絡(luò)的攻擊。
Cynet(一種下一代 EDR 解決方案)共同創(chuàng)始人 Eyal Gruner 解釋道:很多人都無意識地搞混淆了兩種不同的東西——終端防護(hù)和數(shù)據(jù)泄露防護(hù)����。
沒錯,很多攻擊始于終端�����,涉及惡意文件與惡意進(jìn)程,使 EDR 成為了終端防護(hù)的完美解決方案���。但實(shí)際攻擊界面遠(yuǎn)比終端廣闊�����,你要保護(hù)的不僅僅是終端�,而是你的公司��。
Gruner 白帽黑客出身(從 15 歲就開始了)���,還創(chuàng)辦了以色列最大的網(wǎng)絡(luò)安全咨詢公司 BugSec。如今���,他是世界聞名的攻擊工具��、技術(shù)及實(shí)踐專家�。
可以這么想:攻擊者的動作必然會產(chǎn)生某種異常�����。而我們理解的‘正常行為’是不包含染指資源和盜取數(shù)據(jù)的。這些異常就是安全產(chǎn)品或者說威脅分析師的錨點(diǎn)���,用以識別正在發(fā)生的不良情況并封鎖之���。
Gruner 稱,這些異?�?稍谌齻€核心的地方看到——進(jìn)程執(zhí)行����、網(wǎng)絡(luò)流量或用戶行為。比如說�,勒索軟件會產(chǎn)生進(jìn)程執(zhí)行異常,因?yàn)闀霈F(xiàn)一個嘗試與大量文件交互的進(jìn)程����。
另一方面,多種橫向移動包含網(wǎng)絡(luò)流量異常�����,以超高服務(wù)器消息塊 (SMB) 流量的形式呈現(xiàn)��。與之類似���,當(dāng)攻擊者以被盜用戶賬戶憑證登錄關(guān)鍵服務(wù)器時�,唯一的異常存在于用戶行為中。兩種情況下���,僅僅監(jiān)視進(jìn)程是無法發(fā)現(xiàn)攻擊的����。
Gruner 表示�����,EDR 可以很好地防御那些可通過進(jìn)程異常加以識別的攻擊�����。該工具駐守終端�����,監(jiān)視進(jìn)程行為�,形成對此類威脅的有效防護(hù)�。但其他類型的威脅呢?有很多主流攻擊方法在網(wǎng)絡(luò)流量和用戶行為層面操作����,不會觸發(fā)絲毫過程異常�����,EDR 對此完全失明����。
為更好地理解該問題����,我們不妨從攻擊者的角度來看。攻擊者已成功入侵一臺終端��,正在衡量怎樣進(jìn)一步浸染整個環(huán)境��,訪問并滲漏敏感數(shù)據(jù)�。要完成這一任務(wù)還有幾個必要的步驟要做。我們以憑證竊取為例���。
高權(quán)限憑證是訪問環(huán)境中資源的基礎(chǔ)����。攻擊者可能嘗試從已入侵終端的內(nèi)存中轉(zhuǎn)錄出這些憑證。因?yàn)樵撆e動會引發(fā)進(jìn)程異常����,EDR 可以捕獲到該入侵動作。
然而�,密碼散列值也可以通過攔截內(nèi)部網(wǎng)絡(luò)流量(利用地址解析協(xié)議 (ARP) 中毒或域名系統(tǒng) (DNS) 響應(yīng)器)獲取。這種攔截動作只有通過監(jiān)視網(wǎng)絡(luò)流量異常才能探知�����,而 EDR 會完全漏掉這一異常�。
Gruner 表示,以自己的經(jīng)驗(yàn)����,厲害的攻擊者通常能快速摸清目標(biāo)都設(shè)置了哪些防御措施,然后采取相應(yīng)的規(guī)避和攻擊動作�����。如果發(fā)現(xiàn)設(shè)置了良好的 EDR����,攻擊者會換用針對網(wǎng)絡(luò)和用戶領(lǐng)域的技術(shù)����,在EDR 檢測不到的地方肆意操作�����。
所以�����,如果你想要的是安全技術(shù)棧中有個組件能夠防護(hù)基于進(jìn)程的攻擊��,比如惡意軟件����、漏洞利用程序等����,那 EDR 就能滿足你的需求。但如果你尋求的是防止數(shù)據(jù)泄露���,你就得考慮更多東西了——這正是我們創(chuàng)建 Cynet 360 的初衷�����。
Cynet 360 持續(xù)監(jiān)視進(jìn)程�、網(wǎng)絡(luò)流量和用戶行為,全方位覆蓋當(dāng)今高級攻擊中所用各種攻擊方法����。也就是說,包含全部 EDR 功能��,并擴(kuò)展和集成了用戶行為分析和網(wǎng)絡(luò)分析���,補(bǔ)充了健壯的誘騙層——可使操作人員能夠植入充當(dāng)誘餌的數(shù)據(jù)文件����、密碼����、網(wǎng)絡(luò)共享等,誘騙攻擊者暴露自身�����。
而且��,Cynet 提供的遠(yuǎn)不止增值那么簡單����。Gruner 稱:不僅僅是基于進(jìn)程的威脅+基于網(wǎng)絡(luò)的威脅+基于用戶的威脅�����。攻擊者越高端,就越精于隱藏自身及其行為���。所以�,很多攻擊僅靠觀測進(jìn)程或流量或用戶行為根本無法發(fā)現(xiàn)�����。
只有通過綜合這些信號形成上下文���,你才可以看出有惡意事件發(fā)生�。Cynet 360 自動化該上下文創(chuàng)建過程�����,揭示其他方法發(fā)現(xiàn)不了的多種威脅����。
Gruner 總結(jié)道:沒有哪種防護(hù)措施是 100% 無缺口的,但你必須扼守所有主要通路����。攻擊者能夠繞過它們嗎��?答案是 “能”��,只要他們技術(shù)夠高���、決心夠大、資源夠豐富���。但如果你監(jiān)視所有主要異常路徑����,就能迫使他們前進(jìn)得異常艱難——難到足以令他們中大多數(shù)人無功而返����。
EDR 是個神奇的東西,這正是 Cynet 360 納入其所有功能并加以擴(kuò)展和補(bǔ)充的原因所在����。EDR 自身不足以提供完備的數(shù)據(jù)泄露防御,所以我們給 Cynet 360 配齊了欠缺的其他功能�����。
